ข้อมูล(ไม่)ส่วนบุคคล (4): GDPR

ข้อมูล(ไม่)ส่วนบุคคล (4): GDPR

หลังจากที่ได้พิจารณากฎหมาย GDPR ของสหภาพยุโรปไปพอสังเขปแล้ว ในครั้งนี้เราจะมาพิจารณาถึงกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยกันบ้าง

อย่างที่ผู้อ่านทุกท่านทราบกันดีอยู่แล้วว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยยังคงมีสถานะเป็นเพียงร่างกฎหมาย โดยอยู่ในระหว่างการพิจารณาของคณะกรรมการกฤษฎีกา อย่างไรก็ดี ในช่วงที่กฎหมายดังกล่าวยังไม่มีผลบังคับใช้ก็ไม่ได้หมายความว่า ข้อมูลส่วนบุคคลของคนไทยจะไม่ได้รับความคุ้มครองตามกฎหมายเลยเสียทีเดียว เพราะแท้จริงแล้วกฎหมายเกี่ยวกับการประกอบกิจการบางประเภทก็มีข้อกำหนดให้ผู้ประกอบกิจการจะต้องเก็บรักษาข้อมูลส่วนบุคคลที่เกี่ยวข้องของผู้ใช้บริการไว้เป็นความลับ และอาจมีบทกำหนดคุ้มครองสิทธิเพิ่มเติมให้แก่เจ้าของข้อมูลตามกฎหมายเฉพาะนั้น ๆ ดังนั้นแล้ว ประการแรก เจ้าของข้อมูลควรพิจารณาก่อนว่าข้อมูลส่วนบุคคลของตนได้รับความคุ้มครองตามกฎหมายเฉพาะหรือไม่

ตัวอย่างเช่น หากข้อมูลของท่านเข้าข่ายเป็น ข้อมูลด้านสุขภาพ ตามนิยามที่กำหนดไว้ในระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและการจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 อนึ่ง เจ้าของข้อมูลด้านสุขภาพดังกล่าวก็มีสิทธิที่จะได้รับความคุ้มครองต่าง ๆ ตามที่ระบุไว้ในระเบียบ ซึ่งรวมถึงการกำหนดให้ข้อมูลด้านสุขภาพ และการจะเปิดเผยข้อมูลส่วนบุคคลจะกระทำได้ก็ต่อเมื่อได้รับความยินยอมจากเจ้าของข้อมูล หรือผู้มีสิทธิให้ความยินยอมแทนเจ้าของข้อมูลตามกฎหมาย การจัดเก็บข้อมูลด้วยวิธีการทางอิเล็กทรอนิกส์ จะต้องมีมาตรการในการรักษาความปลอดภัย เช่น การกำหนดสิทธิในการเข้าถึงข้อมูลให้แต่ละบุคคล และสิทธิในการขอให้แก้ไขข้อมูลให้เป็นปัจจุบัน โดยระเบียบดังกล่าวจะมีผลใช้บังคับในวันที่ 28 ก.ย.2561

อีกตัวอย่างหนึ่งของกลุ่มข้อมูลส่วนบุคคลที่ได้รับความคุ้มครองคือ ข้อมูลที่เข้านิยามการเป็น ข้อมูลเครดิต ตามพระราชบัญญัติ(พ.ร.บ.)การประกอบธุรกิจข้อมูลเครดิต พ.ศ. 2545 ซึ่งหมายถึงข้อเท็จจริงที่บ่งชี้ถึงตัวลูกค้า และคุณสมบัติของลูกค้าที่ขอสินเชื่อ ประวัติการขอและการได้รับอนุมัติสินเชื่อ การชำระสินเชื่อของลูกค้าที่ขอสินเชื่อ รวมทั้งประวัติการชำระราคาสินค้าหรือบริการโดยบัตรเครดิต โดยหากเป็นข้อมูลเครดิตแล้ว ผู้ที่จะประกอบธุรกิจเกี่ยวกับการควบคุมหรือประมวลผลข้อมูลเครดิตได้จะต้องได้รับความเห็นชอบจากรัฐมนตรีว่าการกระทรวงการคลัง (ซึ่งในปัจจุบันมีเพียงบริษัทเดียวที่ได้รับความเห็นชอบดังกล่าวคือ บริษัท ข้อมูลเครดิตแห่งชาติ จำกัด) โดยข้อมูลเครดิตจะต้องถูกจัดเก็บตามวิธีที่กฎหมายกำหนด และจะเปิดเผยได้เฉพาะกรณีที่เจ้าของข้อมูลให้ความยินยอม (เว้นแต่จะเข้าข้อยกเว้นอื่น ๆ ที่กฎหมายอนุญาตให้เปิดเผยข้อมูลได้โดยไม่ต้องได้รับความยินยอม เช่น ตามคำสั่งศาล เป็นต้น) และเจ้าของข้อมูลมีสิทธิ ๆ ต่างตามที่กำหนดไว้ใน พ.ร.บ.ดังกล่าวซึ่งรวมถึงสิทธิในการขอตรวจสอบและขอแก้ไขข้อมูลที่ไม่ถูกต้อง สิทธิที่จะได้รับทราบเหตุผลในการปฏิเสธคำขอสินเชื่อในกรณีที่สถาบันการเงินใช้ข้อมูลเครดิตเป็นเหตุในการปฏิเสธสินเชื่อ เป็นต้น

แม้ว่าข้อมูลส่วนบุคคลของท่านไม่เข้าข่ายได้รับความคุ้มครองตามกฎหมายเฉพาะก็ตาม หากท่านได้รับความเสียหายจากกรณีที่ข้อมูลส่วนบุคคลถูกนำไปใช้โดยไม่ได้รับความยินยอม กฎหมายไทยมีหลักกฎหมายเรื่องละเมิดที่พอจะเป็นช่องทางในการเยียวยาความเสียหายให้แก่ท่านได้

แต่การเรียกค่าเสียหายโดยเหตุละเมิดนั้น ผู้ฟ้องคดีจะมีภาระในการพิสูจน์ให้ศาลเชื่อว่าผู้ก่อให้เกิดความเสียหายนั้นจงใจหรือประมาทกระทำการผิดกฎหมายเป็นเหตุให้ท่านเสียหาย ซึ่งในทางปฏิบัติค่อนข้างยากที่ผู้เสียหายโดยเฉพาะอย่างยิ่งผู้ใช้บริการรายย่อยทั่วไปที่จะสามารถพิสูจน์ได้ตามเงื่อนไขที่กฎหมายกำหนด จึงเป็นอุปสรรคที่ทำให้ผู้เสียหายท้อใจไม่อยากดำเนินคดี แต่อุปสรรคนี้จะหมดไปหากร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้ เนื่องจากในร่างกฎหมายดังกล่าวมีบทกำหนดความรับผิดทางแพ่งโดยเด็ดขาดให้ผู้ควบคุมข้อมูลส่วนบุคคลที่ทำให้เกิดความเสียหายจะต้องรับผิดต่อเจ้าของข้อมูลไม่ว่าการดำเนินการนั้นจะเกิดจากการกรทำโดยจงใจหรือประมาทเลินเล่อก็ตาม เว้นแต่จะพิสูจน์ได้ว่าความเสียหายดังกล่าวเกิดจากเหตุสุดวิสัย การปฏิบัติตามคำสั่งของเจ้าหน้าที่หรือการปฏิบัติตามกฎหมาย หรือเป็นไปเพื่อการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ทั้งนั้น คงต้องรอดูต่อไปว่าเมื่อร่างกฎหมายนี้มีผลใช้บังคับแล้ว ข้อกำหนดความรับผิดทางแพ่งนี้จะยังคงมีอยู่หรือไม่ หรือจะมีการปรับปรุงแก้ไขจากร่างฉบับปัจจุบันนี้อย่างไรต่อไป

โดย... 

ภูริตา ธนโชคโสภณ

บริษัท อัลเลน แอนด์ โอเวอรี่ (ประเทศไทย) จำกัด

[email protected]