พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือที่เรียกกันสั้นๆ ว่า PDPA (Personal Data Protection Act) หนึ่งในกฎหมายสำคัญที่ผ่านการพิจารณาโดยสภานิติบัญญัติแห่งชาติ (สนช.) ในช่วง “โค้งสุดท้าย” ก่อนที่สภาแต่งตั้งแห่งนี้จะหมดอายุลง โดยกฎหมายฉบับนี้ประกาศในราชกิจจานุเบกษาเมื่อ 27 พฤษภาคม 2562 และมีข้อยกเว้นไว้กว้างขวาง โดยเฉพาะยกเว้นไม่คุ้มครองข้อมูลในกิจการของหน่วยงานความมั่นคง และแทบจะยกเว้นให้กิจการของรัฐไม่ต้องทำตามกฎหมายนี้ ดังนั้นการบังคับใช้กฎหมายฉบับนี้จึงมุ่งเน้นไปที่ผู้ประกอบการภาคธุรกิจเป็นหลัก โดยเฉพาะผู้ประกอบการที่เคยเก็บข้อมูลของลูกค้า ลูกจ้าง ผู้มาติดต่อ หรือเคยนำข้อมูลมาเพื่อวิเคราะห์และพัฒนาการขายหรือการให้บริการจนเป็นส่วนหนึ่งของการทำธุรกิจ
จุดสำคัญของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล กำหนดให้การเก็บข้อมูล ใช้ข้อมูล เปิดเผยข้อมูล ต้องได้รับความยินยอมเสมอ การกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล มาตรา 83 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 3,000,000 บาท การเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม และน่าจะทำให้เจ้าของข้อมูลเสียหาย มาตรา 79 กำหนดโทษจำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 500,000 บาท ถ้าผู้ประกอบการเปิดเผยข้อมูลเพื่อแสวงหาประโยชน์ที่มิควรได้ โดยไม่ได้รับความยินยอม มาตรา 79 วรรคสอง กำหนดโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท
ทำความเข้าใจสาระสำคัญของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลได้ที่ https://ilaw.or.th/node/5332
อ้างโควิดยกเว้น 22 กิจการไม่อยู่ใต้บังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
การปฏิบัติตามกฎหมายดังกล่าว ทำให้ผู้ประกอบการภาคธุรกิจที่ต้องเก็บข้อมูลส่วนบุคคลจำนวนมากต้องปรับตัวโดยเฉพาะการจัดการระบบหลังบ้าน อย่างไรก็ดี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ก็กำหนดให้เวลาผู้ที่มีส่วนเกี่ยวข้องปรับตัวกับกฎหมายนี้ โดยกำหนดให้เฉพาะหมวด 1 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล, หมวด 4 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และบทเฉพาะกาล มาตรา 91 ถึงมาตรา 94 ที่ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษา (28 พฤษภาคม 2562)
ขณะที่บทบัญญัติที่เหลือ ได้แก่ หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล, หมวด 3 สิทธิของเจ้าของข้อมูลส่วนบุคคล, หมวด 5 การร้องเรียน, หมวด 6 ความรับผิดทางแพ่ง, หมวด 7 บทกำหนดโทษ, และมาตรา 95 และ 96 มีผลบังคับใช้เมื่อพ้นหนึ่งปีนับแต่ประกาศในราชกิจจานุเบกษา เท่ากับว่าบทบัญญัติส่วนใหญ่ของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะมีผลใช้บังคับจริงๆ เมื่อ 28 พฤษภาคม 2563
แต่ก่อนที่พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะมีผลบังคับใช้เต็มรูปแบบในปี 2563 คณะรัฐมนตรี (ครม.) ก็ออกพระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2563 กำหนดให้หน่วยงานภาครัฐและองค์กรธุรกิจรวม 22 กิจการไม่ต้องอยู่ภายใต้บังคับพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ตั้งแต่วันที่ 27 พฤษภาคม 2563 ถึง 31 พฤษภาคม 2564 โดย 22 กิจการที่กำหนดในพระราชกฤษฎีกาดังกล่าวนั้น ระบุไว้อย่างกว้างขวาง จนชวนตั้งคำถามว่ายังเหลือกิจการประเภทใดบ้างที่ยังคงต้องอยู่ใต้บังคับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล?
หลังจากยกเว้น 22 กิจการไม่ต้องอยู่ภายใต้บังคับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลไปหนึ่งปี จนถึง 31 พฤษภาคม 2564 เท่ากับว่า ภาคเอกชน องค์กรธุรกิจก็มีเวลาในการเตรียมตัวจัดการระบบคุ้มครองข้อมูลส่วนบุคคลถึงสองปีเต็มๆ อย่างไรก็ดี แทนที่กฎหมายจะได้เริ่มใช้บังคับเต็มรูปแบบหลังจากประกาศในราชกิจจานุเบกษามาสองปี ครม. ก็ออกพระราชกฤษฎีกาอีกหนึ่งฉบับ ประกาศในราชกิจจานุเบกษาเมื่อ 8 พฤษภาคม 2564 โดย “ขยายระยะเวลา” ยกเว้น 22 กิจการไม่ต้องอยู่ภายใต้บังคับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลไปจนถึง 31 พฤษภาคม 2565 หรือกล่าวง่ายๆ ว่าครม. ขยายระยะเวลาต่อถึงสองปีซ้อน กลุ่มธุรกิจรวมถึงหน่วยงานรัฐที่มีหน้าที่ต้องเก็บรวบรวมข้อมูลส่วนบุคคล ก็มีเวลาเตรียมตัวต่อเนื่องยาวถึงสามปี ขณะกลไกคุ้มครองข้อมูลส่วนบุคคล ยังไม่ได้เริ่มใช้บังคับเต็มรูปแบบแม้กฎหมายจะประกาศมาสามปีแล้ว
ในระหว่างช่วงเวลาที่เลื่อนออกไป การจัดเก็บข้อมูลส่วนบุคคล (Personal Data) เช่น เลขบัตรประจำตัวประชาชน ที่อยู่ และข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เช่น ความคิดเห็นทางการเมือง เชื้อชาติ ศาสนา ข้อมูลด้านสุขภาพ ยังไม่ต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลตามมาตรฐานของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือไม่ต้องจัดเก็บโดยอาศัยฐานทางกฎหมาย (Lawful Basis) ตามมาตรา 26 วรรคสอง และยังไม่ต้องปฏิบัติตามคำขอของเจ้าของข้อมูล ไม่ว่าจะเป็นการคัดค้านการเก็บรวบรวมข้อมูล การขอให้ลบหรือทำลายข้อมูล การขอให้ระงับการใช้ข้อมูลส่วนบุคคล
หาก “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือผู้ที่เก็บข้อมูลของคนอื่นไว้ ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยไม่มีเหตุที่ชอบด้วยกฎหมาย หรือนอกไปจากวัตถุประสงค์ที่ได้แจ้งไว้ หรือโอนข้อมูลอ่อนไหวไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ก็ยังไม่ต้องรับผิดทางอาญาตามที่กฎหมาย และยังไม่ต้องรับผิดในโทษปรับทางปกครอง แต่หากมีการใช้หรือเปิดเผยข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่มีความอ่อนไหว จนก่อให้เกิดความเสียหายแก่ตัวเจ้าของข้อมูล เจ้าของข้อมูลสามารถใช้สิทธิในทางแพ่งฟ้องละเมิดเพื่อเรียกค่าเสียหายได้ ทั้งนี้ ภาระในการพิสูจน์ถึงความเสียหายอาจตกอยู่ที่ตัวเจ้าของข้อมูลเอง และมีภาระต้องดำเนินคดีด้วยตัวเอง
ย้อนดูเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหล ระหว่างที่กฎหมายยังไม่ใช้บังคับเต็มรูปแบบ
ระหว่างที่มีการยกเว้น 22 กิจการไม่อยู่ใต้บังคับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ไปจนถึง 31 พฤษภาคม 2565 ก็มีข่าวข้อมูลส่วนบุคคลรั่วไหลปรากฏอยู่ในหน้าสื่อ เช่น ในเดือนกันยายน 2564 มีข่าวว่ามีการขายข้อมูลผู้ป่วยของโรงพยาบาลเพชรบูรณ์ผ่านอินเทอร์เน็ต ซึ่งทางโรงพยาบาลเพชบูรณ์ก็ออกมาชี้แจงว่า ข้อมูลที่ถูกโจมตีนำออกไปนั้นเป็นข้อมูลทั่วไปไม่มีผลต่อการดูแลรักษา เช่น ข้อมูลรายชื่อเวชระเบียนผู้ป่วยใน 10,095 ราย ใช้ในการตรวจสอบระบบเวชระเบียน (ไม่มีรายละเอียดการดูแลรักษา) ข้อมูลรายชื่อผู้ป่วยนอกที่นัดรับการรักษาประมาณ 7,000 ราย
หรือกรณีล่าสุด เดือนกุมภาพันธ์ 2565 ปรากฏข่าวการจำหน่ายข้อมูลส่วนบุคคลของระบบการสอบเข้าศึกษาในสถาบันอุดมศึกษา (TCAS) ในอินเตอร์เน็ตกว่า 23,000 รายการ โดยที่ประชุมอธิการบดีแห่งประเทศไทย (ทปอ.) ออกมาชี้แจงว่าจากการตรวจสอบไฟล์ตัวอย่างข้อมูลที่ถูกนำมาจำหน่ายในอินเทอร์เน็ตนั้น พบว่าเป็นข้อมูลของงระบบ TCAS64 ในรอบที่สาม ไม่ใช่ข้อมูลส่วนบุคคลทั้งหมดของผู้สมัคร ทั้งนี้ ทปอ. ได้รวจสอบระบบและกระบวนการทำงานอย่างละเอียด ซึ่งได้รับการสนับสนุนจากสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และอยู่ระหว่างการรวบรวมพยานหลักฐานที่เกี่ยวข้องเพื่อดำเนินการแจ้งความร้องทุกข์ต่อเจ้าหน้าที่ตำรวจ และแจ้งเหตุไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อรับทราบสถานการณ์ต่อไป
แต่งตั้งกรรมการสรรหาจากผู้เชี่ยวชาญเมื่อต้นปี 2565
ระหว่างที่พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลยังไม่ได้ใช้บังคับทั้งฉบับ แต่ในหมวดที่เกี่ยวข้องกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลก็ใช้บังคับแล้วตั้งแต่ 28 พฤษภาคม 2562 ซึ่งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ประกอบไปด้วยกรรมการโดยตำแหน่ง และกรรมการที่ต้องสรรหาและแต่งตั้งจากผู้มีความรู้ความเชี่ยวชาญ ประกอบด้วย
1) ประธานกรรมการ สรรหาและแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการคุ้มครองข้อมูลส่วนบุคคล ด้านการคุ้มครองผู้บริโภค ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้านสังคมศาสตร์ ด้านกฎหมาย ด้านสุขภาพ ด้านการเงิน หรือด้านอื่น ที่เกี่ยวข้องและเป็นประโยชน์ต่อการคุ้มครองข้อมูลส่วนบุคคล
2) ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นรองประธานกรรมการ
3) กรรมการโดยตำแหน่ง จำนวนห้าคน ได้แก่ ปลัดสำนักนายกรัฐมนตรี เลขาธิการคณะกรรมการกฤษฎีกา เลขาธิการคณะกรรมการคุ้มครองผู้บริโภค อธิบดีกรมคุ้มครองสิทธิและเสรีภาพ และอัยการสูงสุด
4) กรรมการผู้ทรงคุณวุฒิ จำนวนเก้าคน ซึ่งสรรหาและแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการคุ้มครองข้อมูลส่วนบุคคล ด้านการคุ้มครองผู้บริโภค ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้านสังคมศาสตร์ ด้านกฎหมาย ด้านสุขภาพ ด้านการเงินหรือด้านอื่น ที่เกี่ยวข้องและเป็นประโยชน์ต่อการคุ้มครองข้อมูลส่วนบุคคล
ถึงแม้บทบัญญัติที่เกี่ยวข้องกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จะบังคับใช้มาตั้งแต่ 28 พฤษภาคม 2562 แต่การแต่งตั้งประธานและกรรมการที่มาจากการสรรหาผู้เชี่ยวชาญ ก็เพิ่งจะแต่งตั้งไปเมื่อ 18 มกราคม 2565 ซึ่งคณะกรรมการชุดนี้ มีหน้าที่สำคัญคือการออกประกาศหรือระเบียบ กำหนดหลักเกณฑ์ที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ให้คำแนะนำและคำปรึกษาเกี่ยวกับการดำเนินการใด ๆ เพื่อให้ความคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐและภาคเอกชนในการปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
จับตา 1 มิถุนายน 2565 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ใช้บังคับเต็มรูปแบบ??
ทั้งนี้ การกำหนดยกเว้น 22 กิจการไม่ต้องอยู่ภายใต้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะมีผลถึง 31 พฤษภาคม 2565 เท่ากับว่า 1 มิถุนายน 2565 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะมีผลใช้บังคับเต็มรูปแบบ ทุกมาตรา ซึ่งชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DES) เปิดเผยหลังจบงานเสวนา ถามมา-ตอบไป เพื่อประเทศไทยที่ดีกว่าเดิม (Better Thailand Open Dialogue) ยืนยันว่าจะไม่มีการเลื่อนการบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลอีกต่อไป และเธียรชัย ณ นคร ประธานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ก็แจงว่าก่อน 1 มิถุนายนนี้ คณะกรรมการจะทยอยประกาศใช้กฎหมายลำดับรอง เพื่อให้องค์กรต่างๆ ปรับตัวใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลอย่างราบรื่น