ความพร้อมในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล

ความพร้อมในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ปี 2562 จะมีผลใช้บังคับในวันที่ 28 พ.ค.2563 มีบทบัญญัติจำนวนมากที่อาจส่งผลกระทบต่อการใช้ชีวิตประจำวัน

 รูปแบบการดำเนินธุรกิจและการกระทำของหน่วยงานรัฐ โดยผู้เขียนขอยกเฉพาะประเด็นที่เห็นว่ามีความสำคัญและอาจจะยังไม่มีการกล่าวถึงมากนัก โดยเปรียบเทียบกับ GDPR ที่เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป(อียู)ที่ประเทศไทยใช้เป็นต้นแบบในการยกร่างกฎหมาย เพื่อประกอบความเข้าใจ ดังนี้

1.ข้อยกเว้นการบังคับใช้กฎหมาย

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดข้อยกเว้นการบังคับใช้กฎหมายไว้บางส่วนดังนี้

1)การใช้เพื่อประโยชน์ส่วนตน มาตรา 4(1) กำหนดว่า “การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น”

กรณีใดบ้างที่จะถือว่าเป็นการใช้เพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวนั้น เป็นกรณีที่อาจเกิดปัญหาในการตีความและก่อให้เกิดความขัดแย้งได้ในหลายกรณี อาทิ การถ่ายภาพของบุคคลอื่นแล้วนำไปโพสต์ในสื่อสังคมออนไลน์ต่างๆ การเปิดเผยชื่อบุคคล บ้านเลขที่ หมายเลขโทรศัพท์ เป็นต้น 

ในคดี C-212/13 ชายชาวเช็กได้ติดกล้องวงจรปิดภายในพื้นที่บ้านของตนเองเพื่อความปลอดภัยในชีวิตและทรัพย์สินเนื่องจากบ้านของเขาเคยถูกบุกรุกมาก่อน โดยมีกล้องตัวหนึ่งบันทึกภาพถ่ายในบริเวณทางเท้าหน้าบ้านซึ่งเป็นถนนสาธารณะด้วย กรณีนี้ศาลยุติธรรมแห่งอียูตัดสินว่าไม่ถือเป็นการใช้เพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัว

2)ข้อยกเว้นสำหรับกิจการสื่อมวลชน มาตรา 4(3) กำหนดว่า บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะเพื่อกิจการสื่อมวลชนอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะ แต่ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานด้วย

จากข้อยกเว้นข้างต้น สื่อมวลชนได้รับยกเว้นเฉพาะเพื่อกิจการสื่อมวลชนอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น ซึ่งจากข้อความของตัวบท ย่อมนำมาซึ่งข้อโต้แย้งต่อไปว่าอะไรคือ “จริยธรรมแห่งการประกอบวิชาชีพ” หรือ “ประโยชน์สาธารณะ” เพราะหากไม่ต้องด้วยข้อยกเว้น สื่อมวลชนก็ต้องดำเนินการตามเงื่อนไขของกฎหมายในการกระทำต่อข้อมูลส่วนบุคคล อาทิ การเปิดเผยชื่อและภาพถ่ายของผู้ถูกกล่าวหาว่ากระทำความผิดต่อสาธารณะโดยไม่ได้รับความยินยอมจะกระทำได้หรือไม่ ถ้าทำได้ใช้กฎหมายใดเป็นข้อยกเว้น นอกจากนี้สื่อมวลชนยังมีหน้าที่ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานด้วย ซึ่งมาตรฐานดังกล่าวคืออะไร และมีเนื้อหาอย่างไร

2.นายจ้างอยู่ภายใต้บังคับของกฎหมายหรือไม่

ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 6 “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จากบทบัญญัติดังกล่าว นายจ้างไม่ว่าจะเป็นบุคคลธรรมดาหรือนิติบุคคล เป็นส่วนราชการหรือรัฐวิสาหกิจ ก็สามารถมีสถานะเป็น “ผู้ควบคุมข้อมูลส่วนบุคค” หากไม่ต้องด้วยข้อยกเว้นตามกฎหมายในมาตรา 4 ที่มิให้นำพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ไปใช้บังคับหรือกรณีอื่นๆ ตามที่กฎหมายกำหนด ดังนั้น โดยหลักการ ความสัมพันธ์ของนายจ้างและลูกจ้างที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกจ้างจึงอาจอยู่ภายใต้บังคับของกฎหมายฉบับนี้ 

ทั้งนี้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มิได้ยกตัวอย่างเพื่อให้ทราบว่ากรณีใดบ้างที่อาจถือได้ว่าเป็นข้อมูลส่วนบุคคล เพียงแต่กำหนดว่าเป็น “ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม” ซึ่งหากพิจารณาจากกรณีศึกษาในต่างประเทศ “ข้อมูลส่วนบุคคล” อาจหมายความรวมถึงข้อมูลดังต่อไปนี้ ชื่อ-สกุล หมายเลขโทรศัพท์ ที่อยู่ e-mail social media account หมายเลขบัตรประจำตัวประชาชน หมายเลขหนังสือเดินทาง ข้อมูลเกี่ยวกับการประกันสังคม ข้อมูลเกี่ยวกับสุขภาพ ข้อมูลด้านการเงิน ข้อมูลเงินเดือนและค่าตอบแทนต่างๆ ฯลฯ เป็นต้น 

3.การระบุพิกัดหรือการระบุสถานที่

การระบุพิกัดหรือการระบุสถานที่ผ่าน Geolocation หรือ Location data เป็นเทคโนโลยีที่ได้รับความนิยมมากขึ้นเรื่อยๆ อุปกรณ์หลายๆ ชนิดสามารถใช้ในการระบุพิกัดได้อย่างมีประสิทธิภาพผ่านการทำงานร่วมกันของฮาร์ดแวร์และซอฟท์แวร์ ไม่ว่าจะเป็นคอมพิวเตอร์ส่วนบุคคลหรือแบบพกพา สมาร์ทโฟน สมาร์ทวอทช์ หรือระบบ GPS Tracking ที่ฝังมาในอุปกรณ์ต่างๆ อาทิ กล้องติดรถยนต์ (Dash Cams) หรือแม้กระทั่งตัวรถยนต์เอง เป็นต้น โดยในประเทศสหรัฐและอียู ถือว่าพิกัดสถานที่ดังกล่าวเป็น “ข้อมูลส่วนบุคคล” ดังนั้น การดำเนินการใดๆ ต่อสิทธิความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลจึงต้องดำเนินการตามที่กฎหมายอนุญาตและกำหนดไว้เท่านั้น ซึ่งในส่วนนี้หน่วยงานบังคับใช้กฎหมายควรต้องสร้างความชัดเจนต่อประชาชนและสังคมว่าขอบเขตการบังคับใช้กฎหมายมีอยู่อย่างไร

4.เอชทีทีพีคุกกี้ (HTTP cookie) หรือ เว็บคุกกี้หรือ คุกกี้

ในคดี C‑673/17 ศาลยุติธรรมแห่งอียู ตัดสินว่าการขอความยินยอมให้ใช้คุกกี้บนเว็บไซต์ของตนเองโดยใช้ pre-ticked checkbox นั้นไม่ชอบด้วยกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยการให้ความยินยอมนั้นต้องเป็นความยินยอมโดยอิสระ ชัดเจน ได้รับแจ้งข้อมูลที่เพียงพอต่อการตัดสินใจ ไม่สร้างความสับสนหลงผิด และต้องมีการแสดงออกของการกระทำโดยชัดแจ้งว่ามีการให้ความยินยอม (active consent) โดยหากเป็นกรณีที่ได้เลือกมาให้แล้ว (pre-select tick) กรณีนี้ถือไม่ได้ว่าได้มีการให้ความยินยอม ซึ่งจากคดีข้างต้นทำให้เข้าใจได้ว่า การใช้ คุกกี้บนเว็บไซต์ต้องขอความยินยอมและความยินยอมนั้นต้องชอบด้วยเงื่อนไขของกฎหมายด้วย

นอกเหนือจากประเด็นข้างต้นแล้ว ยังมีอีกหลายกรณีที่ยังไม่มีความชัดเจน โดยเฉพาะรัฐเองที่เหมือนจะเป็นผู้ละเมิดสิทธิในการได้รับความคุ้มครองข้อมูลส่วนบุคคลและไม่ตระหนักว่าการดำเนินการต่างๆ เป็นการเก็บและใช้ข้อมูลส่วนบุคคล ซึ่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้บัญญัติรับรองว่า “สิทธิในการได้รับความคุ้มครองข้อมูลส่วนบุคคล” เป็น “สิทธิขั้นพื้นฐาน” ประการหนึ่ง ซึ่งผู้เขียนก็ได้แต่หวังว่ากฎหมายฉบับนี้จะถูกใช้ไปในทิศทางที่คุ้มครองสิทธิของปัจเจกชนมากขึ้น และรัฐเองจะพึงระวังมากขึ้นต่อการกระทำต่างๆ กับข้อมูลของพลเมืองและเคารพต่อกฎหมายที่ตนเองบัญญัติขึ้น.

โดย... 

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์