ทิศทางการมีผลบังคับใช้ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
โดย จิตต์ประไพ น้อยนวล
นักศึกษาชั้นปีที่ 4 โครงการนิติศาสตร์ภาคบัณฑิต คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์
บทความนี้เป็นส่วนหนึ่งของการฝึกการให้ความช่วยเหลือทางกฎหมายแก่ประชาชนภายใต้การกำกับดูแลของศูนย์นิติศาสตร์
ซึ่งเป็นส่วนหนึ่งของรายวิชา น.472 การให้บริการทางกฎหมายเพื่อสังคม
การพัฒนาอย่างก้าวกระโดดของระบบเครือข่ายเทคโนโลยีสารสนเทศในปัจจุบัน สร้างความเปลี่ยนแปลงเป็นอย่างมากต่อวิถีชีวิตของปัจเจกชนในทุก ๆ ด้าน สำหรับมิติทางสังคม วิวัฒนาการของระบบเทคโนโลยีสารสนเทศสร้างความเปลี่ยนแปลงต่อรูปแบบของกฎเกณฑ์ทางสังคมหลายประการ เช่น อาชญากรรมคอมพิวเตอร์ ที่ประสงค์ต่อการได้มาซึ่งข้อมูลส่วนบุคคลในระบบ ในทางนิติศาสตร์ เมื่อบทบัญญัติแห่งกฎหมายเดิมที่มีอยู่ไม่อาจครอบคลุมการกระทำอันเกี่ยวเนื่องกับระบบเทคโนโลยีสารสนเทศในปัจจุบันที่มีความหลากหลายและซับซ้อนได้ ทำให้สิทธิและเสรีภาพของประชาชนถูกล่วงละเมิด ทั้งจากภาครัฐและภาคเอกชน และเป็นการยากยิ่งขึ้นที่จะแสวงหาพยานหลักฐานมาเพื่อจับกุมผู้กระทำผิด จึงนำมาซึ่งการตรากฎหมายใหม่ขึ้นมาเพื่อให้สอดรับกับวิวัฒนาการดังกล่าว เช่น พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ร.บ. ข้อมูลข่าวสารของราชการ และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เป็นต้น
หนึ่งในผลผลิตของการพัฒนาเพื่อยกร่างบทบัญญัติเพื่อเป็นการคุ้มครองและรับรองซึ่งสิทธิในข้อมูลส่วนบุคคลของประชาชน คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งจะมีผลบังคับใช้อย่างเป็นทางการในวันที่ 1 มิถุนายน พ.ศ. 2565[1] เป็นกฎหมายที่ถูกพัฒนามาจากกรอบแนวคิดในระดับสากลที่ว่าข้อมูลส่วนบุคคลเป็นหนึ่งในสิทธิความเป็นส่วนตัวเกี่ยวกับข้อมูลข่าวสารหรือข้อมูลส่วนบุคคลที่มนุษย์ทุกคนพึงได้รับการคุ้มครอง[2] ดังปรากฏหลักการในปฏิญญาสากลว่าด้วยสิทธิมนุษยชน (UDHR) ในบริบทของกฎหมายไทยนั้น ได้มีการบัญญัติหลักการเช่นว่านี้ให้ปรากฏเด่นชัดเป็นรูปธรรมเป็นครั้งแรกใน มาตรา 34 รัฐธรรมนูญ แห่ง ราชอาณาจักรไทย พ.ศ. 2540 ที่วางหลักว่า สิทธิของบุคคลในความเป็นอยู่ส่วนตัวย่อมได้รับการคุ้มครอง[3] พร้อมกับการเกิดขึ้นของ พ.ร.บ. ข้อมูลข่าวสารของราชการ พ.ศ. 2540 อันมีสาระสำคัญ คือ การกำหนดกฎเกณฑ์ที่หน่วยงานของรัฐต้องพึงปฏิบัติในการจัดระบบข้อมูลส่วนบุคคล เช่น การจัดให้มีระบบรักษาความปลอดภัยให้แก่ระบบข้อมูลส่วนบุคคล เพื่อป้องกันการนำไปใช้ในทางที่ไม่เหมาะสม
อย่างไรก็ตาม กฎหมายดังกล่าวมีข้อจำกัดที่สำคัญ คือ ครอบคลุมเพียงบริบทของข้อมูลส่วนบุคคล ที่หน่วยงานของรัฐเป็นผู้รับผิดชอบ ทำให้เกิดช่องว่างของกฎหมาย เนื่องจากข้อมูลส่วนบุคคลที่อยู่ในความรับผิดชอบของหน่วยงานเอกชนจะไม่ตกอยู่ภายใต้บังคับของ พ.ร.บ. ดังกล่าว นำมาสู่ความพยายามในการยกร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ขึ้น โดยมุ่งหวังให้เป็นกฎหมายกลางในการกำกับดูแลการจัดระบบข้อมูล ส่วนบุคคลที่ครอบคลุมไปถึงภาคเอกชน เพื่อให้การบังคับใช้กฎหมายเป็นไปตามเจตนารมณ์ในการคุ้มครองและรับรองสิทธิของประชาชนได้อย่างสมบูรณ์
การประกาศใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ฯ ลงในราชกิจจานุเบกษา เมื่อปี พ.ศ. 2562 ได้สร้างแรงตื่นตัวให้ภาคเอกชนในหลายประการ อันเป็นแรงผลักดันให้เกิดความตระหนักรู้ในองค์กรอันนำไปสู่การเปลี่ยนแปลงแนวทางปฏิบัติ เช่น กระบวนการขอความยินยอมโดยชัดแจ้ง หากภาคเอกชนต้องการเก็บข้อมูลส่วนบุคคลของประชาชน โดยมุ่งหวังประโยชน์ในการคุ้มครองข้อมูลส่วนบุคคลให้สอดรับกับ พ.ร.บ. ที่จะมีผลบังคับใช้ให้มากที่สุด สามารถสรุปสาระสำคัญของ พ.ร.บ. คุ้มครองส่วนบุคคล ฯ พอสังเขปได้ ดังนี้
ประการที่หนึ่ง การเก็บ รวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องเป็นไปโดยชอบด้วยกฎหมาย เช่น การแจ้งวัตถุประสงค์ และขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล และให้เก็บ รวบรวม ข้อมูลเฉพาะเท่าที่จำเป็น เป็นต้น
ประการที่สอง ผู้เก็บรวบรวมข้อมูลต้องรักษาความมั่นคงปลอดภัยของข้อมูล ไม่ให้มีการเปลี่ยนแปลงแก้ไข หรือถูกเข้าถึงได้โดยผู้ที่ไม่เกี่ยวข้อง
ประการที่สาม การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
ประการที่สี่ บทกำหนดโทษ ประกอบด้วย ความรับผิดทางแพ่ง โทษทางอาญา และโทษทางปกครอง
อย่างไรก็ตาม เส้นทางการบังคับใช้ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ฯ ก็ประสบปัญหาหลายประการ กล่าวคือ ในช่วงแรก กระบวนการร่างกฎหมายเป็นไปได้ช้าเนื่องจากความสนใจของภาคสังคมต่อการคุ้มครองข้อมูลส่วนบุคคลยังมีน้อย จนถึงช่วงปี พ.ศ. 2561 (ค.ศ. 2018) มีการบังคับใช้ General Data Protection Regulations หรือ GDPR ของสหภาพยุโรป ซึ่งเป็นมาตรฐานกลางอันเป็นรูปธรรม และมีผลกระทบต่อการส่งต่อข้อมูลส่วนบุคคลข้ามประเทศในเศรษฐกิจการค้าระหว่างประเทศ จึงนำมาซึ่งการตื่นตัวในการพัฒนาและประกาศใช้ พ.ร.บ. คุ้มครองส่วนบุคคล ฯ ในเวลาต่อมา โดยพระราชบัญญัติดังกล่าว กำหนดช่วงระยะเวลาเปลี่ยนผ่าน 1 ปี (ให้มีผลบังคับใช้จริง พ.ศ. 2563) เพื่อให้ภาคเอกชนสามารถดำเนินการเพื่อรองรับการมีผลบังคับใช้ได้ แต่เมื่อทั่วไปโลกต้องประสบปัญหากับวิกฤติการระบาดของโรค COVID-19 ทำให้ธุรกิจหลาย ๆ ด้าน ประสบปัญหาทั้งด้านแรงงาน และเงินทุน ทำให้การเปลี่ยนผ่านดังกล่าว ไม่สามารถบรรลุเป้าหมายได้ เช่น ธุรกิจโรงพยาบาลที่ต้องรับภาระในการดูแลผู้ป่วยในช่วงโรคระบาดดังกล่าว
นอกจากประเด็นข้างต้นแล้ว การมีผลบังคับใช้ของ พ.ร.บ. ดังกล่าว ยังประสบปัญหาเกี่ยวกับการแต่งตั้ง คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล อันเป็นองคาพยพที่สำคัญในการขับเคลื่อนกฎหมาย เนื่องจากตามโครงสร้างของ พ.ร.บ. แล้ว การบังคับใช้กฎหมายย่อมไม่สามารถดำเนินไปได้ หากปราศจากการจัดตั้งขึ้นของคณะกรรมการ ฯ ดังกล่าว อย่างไรก็ตาม ณ ปัจจุบัน (มีนาคม พ.ศ. 2565) ได้มีการจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นที่เรียบร้อยแล้ว[4] และหวังเป็นอย่างยิ่งว่า การบังคับใช้พระราชบัญญัติดังกล่าว จะเป็นไปตามกำหนดการที่วางไว้ คือ 1 มิถุนายน พ.ศ. 2565 ซึ่งมีข้อพิจารณาในบางประการ สำหรับภาคธุรกิจที่อาจต้องปฏิบัติตามกฎหมายดังกล่าว ดังต่อไปนี้
ผลกระทบต่อธุรกิจประกันภัย เนื่องจากธุรกิจประกันภัยเป็นภาคเอกชนที่มีฐานข้อมูลส่วนบุคคลปริมาณมาก และเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว กล่าวคือ ผู้ประกอบธุรกิจประกันภัยต้องเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้เอาประกันภัย เช่น ประวัติโรคประจำตัว การรักษาพยาบาล จึงเป็นภาคเอกชนที่ได้รับผลกระทบจากการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ฯ โดยตรง อย่างไรก็ตาม บทบัญญัติตามกฎหมายดังกล่าว ยังขาดความชัดเจนในการตีความและการบังคับใช้ อันเป็นการสร้างอุปสรรคให้กับผู้ประกอบธุรกิจ ดังปรากฏในมาตรา 35 แห่ง พ.ร.บ. คุ้มครองส่วนบุคคล ฯ[5] ที่วางหลักว่า ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน และมาตรา 36[6] ที่วางหลักว่า หากเจ้าของข้อมูลส่วนบุคคลได้ร้องขอให้ดำเนินการตามมาตรา 35 และผู้ควบคุม ฯ ไม่ดำเนินการที่ร้องขอ ให้บันทึกคำร้องขอพร้อมเหตุผลไว้ หากตีความบทบัญญัติดังกล่าว[7] สามารถสรุปได้ว่า เป็นการกำหนดหน้าที่ให้กับผู้ควบคุมข้อมูลส่วนบุคคล อันเป็นการสร้างภาระให้กับผู้ควบคุมข้อมูล ฯ ในธุรกิจประกันภัย ที่มีข้อมูลส่วนบุคคลในปริมาณมาก การร่างบทบัญญัติดังกล่าว ควรแสดงให้เห็นถึงการคุ้มครองและรับรองสิทธิให้กับเจ้าของข้อมูลส่วนบุคคลที่จะร้องขอให้กับผู้ควบคุมข้อมูล ฯ ในการเปลี่ยนแปลง แก้ไข ข้อมูลส่วนบุคคลของตนมากกว่าการกำหนดหน้าที่ให้กับ ผู้ประกอบธุรกิจ และไม่สอดคล้องกับ GDPR Article 16[8] ที่วางหลักว่า The data subject shall have the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her. ดังนั้น การตีความและบังคับใช้มาตรา 35 ย่อมมีผลกระทบต่อธุรกิจประกันภัยที่ประกอบด้วยข้อมูลส่วนบุคคลในปริมาณมาก และเก็บเป็นระยะเวลายาวนาน
ผลกระทบต่อธุรกิจสถานพยาบาล ปัญหาการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ฯ ในธุรกิจสถานพยาบาลยังมีความไม่สอดคล้องกับบทบัญญัติอันเป็นกฎหมายเฉพาะอื่น ๆ เช่น ตอนท้าย ของ มาตรา 7 แห่งพ.ร.บ. สุขภาพแห่งชาติ พ.ศ. 2550[9] ที่วางหลักว่า ผู้ใดจะอาศัยอำนาจหรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของทางราชการหรือกฎหมายอื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้ ซึ่งสามารถพิจารณาได้ว่า จากตอนท้ายของมาตรา 7 ถ้อยคำตามบทบัญญัติไม่เปิดช่องใช้ผู้อื่นขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนในทุกกรณี ซึ่งไม่สอดคล้องกับหลักการตาม พ.ร.บ. คุ้มครองส่วนบุคคล ฯ ที่ยังมีบทบัญญัติที่เปิดช่องให้สามารถเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ หากเป็นไปโดยชอบด้วยกฎหมาย ในทรรศนะของผู้เขียน เห็นด้วยกับประเด็นความลักลั่นของบทบัญญัติทั้งสองประการที่ได้กล่าวไป โดยมีข้อเสนอแนะ ดังนี้
ประการที่หนึ่ง บทบัญญัติมาตรา 35 ที่ได้วางหลักไว้ข้างต้น ไม่สอดคล้องกับมาตรฐานสากล คือ GDPR Article 16 ซึ่งเป็นแม่บทในการยกร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ฯ ที่มุ่งคุ้มครองสิทธิของเจ้าของข้อมูลในการแก้ไขข้อมูลส่วนบุคคล (Right to ratification) ดังนั้น อาจพิจารณาปรับบทบัญญัติในมาตรา 35 กล่าวคือ “ให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน เมื่อเจ้าของข้อมูลส่วนบุคคลร้องขอ” เป็นต้น
ประการที่สอง หลักกฎหมายเรื่องความชอบธรรมในการเปิดเผยข้อมูลส่วนบุคคลใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ฯ ยังไม่สอดรับกับกฎหมายเฉพาะอื่น ๆ อันเป็นหน้าที่ของคณะกรรมการคุ้มครองข้อมูล ส่วนบุคคลที่ต้องสร้างแนวบรรทัดฐานในการตีความและปรับใช้หลักกฎหมายดังกล่าวให้เป็นรูปธรรมยิ่งขึ้น
ดังนั้น จากที่ได้กล่าวมาในข้างต้นจึงสามารถสรุปได้ว่า ในปี พ.ศ. 2565 การมีผลบังคับใช้ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีแนวโน้ม ทิศทาง การดำเนินการที่ดีกว่าเดิม จากการเกิดขึ้นของ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และการตื่นตัวอย่างต่อเนื่องของภาคธุรกิจ รวมถึง สถานการณ์การดำเนินไปของโรคระบาด COVID-19 ที่มีผลกระทบต่อการดำเนินไปของภาคธุรกิจที่น้อยลง ล้วนเป็นสัญญาณที่ดีว่า พ.ร.บ. ดังกล่าว น่าจะสามารถมีผลบังคับใช้ได้ตามกำหนด หลังจากที่ผ่านเหตุการณ์เลื่อนการบังคับใช้มาหลายครั้ง อย่างไรก็ตาม แนวทางปฏิบัติและการตีความบทบัญญัติในบางประการ อาจยังมีประเด็นที่ต้องพิจารณาเพิ่มเติม เนื่องจาก ยังขาดความสอดคล้องกับกฎหมายอื่น ๆ ในบางประการ ดังที่ได้กล่าวไปข้างต้น อาจกล่าวได้ว่า พ.ร.บ. ฉบับนี้ อาจยังต้องมีวิวัฒนาการอีกในภายหน้า เพื่อให้สอดรับกับบริบทการบังคับใช้ในประเทศไทย และสามารถคุ้มครองและรับรองซึ่งสิทธิของประชาชนได้ตรงตามเจตนารมณ์มากที่สุด
[1] พระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ (ฉบับที่ ๒) พ.ศ. ๒๕๖๔
[2] ปิย์ญาพร กิวสันเที๊ยะ, ‘ปัญหาการกำหนดสถานะทางกฎหมายของข้อมูลส่วนบุคคลที่มีผลกระทบต่อการคุ้มครองข้อมูลส่วนบุคคล’ (การค้นคว้าอิสระ นิติศาสตรมหาบัณฑิต มหาวิทยาลัยธรรมศาสตร์ 2563) 13-14.
[3] รัฐธรรมนูญแห่งราชอาณาจักรไทย 2540 มาตรา 34.
[4] ประกาศสำนักนายกรัฐมนตรี เรื่องแต่งตั้งประธานกรรมการและกรรมการผู้ทรงคุณวุฒิในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2565
[5] พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 35.
[6] พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ฯ มาตรา 36.
[7] บรรเจิด ภาคาพันธุ์, ‘ปัญหากฎหมายการคุ้มครองข้อมูลส่วนบุคคลในธุรกิจประกันชีวิต’ (วิทยานิพนธ์ นิติศาสตรมหาบัณฑิต มหาวิทยาลัยธรรมศาสตร์ 2562) 119-120.
[8] General Data Protection Act (GDPR) Art.16
[9] พระราชบัญญัติสุขภาพแห่งชาติ พ.ศ. 2550 มาตรา 7.
