อ้างโควิด!??! เลื่อนใช้พ.ร.บ.ข้อมูลส่วนบุคคลฯ ไปอีกปี “ลอยตัว” ต่อเป็นปีที่สาม

 

แม้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะประกาศใช้มาตั้งแต่ปี 2562 แต่พอถึงกำหนดบังคับใช้ รัฐบาล คสช.2 ก็เลื่อนการบังคับใช้ออกไป เป็นครั้งที่สองแล้ว บริษัทยักษ์ใหญ่ผู้เก็บข้อมูลก็ยังลอยตัว ไม่มีกฎหมายบังคับ ระหว่างนี้ยังเอาข้อมูลไปทำอะไรก็ได้ โดยไม่มีความชัดเจนว่าเมื่อใดถึงจะพร้อมใช้จริง แถมการเลื่อนครั้งนี้อ้างโควิด-19 กระทบเศรษฐกิจและสังคม

8 พฤษภาคม 2564 ราชกิจจานุเบกษา ประกาศใช้พระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (ฉบับที่ 2) ลงนามโดยพล.อ.ประยุทธ์ จันทร์โอชา นายกรัฐมนตรี มีสาระสำคัญข้อเดียว คือ แก้ไขพระราชกฤษฎีกาฉบับเดิม จากที่ให้งดบังคับใช้หลักการของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล กับหน่วยงาน 22 ประเภท ไปจนถึงวันที่ 31 พฤษภาคม 2564 เมื่อใกล้ถึงกำหนดดังกล่าวแล้วจึงขยายเวลาออกไปอีกหนึ่งปี เป็นให้งดบังคับใช้ไปจนถึงวันที่ 31 พฤษภาคม 2565
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act : PDPA) ประกาศใช้เมื่อวันที่ 27 พฤษภาคม 2562 แต่ได้กำหนดให้หมวดที่สำคัญซึ่งเกี่ยวกับเนื้อหาการคุ้มครองข้อมูลส่วนบุคคลและการกำหนดโทษกรณีที่มีการละเมิดกฎหมายให้มีผลบังคับใช้ใน ‘ปีถัดไป’ นับแต่ประกาศ กล่าวคือ กฎหมายทั้งฉบับจะมีผลใช้บังคับอย่างเต็มรูปแบบในวันที่ 27 พฤษภาคม 2563 โดยการกำหนดให้เริ่มใช้บังคับช้าออกไปก็เพื่อให้องค์กรทั้งรัฐและเอกชนที่จัดเก็บ ใช้ รวบรวมข้อมูลเป็นจำนวนมากมีเวลาเตรียมตัวเป็นเวลา "หนึ่งปีเต็ม" อาจรวมถึงการลงทุนด้านเทคโนโลยีและการสร้างองค์ความรู้ความเข้าใจกับบุคลากรที่ปฏิบัติงาน แต่เมื่อถึงกำหนดเริ่มการบังคับใช้ในปี 2563 พล.อ.ประยุทธ์ จันทร์โอชา ก็ออกพระราชกฤษฎีกามา "เลื่อน" การบังคับใช้กับหน่วยงาน 22 ประเภทออกไปจนถึงวันที่ 31 พฤษภาคม 2564 และเมื่อใกล้จะครบกำหนดก็ออกพระราชกฤษฎีกาอีกครั้งเลื่อนออกไปเป็น 31 พฤษภาคม 2565
การเลื่อนการบังคับใช้เป็นรอบที่สอง เขียนเหตุผลไว้ท้ายพระราชกฤษฎีกาว่า "การปฏิบัติตามหลักเกณฑ์ วิธีการ และเงื่อนไขตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดนั้นมีรายละเอียดมากและซับซ้อน กับต้องใช้เทคโนโลยีขั้นสูงเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพสมดังเจตนารมณ์ของกฎหมาย ประกอบกับสถานการณ์การแพร่ระบาดของโรคติดเชื้อไวรัสโคโรนา 2019 ยังคงมีอยู่อย่างต่อเนื่องและรุนแรงยิ่งขึ้นจนถึงปัจจุบัน ส่งผลกระทบต่อเศรษฐกิจและสังคมโดยรวมเป็นอย่างมาก ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นหน่วยงานและกิจการต่างๆ ทั้งภาครัฐและเอกชนจำนวนมากทั่วประเทศยังไม่พร้อมที่จะปฏิบัติตามพระราชบัญญัติดังกล่าว…"
ทั้งนี้ หากนับตั้งแต่ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ผ่านการพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.) เมื่อเดือนกุมภาพันธ์ 2562 จนถึงเดือนพฤษภาคม 2564 ก็เป็นเวลากว่าสองปีแล้วที่เนื้อหาของกฎหมายเผยแพร่อย่างเป็นทางการให้ศึกษากันในรายละเอียด จึงเป็นระยะเวลาที่มากเพียงพอที่หน่วยงานของรัฐและเอกชนจะเตรียมตัวโดยการลงทุนพัฒนาเครื่องมือทางอิเล็กทรอนิกส์ในการจัดเก็บข้อมูลให้ปลอดภัย หรือการจัดจ้างผู้มีความเชี่ยวชาญออกแบบระบบการเก็บข้อมูลให้สอดคล้องกับกฎหมาย รวมทั้งอบรมเจ้าหน้าที่ให้มีความรู้ความเข้าใจอย่างเพียงพอ การระบาดของโรคโควิด-19 นั้นเพิ่งรุนแรงมากขึ้นในช่วงต้นปี 2564 อาจยังไม่เพียงพอเป็นข้ออ้างได้สำหรับการเตรียมตัวที่มีเวลานานกว่าสองปี
พระราชกฤษฎีกาที่ให้เลื่อนการบังคับใช้เป็นรอบที่สอง ทำให้ผู้เกี่ยวข้องทุกคนเข้าสู่สภาวะ "ลอยตัว" ต่อเนื่องเป็นปีที่สาม กล่าวคือ สภาวะที่มีกฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนแล้วแต่ยังไม่อาจบังคับใช้ได้จริง หน่วยงานของรัฐและองค์กรธุรกิจมองเห็นภาระหน้าที่ที่ต้องปฏิบัติตามเพื่อคุ้มครองข้อมูลแล้ว และเห็นขอบเขตของสิ่งที่ตัวเองสามารถทำได้และทำไม่ได้อย่างชัดเจนแล้ว แต่ยังไม่ต้องปฏิบัติ
ในระหว่างช่วงเวลาที่เลื่อนออกไป การจัดเก็บข้อมูลส่วนบุคคล (Personal Data) เช่น เลขบัตรประจำตัวประชาชน ที่อยู่ และข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เช่น ความคิดเห็นทางการเมือง เชื้อชาติ ศาสนา ข้อมูลด้านสุขภาพ ยังไม่ต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลตามมาตรฐานของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือไม่ต้องจัดเก็บโดยอาศัยฐานทางกฎหมาย (Lawful Basis) ตามมาตรา 26 วรรคสอง และยังไม่ต้องปฏิบัติตามคำขอของเจ้าของข้อมูล ไม่ว่าจะเป็นการคัดค้านการเก็บรวบรวมข้อมูล การขอให้ลบหรือทำลายข้อมูล การขอให้ระงับการใช้ข้อมูลส่วนบุคคล
ในระหว่างหนึ่งปีนี้ หาก"ผู้ควบคุมข้อมูลส่วนบุคคล" หรือผู้ที่เก็บข้อมูลของคนอื่นไว้ ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยไม่มีเหตุที่ชอบด้วยกฎหมาย หรือนอกไปจากวัตถุประสงค์ที่ได้แจ้งไว้ หรือโอนข้อมูลอ่อนไหวไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ก็ยังไม่ต้องรับผิดทางอาญาตามที่กฎหมาย และยังไม่ต้องรับผิดในโทษปรับทางปกครอง แต่หากมีการใช้หรือเปิดเผยข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่มีความอ่อนไหว จนก่อให้เกิดความเสียหายแก่ตัวเจ้าของข้อมูล เจ้าของข้อมูลสามารถใช้สิทธิในทางแพ่งฟ้องละเมิดเพื่อเรียกค่าเสียหายได้ ทั้งนี้ ภาระในการพิสูจน์ถึงความเสียหายอาจตกอยู่ที่ตัวเจ้าของข้อมูลเอง และมีภาระต้องดำเนินคดีด้วยตัวเอง
นอกจากนี้เมื่อ "ผู้ควบคุมข้อมูลส่วนบุคคล" มีโอกาสศึกษาพ.ร.บ.ข้อมูลส่วนบุคคลฉบับที่ประกาศใช้ออกมา ก็สามารถคาดการณ์ได้ล่วงหน้าว่า หากกฎหมายเริ่มบังคับใช้อำนาจเดิมที่เคยกระทำกับข้อมูลของคนอื่นจะลดน้อยลง เช่น การเอาข้อมูลของลูกค้าไปขายต่อให้บริษัทอื่นจะทำไม่ได้อีกต่อไปยกเว้นเจ้าของข้อมูลให้ความยินยอม ดังนั้น การเลื่อนเวลาการบังคับใช้ ย่อมเอื้อให้ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งจะเป็นผู้เสียผลประโยชน์ทางธุรกิจยังสามารถ "ทำอะไรก็ได้" กับข้อมูลของคนอื่นที่มีอยู่ในมือในระหว่างช่วงเวลาที่ถูกขยายออกไปนี้ โดยไม่มีความผิดตามกฎหมาย ซึ่งอาจเป็นช่วงเวลาสำคัญที่จะสามารถตักตวงหาประโยชน์จากข้อมูลของบุคคลอื่นได้ก่อนที่ผู้ควบคุมข้อมูลส่วนบุคคลจะไม่สามารถทำได้อีกหากกฎหมายเริ่มบังคับใช้แล้ว
.
หน่วยงานภาครัฐและองค์กรธุรกิจที่ได้รับประโยชน์จากพระราชกฤษฎีกา "เลื่อน" การบังคับใช้ และยังไม่ต้องอยู่ภายใต้บังคับของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล อย่างน้อยจนถึง 31 พฤษภาคม 2565 ถูกจัดอย่างกว้างๆ แบ่งออกเป็น 22 ประเภทตามพระราชกฤษฎีกา ซึ่งเมื่อพิจารณาแล้วก็ครอบคลุมกิจการแทบทุกประเภทที่อาจเกี่ยวข้องกับข้อมูลส่วนบุคคล การไม่บังคับใช้กับกิจการ 22 ประเภทจึงแทบจะเท่ากับไม่ได้บังคับใช้กฎหมายฉบับนี้เลย
กิจการ 22 ประเภท มีดังนี้
1. หน่วยงานของรัฐ
2. หน่วยงานของรัฐต่างประเทศและองค์การระหว่างประเทศ
3. มูลนิธิ สมาคม องค์กรศาสนา และองค์กรไม่แสวงหากำไร
4. กิจการด้านเกษตรกรรม
5. กิจการด้านอุตสาหกรรม
6. กิจการด้านพาณิชยกรรม
7. กิจการด้านการแพทย์และสาธารณสุข
8. กิจการด้านพลังงาน ไอน้ำ น้ำ และการกำจัดของเสีย รวมทั้งกิจการที่เกี่ยวข้อง
9. กิจการด้านการก่อสร้าง
10. กิจการด้านการซ่อมและการบำรุงรักษา
11. กิจการด้านการคมนาคม ขนส่ง และการเก็บสินค้า
12. กิจการด้านการท่องเที่ยว
13. กิจการด้านการสื่อสาร โทรคมนาคม คอมพิวเตอร์ และดิจิทัล
14. กิจการด้านการเงิน การธนาคาร และการประกันภัย
15. กิจการด้านอสังหาริมทรัพย์
16. กิจการด้านการประกอบวิชาชีพ
17. กิจการด้านการบริหารและบริการสนับสนุน
18. กิจการด้านวิทยาศาสตร์และเทคโนโลยี วิชาการ สังคมสงเคราะห์ และศิลปะ
19. กิจการด้านการศึกษา
20. กิจการด้านความบันเทิงและนันทนาการ
21. กิจการด้านการรักษาความปลอดภัย
22. กิจการในครัวเรือนและวิสาหกิจชุมชน ซึ่งไม่สามารถจำแนกกิจกรรมได้อย่างชัดเจน