นายอนุรักษ์ นิยมเวช
กรรมการผู้จัดการ ANURAK BUSINESS LAW
anurak@anurakbusinesslaw.com
ตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศลงในราชกิจจานุเบกษา ตั้งแต่เมื่อวันที่ 27 พฤษภาคม พ.ศ.2562 กําลังจะมีผลบังคับใช้วันที่ 1 มิถุนายน 2565 ที่จะถึงนี้ภาคธุรกิจและประชาชนจึงควรหันมาทําความเข้าใจและเตรียมความพร้อมรับกฎหมายนี้
สืบเนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจํานวนมากจนสร้างความ เดือดร้อนรําคาญ หรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทําให้การเก็บ รวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว ทําได้โดยง่าย สะดวก และรวดเร็ว ดังนั้นเพื่อ ป้องกันและแก้ไขปัญหาการล่วงละเมิดสิทธิ และข้อมูลส่วนบุคคลที่หลายคนกังวล จึงจําเป็นต้องตราพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 ขึ้น โดยมีเนื้อหาสําคัญว่าด้วยการรวบรวม ใช้ เปิดเผย สิทธิการเข้าถึง การร้องเรียน การรับผิดทางแพ่ง และบทกําหนดโทษ
พระราชบัญญัตินี้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยนั้น ได้กระทําในหรือนอกราชอาณาจักรก็ตาม อีกทั้งครอบคลุมถึงกรณีผู้ควบคุมและผู้ประมวลผลอยู่นอกราชอาณาจักรเมื่อมีการเสนอสินค้าหรือ บริการให้แก่เจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร หรือเมื่อมีการเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วน บุคคลที่เกิดขึ้นในราชอาณาจักร โดยมีข้อยกเว้นไม่ใช้บังคับแก่บางกรณี เช่น การดําเนินการของหน่วยงานของรัฐที่มีหน้าที่ ในการรักษาความมั่นคงของรัฐ การดําเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต เป็นต้น
พระราชบัญญัติฉบับนี้ได้มีการจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล อีกทั้งกําหนดให้มีการจัดตั้งสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อคุ้มครองข้อมูลส่วนบุคคล เพื่อส่งเสริมและสนับสนุนให้เกิดการพัฒนาด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศ
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทําให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล์ หมายเลขบัตรประจําตัว ประชาชนหรือสิ่งอื่นที่ทําให้รู้ตัวบุคคลนั้นได้เช่น ลายพิมพ์นิ้วมือ แผ่นบันทึกลักษณะเสียงของคน หรือรูปถ่าย นอกจากนี้ กฎหมายยังคุ้มครองไปถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เช่น เชื้อชาติ เผ่าพันธุ์ ความเห็นทาง การเมือง ความเชื่อ ลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลทางด้านสุขภาพ ข้อมูลทางพันธุกรรม และ ข้อมูลชีวภาพ ซึ่งเป็นข้อมูลที่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม ทั้งนี้บุคคลที่ได้รับความคุ้มครองตามพระราชบัญญัตินี้ หมายถึงเฉพาะบุคคลธรรมดาเท่านั้น มิได้รวมนิติบุคคลด้วย
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอํานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยผู้ควบคุมข้อมูลส่วนบุคคลจะมีหน้าที่จัดให้มีมาตรการรักษาความ มั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ และจัดให้มีระบบการตรวจสอบเพื่อดําเนินการลบหรือทําลายข้อมูลส่วนบุคคลเมื่อพ้นกําหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจําเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึง บุคคลหรือนิติบุคคลซึ่งดําเนินการเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคําสั่งของผู้ควบคุมข้อมูลส่วนบุคคล
โดยทั่วไปแล้วการนําข้อมูลส่วนบุคคลของบุคคลอื่นไปเผยแพร่เพื่อหาประโยชน์โดยไม่ได้รับอนุญาตย่อมมีความรับผิดต่อเจ้าของข้อมูลฐานละเมิดสิทธิส่วนบุคคลตามรัฐธรรมนูญแห่งราชอาณาจักรไทย พ.ศ.2560 และประมวลกฎหมาย แพ่งและพาณิชย์
อย่างไรก็ตาม พระราชบัญญัติฉบับนี้ได้เข้ามาคุ้มครองข้อมูลส่วนบุคคลมากขึ้นโดยกําหนดให้การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลนั้นจะต้องได้รับการยินยอมจากเจ้าของข้อมูลเป็นลายลักษณ์อักษรหรือผ่านทาง ระบบอิเล็กทรอนิกส์ และจะต้องแจ้งวัตถุประสงค์ของการดําเนินการดังกล่าวไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทําให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์อย่างไรก็ตามเจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการ ถอนความยินยอมนั้นด้วย
ผู้ควบคุมข้อมูลส่วนบุคคลต้องทําการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ และจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงระยะเวลาในการเก็บรวบรวม และข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อด้วย
เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสําเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคลหรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม
เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ หากเป็นการเก็บรวบรวม ใช้หรือเปิดเผยเพื่อวัตถุประสงค์ตลาดแบบตรง หรือเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ
เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดําเนินการลบหรือทําลายหรือทําให้ข้อมูลส่วน บุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ เมื่อข้อมูลส่วนบุคคลหมดความจําเป็นในการ เก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือเมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอม หรือเมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย นอกจากนี้ เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้ ในกรณีผู้ควบคุมอยู่ระหว่างการ ตรวจสอบความถูกต้องหรือเมื่อข้อมูลหมดความจําเป็นในการเก็บ
เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายฉบับนี้ และหากเกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมหรือผู้ประมวลผลต้องชดใช้ค่าสินไหมทดแทนรวมถึงค่าใช้จ่ายทั้งหมดที่เจ้าของข้อมูลส่วนบุคคลได้ใช้จ่ายไปตามความจําเป็นในการป้องกันความเสียหายที่กําลังจะเกิดขึ้นหรือระงับความเสียหายที่เกิดขึ้นแล้วด้วย เว้นแต่ จะพิสูจน์ได้ว่าความเสียหายนั้นเกิดจากเหตุสุดวิสัย หรือเกิดจากการกระทําหรือละเว้นการกระทําของเจ้าของข้อมูลส่วน บุคคลนั้นเอง หรือเป็นการปฏิบัติตามคําสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่และอํานาจตามกฎหมาย และกฎหมายนี้ ยังให้อํานาจศาลกําหนดค่าสินไหมทดแทนเชิงลงโทษตามที่ศาลเห็นสมควรได้ แต่ต้องไม่เกิน 2 เท่าของค่าสินไหมทดแทนที่แท้จริง
พระราชบัญญัติฉบับนี้ได้กําหนดโทษทางอาญาไว้สําหรับผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดที่ใช้หรือเปิดเผยโดยไม่ได้รับความยินยอม หรือนอกวัตถุประสงค์ หรือโอนข้อมูลส่วนบุคคลไปต่างประเทศโดยประการที่น่าจะทําให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจําคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจําทั้งปรับ ทั้งนี้หากมีเจตนาเพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสําหรับตนเอง หรือผู้อื่น ต้องระวางโทษจําคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาทหรือทั้งจําทั้งปรับ ในกรณีที่ผู้ใดล่วงรู้ข้อมูลส่วน บุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ถ้าผู้นั้นนําไปเปิดเผยแก่ผู้อื่น ต้องระวางโทษจําคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจําทั้งปรับ
ดังนั้น ภาคเอกชนโดยเฉพาะบรรดาผู้ประกอบธุรกิจการเงินที่ต้องมีการจัดเก็บข้อมูลส่วนบุคคลของลูกค้าเป็นจํานวนมากจะต้องเตรียมความพร้อมในการปฏิบัติตามกฎหมายนี้อย่างเคร่งครัด ส่วนประชาชนพึงตระหนักรู้ถึงสิทธิของตนที่ได้รับความคุ้มครองตามกฎหมายนี้