คอลัมนิสต์

‘สมุดคำตอบ’ เป็นข้อมูลส่วนบุคคลหรือไม่?

By กฎหมาย 4.005 มี.ค. 2021 เวลา 12:00 น.
‘สมุดคำตอบ’ เป็นข้อมูลส่วนบุคคลหรือไม่?

การทำความเข้าใจว่า ข้อมูลใดข้อมูลหนึ่งเป็นข้อมูลส่วนบุคคลหรือไม่ ถือว่ามีความสำคัญอย่างมากต่อการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

        เนื่องจากหากข้อมูลนั้นไม่ใช่ข้อมูลส่วนบุคคลแล้ว สิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อาทิ สิทธิในการเข้าถึงข้อมูลส่วนบุคคล สิทธิในการแก้ไข หรือสิทธิในการคัดค้านการประมวลผล ฯลฯ ย่อมไม่นำมาใช้บังคับ และผู้ควบคุมข้อมูลนั้นก็เป็นอัดหลุดพ้นจากหน้าที่และความรับผิดตามกฎหมายเช่นกัน

ในทางปฏิบัติ การจำแนกว่าข้อมูลใดเป็น “ข้อมูลส่วนบุคคล” หรือไม่ก็อาจไม่ง่ายเลย ตัวอย่างเช่นสมุดคำตอบที่ผู้เข้าสอบได้เขียนบรรยายหรืออธิบายคำตอบตามโจทย์ที่ถูกกำหนดมาจะถือว่าเป็นข้อมูลส่วนบุคคลของผู้เข้าสอบหรือไม่ รวมถึงในส่วนการประเมินผลโดยผู้ตรวจที่อาจมีความเห็นหรือข้อสังเกตใด ๆ ต่อการประเมินผลนั้น ซึ่งกรณีดังกล่าวได้เป็นข้อพิพาทและขึ้นสู่การพิจารณาของศาลยุติธรรมแห่งยุโรปเลยทีเดียว ในวันนี้ ผู้เขียนจึงขอนำคดีการประมวลผลสมุดคำตอบมาเล่าให้ท่านผู้อ่านลองพิจารณาดูเพื่อเป็นกรณีศึกษาร่วมกัน

ข้อเท็จจริงในคดี Nowak v Data Protection Commissioner (C‑434/16) เกิดขึ้นในประเทศไอร์แลนด์ เมื่อนาย Nowak ซึ่งเป็นผู้สอบเพื่อได้รับใบอนุญาตเป็นผู้สอบบัญชี ซึ่งจัดโดยสมาคมวิชาชีพทางบัญชีของประเทศไอร์แลนด์ร้องขอสำเนาข้อมูลส่วนบุคคลของตนเองทั้งหมดที่อยู่ในความครอบครองของสมาคมวิชาชีพบัญชี (data access request) ซึ่งสมาคมวิชาชีพทางบัญชีไม่ยอมส่งเอกสารส่วนการสอบและการประเมินผลสอบให้นาย Nowak เนื่องจากเห็นว่าข้อสอบและผลการประเมินของนาย Nowak ไม่ใช่ข้อมูลส่วนบุคคล นาย Nowak จึงร้องเรียนต่อกรรมการคุ้มครองข้อมูลส่วนบุคคล กรรมการคุ้มครองข้อมูลส่วนบุคคลปฏิเสธการดำเนินการตามคำร้องเพราะเห็นว่าส่วนการเขียนตอบนั้นไม่เป็นข้อมูลส่วนบุคคลของนาย Nowak

นาย Nowak ฟ้องคดีต่อศาลชั้นต้น ศาลปฏิเสธคำร้อง นาย Nowak อุทธรณ์ ศาลอุทธรณ์เห็นด้วยตามความเห็นของกรรมการคุ้มครองข้อมูลส่วนบุคคลและศาลชั้นต้นว่าการเขียนตอบและการประเมินผลโดยผู้ตรวจไม่ใช่ข้อมูลส่วนบุคคล นาย Nowak จึงยื่นฎีกาต่อศาลฎีกาของประเทศไอร์แลนด์  ศาลฎีกาของประเทศไอร์แลนด์ได้ส่งคำร้องมายังศาลยุติธรรมแห่งยุโรปเพื่อพิจารณาว่าข้อมูลในส่วนการประเมินผลของนาย Nowak เป็นข้อมูลส่วนบุคคลตาม Data Protection Directive ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปและประเทศไอร์แลนด์ที่ใช้บังคับในขณะที่เกิดข้อพิพาทหรือไม่

ศาลยุติธรรมแห่งยุโรปพิจารณาคำร้องแล้วมีความเห็นสรุปได้ดังนี้

  • ส่วน “การเขียนตอบ” โดยผู้เข้าสอบ และ “ส่วนการประเมินผล” โดยผู้ทำการประเมิน/ตรวจข้อสอบ เป็นข้อมูลส่วนบุคคลของผู้เข้าสอบ เนื่องจากเป็นข้อมูลที่โดยทางตรงหรือทางอ้อม ซึ่งอาจจะต้องนำมารวมกับข้อมูลอื่น ๆ ที่อยู่ในความควบคุมของผู้ควบคุมข้อมูลส่วนบุคคล ทำให้สามารถระบุตัวบุคคลของผู้เข้าสอบได้

ข้อมูลทั้งสองส่วนดังกล่าวจึงเป็นข้อมูลส่วนบุคคลของนาย Nowak ตาม Data Protection Directive และ GDPR (ศาลพิจารณาตาม GDPR ซึ่งเป็นกฎหมายที่ใช้บังคับในขณะที่พิจารณาคดีประกอบด้วย)

  • เมื่อข้อมูลดังกล่าวเป็นข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลจึงมีสิทธิต่าง ๆ ตามที่กฎหมายกำหนด ซึ่งสิทธิต่าง ๆ จะสามารถใช้ได้มากน้อยเพียงใด ย่อมเป็นไปตามเงื่อนไขของกฎหมายและเงื่อนไขของการประมวลผล อาทิ ผู้เข้าสอบย่อมไม่สามารถอ้างสิทธิในการขอแก้ไขข้อมูลให้ถูกต้อง (right to rectification) เพื่อขอแก้ไขส่วนคำตอบของตนเอง เนื่องจากย่อมขัดแย้งกับวัตถุประสงค์ในการทดสอบที่ต้องการประเมินผลความรู้ ณ ขณะที่ทำการทดสอบ เป็นต้น

ข้อสังเกตต่อผลแห่งคดีดังกล่าว

  • ผู้ร้องต้องต่อสู้คดีในหลายชั้นศาลกว่าที่จะได้รับการยืนยันว่าส่วน “การเขียนตอบ” และ “ส่วนการประเมินผล” เป็นข้อมูลส่วนบุคคลของผู้ร้อง ดังนั้น การพิจารณาว่าเรื่องใดเป็นข้อมูลส่วนบุคคลหรือไม่ ในหลาย ๆ กรณีจึงไม่ใช่เรื่องที่ง่ายเลย
  • ผลของการที่ส่วน “การเขียนตอบ” และ “ส่วนการประเมินผล” เป็นข้อมูลส่วนบุคคลของผู้ร้องย่อมก่อให้เกิดสิทธิและหน้าที่ต่าง ๆ ตามมาต่อบุคคลที่เกี่ยวข้องในการประมวลผลข้อมูลส่วนบุคคล ในด้านผู้ร้องย่อมมีสิทธิต่าง ๆ ตามที่กฎหมายกำหนด อาทิ สิทธิในการขอให้แก้ไขข้อมูลให้ถูกต้อง สิทธิในการขอเข้าถึงข้อมูล สิทธิในการขอให้ลบ/ทำลาย หรือการคัดค้านการประมวลผล เป็นต้น ซึ่งข้อจำกัดในการใช้สิทธิต่าง ๆ ดังกล่าวก็อาจจะมีได้หากมีกฎหมายอื่น ๆ มาเกี่ยวข้อง

ประการสำคัญหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลก็จะตามมาเช่นกัน โดยเฉพาะในเรื่องของการเก็บรักษาความลับ และการกำหนดมาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคล อาทิ การจำกัดการเข้าถึงข้อมูล เป็นต้น

  • หากกรณีดังกล่าวเกิดขึ้นในประเทศไทย ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดว่า “ข้อมูลส่วนบุคคล หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม…” ซึ่งหากพิจารณาจากบทนิยามแล้วจะพบว่าพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ บัญญัติไปในทิศทางเดียวกับ Data Protection Directive และ GDPR ซึ่งหากตีความไปในทำนองเดียวกันก็อาจทำให้พิจารณาได้ว่าส่วน “การเขียนตอบ” และ “ส่วนการประเมินผล” เป็นข้อมูลส่วนบุคคลของผู้เข้าสอบตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ และในกรณีที่การสอบนั้นดำเนินการโดยหน่วยงานของรัฐก็อาจจำต้องพิจารณาพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 ประกอบด้วยเพิ่มเติม

มาถึงจุดนี้ ผู้เขียนต้องบอกว่าหากส่วน “การเขียนตอบ” และ “ส่วนการประเมินผล” เป็นข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ด้วยแล้ว หน่วยจัดการสอบทั้งหลายน่าจะต้องกลับมาทบทวนกันอีกครั้งว่าในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” ท่านได้เตรียมการรองรับต่อการใช้สิทธิต่าง ๆ ของเจ้าของข้อมูลมากน้อยเพียงใด หน้าที่และความรับผิดชอบต่าง ๆ ของผู้ควบคุมข้อมูลส่วนบุคคลหน่วยงานหรือองค์กรของท่านได้เตรียมการรับมือไว้หรือยัง

มีหลายกรณีศึกษาที่สถาบันการศึกษาในยุโรปถูกคำสั่งปรับเนื่องจากการไม่ปฏิบัติตาม GDPR โดยฉพาะการกำหนดมาตรการด้านความปลอดภัยที่เหมาะสมในเชิงเทคนิคและองค์กร ซึ่งความรับผิดส่วนนี้ไม่จำเป็นต้องมีเหตุการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น (incident/data breach) เพียงแค่ไม่มีมาตรการที่เหมาะสมก็มีความรับผิดแล้ว.

*บทความโดย ศุภวัชร์ มาลานนท์ คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

ชิโนภาส อุดมผล Optimum Solution Defined (O S D) 

อ้างอิง

  • Nowak v Data Protection Commissioner (C‑434/16), Dated 20 December 2017
  • Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (Data Protection Directive, “DPD)
  • Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation, “GDPR”)