กฎหมายคุ้มครองข้อมูลส่วนบุคคล : คุ้มครองหรือไม่คุ้มครอง
อะไรคือ กฎหมายคุ้มครองข้อมูลส่วนบุคคล และทำไมต้องมีกฎหมายฉบับนี้!
ย้อนกลับไปเมื่อ 20 ปีที่ผ่านมา ที่เริ่มนำเทคโนโลยีเข้ามาใช้ทำงานในรูปแบบของ Information Technology คอมพิวเตอร์เข้ามามีบทบาทในการทำงานของผู้คนในสังคม และมีบทบาทในการจัดเก็บข้อมูลส่วนบุคคลมากขึ้น ทำให้มีการพูดถึงการคุ้มครองการใช้ข้อมูลส่วนบุคคลเพื่อคุ้มครองการใช้ข้อมูลส่วนบุคคลในธุรกรรมต่าง ๆ ที่เจ้าของข้อมูลไม่ต้องการให้ผู้อื่นนำไปใช้
จากวันนั้นถึงวันนี้ กฎหมายฉบับนี้คลอดออกมา และจะมีผลบังคับใช้อย่างเต็มรูปแบบในปี 2564 สาระสำคัญของกฎหมายฉบับนี้คือ การให้ความคุ้มครอง ข้อมูลส่วนบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมเช่น เช่น ชื่อ-นามสกุล, ที่อยู่, เลขบัตรประชาชน, หมายเลขโทรศัพท์, อีเมล ฯลฯ นอกจากนี้ ยังมีข้อมูลส่วนบุคคลอีกประเภทที่มักเรียกกันว่า Sensitive Data ซึ่งเป็นข้อมูลที่มีความสำคัญ ต้องดูแลเป็นพิเศษ เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ฯลฯ โดยห้ามไม่ให้ผู้อื่นนำข้อมูลดังกล่าวไปใช้เพื่อประโยชน์ในด้านใดด้านหนึ่งที่เจ้าของข้อมูลไม่ยินยอมให้นำไปใช้ประโยชน์
เนื่องจากปัจจุบันเราต้องติดต่อกับหน่วยงานและองค์กรต่าง ๆ ทั้งภาครัฐและเอกชน โดยใช้ข้อมูลส่วนบุคคลในการติดต่อเพื่อทำธุรกรรมต่าง ๆ เช่น การเปิดบัญชีเงินฝากกับสถาบันการเงิน เราต้องให้ข้อมูลส่วนบุคคลทั้งสำเนาบัตรประชาชน ที่อยู่ เบอร์โทรศัพท์เพื่อการติดต่อ ข้อมูลที่เราให้เหล่านี้คือใช้เพื่อการเปิดบัญชีเงินฝากกับธนาคารและเราอนุญาตให้ใช้เพื่อเปิดบัญชีกับธนาคารเท่านั้น แต่สิ่งที่เราต้องเผชิญคือ ข้อมูลดังกล่าวถูกนำไปใช้ในเชิงพาณิชย์ โดยขายข้อมูลต่าง ๆ ของเราให้หน่วยงานหรือองค์กรอื่น ๆ เพื่อไปใช้ประโยชน์ในด้านอื่น ๆ เช่น เรามักจะได้รับโทรศัพท์ติดต่อเพื่อเสนอขายสินค้าต่าง ๆ ทางโทรศัพท์ ทั้ง ๆ ที่เราไม่เคยติดต่อกับองค์กรดังกล่าวเลย ซึ่งถือเป็นการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลของเรา
กฎหมายคุ้มครองข้อมูลส่วนบุคคล จะเข้ามาแก้ไขปัญหานี้ โดยระบุให้องค์กรหรือหน่วยงานที่เกี่ยวข้องที่เก็บข้อมูลส่วนบุคคลของประชาชนไม่ว่าจะเป็นบริษัทเอกชน หรือหน่วยงานภาครัฐ ต้องไม่นำเอาข้อมูลส่วนบุคคลของเราไปใช้ในกิจกรรมอื่น ๆ ที่เราไม่ยินยอม
องค์ประกอบของกฎหมายได้กำหนดให้ ผู้เก็บข้อมูล ไม่ว่าจะเป็นหน่วยงานของรัฐ หรือผู้ประกอบการเอกชนที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก หรือผู้ประกอบการที่มีกิจกรรมหลัก คือ การเก็บข้อมูล การใช้ข้อมูล หรือการเปิดเผยข้อมูล ต้องจัดให้มี "เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล" เป็นของตัวเอง ซึ่งอาจเป็นพนักงานของผู้ประกอบการนั้น ๆ หรือเป็นผู้รับจ้างให้บริการ (Outsource) มีหน้าที่ในการจัดเก็บและคุ้มครองข้อมูลส่วนบุคคลไม่ให้รั่วไหลไปยังบุคคลภายนอก เพื่อนำไปใช้ในกิจกรรมที่เจ้าของข้อมูลไม่ได้ให้การยินยอมนำไปใช้
เนื้อหาและวัตถุประสงค์ของกฎหมายอ่านแล้วน่าจะดีสำหรับประชาชน เพราะเป้าหมายคือการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเราไม่เคยได้รับการคุ้มครองมาก่อน แต่เมื่อเข้าไปดูไส้ในของกฎหมายโดยเฉพาะมาตรา 4 ของกฎหมายฉบับนี้ที่มีข้อยกเว้นไม่ให้กฎหมายฉบับนี้มีผลบังคับใช้กับกิจการ 6 ประเภท คือ
การเก็บข้อมูล การใช้ข้อมูล และการเปิดเผยข้อมูล เพื่อประโยชน์ของตัวเองหรือกิจกรรมในครอบครัว
การดำเนินงานของหน่วยงานของรัฐที่มีหน้าที่รักษาความมั่นคงของรัฐ ซึ่งรวมถึง ความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับ การป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์
การเปิดเผยข้อมูลส่วนบุคคลเพื่อกิจการสื่อมวลชน ศิลปกรรม หรือวรรณกรรม ตามจริยธรรมของวิชาชีพหรือเป็นประโยชน์สาธารณะ
การทำงานของสภาผู้แทนราษฎร วุฒิสภา และรัฐสภา ในการพิจารณาตามอำนาจหน้าที่
การพิจารณาคดีของศาล และเจ้าหน้าที่ในกระบวนการยุติธรรม
การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิก
ข้อยกเว้นดังกล่าวทำให้เกิดการโจมตีจากนักวิชาการว่า แก่นแท้ของกฎหมายฉบับนี้ไม่ได้ให้ความคุ้มครองกับการล่วงละเมิดข้อมูลอย่างแท้จริงให้กับประชาชน
แล้วจริง ๆ กฎหมายฉบับนี้คุ้มครองหรือไม่คุ้มครองข้อมูลส่วนบุคคลกันแน่
ปัจจุบันมีการใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลอยู่ในหลายประเทศ โดยเฉพาะในอาเซียน ได้แก่ อินโดนีเซีย มาเลเซีย ฟิลิปปินส์ เวียดนาม ไทย ในขณะที่สหรัฐอเมริกาและสหภาพยุโรป ก็ประกาศใช้กฎหมายนี้เช่นกัน
สหภาพยุโรป (European Union: EU) ได้ออก GDPR ( General Data Protection Regulation) เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล บังคับใช้เมื่อ 25 พฤษภาคม ปี 2561 ใน Article 2 ของกฎหมายฉบับนี้ก็มีการกำหนดหลักการที่ไม่ให้บังคับใช้กฎหมาย GDPR กับการดำเนินงานเกี่ยวกับการรักษาความมั่นคงปลอดภัยด้วยเช่นกัน
เรียกว่าการยกเว้นการใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล เป็นหลักการที่ใช้กันในกฎหมายรูปแบบเดียวกัน แต่อาจจะแตกต่างการในเนื้อหาสาระ จึงไม่น่าจะสรุปว่า กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยเป็นกฎหมายที่ไม่ได้ให้ความคุ้มครองกับประชาชน แต่ก็ต้องยอมรับว่ากฎหมายฉบับนี้ยังไม่สมบูรณ์ เพราะยังต้องมีการออกกฎหมายลูกและกฎระเบียบต่างๆ เพื่อให้กฎหมายชัดเจนและสามารถใช้งานตอบโจทย์กับความต้องการที่แท้จริงของประชาชนได้
อย่างน้อยการที่ประเทศไทยมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ก็ถือเป็นก้าวแรกของการปกป้องและคุ้มครองสิทธิขั้นพื้นฐานของคนไทย จากที่ไม่เคยมีมาก่อน ส่วนการแก้ไขและปรับปรุงเป็นเรื่องที่ต้องเกิดขึ้นในอนาคตไปพร้อม ๆ กับการเรียนรู้ร่วมกันของคนไทย เมื่อประเทศไทยก้าวข้ามไปสู่ยุคของเศรษฐกิจดิจิทัล ที่ข้อมูลมีส่วนสำคัญต่อการขับเคลื่อนเศรษฐกิจ แต่จะออกแบบในการเลือกใช้และยินยอมให้ใช้ข้อมูลกันในรูปแบบใด เป็นเรื่องที่ต้องพัฒนาไปร่วมกันเพื่อให้กฎหมายสมบูรณ์และเหมาะสมกับสังคมไทยในอนาคต
คงต้องติดตามกันต่อไป เมื่อกฎหมายนี้มีผลใช้บังคับเต็มรูปแบบ หลัง พ.ร.ฎ.กำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับ แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2563 สิ้นสุดลงในวันที่ 31 พฤษภาคม 2565
ขอขอบคุณข้อมูลจาก : สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์Electronic Transactions Development Agency 10 ต.ค. 62
#ให้คำปรึกษาวางระบบฝึกอบรมตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล PDPA
🔻สอบถามข้อมูลเพิ่มเติมได้ที่🔻
เพจ : https://www.facebook.com/PDPA.Training
เว็บไซต์ : www.hrconsultant.training
ไลน์ : @hr.training.online
.
สนใจหลักสูตรอบรมเชิงปฏิบัติการ ทุกหน่วยงาน คลิก🔻
.
สนใจหลักสูตรทำระบบ คลิก🔻
.
สนใจหลักสูตร PDPA for HR คลิก🔻
.
สนใจหลักสูตร PDPA for IT คลิก🔻
.
ติดต่อเรา
Line@ : https://lin.ee/ZvXLMFE (@hr.training.online)
.
#พรบคุ้มครองข้อมูลส่วนบุคคล #PDPA #PDPAforHR #Training #ฝึกอบรม #TrainingOnline #PDPATraining #ConsentForm #PDPAคืออะไร #PDPAสรุป #PDPAพรบ #PDPAย่อมาจาก #กฎหมายPDPA #PDPAบังคับใช้ #Consentคือ #พรบคุ้มครองข้อมูลส่วนบุคคล2565 #กฎหมาย #ROPA
Comments