คอลัมนิสต์

เร็วหรือช้าไป...เมื่อไทยมี พ.ร.บ.ข้อมูลส่วนบุคคลฯ (1)

By วาระทีดีอาร์ไอ29 ส.ค. 2019 เวลา 4:15 น.
เร็วหรือช้าไป...เมื่อไทยมี พ.ร.บ.ข้อมูลส่วนบุคคลฯ (1)

ความเป็นส่วนตัวและข้อมูลส่วนบุคคลสำหรับผู้อ่านสำคัญมากน้อยแค่ไหน?

ารคดีเรื่อง The Great Hack ที่ตีแผ่กรณี Facebook ทำข้อมูลส่วนบุคคลรั่วไหลให้บริษัท Cambridge Analytica น่าจะทำให้เราต้องหันมาสนใจประเด็นนี้กันอย่างจริงจัง

กรณี Facebook ปล่อยข้อมูลส่วนบุคคลรั่วไหล ส่งผลให้ Facebook ถูกคณะกรรมาธิการการค้าสหรัฐ (Federal Trade Commission) สั่งปรับเป็นจำนวนเงินกว่า 5,000 ล้านเหรียญสหรัฐ หรือ 155,000 ล้านบาท รวมถึงหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของประเทศอิตาลี ก็ได้ออกคำสั่งปรับ Facebook เป็นจำนวนเงิน 1 ล้านยูโร หรือ 34 ล้านบาท เห็นได้ว่าประเทศตะวันตก ให้ความสำคัญกับข้อมูลส่วนบุคคลและบังคับใช้กฎหมายอย่างเข้มข้น

สำหรับประเทศไทย ในแง่ของกฎหมายเราอาจช้าและก้าวไม่ทันสากลเพราะที่ผ่านมาใช้เวลารวมกว่า 20 ปี เพื่อร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล จนสุดท้ายได้กฎหมายออกมาในปีนี้ และจะมีผลบังคับใช้ในปีหน้า (พ.ค. 2563) แต่ในรายละเอียดพระราชบัญญัติ(พ.ร.บ.) คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ก็ยังไม่มีความชัดเจนมากนักสำหรับผู้ต้องปฏิบัติตามกฎหมาย

ภายใต้การคุ้มครองของกฎหมายนี้ ทุกคนมีสิทธิในการบริหารจัดการข้อมูลส่วนบุคคลของตัวเอง มีสิทธิที่รู้ว่าข้อมูลเกี่ยวกับเราอยู่กับองค์กรใด ถูกใช้ทำอะไร และเปิดเผยให้กับใครบ้าง

ดังนั้น สำหรับบุคคลทั่วไปแล้ว กฎหมายคุ้มครองข้อมูลส่วนบุคคลถือเป็นจุดเริ่มต้นของสิทธิขั้นพื้นฐานยุคใหม่ เพื่อเป็นรากฐานในการเตรียมพร้อมโครงสร้างประเทศไทยไปสู่ยุค 4.0 ตามที่รัฐบาลได้ตั้งใจไว้

แต่สำหรับองค์กรและผู้ประกอบธุรกิจ การปฏิบัติตามกฎหมายฉบับนี้เป็นโจทย์ที่ผู้ประกอบธุรกิจส่วนใหญ่ในประเทศไทยยังไม่คุ้นเคยมาก่อน จากการศึกษาของทีดีอาร์ไอ พบว่า องค์กรในประเทศไทย แม้จะมีความตื่นตัวอยู่ในระดับหนึ่ง แต่ก็กำลังประสบปัญหาว่ากฎหมายไม่ชัดเจนพอที่จะปฏิบัติตามได้ สาเหตุเกิดจากกฎหมายยังมีช่องว่างที่รอให้มีการตีความอยู่มาก ในขณะที่ยังไม่มีหน่วยงานกำกับดูแลที่มีอำนาจมาให้ความชัดเจน

เนื่องจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่จะเข้ามาทำหน้าที่กำกับดูแลตามกฎหมาย ยังอยู่ระหว่างกระบวนการจัดตั้งหน่วยงาน ซึ่ง พ.ร.บ.นั้น กำหนดให้จัดตั้งสำนักงานและคณะกรรมการให้แล้วเสร็จใน 1 ปีหลังจากวันที่ประกาศใช้กฎหมาย ซึ่งหากการจัดตั้งหน่วยงานใช้เวลาเต็มที่ตามที่กฎหมายกำหนด หน่วยงานกำกับดูแลในประเทศก็คงไม่สามารถเข้ามาช่วยให้ความรู้หรือความชัดเจนกับผู้ประกอบธุรกิจได้ทันวันที่กฎหมายบังคับใช้

ดังนั้นกว่าไทยจะมีกฎหมายอาจช้าไป แต่เมื่อจะบังคับใช้ก็อาจเร็วไปสำหรับผู้ประกอบธุรกิจหากยังขาดสำนักงานและคณะกรรมการขึ้นมากำกับดูแลและสื่อสารให้ข้อมูลเพื่อเตรียมการ

ทั้งนี้ ตามกฎหมายกำหนด ผู้ประกอบธุรกิจมีหน้าที่ปฏิบัติตามกฎหมาย 2 ข้อสำคัญ คือ

  1. “ต้องให้การคุ้มครอง” ข้อมูลส่วนบุคคล โดยให้สิทธิเจ้าของข้อมูลเข้าถึงข้อมูล สามารถแก้ไขข้อมูลให้ถูกต้อง รวมถึงสิทธิในการรับทราบ และจัดการข้อมูล (ซึ่งอาจหมายถึงการทำลายหรือระงับข้อมูลส่วนตัว) ได้
  2. ผู้ประกอบการจะต้องแจ้งเจ้าของข้อมูลเมื่อข้อมูลมีการรั่วไหล พร้อมแจ้งคณะกรรมการคุ้มครองข้อมูลฯ ทราบ

โดยข้อมูลส่วนบุคคลในที่นี้ คือข้อมูลที่สามารถใช้ระบุตัวบุคคลเท่านั้น ไม่รวมถึงข้อมูล เช่น บัญชีของบริษัท หรือข้อมูลเชิงสถิติ หรือข้อมูลลักษณะอื่นๆ ที่ไม่นำไปสู่การบ่งชี้บุคคลใดบุคคลหนึ่ง

จากหน้าที่ข้างต้น ในทางปฏิบัติผู้ประกอบการจะต้องเตรียมความพร้อมอย่างน้อย 7 เรื่อง เพื่อปฏิบัติตามกฎหมายและลดผลกระทบที่อาจเกิดขึ้น หาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลมีผลใช้บังคับในขณะที่ยังไร้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเข้ามาทำหน้าที่ให้ความชัดเจนและกำกับดูแล

1.พิจารณาว่าองค์กรของเรามีข้อมูลส่วนบุคคลอยู่มากน้อยเพียงใด โดยต้องระบุได้ว่ามีการนำเข้า จัดเก็บข้อมูลโดยใครและด้วยวิธีใด มีเป้าหมายใช้ทำอะไร และเปิดเผยให้กับบุคคลภายนอกหรือไม่ ภายใต้เงื่อนไขอย่างไร และจะนำออกจากการครอบครองอย่างไร โดยควรออกแบบเป็นแผนผังการไหลเวียนของข้อมูลในบริษัท (Dataflow) เพื่อให้สามารถนำไปออกแบบกระบวนการและวางนโยบายขั้นต่อ ๆ ไป ซึ่งมีข้อระมัดระวังว่าข้อมูลส่วนบุคคลมีได้ในหลายรูปแบบ และข้อมูลส่วนบุคคลของพนักงานก็ถือเป็นข้อมูลส่วนบุคคลเช่นเดียวกัน

2.พิจารณาแต่งตั้งบุคคลเข้ามารับผิดชอบในองค์กร จากการศึกษาของทีดีอาร์ไอ พบว่า บางองค์กรที่มีความพร้อมปรับตัวรับการบังคับใช้กฎหมาย ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อทำหน้าที่วางระบบ ออกแบบขั้นตอน รวมทั้งตรวจสอบภายในและช่วยเหลือหน่วยงานในองค์กรเพื่อให้เป็นไปตามกฎหมาย และประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่กำลังจะมีขึ้นตามกฎหมาย หากเกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหล

การมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในองค์กรจะทำให้มีหน่วยงานภายในที่คอยดูแลเรื่องการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ และลดความเสี่ยงเกี่ยวกับข้อมูลภายในองค์กรที่อาจต้องเปิดเผยให้กับบุคคลที่สาม ในกรณีที่จ้างบริษัทที่ปรึกษาภายนอกเข้ามาบริหารข้อมูลส่วนบุคคลอีกด้วย

สิ่งที่องค์กรและผู้ประกอบการจะต้องเตรียมการยังมีอีกหลายด้าน รวมถึงบทบาทภาครัฐ และภาคีภาคเอกชนที่จะมีส่วนช่วยหนุนผู้ประกอบการ ผู้เขียนจะขอมาแบ่งปันต่อในบทความหน้า เพื่อเราทุกคนได้รับรู้สิทธิ-หน้าที่ของตน สร้างสภาพแวดล้อมให้กฎหมายเป็นเครื่องมือรักษาผลประโยชน์ระหว่างกัน และส่งเสริมให้เกิดการบังคับใช้อย่างมีประสิทธิภาพ

โดย... ชวน หวังสุนทรชัย