บล็อกนี้ได้จัดทำขึ้น เพื่อรวบรวมคำอธิบายกฎหมาย บทความทางกฎหมาย ข้อมูลข่าวสารต่างๆ และสื่ออื่นๆ ที่เกี่ยวข้องกับกฎหมายไว้ใช้สำหรับการศึกษาวิชาทางกฎหมาย เพื่อเป็นประโยชน์และเป็นการแลกเปลี่ยนเรียนรู้ในผู้ศึกษาวิชากฎหมาย และบุคคลทั่วไป

วันอังคารที่ 4 กันยายน พ.ศ. 2555

กฏหมายข้อมูลส่วนบุคคล


กฏหมายข้อมูลส่วนบุคคล

ความนำ
        ในโลกปัจจุบันที่ข้อมูลเป็นสิ่งที่มีค่า แม้ในประเทศไทยจะมีกฎหมายหลายฉบับที่ควบคุมเกี่ยวกับข้อมูล โดยเฉพาะข้อมูลส่วนบุคคล แต่ก็หาครอบคลุมทั้งระบบไม่ โดยกฎหมายที่มีอยู่ในปัจจุบันที่สำคัญที่คุ้มครองข้อมูลส่วนบุคคล คือ พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ.๒๕๔๐ แต่พระราชบัญญัติดังกล่าวนั้นครอบคลุมเฉพาะข้อมูลส่วนบุคคลที่อยู่ในครอบครองของหน่วยงานของรัฐเท่านั้น ยังไม่ครอบคลุมถึงข้อมูลส่วนบุคคลที่อยู่ในมือของเอกชน แต่อย่างไรก็ตาม แม้จะมีกฎหมายบางฉบับที่คุ้มครองข้อมูลส่วนบุคคลในครอบครองของเอกชน แต่ก็ไม่ครอบคลุมทั้งระบบ เช่น ข้อมูลส่วนบุคคลที่อยู่ในการครอบครองของสถาบันการเงินอยู่ภายใต้พระราชบัญญัติการประกอบธุรกิจข้อมูลเครดิต พ.ศ.๒๕๔๕
        ในภาคเอกชนนั้นมีการจัดเก็บข้อมูลส่วนบุคคลของผู้ที่ติดต่อกับบริษัทห้างร้านเป็นประจำ หากการจัดเก็บนั้นเป็นไปเพื่อประโยชน์ของบริษัทห้างร้านนั้น ๆ ก็คงไม่สร้างความเดือดร้อนให้แก่บุคคลอื่น แต่สภาพความเป็นจริงในปัจจุบันหาเป็นเช่นนั้นไม่ สังเกตได้จากการที่บุคคลบ้างคนจะได้รับจดหมายเสนอขายสินค้าในราคาพิเศษ เสนอให้สมัครเข้าเป็นสมาชิกกิจกรรมบ้างอย่างโดยไม่ต้องปฏิบัติตามเงื่อนไขปกติ ฯลฯ ซึ่งผู้รับจดหมายนั้นก็คงรู้สึกว่า เหตุใดจึงได้รับสิทธิพิเศษเช่นนั้น ซึ่งก็คาดหมายได้ไม่ยากนักว่า ข้อมูลส่วนบุคคลเกี่ยวกับสถานะทางการเงิน สถานะทางสังคม ของผู้รับจดหมายนั้นถูกผู้ส่งจดหมายล่วงรู้ แต่มีปัญหาว่า ผู้ส่งจดหมายล่วงรู้ข้อมูลเหล่านั้นได้อย่างไร ซึ่งก็มีการคาดการณ์ต่าง ๆ นานา นับตั้งแต่ อาจมีเอกชนบ้างรายรับหน้าที่จัดหาข้อมูลส่วนบุคคลให้แก่บริษัทห้างร้านที่ต้องการ โดยเฉพาะในการติดต่อเพื่อประโยชน์ในทางการตลาด เพราะหากไม่มีข้อมูลดังกล่าว ก็คงต้องเสียเวลาในการเจาะกลุ่มลูกค้า
        ความตื่นตัวด้านข้อมูลส่วนบุคคลในประเทศไทยนั้นนับว่ายังน้อยอยู่มาก สังเกตได้จาก การหาข้อมูลส่วนบุคคลของบุคคลใดบุคคลหนึ่งนั้นไม่ยากจนเกินไปที่จะแสวงหาได้ ท่านผู้อ่านท่านใดที่อยากทราบว่าท่านเป็นบุคคลที่ทำกิจกรรมใดบ้าง ท่านก็อาจสามารถเข้าไปใน www.google.com แล้วพิมพ์ชื่อของท่าน เว็บดังกล่าวจะค้นหาให้ท่านจากระบบอินเตอร์เน็ตทุกเว็บที่มีการกล่าวถึงชื่อท่าน แล้วท่านจะพบความอัศจรรย์ของข้อมูลดังกล่าว บางข้อมูลนั้นจัดว่าเป็นข้อมูลส่วนบุคคลที่ท่านอาจไม่ประสงค์จะเปิดเผยก็อาจเป็นได้
        อย่างไรก็ดี ในภาครัฐได้มีการริเริ่มดำเนินการยกร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยเฉพาะที่อยู่ในการครอบครองของเอกชน

ความเป็นมาของร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
        คณะรัฐมนตรีได้มีมติเมื่อวันที่ ๑๕ ธันวาคม ๒๕๔๑ เห็นชอบหลักการโครงการพัฒนากฎหมายเทคโนโลยีสารสนเทศที่กระทรวงวิทยาศาสตร์ เทคโนโลยีและสิ่งแวดล้อม เสนอ ดำเนินการตาม และมอบให้กระทรวงวิทยาศาสตร์ฯ เป็นศูนย์กลางดำเนินการและประสานงานระหว่างหน่วยงานต่าง ๆ ที่กำลังดำเนินการจัดทำกฎหมายเทคโนโลยีสารสนเทศและกฎหมายอื่น ๆ ที่เกี่ยวข้องด้วย ซึ่งกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นหนึ่งในกฎหมายที่ยกร่างขึ้นนั้น
        ต่อมาในเดือนธันวาคม ๒๕๔๔ กระทรวงวิทยาศาสตร์ เทคโนโลยีและสิ่งแวดล้อมได้มีหนังสือถึงเลขาธิการคณะรัฐมนตรี เสนอร่างพระราชบัญญัติว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. …. เพื่อนำเสนอคณะรัฐมนตรี แต่ตามขั้นตอนต้องส่งร่างพระราชบัญญัติดังกล่าวให้หน่วยงานรัฐต่าง ๆ ที่เกี่ยวข้องให้ความเห็นเสียก่อน ผลของการให้ความเห็นปรากฏว่ามีความเห็นขัดแย้งกัน จึงต้องพิจารณาเพื่อให้ได้ข้อยุติก่อนนำเสนอคณะรัฐมนตรีต่อไป
        หลังจากนั้นในเดือนตุลาคม ๒๕๔๕ ได้มีการปรับปรุงโครงสร้างกระทรวง ทบวง กรม โดยมีการจัดตั้งกระทรวงเทคโนโลยีสารสนเทศและการสื่อการ ขึ้น ทำให้งานเกี่ยวกับการยกร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล อยู่ในความรับผิดชอบของกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร โดยมีศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (เนคเทค) เป็นผู้รับผิดชอบ และได้มีการจัดตั้งคณะอนุกรรมการเฉพาะกิจยกร่างกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
        สถานะในปัจจุบันของร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล คือ อยู่ในระหว่างการดำเนินการของคณะทำงานเพื่อศึกษาประเด็นปัญหากฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งก็กำลังเร่งการทำงาน และได้มีการรับฟังความเห็นของหน่วยงานทั้งภาครัฐและภาคเอกชนที่เกี่ยวข้องอยู่บ่อยครั้ง

สาระของร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
        ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลยกร่างขึ้นในร่างแรก ๆ โดยอาศัยแนวทางขององค์การเพื่อความร่วมมือทางเศรษฐกิจและการพัฒนา (Organization for Economic Cooperation and Development) หรือ OECD และ Directive ๙๕/๔๖/EC of the European Parliament and of the Council of ๒๔ October ๑๙๙๕ on the protection of individuals with regard to the processing of personal data and on the free movement of such data ของสหภาพยุโรป โดยเน้นที่ประเทศอิตาลีเป็นสำคัญ และต่อมาในการพิจารณาได้มีการอาศัยเทียบเคียงกับกฎหมายของอีกหลายประเทศ เช่น เยอรมัน อังกฤษ ออสเตรียเลีย ฮ่องกง เป็นต้น
        สาระสำคัญของร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลต่อไปนี้ เป็นการพิจารณาต่างร่างที่ผ่านความเห็นชอบของคณะกรรมการเทคโนโลยีสารสนเทศแห่งชาติ เมื่อวันที่ ๓ ตุลาคม ๒๕๔๔

เจตนารมณ์ของร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
        ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลมีเจตนารมณ์เพื่อให้ความค้มครองข้อมูลส่วนบุคคล โดยการกำหนดหลักเกณฑ์การเก็บรวบรวม ใช้ และเปิดเผย ข้อมูลส่วนบุคคล ที่อยู่ในความครอบครองของหน่วยงานเอกชน ให้เป็นไปตามที่กฎหมายบัญญัติ รวมทั้งกำหนดกลไกในการกำกับดูแล เพราะความก้าวหน้าทางเทคโนโลยีในปัจจุบันทำให้มีการละเมิดข้อมูลส่วนบุคคลได้ง่าย สะดวก และรวดเร็ว

ขอบเขตของร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
        ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล กำหนดไว้ในมาตรา ๓ ว่า บุคคลย่อมได้รับความคุ้มครองข้อมูลส่วนบุคคลตามที่กำหนดไว้ในพระราชบัญญัตินี้ เว้นแต่ในกรณีที่มีกฎหมายหรือกฎเกณฑ์ใดที่มีสภาพบังคับในการกำหนดหลักเกณฑ์เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเรื่องใดไว้โดยเฉพาะ และมีหลักประกันความเป็นธรรมและมาตรฐานไม่ต่ำกว่าที่กำหนดในพระราชบัญญัตินี้
        ข้อสังเกต ขอบเขตของร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลข้างต้นทำให้ครอบคลุมทั้งข้อมูลส่วนบุคคลที่อยู่ในครอบครองของหน่วยงานรัฐและเอกชน ทั้ง ๆ ที่ในกรณีข้อมูลส่วนบุคคลนั้นมีกฎหมายกำหนดไว้เป็นการเฉพาะแล้ว คือ พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ.๒๕๔๐ ซึ่งคงต้องมีการพิจารณาในประเด็นของขอบเขตของร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลว่า เหมาะสมหรือไม่ที่จะให้คงขอบเขตดังกล่าวไว้ หรือจะจำกัดขอบเขตให้ครอบคลุมเฉพาะข้อมูลส่วนบุคคลที่อยู่ในครอบครองของเอกชนเท่านั้น

ความหมายของข้อมูลส่วนบุคคลที่จะได้รับความคุ้มครอง
        ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ให้คำนิยามของ “ข้อมูลส่วนบุคคล” ที่จะได้รับความคุ้มครองไว้ว่า “หมายความว่า ข้อเท็จจริงเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม”
        ข้อสังเกต ปกติความเป็นส่วนตัวอันเป็นข้อมูลส่วนบุคคลนั้น จะมีได้เฉพาะแต่บุคคลธรรมดาเท่านั้น ไม่มีอยู่ในนิติบุคคล แต่ในร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ไม่ได้บัญญัติชัดว่าข้อมูลส่วนบุคคลนั้นหมายถึงแต่เฉพาะของบุคคลธรรมดาเท่านั้น ทำให้อาจเกิดการตีความในภายหลังได้ว่า “บุคคล” หมายถึงทั้งบุคคลธรรมดาและนิติบุคคลได้

การให้ความคุ้มครองข้อมูลส่วนบุคคล
(๑) การเก็บรวบรวม ใช้ เปิดเผย แก้ไขเปลี่ยนแปลง ลบ หรือกระทำการใด ๆ ต่อข้อมูลส่วนบุคคลชอบที่จะปฏิบัติได้ต่อเมื่อได้ปฏิบัติตามหลักเกณฑ์ทีบัญญัติไว้ในพระราชบัญญัตินี้ ซึ่งหมายความว่า จะมีการจัดเก็บข้อมูลส่วนบุคคลของบุคคลต่าง ๆ ได้ ต่อเมื่อมีกฎหมายให้อำนาจไว้
(๒) การเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อบันทึกหรือพิมพ์เผยแพร่จะกระทำมิได้ เว้นแต่
-เป็นการเก็บรวบรวมภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย ซึ่งเกี่ยวข้องโดยตรงกับกิจกรรมของผู้เก็บรวบรวม และ
-การเก็บรวบรวมข้อมูลนั้น กระทำเพียงเท่าที่จำเป็น ตามกรอบวัตถุประสงค์ในการเก็บรวบรวม
(๓) ในกรณีที่ผู้เก็บรวบรวมข้อมูลทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อบันทึกหรือพิมพ์เผยแพร่ ผู้เก็บรวบรวมข้อมูลจะต้องแจ้งให้แก่บุคคลที่เกี่ยวข้องทราบ ในขณะนั้นหรือในทันทีเมื่อเก็บรวบรวมข้อมูลส่วนบุคคลนั้นแล้วเสร็จถึงรายละเอียด ดังต่อไปนี้
-วัตถุประสงค์ของการเก็บรวบรวม
-บทบัญญัติของกฎหมายที่อนุญาตหรือกำหนดให้มีการเก็บรวบรวม
-บุคคลหรือหน่วยงานซึ่งผู้เก็บรวบรวมมีหน้าที่จะต้องเปิดเผยข้อมูลส่วนบุคคลนั้นให้แก่บุคคลหรือหน่วยงานดังกล่าว
(๔) ห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ประวัติสุขภาพ หรือข้อมูลอื่นใดซึ่งกระทบความรู้สึกของผู้อื่นหรือประชาชนตามที่คณะกรรมการประกาศกำหนด โดยปราศจากความยินยอมจากเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้อง เว้นแต่
-กระทำเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพของบุคคล
-กระทำโดยองค์กรที่ไม่แสวงหากำไร โดยข้อมูลดังกล่าวเกี่ยวข้องกับสมาชิกขององค์กรนั้น และได้แจ้งให้บุคคลนั้นทราบก่อนหรือในขณะเก็บข้อมูลว่าจะไม่เปิดเผยข้อมูลดังกล่าวโดยไม่ได้รับความยินยอม
-กระทำเพื่อประโยชน์การศึกษาวิจัย การวิเคราะห์ทางสถิติที่เกี่ยวกับวิทยาศาสตร์หรือสุขภาพโดยรวมของประชาชน
(๕) ในกรณีที่ผู้เก็บรวบรวมข้อมูลทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อบันทึก หรือพิมพ์เผยแพร่ ถ้าข้อมูลดังกล่าวเป็นข้อมูลที่เผยแพร่ทั่วไป ผู้เก็บรวบรวมข้อมูลจะต้องดำเนินการเพื่อให้บุคคลที่เกี่ยวข้องมั่นใจได้ว่าการเก็บรวบรวมนั้นสอดคล้องตามวัตถุประสงค์ที่กำหนด ทันสมัย ครบถ้วน และไม่ล่วงล้ำหรือก้าวก่ายกิจการส่วนตัวของบุคคลที่เกี่ยวข้อง
(๖) ผู้ครอบครองหรือควบคุมบันทึกข้อมูลส่วนบุคคลต้องดำเนินการดังนี้
-กำหนดให้มีมาตรการรักษาความปลอดภัย ไม่ให้ข้อมูลส่วนบุคคลสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข เปิดเผยโดยปราศจากอำนาจ หรือนำไปใช้โดยมิชอบ และ
-ในกรณีที่ต้องให้บันทึกข้อมูลส่วนบุคคลแก่บุคคลอื่น ต้องดำเนินการเพื่อป้องกันมิให้บุคคลนั้นใช้ หรือเปิดเผยบันทึกข้อมูลส่วนบุคคลโดยปราศจากอำนาจ
(๗) ผู้ครอบครองหรือควบคุมบันทึกข้อมูลส่วนบุคคล ต้องจัดทำรายการดังต่อไปนี้ ให้เจ้าของข้อมูลหรือคณะกรรมการตรวจสอบได้ ทั้งนี้ เว้นแต่จะมีกฎหมายกำหนดไว้เป็นอย่างอื่น
-ลักษณะของข้อมูลที่มีการเก็บบันทึก
-วัตถุประสงค์ของการเก็บบันทึกแต่ละประเภท
-ประเภทของบุคคลที่มีการจัดเก็บข้อมูลไว้
-ระยะเวลาการเก็บข้อมูลแต่ละประเภท
-เงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลนั้น ๖) ขั้นตอนที่กำหนดให้ต้องดำเนินการเมื่อมีการขอเข้าถึงข้อมูลส่วนบุคคล
-บุคคลที่เกี่ยวข้องมีสิทธิขอเข้าถึงบันทึกข้อมูลส่วนบุคคลที่เกี่ยวกับตน ซึ่งผู้ครอบครองหรือควบคุมบันทึกข้อมูลส่วนบุคคลมีอยู่ เว้นแต่เป็นการขัดหรือแย้งกับบทบัญญัติแห่งกฎหมายอื่น
(๙) ผู้ครอบครองหรือควบคุมบันทึกข้อมูลส่วนบุคคล ต้องดำเนินการแก้ไข ลบ หรือเพิ่มเติมบันทึกข้อมูลส่วนบุคคล เพื่อให้ข้อมูลส่วนบุคคลนั้นถูกต้อง ทันสมัย สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด เว้นแต่จะมีกฎหมายกำหนดไว้เป็นอย่างอื่น
-ในกรณีที่ผู้ครอบครองหรือควบคุมบันทึกข้อมูลส่วนบุคคล ไม่ทำการแก้ไข ลบ หรือเพิ่มเติมตามที่บุคคลที่เกี่ยวข้องร้องขอ และไม่มีกฎหมายกำหนดให้ต้องแก้ไข ผู้นั้นต้องบันทึกข้อความของบุคคลเกี่ยวข้องที่ให้ทำการแก้ไข ลบ หรือเพิ่มเติมข้อมูลส่วนบุคคลไว้กับข้อมูลนั้น
(๑๐) ผู้ครอบครองหรือควบคุมบันทึกข้อมูลส่วนบุคคล จะใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่อยู่ในครอบครองหรือควบคุมดูแลของตนต่อผู้อื่นโดยปราศจากความยินยอมจากเจ้าของข้อมูลที่ไว้ก่อนหรือในขณะนั้นมิได้ เว้นแต่กรณีดังต่อไปนี้
-ใช้ข้อมูลส่วนบุคคลตามปกติภายใต้วัตถุประสงค์ของการจัดให้มีการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือเป็นการจำเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการจัดเก็บข้อมูลส่วนบุคคล
-เปิดเผยข้อมูลส่วนบุคคลต่อหน่วยงานของรัฐที่มีอำนาจหน้าที่ด้านการวางแผนหรือการสถิติหรือสำมะโนต่าง ๆ ซึ่งมีหน้าที่ต้องรักษาข้อมูลส่วนบุคคลไว้ไม่ให้เปิดเผยต่อไปยังผู้อื่น
-ให้ข้อมูลส่วนบุคคลเพื่อประโยชน์ในการศึกษาวิจัยโดยไม่ระบุชื่อหรือส่วนที่ทำให้รู้ว่าเป็นข้อมูลส่วนบุคคลที่เกี่ยวกับบุคคลใด
-เปิดเผยข้อมูลส่วนบุคคลต่อเจ้าหน้าที่ของรัฐ เพื่อป้องกันการฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายว่าด้วยการสืบสวน การสอบสวน หรือการฟ้องคดี ไม่ว่าเป็นคดีประเภทใดก็ตาม
-ให้ข้อมูลส่วนบุคคลต่อศาล และเจ้าหน้าที่ของรัฐหรือหน่วยงานของรัฐหรือบุคคลที่มีอำนาจตามกฎหมายที่จะขอข้อมูลส่วนบุคคลนั้น
-ให้ข้อมูลส่วนบุคคลต่อศาล และเจ้าหน้าที่ของรัฐหรือหน่วยงานของรัฐหรือบุคคลที่มีอำนาจตามกฎหมายที่จะขอข้อมูลส่วนบุคคลนั้น
(๑๑) ห้ามมิให้มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศซึ่งมิได้มีบทบัญญัติในการให้ความคุ้มครองข้อมูลส่วนบุคคลในระดับที่เท่าเทียมกันในสาระสำคัญเช่นเดียวกับบทบัญญัติแห่งพระราชบัญญัตินี้ เว้นแต่ในกรณีดังต่อไปนี้
-ได้รับความยินยอมจากเจ้าของข้อมูล
-เป็นความจำเป็นเพื่อชำระหนี้ตามความผูกพันที่เป็นผลของสัญญา ซึ่งเจ้าของข้อมูลเป็นคู่สัญญา หรือเป็นสัญญาระหว่างหน่วยงานกับบุคคลอื่นที่เป็นไปเพื่อประโยชน์ของเจ้าของข้อมูล
-กระทำเพื่อประโยชน์ของบุคคลซึ่งไม่สามารถให้ความยินยอมได้

จริยธรรมในการคุ้มครองข้อมูลส่วนบุคคล
        ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลได้วางหลักเกณฑ์เพื่อให้ภาคเอกชนสร้างกลไกในการให้ความคุ้มครองข้อมูลส่วนบุคคลของตนเอง ทั้งนี้เพื่อให้สอดคล้องกับแนวปฏิบัติที่มีอยู่เดิม และมิให้เป็นการสร้างภาระเพิ่มเติมให้กับภาคเอกชนในกรณีที่กฎหมายประกาศใช้ โดยประมวลจริยธรรมดังกล่าวนั้นจะต้องไม่ฝ่าฝืนหลักเกณฑ์ที่กฎหมายกำหนด

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
        ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลกำหนดให้มีการจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลขึ้นมาคณะหนึ่ง เพื่อกำกับดูแลให้มีการปฏิบัติตามกฎหมายหรือประมวลจริยธรรมที่ภาคเอกชนกำหนด โดยมีอำนาจที่สำคัญ ๓ ประการ คือ
(๑) การกำหนดนโยบาย
(๒) การวางหลักเกณฑ์ และแนวปฏิบัติต่าง ๆ
(๓) การวินิจฉัยข้อพิพาท
การร้องเรียน และการอุทธรณ์
        ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลได้กำหนดให้ในกรณีที่บุคคลที่ถูกกระทบสิทธิร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อบังคับให้เป็นไปตามสิทธิของตน และผู้ถูกกระทบสิทธิยังอาจดำเนินการตามกฎหมายอื่นได้อีก นอกจากนั้น ในกรณีที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเข้าตรวจสอบด้วยตนเองกรณีที่มีเหตุอันควรสงสัยว่าการดำเนินการใด ๆ เกี่ยวกับข้อมูลส่วนบุคคลอาจก่อให้เกิดความเสียหายแก่บุคคลที่เกี่ยวข้อง และหากพบ คณะกรรมการมีอำนาจดังนี้
(๑) สั่งห้ามการดำเนินการดังกล่าว
(๒) สั่งให้หน่วยงาน ผู้เก็บรวบรวม ผู้ครอบครอง หรือควบคุมข้อมูลส่วนบุคคลกระทำการใด ๆ ภายใต้เงื่อนไขที่คณะกรรมการกำหนด
(๓) ในกรณีที่การดำเนินการไม่สามารถแก้ไขเปลี่ยนแปลงได้ อาจสั่งให้หน่วยงาน ผู้เก็บรวบรวม ผู้ครอบครอง หรือควบคุมข้อมูลส่วนบุคคล ทำลายหรือจะจัดให้มีการทำลายการดำเนินการดังกล่าว

สำนักงานคณะกรรมการข้อมูลส่วนบุคคล
        ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล กำหนดให้มีการจัดตั้งสำนักงานคณะกรรมการข้อมูลส่วนบุคคล เป็นหน่วยงานของรัฐ ทำหน้าที่เป็นหน่วยธุรการของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีสถานะเป็นนิติบุคคล

ความรับผิดทางแพ่ง
        ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ได้นำแนวคิดในเรื่องความรับผิดเด็ดขาดมาใช้ในความรับผิดทางแพ่งในกรณีที่มีการก่อให้เกิดความเสียหายแก่ผู้ถูกเก็บข้อมูลส่วนบุคคลหรือบุคคลอื่นที่เกี่ยวข้อง โดยกำหนดเป็นหลักการสำคัญไว้ว่า การดำเนินการใด ๆ เกี่ยวกับข้อมูลส่วนบุคคลด้วยประการใด ๆ ที่ก่อให้เกิดความเสียหายต่อบุคคลที่เกี่ยวข้อง ผู้เก็บรวบรวมข้อมูลหรือผู้ครอบครองหรือควบคุมบันทึกข้อมูลส่วนบุคคลนั้นต้องชดใช้ค่าสินไหมทดแทนเพื่อการนั้น ไม่ว่าการดำเนินการนั้นจะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อของผู้เก็บรวบรวมข้อมูลหรือผู้ครอบครองหรือควบคุมบันทึกข้อมูลส่วนบุคคลหรือไม่ก็ตาม เว้นแต่ผู้นั้นจะพิสูจน์ได้ว่าการดำเนินการเช่นว่านั้นเกิดจาก
(๑) เหตุสุดวิสัย
(๒) การกระทำตามคำสั่งของรัฐบาลหรือเจ้าพนักงานของรัฐ
(๓) การกระทำหรือละเว้นการกระทำของบุคคลที่เกี่ยวข้องหรือบุคคลอื่นนั้นเอง
(๔) การดำเนินการครบถ้วนตามประมวลจริยธรรมที่ตนจัดทำขึ้น

        ข้อสังเกต หากร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลใช้บังคับ บทบัญญัติข้างต้น เอกชนผู้จัดเก็บข้อมูลส่วนบุคคลต้องระมัดระวังในการปฏิบัติตามกฎหมายนี้อย่างเข้มงวด เพราะอาจทำให้ต้องรับผิดในทางแพ่งได้โดยง่าย

โทษทางอาญา
        ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ได้กำหนดความผิดเกี่ยวกับการปฏิบัติฝ่าฝืนร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลไว้หลายกรณี ที่สำคัญ เช่น
(๑) ผู้ใดดำเนินการใด ๆ เกี่ยวกับข้อมูลส่วนบุคคลเพื่อให้ตนเองหรือผู้อื่นได้รับประโยชน์อันมิชอบด้วยกฎหมาย หรือเพื่อให้ผู้อื่นเสียหาย ต้องระวางโทษจำคุกไม่เกินสามปี หรือปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ
(๒) ผู้ใดเพื่อให้ตนเองหรือผู้อื่นได้รับประโยชน์ หรือเพื่อให้ผู้อื่นเสียหาย ทำการเผยแพร่ข้อมูลส่วนบุคคลโดยเฉพาะเจาะจงหรือโดยเปิดเผย อันเป็นการฝ่าฝืนบทบัญญัติตามมาตรา ๑๕ ต้องระวางโทษจำคุกไม่เกินสามปี หรือปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ

 บทส่งท้าย
        เมื่อพิจารณาร่างพระราชบัญญัติคุ้มครอบข้อมูลส่วนบุคคล แล้วพบว่า หากมีการประกาศใช้เป็นกฎหมายโดยมีเนื้อหาสาระในทำนองที่กล่าวมาข้างต้น จะส่งผลกระทบต่อการจัดเก็บและเปิดเผยข้อมูลส่วนบุคคลที่จัดเก็บโดยภาคเอกชนโดยตรง ซึ่งแต่เดิมไม่มีกฎหมายควบคุม จึงน่าจับตามองร่างกฎหมายนี้อย่างใกล้ชิดว่าจะมีเนื้อหาสาระที่แน่นอนในทิศทางใด เพื่อเตรียมการรองรับเมื่อกฎหมายใช้บังคับ เพราะกฎหมายได้กำหนดผลการฝ่าฝืนไว้ทั้งความรับผิดทางแพ่งและทางอาญา
        อย่างไรก็ดี ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ยังมีหลายประเด็นที่จำเป็นต้องได้รับการพิจารณา ซึ่งต้องติดตามต่อไป โดยเฉพาะในประเด็นดังต่อไปนี้
(๑) ขอบเขตของกฎหมาย ในประเด็นที่ว่า ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล จะครอบคลุมทั้งข้อมูลส่วนบุคคลที่อยู่ในการครอบครองของรัฐและเอกชน หรือจะจำกัดเฉพาะข้อมูลส่วนบุคคลที่อยู่ในการครอบครองของเอกชนเท่านั้น
(๒) การตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลขึ้นเพียงคณะเดียว มีหน่วยงานรัฐอื่นแสดงความเห็นว่า การมีกรรมการชุดเดียวที่มีอำนาจทั้งออกระเบียบ วางนโยบาย และวินิจฉัยข้อพิพาทที่เกิดขึ้น ทำให้ไม่มีการตรวจสอบและถ่วงดุลการปฏิบัติหน้าที่ของกรรมการ จึงมีการเสนอให้มีกรรมการ ๒ ชุด แยกหน้าที่ในการวางระเบียบออกจากหน้าที่ในการวินิจฉัยข้อพิพาท
(๓) สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ที่มีการจัดตั้งขึ้นใหม่เป็นเอกเทศตามร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มีความเห็นจากหน่วยงานรัฐอื่นว่า ไม่เหมาะสม ควรดำเนินการให้หน่วยงานที่ดูแลกฎหมายเกี่ยวกับเทคโนโลยีสารสนเทศทั้งหมด รวมอยู่ที่หน่วยงานเพียงหน่วยเดียวเพื่อความเป็นเอกภาพ

ขอขอบคุณข้อมูลจาก
คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย โดย รองศาสตราจารย์มานิตย์ จุมปา

ไม่มีความคิดเห็น:

แสดงความคิดเห็น