กฎหมาย PDPA ที่หลายหน่วยงาน ยังไม่มีความตระหนัก

กฎหมาย PDPA ที่หลายหน่วยงาน ยังไม่มีความตระหนัก

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ประกาศมาตั้งแต่เดือนพ.ค. พ.ศ. 2562 และเลื่อนการบังคับใช้มาหลายรอบ จนกระทั่งเริ่มบังคับใช้กันอย่างจริงจังเมื่อวันที่ 1 มิ.ย.ปีที่ผ่านมา แม้หลายหน่วยงาน โดยเฉพาะองค์กรขนาดใหญ่จะเตรียมตัวกันอย่างจริงจัง และตระหนักต่อกฎหมาย PDPA นี้

วันหนึ่งนิติบุคคลของหมู่บ้านแจ้งในไลน์กลุ่มว่า ขณะนี้นิติบุคคลได้เปลี่ยนบริษัทที่ทำหน้าที่รักษาความปลอดภัย หรือ รปภ. ซึ่งไม่เพียงแต่เก็บบัตรประชาชนของผู้มาติดต่อไว้ชั่วคราวในการแลกบัตรเข้าออกหมู่บ้าน แต่จะเพิ่มมาตรการให้มีระบบถ่ายรูปทะเบียนรถพร้อมบัตรประชาชนผู้ที่มาติดต่ออีกด้วย

เมื่อเห็นข้อความเช่นนี้ ผมก็ตกใจเพราะเพียงแค่เก็บบัตรประชาชนไว้ชั่วคราวโดยไม่ได้มีการขออนุญาตก็ถือว่าเป็นการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) แล้ว แต่ยังจะถ่ายรูปเก็บไว้อีกด้วย ซึ่งเมื่อติงไปว่าอาจผิดกฎหมาย PDPA คำตอบที่ได้รับคือ ที่อื่นๆ ก็ทำกัน ข้อสำคัญเราแค่เก็บไว้ในเครื่องคอมพิวเตอร์

ความเห็นคนในหมู่บ้านในเรื่องนี้ก็ค่อนข้างจะหลากหลาย แต่ส่วนหนึ่งก็คิดว่าต้องการจะเก็บข้อมูลเพื่อเอาไว้ตรวจสอบผู้มาติดต่อในหมู่บ้าน ไม่น่าจะมีปัญหาว่าขัดต่อกฎหมาย เพราะหลายหมู่บ้านก็ทำกัน

เช่นกันกับการเข้าออกอาคารสำนักงานต่างๆ ส่วนใหญ่ก็ต้องแลกบัตร รวมทั้งบางคนก็มองว่ากฎหมาย PDPA น่าจะหมายถึงการห้ามนำข้อมูลคนอื่นมาทำให้เกิดความเสียหายหรือก่อความรำคาญแก่เจ้าของข้อมูล และคิดว่าการเก็บข้อมูลเพื่อความปลอดภัยและตรวจสอบน่าจะทำได้

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ประกาศมาตั้งแต่เดือนพ.ค. พ.ศ. 2562 และเลื่อนการบังคับใช้มาหลายรอบ จนกระทั่งเริ่มบังคับใช้กันอย่างจริงจังเมื่อวันที่ 1 มิ.ย.ปีที่ผ่านมา แม้หลายหน่วยงาน โดยเฉพาะองค์กรขนาดใหญ่จะมีการเตรียมตัวกันอย่างจริงจัง และมีความตระหนักต่อกฎหมาย PDPA นี้

แต่ผมเชื่อว่า หน่วยงานเล็กๆ และคนอีกจำนวนมากไม่มีความเข้าใจในกฎหมายนี้ และไม่แปลกใจเลยที่จะได้ยินผู้จัดการและเจ้าหน้าที่นิติกรของหมู่บ้านถามด้วยความประหลาดใจว่า มีกฎหมายแบบนี้ด้วยหรือ และทำไม รปภ. จึงไม่สามารถถ่ายรูปบัตรประชาชนของผู้มาติดต่อได้ ทำไมต้องขอออนุญาต ในเมื่อบุคคลนั้นเข้ามาติดต่อในหมู่บ้านของเรา

สังคมเราอยู่กับการรับข้อมูลของผู้อื่นๆ ด้วยความเคยชิน เช่น ที่อยู่ วันเดือนปีเกิด ศาสนา ทะเบียนรถยนต์ เบอร์โทรศัพท์ อีเมล และเลขบัตรประชาชน จนมักไม่รู้ว่าข้อมูลเหล่านี้เป็นข้อมูลอ่อนไหว

เราทำธุรกรรมแบบเดิมๆ จนคุ้นเคยกับการยื่นบัตรประชาชนให้แก่เจ้าหน้าที่ หรือพนักงานบริษัทแล้วก็ถูกนำไปถ่ายเอกสาร โดยที่เราไม่ได้กังวลใดๆ หรือแม้แต่เราเองก็อยากจะรู้ข้อมูลส่วนบุคคลของผู้อื่น เช่น การเข้าออกในอาคาร หรือหมู่บ้าน ดังตัวอย่างที่กล่าวมาแล้ว เพราะคุ้นเคยกับการให้ข้อมูลแก่ผู้อื่น

ข้อมูลบางอย่างมีความสุ่มเสี่ยงมาก เพราะนอกจากจะเป็นข้อมูลอ่อนไหวแล้ว ยังสามารถนำไปทำธุรกรรมต่างๆ ได้มากมาย ดังเช่นข้อมูลในบัตรประชาชน นอกจากมีเลขบัตรประชาชน ยังมีข้อมูลวันเดือนปีเกิด ที่อยู่ และข้อสำคัญยิ่งมีเลขหลังบัตรประชาชน (Laser ID) ที่ควรเป็นความลับไม่ให้ผู้อื่นรู้ เนื่องจากสามารถนำไปทำธุรกรรมออนไลน์ต่างๆ ได้มากมาย

ดังนั้นการเก็บข้อมูลส่วนบุคคล เช่น การเก็บภาพถ่ายหรือสำเนาบัตรประชาชน หรือแม้แต่การเก็บตัวบัตรประชาชนไว้จำเป็นอย่างยิ่งที่ต้องขออนุญาตจากเจ้าของบัตร และข้อสำคัญยิ่งหน่วยงานที่จะเก็บข้อมูลเหล่านี้จำเป็นจะต้องมี ประกาศความเป็นส่วนตัว (Privacy Notice) ที่จะต้องแจ้งให้ชัดเจนว่า มีการจัดเก็บอะไรบ้าง แจ้งวัตถุประสงค์อย่างชัดเจนว่ามีการจัดเก็บไปเพื่ออะไร แจ้งสิทธิของเจ้าของข้อมูลส่วนบุคคล และแจ้งเรื่องของระยะเวลาในการจัดเก็บข้อมูลว่าข้อมูลส่วนบุคคลที่ได้รับไปจะเก็บไว้กี่วัน และหลังครบเวลาจัดเก็บแล้วจะต้องลบทำลายภายในกี่วัน

ที่น่าเป็นห่วงไปกว่านั้นคือ หน่วยงานที่เก็บข้อมูลมีมาตรการอย่างไรในการควบคุมไม่ให้ข้อมูลที่เก็บเหล่านั้นรั่วไหลออกไป ยิ่งกรณีของ รปภ. ส่วนใหญ่ก็จะเป็นพนักงานบริษัทภายนอกมารับจ้างดูแล ซึ่งกรณีนี้จะทำหน้าที่เป็นผู้ประมวลข้อมูลส่วนบุคคล ทางหน่วยงานยิ่งจำเป็นจะต้องมีข้อตกลงในเรื่องการควบคุมข้อมูลให้มีการนำไปใช้อย่างปลอดภัย และต้องไม่ให้มีการรั่วไหล

กฎหมาย PDPA พยายามเน้นย้ำให้เราเก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น ไม่ควรจะเก็บอะไรมากจนเกินไป การถ่ายรูปบัตรประชาชนเก็บไว้มีความสุ่มเสี่ยงอย่างมากที่จะทำให้เกิดข้อมูลรั่วไหลได้หากขาดการควบคุมที่ดี

ถึงเวลาแล้วที่หลายองค์กร โดยเฉพาะหน่วยงานขนาดเล็ก ร้านค้า สมาคม นิติบุคคลหมู่บ้านจัดสรรต่างๆ ต้องตระหนักถึงกฎหมาย PDPA ต้องอบรมพนักงานและเจ้าหน้าที่ให้ทราบถึงความเป็นส่วนตัวของคนอื่นๆ ที่เราไม่ควรละเมิด โดยไม่ขออนุญาต ซึ่งอาจจะขัดกับวัฒนธรรมของสังคมเราที่เคยทำมาในหลายๆ เรื่อง แต่เราจำเป็นต้องปรับตัวที่นอกจากจะระมัดระวังไม่ให้คนอื่นๆ ล่วงรู้ข้อมูลส่วนตัวของเรา แต่เราก็ต้องเคารพที่จะไม่ล่วงรู้ข้อมูลของคนอื่นด้วยเช่นกัน

ยิ่งขณะนี้มี​​พ.ร.บ.การปฏิบัติราชการทางอิเล็กทรอนิกส์ พ.ศ. 2565 ออกมาก็ยิ่งน่ากังวลในการที่ผู้อื่นสามารถนำข้อมูลส่วนบุคคลไปทำธุรกรรมออนไลน์ได้มากขึ้นกว่าเดิม หากเราไม่มีมาตรการป้องกันข้อมูลเหล่านี้ที่ดีพอ