Covid มา หลายอย่างเลื่อน แต่กฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่เลื่อน

โดย…สาธิต บวรสันติสุทธิ์, CFP นักวางแผนการเงิน

อีกแล้ว ช่วงนี้ไม่รู้เป็นไง คงดวงดูตกต่ำมากนะ เพราะมีหลายธนาคารเหลือเกินโทรมาติดต่อเสนอสินเชื่อบุคคลให้ ก็เข้าใจนะว่าสถาบันการเงินก็ต้องหารายได้ น้องๆก็ต้องทำหน้าที่ ทำให้ถึงจะรำคาญก็รำคาญแค่ไหน ก็ไม่คิดที่จะด่าว่าน้องๆ ที่โทรมา แต่ก็อย่างว่านะ เคยถามเหมือนกัน รู้ข้อมูลพี่ได้ยังไง น้องก็ตอบไม่ได้ ทำไงดีที่จะไม่ต้องมาคอยรับโทรศัพท์ขายของจากใครไม่รู้อีกแล้ว แล้วจะมีใครคอยคุ้มครองข้อมูลของเราไม่ให้ใครเอาข้อมูลเราไปใช้ประโยชน์โดยเราไม่ยินยอมได้บ้างนะ

แค่คิด ก็ได้ข่าวดีเลย คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act : PDPA) ที่จะคุ้มครองข้อมูลส่วนบุคคลของเราจะมีผลบังคับใช้ในวันที่ 27 พฤษภาคม 2563 ที่จะถึงนี้แล้ว ไม่เลื่อนตามภาวะ covid เหมือนวงเงินการคุ้มครองเงินฝากลดจาก 5 ล้านบาทเหลือ 1 ล้านบาทเลื่อนจากเดิมถึงวันที่ 10 สิงหาคม 2563 เป็นวันที่ 10 สิงหาคม 2564

วัตถุประสงค์ของกฎหมายนี้มีมาก็เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลของพวกเรา (เจ้าของข้อมูล)มีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ เพราะในยุค digital อย่างตอนนี้ และยิ่งการที่เราอยู่บ้าน หยุดเชื่อ เพื่อชาติ ก็ยิ่งทำให้เราใช้ชีวิตอยู่บนโลก online มากขึ้น ไม่ว่าจะซื้อของ online สั่งข้าวกิน online หรือจะใช้ line คุยกับเพื่อน ใช้ facebook แชร์ข้อมูล ใช้ instagram แชร์รูป ฯลฯ ความสะดวกที่ได้มาก็แลกกับข้อมูลส่วนตัวของเรา คงเคยนะว่าจะสมัครใช้บริการอะไรก็ตามมักจะบังคับให้เรากด “ยินยอม” เปิดเผยข้อมูลของเรา แสดงว่าข้อมูลของเราเป็นสิ่งที่มีค่าที่ใครๆก็อยากได้

ตัวอย่างหนึ่งที่แสดงถึงประโยชน์ของข้อมูลส่วนตัวก็คือ กรณี Cambridge Analytica แอบเอาข้อมูลผู้ใช้งาน facebook กว่า 87 ล้านรายไปใช้ประโยชน์ในการเลือกตั้งประธานาธิบดีสหรัฐอเมริกา (กรณีนี้ทำให้ facebook โดนปรับเป็นจำนวนเงินสูงเป็นประวัติการณ์ที่ 5 พันล้านดอลลาร์สหรัฐ หรือประมาณ 155,000 ล้านบาท ฐานบกพร่องการป้องกันข้อมูลความเป็นส่วนตัวผู้ใช้)

หลักสำคัญของกฎหมายฉบับนี้มีอะไรบ้าง เรามาดูกันนะ

กฎหมายนี้คุ้มครองอะไร และใคร

คุ้มครองข้อมูลส่วนบุคคล “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรง เช่น ชื่อ-สกุล , ที่อยู่ , เลขบัตรประชาชน , ข้อมูลสุขภาพ , หมายเลขโทรศัพท์ , e-mail , ประวัติอาชญากรรม, เลขบัญชีธนาคาร, เลขกรมธรรม์ประกันชีวิต, ทะเบียนรถ ฯลฯ หรือทางอ้อมที่สามารถสืบสาวมาที่เจ้าของข้อมูลได้ เช่น สาธิต จบเภสัช มหิดล เป็น CFP แค่นี้ก็สามารถรู้ได้ว่า คือ สาธิตคนนี้ แม้คนชื่อสาธิตจะมีหลายคนก็ตาม ข้อมูลพวกนี้ถือเป็นข้อมูลส่วนบุคคลที่ได้รับการคุ้มครองหมด ต่อไปใครจะใช้ต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน

และยิ่งถ้าเป็นข้อมูลส่วนบุคคลประเภทที่เรียกว่า ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น เชื้อชาติ , ประวัติอาชญากรรม , ข้อมูลพันธุกรรม , พฤติกรรมทางเพศ เป็นต้น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลแบบนี้จะมีหลักการที่เข้มงวดกว่าข้อมูลส่วนบุคคลทั่วไป เช่น ต้องได้รับความยินยอมโดยชัดแจ้ง (Explicit Consent) จากเจ้าของข้อมูล , เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ เป็นต้น

แล้วกฎหมายคุ้มครองใคร กฎหมายคุ้มครองข้อมูลบุคคลธรรมดาที่อยู่ในประเทศไทย ไม่ว่าจะเป็นคนสัญชาติหรือเชื้อชาติอะไร (ไม่คุ้มครองนิติบุคคล และคนที่ถึงแก่กรรมไปแล้ว)

โดยกฎหมายได้ให้ความคุ้มครองสิทธิของเราในฐานะ “เจ้าของข้อมูลส่วนบุคคล” ในหลาย ๆ เรื่อง เช่น

• สิทธิในการได้รับแจ้งให้ทราบเมื่อต้องเก็บรวบรวมข้อมูลหรือจะมีการนำข้อมูลไปใช้
• สิทธิในการที่แม้จะให้ความยินยอมในการเก็บรักษา ใช้ หรือเปิดเผยข้อมูลไป แต่ก็ถอนความยินยอมเมื่อใดก็ได้
• สิทธิในการเข้าถึงข้อมูลส่วนบุคคลที่ได้มีการรวบรวมจัดเก็บไว้
• สิทธิในการอนุญาตให้มีการโอนข้อมูลส่วนบุคคลของเราหรือไม่ก็ได้
• สิทธิคัดค้านในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเราไม่ว่าเวลาใด ๆ
• สิทธิในการขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุถึงตัวของเขาได้
• สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
• สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล ให้เป็นปัจจุบัน ให้ถูกต้อง เป็นต้น

กฎหมายใช้บังคับกับใคร

ใช้บังคับกับบุคคลหรือนิติบุคคลไม่ว่าจะเป็น ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งอยู่ในประเทศไทย ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยนั้น ได้กระทำในหรือนอกประเทศไทยก็ตาม

• ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือบุคคลธรรมดาหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น หน่วยงานของรัฐ หรือเอกชนโดยทั่วไปที่เก็บรวบรวม ใช้หรือเปิดเผยข้อมูล ส่วนบุคคลของประชาชนหรือลูกค้าที่มาใช้บริการ

• ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลธรรมดาหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล เช่น บริการ cloud service เป็นต้น

อ้าว แล้วผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่นอกราชอาณาจักร กฎหมายไม่บังคับใช้เหรอ

บังคับใช้ครับ ถ้าเป็นกิจกรรม ดังต่อไปนี้

1.การเสนอสินค้าหรือบริการให้แก่เจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าจะมีการชำระเงินของเจ้าของข้อมูลส่วนบุคคลหรือไม่ก็ตาม
2.การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักร

ต่อไปใครจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเรา ถ้าไม่อยากผิดกฎหมาย ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล และต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยใช้แบบหรือข้อความทำผ่านกระดาษ หรือ ระบบออนไลน์ก็ได้ ที่อ่านแล้วเข้าใจได้โดยง่าย ต้องไม่เป็นการหลอกลวงให้เข้าใจผิด และแยกชัดเจนจากเงื่อนไขอื่นๆ และไม่เอาเงื่อนไขอื่นมาผูกพัน เช่น จะบังคับให้เรากด accept ถึงจะใช้บริการได้ ก็ห้ามทำ ผู้บริโภคต้องได้รับทางเลือกและเงื่อนไขที่ชัดเจนในการแชร์ข้อมูล เว้นแต่เป็นการปฏิบัติตามกฎหมาย เพื่อป้องกันหรือระงับอันตรายต่อชีวิต หรือมีความจำเป็นเพื่อปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลกับเจ้าของข้อมูล หรือการดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์ เป็นต้น

ใครก็ตามที่ฝ่าฝืนมาเก็บ ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเรา โดยเราไม่ยินยอม จะโดนมาตรการลงโทษทั้งทางแพ่ง ทางอาญา และทางปกครอง ดังนี้

โทษทางแพ่ง
• ผู้กระทำละเมิดข้อมูลส่วนบุคคลต้องชดใช้ค่าสินไหมทดแทนให้กับเจ้าของข้อมูลส่วนบุคคล ไม่ว่า การดำเนินการนั้นจะเกิดจากการกระทาโดยจงใจหรือประมาทเลินเล่อหรือไม่ก็ตาม

• ศาลมีอำนาจสั่งให้ชดใช้ค่าสินไหมทดแทนเพิ่มเติมได้ 2 เท่าของค่าสินไหมทดแทนที่แท้จริง
โทษอาญา

• กำหนดบทลงโทษทางอาญาไว้สำหรับความผิดร้ายแรง เช่น การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนโดยมิชอบ , ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นแล้วนาไปเปิดเผยแก่ผู้อื่นโดยมิชอบ

• ระวางโทษสูงสุดจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ

• ในกรณีที่ผู้กระทำความผิดเป็นนิติบุคคล กรรมการหรือผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้นอาจต้องร่วมรับผิดในความผิดอาญาที่เกิดขึ้น

โทษทางปกครอง
• กำหนดโทษปรับทางปกครองสูงสุด 5 ล้านบาท สำหรับการกระทำความผิดที่เป็นการฝ่าฝืนหรือไม่ปฏิบัติตามที่กฎหมายกำหนด เช่น ไม่แจ้งวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ , ขอความยินยอมโดยหลอกลวงเจ้าของข้อมูลส่วนบุคคล เป็นต้น

การร้องเรียน
เมื่อเรา (เจ้าของข้อมูลส่วนบุคคล) ถูกละเมิดข้อมูลส่วนบุคคล เราสามารถร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ ซึ่งมีหน้าที่พิจารณาเรื่องร้องเรียนตามพระราชบัญญัตินี้ได้

กฎหมายนี้เป็นเรื่องละเอียดอ่อน เนื้อหามีเยอะ และเกี่ยวข้องกับพวกเราทุกคน ใครที่สนใจศึกษาเพิ่มเติม ลองเข้าไปหาข้อมูลเพิ่มที่เว็บของ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) https://www.etda.or.th/content/personal-data-protection-by-etda.html ครับ