การบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (พ.ศ.2562) หรือ Personal Data Protection Act (PDPA) เมื่อวันที่ 1 มิ.ย.2565 ยังคงสร้างความสับสน ความเข้าใจผิด โดยเฉพาะต่อความกังวลใจในการใช้ชีวิตประจำวัน
แม้ว่าเจตนารมณ์ของกฎหมายฉบับนี้ คือการสร้างความเชื่อมั่นให้กับประชาชน ว่าข้อมูลส่วนบุคคลจะถูกนำไปใช้อย่างเป็นธรรม โปร่งใส และได้รับการดูแลไม่ให้นำไปใช้ในทางที่ผิด เพื่อให้เท่าทันกับยุคสมัยในปัจจุบัน ที่ข้อมูลลูกค้ามีค่าราวกับทอง
การบังคับใช้กฎหมายเน้นส่งเสริมให้ภาครัฐและภาคธุรกิจไทยมีมาตรฐานการใช้ข้อมูลที่เป็นที่ยอมรับในระดับสากล หน้าที่ตามกฎหมายจึงตกเป็นของหน่วยงานทั้งภาครัฐและเอกชนเป็นหลัก ที่จะต้องเก็บหรือใช้ข้อมูลส่วนบุคคลของลูกค้าอย่างเป็นมาตรฐาน จัดการข้อมูลให้เหมาะสม เพื่อลดความเสี่ยงต่อการหลุดรั่วของข้อมูล
ขณะที่ประชาชนทั่วไปแทบไม่ได้รับผลกระทบจากกฎหมายฉบับนี้ ยกเว้นได้รับการปกป้องข้อมูลส่วนบุคคลที่มีมาตรฐานมากขึ้น กรณีถูกละเมิดมีโอกาสได้รับเงินชดเชย หากพิสูจน์ได้ว่าเกิดความเสียหาย
เพื่อให้เป็นไปตามเจตนารมณ์ของกฎหมาย “ทีมเศรษฐกิจ” ได้เก็บเรียบเรียงข้อมูลจากกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย สถาบันวิจัยเพื่อการพัฒนาประเทศไทย (ทีดีอาร์ไอ) สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและสำนักกฎหมายธีรคุปต์ เพื่อสะท้อนให้เห็นถึงสิทธิ เสียง และการยกระดับการคุ้มครองข้อมูลส่วนบุคคลของประชาชนชาวไทย ผ่านตัวบทกฎหมาย PDPA ฉบับนี้ ด้วยหวังสร้างความกระจ่างท่ามกลางความสับสน-กังวลใจที่กำลังเกิดขึ้นได้ในระดับหนึ่ง...
โพสต์โซเชียล-ติดกล้องวงจรปิดให้รอด
...
ก่อนอื่นต้องทำความเข้าใจก่อนว่าข้อมูลส่วนบุคคลภายใต้กฎหมายนี้แบ่งเป็น 2 ประเภท โดยข้อมูลส่วนบุคคล หมายถึง “ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ”
ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ข้อมูลส่วนบุคคลสามารถแบ่งออกได้เป็น 2 ประเภท 1.ข้อมูลส่วนบุคคลทั่วไป ได้แก่ ชื่อ เบอร์โทร. ที่อยู่อาศัย หมายเลขประจำตัว รูปภาพ 2.ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) ซึ่งหมายถึง “ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด” (ตามมาตรา 26)
เจตนารมณ์กฎหมายจะให้ความสำคัญกับข้อมูลอ่อนไหวเป็นหลัก หากมีการละเมิดอาจมีความผิดอาญามีโทษจำคุก นอกจากโทษปรับทางแพ่งและโทษปรับตามคำสั่งปกครอง ขณะที่ข้อมูลส่วนบุคคลทั่วไป เช่น เบอร์โทร. ที่อยู่ รูปภาพนั้น โทษจะลดหลั่นลงมา โดยถึงแม้มีการละเมิด ก็ต้องดูที่เจตนาและความเสียหาย ซึ่งอีกครั้ง กฎหมายให้น้ำหนักไปที่ข้อมูลอ่อนไหวมากกว่าข้อมูลทั่วไป
ในกรณีที่มีข้อกังวลของประชาชนเกี่ยวกับการโพสต์ภาพคนอื่นลงในโซเชียลมีเดีย รวมทั้งการบันทึกภาพของกล้องวงจรปิดที่ติดอยู่ตามบ้านเรือน พื้นที่สาธารณะต่างๆนั้น ต่อเรื่องนี้ เวทางค์ พ่วงทรัพย์ รองปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ในฐานะเลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ชี้แจงว่า หากเป็นการใช้เพื่อประโยชน์ส่วนตัว สามารถทำได้ ทั้งการโพสต์ภาพคนอื่นบนโซเชียลมีเดียส่วนตัว หรือการติดกล้องวงจรปิดในพื้นที่บ้าน รวมทั้งนอกรั้วบ้าน หรือหน้ารถ เพราะใช้เพื่อประโยชน์ส่วนตัว ปกป้องอันตราย ไม่ต้องมีป้ายแจ้งเตือน แต่ต้องระมัดระวังไม่นำไปเผยแพร่ต่อ อย่างไรก็ตาม ในกรณีนี้ กฎหมายมีข้อยกเว้นให้สำหรับหน่วยงานเฉพาะที่มีความจำเป็นต้องใช้ข้อมูล เช่น ตำรวจ สื่อมวลชน แต่ต้องนำไปใช้ภายใต้จรรยาบรรณ จริยธรรมวิชาชีพด้วย
กรณีที่ต้องระมัดระวัง คือบริษัท ร้านค้า ในกรณีติดกล้องวงจรปิดหน้าร้าน พื้นที่สาธารณะ ควรแจ้งเตือนว่าบริเวณดังกล่าวมีกล้องวงจรปิดติดอยู่ เช่นเดียวกันกรณีโพสต์รูปลูกค้าลงในสื่อออนไลน์ เพื่อประโยชน์ทางธุรกิจ ต้องมีความรัดกุมมากขึ้นคือขออนุญาตก่อน อย่างไรก็ตาม หากมีการละเมิดในกรณีนี้ รูปภาพถือเป็นข้อมูลส่วนบุคคลทั่วไป ไม่ใช่ข้อมูลอ่อนไหว ขณะที่การเอาผิดต้องดูที่เจตนาและความเสียหายด้วย
ข้อมูลอ่อนไหวสุขภาพ-ศาสนาโทษหนัก
ส่วนกรณีข้อมูลส่วนบุคคลที่มีความอ่อนไหวนั้น กฎหมายแยกออกมาจากข้อมูลส่วนบุคคลทั่วไป เพราะการประมวลผลข้อมูลอ่อนไหว อาจก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลได้ เช่น ผู้สมัครงานอาจถูกปฏิเสธเข้ารับทำงาน หากนายจ้างล่วงรู้ถึงพฤติกรรมทางเพศหรือรสนิยมทางเพศ หรือข้อมูลการนับถือศาสนาอาจทำให้ถูกเลือกปฏิบัติได้ กฎหมายจึงกำหนดแยกข้อมูลส่วนบุคคลที่มีความอ่อนไหวแยกออกมาเป็นพิเศษเพื่อให้ได้รับความคุ้มครองที่มากกว่าปกติ โดยมีความผิดอาญามีโทษจำคุก นอกจากโทษปรับทางแพ่งและโทษปรับตามคำสั่งปกครอง
...
หนึ่งในข้อมูลส่วนบุคคลที่มีความอ่อนไหวที่เกี่ยวข้องกับชีวิตประจำวันมากที่สุดคือข้อมูลสุขภาพ เมื่อ PDPA บังคับใช้ ไม่ว่าจะบุคคลใดหรือผู้ประกอบการใด จะเก็บรวบรวม ใช้ หรือเปิดเผย (“ประมวลผล”) ข้อมูลสุขภาพของบุคคล โดยไม่ขอความยินยอมก่อนไม่ได้ เว้นแต่วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลนั้น สามารถอ้างฐานทางกฎหมายในการประมวลผลโดยไม่ขอความยินยอมตามมาตรา 26 ได้
ซึ่งในชีวิตประจำวันของเรา อาจมีหลายเหตุการณ์ที่เกี่ยวข้องกับข้อมูลสุขภาพ ซึ่งผู้ประกอบการหรือบุคคลอื่นจะต้องขอความยินยอมจากเราก่อน เช่น 1.การตรวจสุขภาพก่อนเริ่มทำงาน และการตรวจสุขภาพประจำปี ยกเว้นในบางหน้าที่ ซึ่งกำหนดให้ต้องตรวจสุขภาพพนักงานก่อน เช่น พนักงานที่ทำงานในที่อับอากาศ ตำแหน่งงานที่เกี่ยวข้องกับปัจจัยเสี่ยง 2.พนักงานให้บริษัทเบิกค่ารักษาพยาบาลจากบริษัทประกันให้แทน นายจ้างต้องขอความยินยอมจากพนักงานก่อนที่จะเปิดเผยข้อมูลสุขภาพ (ใบรับรองแพทย์) ของพนักงานให้แก่บริษัทประกันได้ 3.สมัครประกันสุขภาพใหม่ หรือต่ออายุกรมธรรม์ แล้วบริษัทประกันขอดูใบรับรองแพทย์หรือประวัติสุขภาพเพื่อพิจารณาการทำประกัน เป็นต้น
...
ระวังขอความยินยอมแบบล้วงตับ
ในยุคของ PDPA เราจึงจะได้เห็นผู้ประกอบการเริ่มขอความยินยอม (Consent) ในการประมวลผลข้อมูลส่วนบุคคลจากลูกค้าบ้างแล้ว เพื่อที่จะสามารถส่งเอสเอ็มเอสหรืออีเมล เพื่อเสนอสินค้า ข่าวสาร หรือโปรโมชันให้
โดยมาตรา 19 วรรค 3 และ 4 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดไว้ว่า “ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และการขอความยินยอมนั้น ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่าย เข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย ไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว”
นอกจากนั้น เจ้าของข้อมูลส่วนบุคคลต้องมีความเป็นอิสระในการให้ความยินยอมในการเข้าทำสัญญา ซึ่งรวมถึงการให้บริการใดๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมที่ไม่จำเป็นต่อการบริการนั้นๆ โดยโทษของความยินยอมที่ไม่ถูกกฎหมาย มีโทษปรับทางปกครองไม่เกินหนึ่งล้านบาท
อย่างไรก็ตาม สิ่งที่จะต้องระมัดระวังสำหรับประชาชนเจ้าของข้อมูล คือผู้ให้บริการบางรายอาจปรับ user interface หรือการใช้งานหน้าแพลตฟอร์มให้ยาก เช่น มีแค่ปุ่ม “ให้ความยินยอม” แต่ไม่มีปุ่ม “ปฏิเสธให้ความยินยอม” หรือมีแค่ปุ่ม “ให้ความยินยอม” เพื่อให้ความยินยอมกับทุกกิจกรรม แต่ถ้าจะให้ความยินยอมเฉพาะเรื่อง ต้องไปกดปุ่ม “รายละเอียด” ซึ่งอาจถือว่าเป็นการขอความยินยอมที่เข้าข่ายหลอกลวงหรือทำให้เข้าใจผิด
หรือที่หนักไปกว่านั้น ผู้ให้บริการบางรายอาจใส่ข้อความในเว็บไซต์หรือแอปพลิเคชันระบุ ผู้ใช้งานต้องให้ความยินยอมเท่านั้น ถ้าไม่ให้ความยินยอม ก็จะไม่สามารถเข้าดูเนื้อหาได้ ซึ่งกรณีนี้ถือว่าผิดกฎหมายเช่นกัน เพราะการให้ความยินยอมต้องไม่เป็นเงื่อนไขต่อการปฏิเสธการให้บริการหรือทำธุรกรรม
...
นอกจากนั้น ผู้บริโภคในยุค PDPA ยังอาจต้องเจอกรณีผู้ให้บริการบางรายอาจเขียนว่า “ให้ความยินยอมสำหรับทุกกิจกรรม” ซึ่งเป็นการขอ Consent แบบครอบจักรวาล ซึ่งไม่ชอบด้วยกฎหมาย เพราะผู้ใช้งาน (ในฐานะเจ้าของข้อมูลส่วนบุคคล) ต้องมีอิสระในการให้ความยินยอม
สำหรับผู้ประกอบการแล้ว หากความยินยอมที่ได้มานั้นไม่ชอบด้วยกฎหมาย (Invalid Consent) จะมีโทษทั้งทางแพ่ง อาญา และปกครอง ส่วนในมุมผู้บริโภค ต้องคำนึงว่ากฎหมาย PDPA ออกมาเพื่อคุ้มครองผู้บริโภค ผู้บริโภคมีสิทธิที่จะให้หรือไม่ให้ความยินยอมนั้นก็ได้ เพราะการไม่ให้ความยินยอมนั้น จะไม่กระทบต่อการได้รับบริการจากผู้ให้บริการ และผู้บริโภคสามารถเลือกได้ว่าจะให้ความยินยอมในเรื่องไหน
รู้เท่าทันสิทธินักเรียนรับเปิดเทอม
สำหรับผู้ปกครองที่เพิ่งจะส่งลูกเข้าเรียนในวันแรกของการรับสมัครนักเรียนใหม่ หรือวันปฐมนิเทศ โรงเรียนอาจมีแจ้ง “นโยบายความเป็นส่วนตัว” หรือ “หนังสือแจ้งการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล” (แล้วแต่ชื่อจะเรียก)
โดยหลักการใช้ข้อมูลส่วนบุคคลของนักเรียน นักศึกษาโดยสถาบันเพื่อการศึกษา การเรียนการสอน หรือเพื่อการปฏิบัติตามกฎหมาย โรงเรียนสามารถอ้างฐานทางกฎหมายภายใต้ PDPA ได้โดยไม่ต้องขอความยินยอม แต่อาจมีกิจกรรมอื่นที่โรงเรียนจะนำข้อมูลส่วนบุคคลของนักเรียนไปใช้ ที่ไม่เกี่ยวข้องกับการเรียนการสอน เช่น การติดภาพนักเรียนที่ชนะเลิศการแข่งขันหรือสอบติดสถาบันที่มีชื่อเสียงไว้หน้าโรงเรียน เนื่องจากภาพถ่ายนักเรียนเป็นข้อมูลส่วนบุคคล แม้จะเป็นการประกาศเกียรติคุณก็ตาม โรงเรียนก็จำเป็นต้องขอความยินยอม
หรือการใช้ระบบตรวจจับใบหน้านักเรียน เพื่อเช็กว่ามาเรียนแล้ว การใช้ระบบตรวจจับใบหน้า หรือ Face Recognition ถือเป็นการใช้ข้อมูลส่วนบุคคลที่มีความอ่อนไหว จึงต้องขอความยินยอมก่อน และการขอความยินยอมต้องไม่เป็นเงื่อนไขในการอนุญาตหรือไม่อนุญาตเข้าเรียนเด็ดขาด
และอีกประเด็นที่ต้องระมัดระวังคือ บางโรงเรียนอาจติดกล้องวงจรปิดภายในห้องเรียน และผู้ปกครองทุกคนในห้อง สามารถเปิดดูบุตรของตัวเองได้ตลอดเวลา โรงเรียนอาจอ้างเรื่องของความปลอดภัยของนักเรียนและครูในการติดกล้องวงจรปิดโดยไม่ต้องขอความยินยอม แต่ผู้ปกครองต้องใช้เพื่อประโยชน์ส่วนตนเท่านั้น และต้องระมัดระวังการใช้หรือเปิดเผยภาพหรือวิดีโอนั้นในโซเชียลมีเดีย หากไม่ได้รับความยินยอมจากผู้ปกครองรายอื่น จะเป็นการฝ่าฝืนมาตรา 24 และ 27 ซึ่งจะมีโทษทางปกครองปรับสูงสุดไม่เกิน 3 ล้านบาท (มาตรา 83) และหากการใช้หรือเปิดเผยข้อมูลนั้นทำให้เจ้าของข้อมูลส่วนบุคคลเสียหาย ผู้ปกครองก็อาจโดนฟ้องแพ่งให้ชดใช้ค่าเสียหายได้อีกด้วย (มาตรา 77)
ทีมเศรษฐกิจ