กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย

กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย

ปัจจุบัน หลายประเทศให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลมากยิ่งขึ้น

ประเทศที่มีการตรากฎหมายออกใช้บังคับแล้วก็มีการแก้ไขปรับให้เหมาะสมกับสภาพสังคมในปัจจุบัน ประเทศที่ยังไม่เคย ก็ได้ตรากฎหมายออกมาใช้บังคับ ในกลุ่มประเทศอาเซียน มีเพียงฟิลิปปินส์ มาเลเซีย และสิงคโปร์ เท่านั้น ที่มีการตรากฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เป็นกฎหมายกลางออกใช้บังคับแล้ว 

ประเทศไทย ก็เพิ่งมีการตราพระราชบัญญัติ(พ.ร.บ.)คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศในราชกิจจานุเบกษาแล้วเมื่อวันที่ 27 พ.ค. 2562 บทบัญญัติ ส่วนที่เป็นเรื่องทั่วไป มีผลใช้บังคับตั้งแต่วันที่ 28 เม.ย.2562 ส่วนบทบัญญัติที่เป็นเนื้อหาหลัก คือหมวด2 - 7 และมาตรา 95(ม.95) และม. 96 มีผลบังคับใช้เมื่อพ้น 1 ปี นับแต่วันประกาศในราชกิจจานุเบกษา (28 เม.ย.2563) โดยมี เหตุผลในการประกาศใช้พ.ร.บ.นี้ คือ ปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมากจนสร้างความเดือดร้อนรำคาญหรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคลประกอบกับความก้าวหน้าของเทคโนโลยี ทำให้การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลอันเป็นการละเมิดดังกล่าว ทำได้โดยง่าย สะดวกรวดเร็ว ก่อให้เกิดความเสียหายแก่เศรษฐกิจโดยรวม

สาระสำคัญของ พ.ร.บ.ฉบับนี้คือ

ไม่ใช้บังคับ แก่การดำเนินการของหน่วยงานของรัฐ ที่มีหน้าที่รักษาความมั่นคง ของรัฐ ความมั่นคงทางการคลัง การรักษาความปลอดภัยของประชาชน การป้องกันปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ ความมั่งคงปลอดภัยทางไซเบอร์ การใช้หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อกิจการสื่อสารมวลชน งานศิลปะ วรรณกรรมอันเป็นไปตามจริยธรรมแห่งวิชาชีพ หรือเพื่อประโยชน์สาธารณะ การดำเนินงานของรัฐสภา การพิจารณาคดีของศาล การดำเนินการตามกระบวนยุติธรรม การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิก

คำนิยามที่สำคัญ

  “ข้อมูลส่วนบุคคล คือข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

ผู้ควบคุมข้อมูลส่วนบุคคล  หมายถึงบุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

กล่าวโดยสรุป ผู้ควบคุมข้อมูลส่วนบุคคลก็คือบุคลหรือผู้ประกอบการหรือหน่วยงาน ที่มีการทำและจัดเก็บข้อมูลของผู้ใช้บริการตาม วัตถุประสงค์

พ.ร.บ.ฉบับนี้ กำหนดให้มี คณะกรรมการ(คกก.)คุ้มครองข้อมูลส่วนบุคคล มีอำนาจหน้าที่ตามที่บัญญัติในม.16 ที่สำคัญประการหนึ่งคือ ตีความและวินิจฉัยชี้ขาดปัญหาที่เกิดจากการบังคับใช้ พ.ร.บ.นี้

กำหนดให้มีสำนักงาน คกก.คุ้มครองข้อมูลส่วนบุคคล เป็นหน่วยงานของรัฐ ไม่ใช่ส่วนราชการ มีฐานะเป็นนิติบุคคล มีวัตถุประสงค์เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล อยู่ภายใต้การกำกับของ คกก.กำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

หลักการสำคัญโดยสรุปในการคุ้มครองข้อมูลส่วนบุคคลตาม พ.ร.บ.นี้

1 ผู้ควบคุมข้อมูล ส่วนบุคคล จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ เว้นแต่จะได้รับความยินยอมจากเจ้าของข้อมูลไว้ก่อนหรือในขณะนั้น การขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือหรือโดยผ่านระบบอิเล็กทรอนิกส์ (ม.19)

2 การเก็บรวบรวมข้อมูล ให้ทำได้เท่าที่จำเป็น และต้องแจ้งให้เจ้าของข้อมูลก่อนหรือในขณะเก็บรวบรวมข้อมูล โดยมีรายละเอียดตามที่กำหนด หากไม่ได้รับความยินยอมจากเจ้าของข้อมูลจะเก็บรวบรวมข้อมูลไม่ได้ เว้นแต่กรณีเป็นไปตามเงื่อนไขที่กำหนด (ม.24)

3 การเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา ปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน พันธุ์กรรม ข้อมูลชีวภาพ จะต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล เว้นแต่เป็นไปตามเงื่อนไขที่กำหนดใน(1)ถึง(5) (ม.26)

4 การใช้และเปิดเผยข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูล (ม.27)

5 เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนที่อยู่ในความรับผิดชอบของผู้ครอบครองข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลดังกล่าวที่ตนไม่ได้ให้ความยินยอม (ม.30)

6 เจ้าของข้อมูลส่วนบุคคลมีสิทธิ คัดค้านการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับตน เมื่อใดก็ได้ กรณีเป็นข้อมูลส่วนบุคคลที่รวบรวมโดยได้รับยกเว้นไม่ต้องขอความยินยอมจากเจ้าของข้อมูล หรือเป็นกรณีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง หรือเป็นกรณีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์หรือสถิติ เว้นแต่กรณีจำเป็นเพื่อประโยชน์สาธารณะ

7 การร้องเรียน เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนในกรณีผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ประมวลผล ฝ่าฝืนหรือไม่ปฏิบัติตาม พ.ร.บ.นี้ โดยร้องเรียนต่อคกก.ผู้เชี่ยวชาญที่ได้รับการแต่งตั่งจากคกก.คุ้มครองข้อมูลส่วนบุคคล ซึ่งคกก.ผู้เชี่ยวชาญ มีอำนาจสั่งให้ผู้ฝ่าฝืนแก้ไขการกระทำให้ถูกต้อง หรือสั่งห้ามกระทำการที่ก่อให้เกิดเสียหายแก่เจ้าของข้อมูล

8 ความรับผิดของผู้กระทำการหรืองดเว้นกระทำการอันเป็นการฝ่าฝืนพ.ร.บ.นี้

8.1 ความรับผิดทางแพ่ง ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล ซึ่งกระทำการเกี่ยวกับข้อมูลส่วนบุคคลที่ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนให้แก่เจ้าของข้อมูล (ม.77)

8.2 ความรับผิดทางอาญา พ.ร.บ.นี้มีบทกำหนดโทษทางอาญา ด้วย เช่น ผู้ควบคุมข้อมูลส่วนบุคคลที่ฝ่าฝืน ม. 27 หรือไม่ปฏิบัติตามมา.28 อันเกี่ยวกับข้อมูลส่วนบุคคลตามม. 26 ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น เกลียดชังหรือได้รับความเสียหาย ต้องระวางโทษจำคุกไม่เกินหกเดือนปรับไม่เกินห้าแสนบาทหรือทั้งจำทั้งปรับ

8.3 โทษทางปกครอง ผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตามบทบัญญัติบางมาตรา เช่นม.23 ม.39 วรรคหนึ่ง ม.41 วรรคหนึ่ง หรือม. 42วรรคสองหรือวรรคสาม ฯลฯ ต้องระวางโทษปรับทางปกครองไม่เกินหนึ่งล้านบาท หรืออาจถูกปรับทางปกครองไม่เกินสามล้านบาท ถ้าฝ่าฝืน ม.21 ม.22  ม.24 ม.25 วรรคหนึ่งฯลฯ ผู้มีอำนาจสั่งลงโทษปรับทางปกครอง คือคกก.ผู้เชี่ยวชาญ ซึ่งมีผลบังคับทันทีโดยไม่ต้องฟ้องต่อศาล และหากไม่ยอมชำระค่าปรับทางปกครอง ก็สามารถใช้มาตรการบังคับทางปกครอง ยึดอายัดทรัพย์ขายทอดตลาดชำระค่าปรับได้