2nd benefit

2nd benefit

กฎหมายคุ้มครองข้อมูลส่วนบุคคล สำคัญไฉน ? ตอนที่ 2

Written by ผู้ช่วยศาสตราจารย์ ดร.จุมพล ชื่นจิตต์ศิริ on . ฮิต: 3894

630502
ความเดิมจากตอนที่ 1 ที่ได้อธิบายข้อมูลส่วนบุคคลคืออะไร ได้แก่อะไร ซึ่งตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จะมีผลบังคับใช้เกี่ยวข้องกับเราทุกคนในฐานะที่เป็นเจ้าของข้อมูล รวมถึงผู้ประกอบการ หน่วยงานต่าง ๆ ที่มีหน้าที่โดยตรงกับการเก็บข้อมูลส่วนบุคคลเพื่อนำไปใช้งาน

ทำไมต้องมีกฎหมายฉบับนี้ เนื่องมาจากสหภาพยุโรป ( European EU ) ได้ออก GDPR ( General Data Protection Regulation ) เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล บังคับใช้เมื่อวันที่ 25 พฤษภาคม 2561 ซึ่งนอกจากมีผลบังคับใช้แก่การส่งข้อมูลภายในประเทศสมาชิกสหภาพยุโรปแล้ว ผู้ประกอบการในไทยที่ติดต่อ รับส่งข้อมูลส่วนบุคคลของประชาชนในประเทศที่เป็นสมาชิกสหภาพยุโรป ( Cross-Border Data Transfer Issues ) ก็ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมและเพียงพอด้วย และที่สำคัญคือความน่าเชื่อถือในมาตรการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย มีผลกระทบต่อการค้าระหว่างประเทศและการทำธุรกิจระหว่างประเทศ หากประเทศไทยไม่มีกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ย่อมทำให้เสียโอกาสและความเชื่อมั่นจากกลุ่มประเทศในสหภาพยุโรป และอาจรวมไปถึงประชาคมโลกด้วย เพราะปัจจุบันมีการตื่นตัวเรื่อง Data Protection เนื่องจากมีหลายเหตุการณ์ใหญ่ๆที่เกิดขึ้นแล้ว เช่น การรั่วไหลของข้อมูลส่วนบุคคลของผู้ใช้เฟซบุ๊กหลายล้านบัญชี หรือกรณีความลับทางทหารของประเทศมหาอำนาจได้รั่วไหลออกมาสู่สาธารณะ เป็นต้น ที่ผ่านมาเรื่องข้อมูลส่วนบุคคลของประเทศไทยได้กำหนดไว้โดยทั่วไปในกฎหมายแต่ละฉบับ ซึ่งไม่ได้บัญญัติไว้อย่างเฉพาะเจาะจงในเรื่องดังกล่าวนี้

อย่างไรก็ตาม ข้อมูลส่วนบุคคลก็ถือว่าเป็นปัจจัยสำคัญในการประกอบธุรกิจในยุคปัจจุบันเพราะสามารถส่งต่อกันข้ามประเทศได้ และการใช้ข้อมูลส่วนบุคคลมีความซับซ้อนมากขึ้นในการนำไปใช้ประโยชน์ จึงถือได้ว่าข้อมูลส่วนบุคคลเป็นเรื่องที่สำคัญมากทั้งในด้านธุรกิจและในด้านความมั่นคงในความปลอดภัยในชีวิตและทรัพย์สินของตนเอง และเพื่อเป็นการทำความเข้าใจ เราจึงจำเป็นต้องทราบข้อกฎหมายที่เกี่ยวข้อง และบุคคลหรือหน่วยงานไหนเป็นผู้เก็บข้อมูลส่วนบุคคลของเรานั้นคือใครบ้าง

รัฐธรรมนูญแห่งราชอาณาจักรไทย พ.ศ.2560 มาตรา 32 บุคคลย่อมมีสิทธิในความเป็นอยู่ส่วนตัว เกียรติยศ ชื่อเสียงและครอบครัว การกระทำอันเป็นการละเมิดหรือกระทบต่อสิทธิของบุคคลหรือการนำข้อมูลส่วนบุคคลไปใช้ประโยชน์ไม่ว่าในทางใด ๆ จะกระทำมิได้ เว้นแต่โดยอาศัยอำนาจตามบทบัญญัติแห่งกฎหมายที่ตราขึ้นเพียงเท่าที่จำเป็นเพื่อประโยชน์สาธารณะ และ

การละเมิดสิทธิความเป็นส่วนตัว ตามประมวลกฎหมายแพ่งและพาณิชย์ มาตรา 420 ผู้ใดจงใจหรือประมาทเลินเล่อ ทำต่อบุคคลอื่นโดยผิดกฎหมายให้เขาเสียหายถึงแก่ชีวิตก็ดี แก่ร่างกายก็ดี อนามัยก็ดี เสรีภาพก็ดี ทรัพย์สินหรือสิทธิอย่างหนึ่งอย่างใดผู้นั้นทำละเมิดจำต้องใช้ค่าสินไหมทดแทนเพื่อการนั้น ดังนั้นหากเจ้าของข้อมูลส่วนบุคคลถูกนำข้อมูลส่วนบุคคลไปเผยแพร่เพื่อหาประโยชน์โดยไม่ได้รับอนุญาต โดยหลักทั่วไป ผู้เผยแพร่ก็จะมีความผิดตามกฎหมายนี้

ด้วยเหตุนี้ บุคคลสำคัญที่เก็บข้อมูลของเราอาจจะเป็นบุคคลธรรมดาหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ส่วนใครจะเป็นผู้ใช้ข้อมูลส่วนบุคคลของเราก็ต้องขออนุญาตเจ้าของข้อมูลก่อนหรือไม่ และใช้ข้อมูลเพื่อวัตถุประสงค์อะไร การเก็บข้อมูลส่วนบุคคลใครจะมีอำนาจที่จะเก็บได้ตามหลักกฎหมาย เหล่านี้คือคำถามที่ต้องหาคำตอบกันต่อไป

ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6

“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

การที่เก็บข้อมูลส่วนบุคคลต่าง ๆ เพื่อนำไปรวบรวม ใช้ หรือเปิดเผยข้อมูลต่อไปนั้น ต้องเก็บจากเจ้าของข้อมูลโดยตรง และได้รับการยินยอมโดยตรงจากเจ้าของข้อมูลเป็นลายลักษณ์อักษรหรือผ่านระบบออนไลน์ตามรูปแบบที่กำหนด ดังนั้นก่อนที่จะยินยอมเจ้าของมูลต้องอ่านรายละเอียดให้ดีก่อน รวมถึงเก็บข้อมูลว่าได้ยินยอมให้เก็บ ใช้ เปิดเผยข้อมูล ไปกับหน่วยงานใดบ้าง โดยต้องแจ้งรายละเอียดชัดเจนครบถ้วน ผู้เก็บข้อมูลต้องแจ้งวัตถุประสงค์ของการเก็บข้อมูล การใช้ข้อมูล การเปิดเผยข้อมูล ระยะเวลาที่เก็บเงื่อนไข ต่าง ๆ ให้เจ้าของข้อมูลอย่างชัดเจน ที่สำคัญข้อมูลรายละเอียดในการขอความยินยอมจากเจ้าของข้อมูลต้องแยกส่วนออกมากจากข้อความอื่นอย่างชัดเจน อ่านเข้าใจง่าย เพื่อให้เจ้าของข้อมูลอ่านและทำความเข้าใจก่อนที่จะยินยอมให้เก็บข้อมูล

ข้อมูลส่วนบุคคลที่ให้ไว้นั้น ผู้มีสิทธิเด็ดขาดคือเจ้าของข้อมูล เจ้าของข้อมูลสามารถยกเลิกการเก็บข้อมูล การนำไปใช้ แก้ไขและลบข้อมูลออกจากระบบได้ โดยที่ผู้เก็บข้อมูลไม่สามารถปฏิเสธได้ ดังนั้น ผู้เก็บข้อมูลต้องเตรียมการให้การยกเลิกทำได้สะดวกเช่นเดียวกับการยอมรับ ซึ่งการคุ้มครองนี้รวมถึงข้อมูลส่วนตัวที่ส่งไปเพื่อสมัครงาน ผู้สมัครสามารถแจ้งให้ทางบริษัทส่งข้อมูลกลับหรือทำลายข้อมูลส่วนตัว เช่น สำเนาบัตรประชาชน สำเนาทะเบียนบ้าน รูปถ่าย เอกสารการศึกษา ฯลฯ หลังจากการสมัคร เพื่อป้องกันไม่ให้ข้อมูลส่วนตัวสำคัญเหล่านี้รั่วไหลออกไป และผู้เก็บต้องรักษาข้อมูลให้ปลอดภัยเป็นความลับ ผู้เก็บรวบรวมข้อมูลส่วนบุคคลจะต้องมีหน้าที่รักษาความมั่นคงปลอดภัยของข้อมูล มิให้มีการแก้ไขเปลี่ยนแปลงข้อมูลโดยผู้ที่ไม่ใช้เจ้าของของมูล หรือเข้าถึงข้อมูลโดยมิชอบ และดูแลไม่ให้เกิดการสูญหาย ซึ่งเรื่องนี้ทางผู้ประกอบการหรือองค์กรที่เก็บข้อมูลต้องมีการวางระบบ วิธีการ คณะทำงาน ทีมงานที่รับผิดชอบ ในการดูแลข้อมูลให้ปลอดภัยมากที่สุด แต่หากข้อมูลเกิดรั่วไหลหรือถูกขโมยไป ผู้เก็บข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบใน 72 ชั่วโมงนับแต่ทราบเหตุ

ในฐานะเราเป็นเจ้าของข้อมูลส่วนบุคคล เรามีสิทธิอะไรบ้างตามกฎหมายในการที่จะติดตามหรือตรวจสอบในการไม่เอาข้อมูลส่วนบุคคลของเราไปเผยแพร่โดยไม่ได้รับอนุญาต รายละเอียดนี้ ติดตามกันต่อไปในตอนที่ 3

ภาพจาก www.sundae.co.th

กฎหมายคุ้มครองข้อมูลส่วนบุคคล สำคัญไฉน ? ตอนที่ 1