พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีผลบังคับใช้ในเดือนพฤษภาคม 2565
เนื้อหาในบทความนี้จึงล้าสมัยแล้ว
ปลายปี 2541 กระทรวงวิทยาศาสตร์ เทคโนโลยี และสิ่งแวดล้อม เคยเสนอให้จัดทำโครงการพัฒนากฎหมายเทคโนโลยีสารสนเทศ ซึ่งนั่นนำมาสู่แนวคิดของกฎหมายหลายฉบับ อาทิ กฎหมายเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกส์ กฎหมายเกี่ยวกับการพัฒนาโครงสร้างพื้นฐานสารสนเทศให้ทั่วถึงและเท่าเทียมกัน กฎหมายเกี่ยวกับอาชญากรรมคอมพิวเตอร์ ฯลฯ และรวมถึงกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
ผ่านไปนับสิบปี เปลี่ยนรัฐบาลไปหลายสมัย มีกระทรวงใหม่ๆ เกิดขึ้นหลายกระทรวง แต่แนวคิดของกฎหมายหลายฉบับในชุดนี้ก็ยังคงค้างๆ คาๆ หากเรื่องไหนที่มีลักษณะเอื้อต่อการใช้อำนาจหรือเอื้อต่อภาคธุรกิจ ก็เร่งทำคลอดออกมาประกาศใช้ไปเรียบร้อยแล้ว ขณะที่กฎหมายที่มีเนื้อหาแนวคุ้มครอง ส่งเสริมการเข้าถึงข้อมูล ยังคงล้าหลังไปไม่ถึงไหน
แต่ล่าสุด เมื่อกลางเดือนพฤศจิกายน 2552 “ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล” เพิ่งผ่านกฤษฎีกาและผ่านคณะรัฐมนตรี เข้าไปรอคิวในสภาผู้แทนราษฎรเรียบร้อยแล้ว
เนื้อหาในร่าง
ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่ถูกเสนอเข้าสภามีทั้งหมด 2 ฉบับ คือ ฉบับของคณะรัฐมนตรี และฉบับที่ส.ส.ประชาธิปัตย์ร่วมกันเสนอ เนื้อหาทั้ง 2 ร่างแทบจะเหมือนกันทั้งหมด (จุดที่ต่างเป็นเรื่องจำนวนคณะกรรมการ)
ใจความส่วนที่กล่าวถึงการคุ้มครองข้อมูลนั้น อยู่ในส่วนของการให้ตั้ง “คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” ซึ่งประกอบด้วย ปลัดสำนักนายกฯ ปลัดกระทรวงไอซีที เลขากฤษฎีกา อธิบดีกรมคุ้มครองสิทธิและเสรีภาพ ผู้ว่าธปท. ตัวแทนกก.คุ้มครองผู้บริโภค ตัวแทนหอการค้าไทย ตัวแทนสมาคมธนาคารไทย และกรรมการผู้ทรงคุณวุฒิที่นายกฯแต่งตั้งจากผู้เชี่ยวชาญด้านกฎหมายและเทคโนโลยี ดำรงตำแหน่งคราวละ 3 ปี ไม่เกิน 2 วาระ
หน้าที่ของคณะกรรมการ คือเสนอความเห็นต่อนายกรัฐมนตรี และกำหนดหลักเกณฑ์การได้ใบรับรองเพื่อมีสิทธิใช้เครื่องหมายรับรองมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล กรรมการชุดนี้จะทำงานร่วมกับ “คณะกรรมการข้อมูลข่าวสารของราชการ” ซึ่งมีอำนาจหน้าที่จัดทำบัญชีรายชื่อ “ผู้ควบคุมข้อมูลส่วนบุคคล”
ชื่อภาพ: it’s for your own good
โดย Bright Tal
เนื้อหาในร่าง (อีกที)
ดูเหมือนว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” นี่เอง ที่จะเป็นประเด็นหลักใหญ่ใจความสำคัญของกฎหมายฉบับนี้
ผู้ควบคุมข้อมูลส่วนบุคคลเชิงธุรกิจหรือการพาณิชย์ หมายถึง ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยมีวัตถุประสงค์ในการประกอบกิจการเชิงธุรกิจหรือการพาณิชย์ (มาตรา 34)
ผู้ควบคุมฯ ได้รับอนุญาตให้เก็บ รวบรวม ใช้ ข้อมูลส่วนบุคคลได้ตามวัตถุประสงค์ที่แจ้งไว้ และมีหน้าที่ดูแลไม่ให้ข้อมูลนั้นถูกแอบดูหรือถูกขโมย
และเพื่อความสบายใจของเจ้าของข้อมูล ซึ่งก็หมายถึงประชาชนผู้บริโภคทั่วไปนั้น ผู้ควบคุมฯ ก็มีหน้าที่ต้องปฏิบัติตาม “ประมวลจริยธรรม” และใช้ “เครื่องหมายรับรองมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล” ซึ่งออกโดยคณะกรรมการคุ้มครองข้อมูลข่าวสาร
ร่างกฎหมายระบุว่า ผู้ควบคุมฯ จะรวบรวม/ใช้/เผยแพร่ข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลไม่ยินยอม
…แต่หลักดังกล่าว มี “ข้อยกเว้น” (มาตรา 19) สำหรับกรณีที่ต้อง ปฏิบัติไปตามกฎหมาย ทำเพื่อประโยชน์ต่อชีวิตและสุขภาพ เพื่อประโยชน์ในการสอบสวนของพนักงานสอบสวนตามประมวลกฎหมายอาญาหรือการพิจารณาพิพากษาคดีของศาล รวมถึงเพื่อการศึกษาวิจัยหรือสถิติที่เก็บข้อมูลส่วนบุคคลไว้เป็นความลับ
นอกจากนี้ ก็มีกฎด้วยว่า ห้ามผู้ควบคุมฯ เปิดเผยข้อมูลส่วนบุคคล
…แต่หลักดังกล่าว มี“ข้อยกเว้น” (มาตรา 27) เปิดเผยต่อทนายความของผู้ควบคุมฯ ใช้เพื่อเรียกเก็บหนี้ที่เจ้าของข้อมูลเป็นหนี้ต่อผู้ควบคุมฯ เปิดเผยแก่หน่วยงานที่เก็บข้อมูลบุคคลเอาไว้เป็นประวัติศาสตร์ และเมื่อเจ้าหน้าที่รัฐร้องขอว่าเกี่ยวข้องกับความมั่นคงของประเทศหรือกิจกรรมระหว่างประเทศ
กฎหมายนี้กำหนดสิทธิของเจ้าของข้อมูลเอาไว้บ้างเหมือนกันว่า เจ้าของข้อมูลมีสิทธิขอดู ขอสำเนาข้อมูล ขอรู้ว่าผู้ควบคุมฯ เอาข้อมูลไปใช้อย่างไร แจ้งให้แก้ไขข้อมูลให้ถูกต้องได้ ระงับการใช้ข้อมูลได้เฉพาะกรณีที่ไม่เป็นจริง รวมทั้งขอให้ผู้ควบคุมฯเปิดเผยว่า ได้มาซึ่งข้อมูลเหล่านั้นได้อย่างไร
…แต่หลักดังกล่าว มี “ข้อยกเว้น” (มาตรา 42) สิทธิของเจ้าของข้อมูลสามารถถูกปฏิเสธได้ตามกฎหมาย ในกรณีที่การ ขอดู ขอสำเนา และขอทราบถึงการนำข้อมูลไปใช้ มีต้นทุนที่แพงเกินไป หรือเป็นข้อมูลส่วนบุคคลที่สามารถปฏิเสธคำขอได้ตามกฎหมาย และอื่นๆ ตามที่คณะกรรมการกำหนด
สรุป
สิทธิในข้อมูลส่วนบุคคลที่จริงแล้วเป็นสิทธิที่ติดตัวมากับคนทุกคน โดยไม่จำเป็นต้องมีกฎหมายมารับรอง หากว่าจะมีกฎหมายเพื่อคุ้มครองก็ควรจะกล่าวถึงวิธีการขั้นตอนการคุ้มครองในรายละเอียด ว่าจะทำอย่างไรได้บ้างให้มีผลบังคับกันได้จริง แต่ร่างพระราชบัญญัติฉบับนี้ เนื้อหาจะเน้นไปในลักษณะที่เป็นข้อยกเว้นว่ากรณีใดบ้างที่สิทธิในข้อมูลส่วนบุคคลอาจถูกละเมิด อาจถูกเข้าถึงโดยบุคคลอื่นได้ ซึ่งพิจารณาแล้วเนื้อหาไม่ได้สอดคล้องกับชื่อของกฎหมายสักเท่าไร
เมื่อนับเฉพาะตัวบทแล้ว ร่างกฎหมายฉบับนี้ใช้คำว่า “คุ้มครอง” 30 ครั้ง ใช้คำว่า “ควบคุม” 98 ครั้ง ใช้คำว่า “สิทธิ” ทั้งหมด14 ครั้ง ซึ่งในจำนวนเหล่านั้น คำว่าสิทธิที่แปลว่า “สิทธิ” มีทั้งหมด 7 ครั้ง