‘คนละครึ่ง’ และการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

‘คนละครึ่ง’ และการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

แม้ว่า พรบ.คุ้มครองข้อมูลส่วนบุคคลฯ จะเลื่อนการบังคับใช้ไปเป็น 1 มิ.ย.65 แต่หน่วยงานของรัฐ ควรเป็นองค์กรต้นแบบในการปฏิบัติตามกฎหมาย

โครงการคนละครึ่ง (“โครงการฯ”) ซึ่งดำเนินการมาถึงระยะที่ 3 ถือว่าเป็นโครงการของรัฐที่ประสบความสำเร็จมากที่สุดโครงการหนึ่ง โดยเงื่อนไขการลงทะเบียนตามที่ปรากฏใน www.คนละครึ่ง.com  กระทรวงการคลังในฐานะหน่วยงานเจ้าของโครงการได้กำหนดหลักเกณฑ์ เงื่อนไข และความยินยอมสำหรับประชาชนที่เข้าร่วมโครงการคนละครึ่ง ระยะที่ 3 ไว้ในส่วนที่เกี่ยวข้องกับ “การประมวลผลข้อมูลส่วนบุคคล” ของประชาชนที่ลงทะเบียนเข้าร่วมโครงการไว้หลายประการ และอาจมีปัญหาความชอบด้วยกฎหมายของการประมวลผลข้อมูลส่วนบุคคลหากพิจารณาตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังนี้

  1. กิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามโครงการฯ อยู่ภายใต้การบังคับใช้ของกฎหมายหรือไม่

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดยกเว้นให้บางกิจกรรมการประมวลผลและบางองค์กรได้รับยกเว้นไม่อยู่ภายใต้บังคับของกฎหมาย อาทิ การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงทางการคลังของรัฐ เป็นต้น ซึ่งในกรณีนี้ ผู้เขียนเห็นว่าการประมวลผลข้อมูลส่วนบุคคลของกระทรวงการคลังตามโครงการฯ ไม่น่าจะอยู่ในขอบเขตของการยกเว้นการบังคับใช้กฎหมาย ดังนั้น หากพิจารณาตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กระทรวงการคลัง และหน่วยงานอื่น ๆ ที่เข้ามาเกี่ยวข้องกับกิจกรรมการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลของประชาชนจึงควรต้องปฏิบัติตามเงื่อนไขต่าง ๆ ตามที่กฎหมายกำหนด

2.ฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล

ตามข้อมูลที่ปรากฏใน www.คนละครึ่ง.com  กระทรวงการคลังแจ้ง “ข้อความตกลงยินยอม ว่าประชาชนที่เข้าร่วมโครงการฯ ได้ตกลงยินยอม ดังต่อไปนี้

(1)ตกลงยินยอมให้กระทรวงการคลัง ธนาคารกรุงไทยฯ และหน่วยงานของรัฐที่เกี่ยวข้อง จัดเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล

(2)ตกลงยินยอมให้กระทรวงการคลัง หรือหน่วยงานอื่นของรัฐ จัดเก็บ ใช้ ประมวลผล และเปิดเผยข้อมูล ส่วนบุคคลเพื่อประโยชน์ในการดำเนินมาตรการอื่นของรัฐหรือเพื่อประโยชน์ในการบริหารราชการแผ่นดินในอนาคต

(3)ตกลงยินยอมให้หน่วยงานของรัฐที่เกี่ยวข้องร้องขอ สอบถาม และใช้ข้อมูลส่วนบุคคลเพื่อประโยชน์ในการดำเนินโครงการฯ

โดยความตกลงดังกล่าวข้างต้น ประชาชนที่ลงทะเบียนไม่มีสิทธิเลือกไม่ตกลง เนื่องจากการไม่ตกลงคือการปฏิเสธไม่เข้าร่วมโครงการฯ และย่อมเสียสิทธิอันพึงมีพึงได้ตามกฎหมายไป

              ดังนั้น ในทัศนะของผู้เขียน ข้อตกลงที่กำหนดโดยกระทรวงการคลังดังกล่าว ไม่อาจถือว่าเป็นการ “ขอความยินยอม” ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เนื่องจากฎหมายได้กำหนดเงื่อนไขของความยินยอมที่ชอบด้วยกฎหมายไว้ ดังนี้

1)การขอความยินยอมต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว 

                 แต่ ข้อความตกลงยินยอม ข้างต้นไม่มีการแยกส่วนของการขอความยินยอมในการประมวลผลข้อมูลส่วนบุคคลออกจากส่วนอื่น ๆ ของข้อตกลงและความยินยอมในการเข้าร่วมโครงการฯ

(2)ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม  โดยในการเข้าทำสัญญาซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ

แต่ ข้อความตกลงยินยอม” ข้างต้น ประชาชนในฐานะเจ้าของข้อมูลส่วนบุคคลไม่มีอิสระอย่างแท้จริงในการให้หรือไม่ให้ความยินยอม เนื่องจากการไม่ให้ความยินยอมคือการไม่สามารถเข้าถึงสิทธิตามโครงการฯ

(3)เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล   

แต่ ข้อความตกลงยินยอม” ข้างต้น ประชาชนอาจจะไม่สามารถเพิกถอนความยินยอมได้

จากเหตุผลข้องต้น ผู้เขียนจึงเห็นว่ากรณีนี้จึงไม่ใช่การขอความยินยอมและฐานในการประมวลผลตามภารกิจและนโยบายของรัฐบาลครั้งนี้ก็ไม่ควรนำฐาน “ความยินยอม” มาใช้ เนื่องจากโดยสภาพไม่อาจทำได้และการขอความยินยอมจะเป็นอุปสรรคต่อการดำเนินการโครงการของรัฐ แต่เนื่องจาก “ข้อความตกลงยินยอม” ไม่มีการแจ้งฐานการประมวลผลอื่น ๆ และมีการใช้ข้อความที่อาจทำให้สับสนได้ว่าเป็นการขอความยินยอม กรณีนี้ในอนาคตจึงควรปรับปรุงเงื่อนไขของ “ข้อความตกลงยินยอม” ให้สอดคล้องกับเงื่อนไขทางกฎหมายที่เกี่ยวข้อง

              แม้ว่าพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จะเลื่อนการบังคับใช้ไปเป็นวันที่ 1 มิถุนายน 2565 เนื่องด้วยความไม่พร้อมของหลายภาคส่วน แต่ผู้เขียนเห็นว่าหน่วยงานของรัฐควรเป็นองค์กรต้นแบบในการปฏิบัติตามกฎหมายที่เกี่ยวข้องกับการคุ้มครองสิทธิของประชาชน โดยเฉพาะในบริบทการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวเนื่องกับการให้บริการของภาครัฐที่มีการเก็บรวบรวม และอาจมีการใช้ข้อมูลอ่อนไหวของประชาชนจำนวนมาก ดังนั้น ในขั้นตอนการประมวลผลข้อมูลส่วนบุคคล หน่วยงานของรัฐจึงควรดำเนินการตามกรอบของกฎหมายอย่างเคร่งครัด โดยเฉพาะอย่างยิ่งในกรณีของการมีหนังสือแจ้งการประมวลผลข้อมูลส่วนบุคคล (Privacy Notice) ซึ่งกฎหมายกำหนดหน้าที่แจ้งและต้องทำตามที่แจ้งในกรณีดังต่อไปนี้

  • ฐานในการประมวลผลข้อมูลส่วนบุคคล กล่าวคือ หน่วยงานของรัฐต้องอธิบายว่าอาศัยอำนาจหรือสิทธิใดในการเก็บรวมรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของประชาชนที่เข้าร่วมโครงการฯ
  • ระยะเวลาในการจัดเก็บข้อมูลแต่ละจำพวกอย่างชัดเจน และกำหนดการทำลายข้อมูลเหล่านั้น
  • แจ้งวัตถุประสงค์การประมวลผลให้ชัดเจนว่ามีอย่างไรและเพื่ออะไร
  • ระบุหน่วยงานหรือบุคคลที่จะมีการโอนข้อมูลไปให้และเพื่อวัตถุประสงค์ใด
  • มาตรการด้านความปลอดภัยของข้อมูล
  • สิทธิของประชาชนในฐานะเจ้าของข้อมูลส่วนบุคคลและช่องทางการใช้สิทธิเหล่านั้น

การแจ้งและปฏิบัติตามเงื่อนไขการแจ้งย่อมทำให้ประชาชนในฐานะเจ้าของข้อมูล สามารถตรวจสอบกระบวนการประมวลผลข้อมูลส่วนบุคคลว่าชอบด้วยกฎหมายหรือไม่ และเป็นหลักประกันต่อสิทธิขั้นพื้นฐานของพลเมืองว่า  สิทธิในความเป็นส่วนตัวของเขาเหล่านั้นจะได้รับความเคารพจากองค์กรของรัฐตลอดวงจรชีวิตของข้อมูล.