JRIT ICHI

เมื่อใกล้เวลาของการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ในวันที่ 1 มิถุนายน พ.ศ.2565 นี้ หลายฝ่ายต่างเร่งศึกษาทำความเข้าใจ หรือทบทวนสิ่งที่องค์กรดำเนินการมานั้นถูกต้องสอดรับกับข้อกำหนดแห่งกฎหมายหรือไม่ และหลายองค์กรยังคงมีความกังวลในบางประเด็น

บทความนี้เขียนจากการสัมภาษณ์ นายเธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล ที่มุ่งถ่ายทอดจุดเน้น เจตนารมณ์ ตลอดจนหลักคิดของกฎหมาย เพื่อสร้างความเข้าใจ และคลายความกังวลให้แก่องค์กรธุรกิจ โดยคาดหวังว่า หลังจากกฎหมายบังคับใช้จะสร้างสมดุลด้านการใช้ข้อมูลส่วนบุคคลในสังคมไทย หากทุกฝ่ายเกิดความตระหนักและเข้าใจตรงกัน นั่นคือ ประสบความสำเร็จในระดับหนึ่ง

ความสำคัญของ PDPA

การบริหารจัดการองค์กรในปัจจุบันมีการนำเทคโนโลยีสารสนเทศมาใช้เพื่อเพิ่มประสิทธิภาพในการบริหารจัดการองค์กรในภาพรวม  ทั้งในด้านการเก็บรวบรวม  เก็บรักษา ประมวลผล และวิเคราะห์ข้อมูล รวมถึงการใช้และเปิดเผยข้อมูล หากแต่หลายองค์กรมิได้ตระหนักหรือให้ความสำคัญกับการเก็บรักษาความลับของข้อมูลที่เกี่ยวกับลูกค้าหรือผู้ใช้บริการ และบางครั้งการขาดความตระหนักดังกล่าวก็ได้ก่อให้เกิดความเสียหายแก่สิทธิความเป็นอยู่ส่วนตัวของเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลนั้น

สำหรับองค์กรธุรกิจขนาดใหญ่หรือองค์กรธุรกิจที่มีการติดต่อทำการค้ากับองค์กรธุรกิจในต่างประเทศอาจต้องมีการส่งต่อข้อมูลหรือโอนข้อมูลที่เกี่ยวกับลูกค้าหรือผู้ใช้บริการระหว่างกัน ก็ต้องเผชิญกับอุปสรรคสำคัญเนื่องจากในหลายประเทศมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลบังคับใช้แล้ว ทำให้องค์กรหรือผู้ประกอบการในต่างประเทศ ตระหนักถึงการส่งต่อข้อมูลเกี่ยวกับลูกค้ามายังประเทศไทยว่าจะได้รับการคุ้มครองมิให้ผู้อื่นล่วงรู้หรือนำไปใช้โดยมิชอบหรือผิดจากวัตถุประสงค์ของข้อตกลงทางการค้าหรือไม่

จากสภาพการณ์ที่เป็นปัญหาและเป็นอุปสรรคดังกล่าวจึงนำมาสู่การตรากฎหมายคุ้มครองข้อมูลส่วนบุคคลขึ้นในประเทศไทย คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ซึ่งย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) ซึ่งจะมีผลใช้บังคับอย่างสมบูรณ์ในวันที่ 1 มิถุนายน พ.ศ.2565

ความต่างระหว่าง GDPR กับ PDPA 

กล่าวได้ว่า PDPA มีส่วนสำคัญในการช่วยลดปัญหาอุปสรรคด้านการค้าระหว่างประเทศที่เกี่ยวข้องกับข้อมูลส่วนบุคคลดังที่กล่าวมาแล้ว โดย PDPA ของประเทศไทยมีแนวทางที่สอดคล้องใกล้เคียงกับ GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

นายเธียรชัย กล่าวว่า GDPR และ PDPA มีจุดเน้นที่ต่างกัน โดย GDPR มุ่งเน้นที่ Data Processing หรือการประมวลผลข้อมูลเป็นหลัก ในขณะที่ PDPA เน้นการเก็บรวบรวม  การเก็บรักษา  การใช้และการเปิดเผยข้อมูล อย่างไรก็ตามใน  PDPA  ก็มีบทบัญญัติที่กล่าวถึงการประมวลผลข้อมูลอยู่ในหลายมาตรา  ดังนั้น  จึงอาจจะกล่าวได้ว่าข้อแตกต่างในจุดเน้นที่แตกต่างกันของกฎหมายทั้งสองฉบับ  ไม่ได้มีนัยที่สะท้อนถึงความแตกต่างในแง่ของการบังคับใช้กฎหมายแต่อย่างใด

แนะองค์กรธุรกิจควรที่จะต้องตระหนักถึงความสำคัญของข้อมูลส่วนบุคคล  

ปัจจุบันหลายองค์กรมีความกังวลเกี่ยวกับการปฏิบัติตามกฎหมาย ซึ่งหากไม่สามารถดำเนินการให้สอดคล้องและถูกต้องตามบทบัญญัติของกฎหมายแล้วนั้นจะถูกลงโทษ โดยต้องชำระค่าปรับในวงเงินที่ค่อนข้างสูง ประเด็นนี้  นายเธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้ให้คำแนะนำเกี่ยวกับการประกอบธุรกิจที่เป็นการสอดคล้องกับแนวทางที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดว่า “ในทางปฏิบัติแม้ว่าจะมีกฎหมายใช้บังคับ ผมคิดว่าองค์กรธุรกิจหรือผู้ประกอบการก็ยังสามารถดำเนินหรือทำธุรกิจไปได้ตามปกติ เหมือนที่เคยถือปฏิบัติ เพียงแต่ต้องตระหนักในเรื่องความสำคัญของข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้บริการให้มากขึ้น ต้องระมัดระวังว่าการเก็บรวบรวม การเก็บรักษา การใช้หรือเปิดเผยข้อมูลต้องดำเนินการตามที่กฎหมายกำหนด ซึ่งถ้าหากสามารถทำได้ ก็ไม่ต้องกังวลว่าตนเองจะถูกลงโทษหรือถูกลงโทษปรับ”

เจาะลึก “จุดเน้น-เจตนารมณ์” PDPA 

ชี้ให้องค์กรคลายความกังวล

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ประกอบด้วย 96 มาตรา มี 7 หมวด โดยมีหมวดที่เกี่ยวข้องกับองค์กรธุรกิจ ผู้ประกอบการและบุคคลผู้เป็นเจ้าของข้อมูล คือ หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล หมวด 3 สิทธิของเจ้าของข้อมูลส่วนบุคคล หมวด 5 การร้องเรียน หมวด 6 ความรับผิดทางแพ่ง และหมวด 7 บทกำหนดโทษ ซึ่งแบ่งออกเป็น 2 ส่วน คือ โทษทางอาญา และโทษทางปกครอง

สำหรับหมวด 2 การคุ้มครองข้อมูลส่วนบุคคล จุดเน้นคือ “การเก็บรวบรวม การใช้ หรือเปิดเผย” ซึ่งเริ่มตั้งแต่การเก็บรวบรวมข้อมูล หากมีการเก็บข้อมูลของผู้ใดจะต้องขอความยินยอมและแจ้งวัตถุประสงค์การเก็บรวบรวม ใช้ หรือเปิดเผยต่อเจ้าของข้อมูลส่วนบุคคลนั้น และจะเก็บข้อมูลได้เท่าที่จำเป็นเท่านั้น สำหรับความยินยอมของเจ้าของข้อมูลจะต้องเป็นการให้ความยินยอมก่อนหรือขณะจัดเก็บข้อมูล โดยที่เจ้าของข้อมูลเข้าใจในวัตถุประสงค์ของการจัดเก็บตามที่แจ้ง ในส่วนของ Sensitive Data หรือข้อมูลที่อ่อนไหวต่อความรู้สึกของบุคคล ซึ่งโดยปกติห้ามเก็บ แต่ก็จะมีข้อยกเว้นในบางกรณีตามกฎหมาย สำหรับขอความยินยอมในการจัดเก็บข้อมูลประเภท  Sensitive  Data จากเจ้าของข้อมูล จะต้องชัดเจนว่าเป็นการให้ความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล  (Explicit Consent) จึงจะสามารถจัดเก็บได้

ในส่วนของการใช้หรือเปิดเผย หลักคิดที่สำคัญคือ การใช้หรือการเปิดเผยนั้นจะต้องอยู่ภายใต้กรอบความยินยอมและวัตถุประสงค์ของการจัดเก็บ เว้นแต่เป็นการเปิดเผยภายใต้เงื่อนไขที่กฎหมายกำหนดไว้ เช่น เป็นการเปิดเผยข้อมูลต่อเจ้าหน้าที่ตามกฎหมายที่ให้อำนาจไว้

สำหรับการส่งผ่านข้อมูลไปต่างประเทศ PDPA ถือหลักว่าประเทศที่เราจะส่งข้อมูลไปนั้นจะต้องมีมาตรฐานการคุ้มครองส่วนบุคคลที่เพียงพอต่อการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล และภายใต้เงื่อนไขที่กฎหมายกำหนด เช่น เป็นการปฏิบัติตามกฎหมาย หรือได้รับความยินยอมจากเจ้าของข้อมูล หรือเป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา

ในส่วนของการร้องเรียนโดยเจ้าของข้อมูลตามหมวด 5 กฎหมายระบุให้คณะกรรมการแต่งตั้งคณะกรรมการผู้เชี่ยวชาญ เพื่อพิจารณาดำเนินการเกี่ยวกับเรื่องร้องเรียน ซึ่งมีแนวทางในการดำเนินการที่อาจจะแตกต่างกันไปแล้วแต่ความหนักเบาของแต่ละกรณี เช่น การตักเตือน ไกล่เกลี่ย หรือลงโทษปรับทางปกครอง ซึ่งเมื่อคณะกรรมการผู้เชี่ยวชาญรับเรื่องร้องเรียนและพบว่ามีมูล หากพิจารณาแล้วเป็นกรณีที่อาจไกล่เกลี่ยได้และคู่กรณีประสงค์จะไกล่เกลี่ยให้คณะกรรมการผู้เชี่ยวชาญดำเนินการไกล่เกลี่ย แต่หากไกล่เกลี่ยไม่สำเร็จ หรือไม่อาจไกล่เกลี่ยได้ คณะกรรมการผู้เชี่ยวชาญก็มีอำนาจในการออกคำสั่งเพื่อแก้ไขปัญหาต่อไป เช่น สั่งให้แก้ไข สั่งให้ระงับความเสียหาย ซึ่งหากอ่านขั้นตอนการดำเนินการของกรรมการผู้เชี่ยวชาญก็จะเห็นได้ว่าก่อนที่องค์กรธุรกิจหรือผู้ประกอบจะถูกลงปรับทางปกครองมีขั้นตอนหลายขั้นตอนที่องค์กรธุรกิจหรือผู้ประกอบการสามารถเลือกที่จะตัดสินใจเพื่อยุติปัญหาข้อพิพาทที่เกิดขึ้นได้

ในส่วนของความผิดและบทกำหนดโทษ ซึ่งเป็นเรื่องที่องค์กรธุรกิจหรือผู้ประกอบการกลัวหรือมีความกังวล นายเธียรชัยเห็นว่า กฎหมายไม่มีเจตนาที่จะลงโทษปรับขั้นสูงสุดทุกกรณี เพราะยังมีตัวแปรอื่นๆ ที่กรรมการผู้เชี่ยวชาญต้องนำมาพิจารณาประกอบด้วย เช่น ความร้ายแรงของผลกระทบที่เกิดขึ้น ขนาดขององค์กรและจำนวนของข้อมูล และโดยเฉพาะความเสียหายที่เกิดขึ้นกับเจ้าของข้อมูล เป็นต้น หากเป็นกรณีที่ไม่ร้ายแรงโทษปรับก็จะน้อยกว่าเรื่องที่มีความร้ายแรงและที่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลเป็นจำนวนมาก

ความผิดและบทกำหนดโทษตามกฎหมายฉบับนี้แบ่งออกเป็น 2 ส่วน คือ หมวด 6 ความรับผิดทางแพ่ง และหมวด 7 บทกำหนดโทษ

• สำหรับความรับผิดทางแพ่ง จะเกิดขึ้นได้เมื่อมีการฟ้องคดีต่อศาล ซึ่งหากมีความรับผิดและต้องมีการชดใช้ค่าสินไหมทดแทน ศาลจะเป็นผู้กำหนดค่าสินไหมทดแทน ส่วนค่าสินไหมทดแทนจะเป็นจำนวนเท่าไร ก็ขึ้นอยู่กับความเสียหายที่เจ้าของข้อมูลได้รับ ทั้งนี้ขึ้นอยู่กับดุลพินิจของศาลว่าสมควรจะกำหนดค่าสินไหมทดแทนเป็นจำนวนเท่าไร
• ในส่วนของบทกำหนดโทษ แบ่งออกเป็น 2 ส่วน คือ โทษอาญา และโทษทางปกครอง
  • โทษอาญา ซึ่งบทลงโทษมีทั้งปรับ  จำคุก  หรือจำคุกและปรับ หากพิจารณาให้ดีก็จะพบว่าบทลงโทษที่กำหนดก็เป็นการลงโทษต่อการกระทำความผิดที่ไม่ได้แตกต่างจากการทำความผิดตามกฎหมายอาญาที่ใช้บังคับอยู่ในปัจจุบัน นอกจากนี้ในส่วนของการกระทำความผิดโดยประการที่ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่นหรือได้รับความอับอาย ตามมาตรา  79 ซึ่งเป็นความที่มีลักษณะทำนองเดียวกับความผิดฐานหมิ่นประมาทตามกฎหมายอาญา ก็สามารถยอมความกันได้
  • สำหรับโทษทางปกครอง ซึ่งมีโทษปรับโดยไม่มีโทษจำคุก เป็นเรื่องที่องค์กรหรือผู้ประกอบการกังวลว่าจะต้องชำระค่าปรับในอัตราสูงสุด ตามกฎหมายมาตรา 90 ก็กำหนดให้เป็นดุลพินิจของคณะกรรมการผู้เชี่ยวชาญ ซึ่งอาจจะสั่งการให้องค์กรธุรกิจหรือผู้ประกอบการแก้ไขหรือตักเตือนก่อนก็ได้ ทั้งนี้ในการพิจารณาออกคำสั่งของโทษทางปกครองให้คณะกรรมการผู้เชี่ยวชาญคำนึงถึงความร้ายแรงแห่งพฤติกรรมที่กระทำ เพราะฉะนั้นความผิดที่มีโทษปรับสูงสุด 5 ล้านบาท จึงไม่ได้หมายความว่า เมื่อกระทำความผิดแล้วจะถูกปรับ 5 ล้านบาทในทันที คณะกรรมการผู้เชี่ยวชาญอาจมีคำสั่งไม่ปรับ แต่เป็นการตักเตือนหรือสั่งให้มีการแก้ไขความเสียหาย หรือหากจะมีการปรับก็อาจไม่ปรับเต็มจำนวนตามที่กฎหมายกำหนดก็ได้

เกี่ยวกับคำถามเรื่องใบรับรอง (Certificate) สำหรับองค์กรธุรกิจหรือผู้ประกอบการ นายเธียรชัย กล่าวว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ยังไม่ได้ระบุให้องค์กรธุรกิจหรือผู้ประกอบการจะต้องได้รับใบรับรอง (Certificate) ที่แสดงว่าองค์กรได้ผ่านการตรวจสอบด้านการปฏิบัติตามกฎหมาย สิ่งที่จะทำได้คือ การสุ่มตรวจซึ่งการที่จะเข้าไปสุ่มตรวจนั้นก็จะต้องมีเหตุอันควรให้ต้องเข้าไปตรวจ และการตรวจก็อาจจะเป็นการทำ Checklist เช่น ตรวจว่าในช่วง 1 ปีที่ผ่านมามีการใช้ข้อมูลส่วนบุคคลมากน้อยเพียงใด มีการอบรมพนักงานเพื่อให้ความรู้ในเรื่องข้อมูลส่วนบุคคลหรือไม่ มีการเก็บใช้ข้อมูลส่วนบุคคลอย่างไรใช้อย่างไร เป็นต้น ซึ่งกระบวนการตรวจสอบจะดำเนินการอย่างไรก็ยังเป็นประเด็นที่คณะกรรมการต้องคิดต่อไปหลังจากมีการบังคับใช้กฎหมายแล้วในระยะหนึ่ง

อย่างไรก็ตาม ขณะนี้กฎหมายลำดับรอง หลักเกณฑ์และกฎระเบียบต่างๆ ยังออกมาไม่ครบ จึงขอให้ภาคองค์กรธุรกิจหรือผู้ประกอบการติดตามต่อไปหลังจากกฎหมายมีผลบังคับใช้ 

#####