กฎหมายคุ้มครองข้อมูลส่วนบุคคล ใช้ตามกำหนด 28 พ.ค. ยกเว้นให้หน่วยงานรัฐและกิจการ 22 ประเภท

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) ประกาศใช้เมื่อวันที่ 24 พฤษภาคม 2562 แต่ได้กำหนดให้หมวดที่สำคัญซึ่งเกี่ยวกับเนื้อหาการคุ้มครองข้อมูลส่วนบุคคลและการกำหนดโทษกรณีที่มีการละเมิดกฎหมายให้มีผลบังคับใช้ใน ‘ปีถัดไป’ นับแต่ประกาศ กล่าวคือ กฎหมายทั้งฉบับจะมีผลใช้บังคับอย่างเต็มรูปแบบในวันที่ 28 พฤษภาคม 2563 โดยการกำหนดให้ใช้บังคับช้าออกไปก็เพื่อให้องค์กรทั้งรัฐและเอกชนที่จัดเก็บ ใช้ รวบรวมข้อมูลเป็นจำนวนมากมีเวลาเตรียมตัวเป็นเวลาหนึ่งปีเต็ม

13 พฤษภาคม 2563 ก่อนถึงกำหนดบังคับใช้สองสัปดาห์ รัชดา ธนาดิเรก รองโฆษกประจำสำนักนายกรัฐมนตรี เปิดเผยว่า คณะรัฐมนตรีรับทราบถึงความจำเป็นที่จะออกพระราชกฤษฎีกาขยายเวลาการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในส่วนการคุ้มครองข้อมูลส่วนบุคคล ออกไปอีก 1 ปี ตามที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเสนอเพื่อบรรเทาผลกระทบที่อาจเกิดขึ้นกับหน่วยงานภาครัฐ เอกชน รวมถึงประชาชน เนื่องจากหากมีการบังคับใช้ตามกำหนดเวลาเดิมในขณะที่ทุกภาคส่วนยังไม่พร้อม 

หลังจากมีกระแสข่าวนี้ออกมาก็มีเสียงคัดค้านจากประชาชนที่ต่างนับวันรอให้สิทธิในข้อมูลได้รับการคุ้มครองอย่างเป็นรูปธรรม และยังมีปัญหาทางกฎหมายด้วยว่า คณะรัฐมนตรีมีอำนาจตามกฎหมายที่จะขยายเวลาการบังคับใช้ออกไปอีกโดยจัดทำเป็นพระราชกฤษฎีกาได้หรือไม่ เพราะพระราชกฤษฎีกาเป็นกฎหมายลำดับรองที่ไม่น่ามีผลเปลี่ยนแปลงกฎหมายระดับพระราชบัญญัติได้

อย่างไรก็ดี ในวันที่ 21 พฤษภาคม 2563 ได้มีการประกาศพระราชกฤษฎีกา ไม่ใช่การเลื่อนการใช้บังคับแต่เป็นการกำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2563 โดยกำหนดให้หน่วยงานภาครัฐและองค์กรธุรกิจรวม 22 กิจการไม่ต้องอยู่ภายใต้บังคับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ตั้งแต่วันที่ 27 พฤษภาคม 2563 ถึง 31 พฤษภาคม 2564 โดยมีกิจการดังต่อไปนี้

1. หน่วยงานของรัฐ
2. หน่วยงานของรัฐต่างประเทศและองค์การระหว่างประเทศ
3. มูลนิธิ สมาคม องค์กรศาสนา และองค์กรไม่แสวงหากำไร
4. กิจการด้านเกษตรกรรม
5. กิจการด้านอุตสาหกรรม
6. กิจการด้านพาณิชยกรรม
7. กิจการด้านการแพทย์และสาธารณสุข
8. กิจการด้านพลังงาน ไอน้ำ น้ำ และการกำจัดของเสีย รวมทั้งกิจการที่เกี่ยวข้อง
9. กิจการด้านการก่อสร้าง
10. กิจการด้านการซ่อมและการบำรุงรักษา
11. กิจการด้านการคมนาคม ขนส่ง และการเก็บสินค้า
12. กิจการด้านการท่องเที่ยว
13. กิจการด้านการสื่อสาร โทรคมนาคม คอมพิวเตอร์ และดิจิทัล
14. กิจการด้านการเงิน การธนาคาร และการประกันภัย
15. กิจการด้านอสังหาริมทรัพย์
16. กิจการด้านการประกอบวิชาชีพ
17. กิจการด้านการบริหารและบริการสนับสนุน
18. กิจการด้านวิทยาศาสตร์และเทคโนโลยี วิชาการ สังคมสงเคราะห์ และศิลปะ
19. กิจการด้านการศึกษา
20. กิจการด้านความบันเทิงและนันทนาการ
21. กิจการด้านการรักษาความปลอดภัย
22. กิจการในครัวเรือนและวิสาหกิจชุมชน ซึ่งไม่สามารถจำแนกกิจกรรมได้อย่างชัดเจน

 

ในวันที่ 27 พฤษภาคม 2563 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลจะมีผลบังคับใช้ตามกำหนด แต่จะใช้เฉพาะกับบุคคลหรือกิจการนอกเหนือจากที่กำหนดไว้ 22 ประเภทนี้ และไม่ใช้กับกลุ่มกิจการที่ได้รับการยกเว้นตามมาตรา 4 อีก เช่น บริษัทข้อมูลเครดิต กิจการสื่อมวลชน ฯลฯ หลักการสำคัญที่จะใช้บังคับ คือ การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลของผู้อื่นจะทำได้ก็ต่อเมื่อเจ้าของข้อมูลได้ให้ความยินยอมโดยชัดแจ้งไว้เป็นหนังสือลายลักษณ์อักษร ทำผ่านระบบอิเล็กทรอนิกส์ เช่น ทำระบบกดให้ความยินยอมหรือไม่ให้ความยินยอม หรือหากไม่สามารถใช้สองวิธีข้างต้นได้ก็สามารถใช้วิธีอื่นได้ เช่น การขอความยินยอมปากเปล่าเพื่ออัดเสียงการสนทนาทางโทรศัพท์ ในการขอความยินยอมต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลให้เจ้าของข้อมูลทราบด้วย

ผลจากพระราชกฤษฎีกาดังกล่าว ทำให้ 22 กิจการไม่ต้องอยู่ภายใต้ของกฎหมายเป็นเวลาอีกอย่างน้อยหนึ่งปี การจัดเก็บข้อมูลส่วนบุคคล (Personal Data) เช่น เลขบัตรประจำตัวประชาชน ที่อยู่ และข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เช่น ความคิดเห็นทางการเมือง เชื้อชาติ ศาสนา ข้อมูลด้านสุขภาพ ในระยะเวลาหนึ่งปีนี้อาจยังไม่ต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลตามมาตรฐานของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลหรือไม่ต้องจัดเก็บโดยอาศัยฐานทางกฎหมาย (Lawful Basis) และ 22 กิจการยังไม่ต้องปฏิบัติตามคำขอของเจ้าของข้อมูล ไม่ว่าจะเป็นการคัดค้านการเก็บรวบรวมข้อมูล การขอให้ลบหรือทำลายข้อมูล การขอให้ระงับการใช้ข้อมูลส่วนบุคคล

ในระหว่างหนึ่งปีนี้ หาก 22 กิจการ ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยไม่มีเหตุที่ชอบด้วยกฎหมาย หรือนอกไปจากวัตถุประสงค์ที่ได้แจ้งไว้ หรือโอนข้อมูลอ่อนไหวไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ก็ยังไม่ต้องรับผิดทางอาญาตามที่กฎหมายได้กำหนดไว้

และยังไม่ต้องรับผิดในโทษปรับทางปกครอง ในกรณีต่อไปนี้

• เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมายหรือผิดไปจากวัตถุประสงค์การใช้ข้อมูลที่ได้แจ้งแก่เจ้าของข้อมูลไว้
• เก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรงที่ต้องห้ามตามกฎหมาย
• ไม่แจ้งเจ้าของข้อมูลทั้งในกรณีเก็บข้อมูลจากเจ้าของข้อมูลโดยตรงหรือโดยอ้อม
  ฯลฯ

ช่วงระยะเวลาที่กฎหมายได้กำหนด ‘ข้อยกเว้น’ ให้ 22 กิจการไม่ต้องอยู่ภายใต้บังคับของกฎหมาย หากมีการใช้หรือเปิดเผยข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่มีความอ่อนไหว จนก่อให้เกิดความเสียหายแก่ตัวเจ้าของข้อมูล เจ้าของข้อมูลสามารถใช้สิทธิในทางแพ่งฟ้องละเมิดเพื่อเรียกค่าเสียหายได้ ทั้งนี้ ภาระในการพิสูจน์ถึงความเสียหายอาจตกอยู่ที่ตัวเจ้าของข้อมูลเอง และความรับผิดของ 22 กิจการดังกล่าวมีเพียงการชดใช้ค่าสินไหมทดแทนความเสียหายที่เกิดขึ้นตามที่พิสูจน์ได้จริงเท่านั้น ไม่ต้องรับผิดในทางอาญาหรือโทษปรับทางปกครองแม้ว่าความเสียหายที่เกิดขึ้นนั้นจะมีสาเหตุมาจาก 22 กิจการดังกล่าวก็ตาม