GDPR Vs ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

 

บทความฉบับที่แล้วผมได้ทิ้งท้ายไว้โดยเสนอให้รัฐบาลเร่งออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลเพื่อที่จะได้เป็นการคุ้มครองสิทธิตามที่ได้มีการบัญญัติรับรองไว้ในรัฐธรรมนูญแห่งราชอาณาจักรไทยทั้งฉบับปี 2550 และ 2560 วันนี้จึงต้องการมาขยายความเกี่ยวกับกฎหมายที่ไทยมีแนวโน้มว่าจะออกมา บังคับใช้ในเร็วๆ นี้ หลังจากที่ได้มีการเปิดรับฟังความคิดเห็นจากประชาชน โดยประเด็นที่จะพิจารณามีดังนี้ กฎหมายดังกล่าวมีหน้าตาอย่างไร สอดรับกับหลักที่กำหนดไว้ใน GDPR ของ EU หรือไม่ หากแตกต่างกันจะส่งผลกระทบในการบังคับใช้หรือไม่ อย่างไร และภาคธุรกิจรวมถึงประชาชนธรรมดาที่เป็นเจ้า ของข้อมูลส่วนบุคคล มีข้อควรระวังอย่างไรบ้างในการที่จะปฏิบัติเพื่อเป็นไปตามหน้าที่และสิทธิทางกฎหมายที่เกิดหรือกำลังจะเกิดขึ้นนี้
ประเด็นแรก ในร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ... ที่เพิ่งรับฟังความคิดเห็นจากประชาชนไปเมื่อเดือนมกราคม ที่มีจำนวนทั้งสิ้น 81 มาตรานั้น จากที่กล่าวในบทความที่แล้วว่าในร่างฉบับนี้ได้มีการนำหลักการสำคัญจาก GDPR มาบัญญัติรับรองไว้ในตัวร่าง พ.ร.บ. แล้วหลายเรื่อง เช่น สิทธิในการรับแจ้งข้อมูล (มาตรา 19) สิทธิในการเข้าถึงข้อมูล (มาตรา 25) สิทธิในการแก้ไข ลบ หรือจำกัดการใช้ข้อมูล (มาตรา 26) แต่ยังมีสิทธิบางประเภทที่ร่าง พ.ร.บ. ไม่ได้กล่าวถึงไว้คือ สิทธิในการปฏิเสธการให้ข้อมูลที่ระบุใน  GDPR article 21 รวมถึงสิทธิในการไม่อนุญาตให้ใช้ระบบการตัดสินใจดำเนินการอัตโนมัติตาม Article 22 รายละเอียดปรากฏตามตารางเปรียบเทียบระหว่าง GDPR กับร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

มีข้อสังเกตว่าสิทธิในการแก้ไข ลบ หรือจำกัดข้อมูลนั้นมีเนื้อหาต่างจากที่กำหนดไว้ใน GDPR อย่างมาก และอีกหนึ่งสิทธิที่ควรจะได้บัญญัติไว้คือสิทธิที่จะปฏิเสธการให้ใช้ข้อมูลโดยควรจะมีการกำหนดแยกสิทธินี้ไว้ด้วย ส่วนในสิทธิประเภทสุดท้ายนั้นควรมีการกำหนดไว้เพื่อมิให้ภาคธุรกิจใช้ช่องทางอัตโนมัติของระบบมาเป็นตัวแสวงประโยชน์ในการตัดสินใจของประชาชนผู้เป็นเจ้าของสิทธิ
นอกจากประเด็นที่ได้กล่าวมาข้างต้นแล้ว ผู้เขียนในฐานะที่เคยเป็นคณะอนุกรรมการยกร่างแก้ไข พ.ร.บ.ว่าด้วยการ กระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ที่ทางสำนักงานพัฒนา ธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) จึงอยากตั้งข้อสังเกตในร่างฉบับที่เพิ่งมีการรับฟังความคิดเห็นไป โดยเฉพาะประเด็นที่เป็นข้อกังวลใจเกี่ยวกับความแตกต่างกันของบทนิยามศัพท์ของกฎหมายทั้ง 2 ฉบับ ซึ่งในร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ได้กำหนดบทนิยามในมาตรา 5 วรรค 1 ว่า “ข้อมูลส่วนบุคคล” หมายความว่า “ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงการระบุเฉพาะ ชื่อ ตำแหน่ง สถานที่ทำงาน หรือที่อยู่ทาง ธุรกิจและข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ” ซึ่งแตกต่างจากบทนิยามศัพท์ของคำว่า “ข้อมูลส่วน บุคคล” (personal data) ใน Article 4 (1) ของ GDPR ที่ระบุชัดว่าเป็นข้อมูลส่วนบุคคลของบุคคลธรรมดา

โดยในส่วนท้ายของบทนิยามได้ยกตัวอย่างของข้อมูลที่คุ้มครอง เช่น ชื่อ เลขบัตรประชาชน และที่อยู่ เป็นต้น ซึ่งในส่วนนี้จะเห็นได้ว่ามีความแตกต่างกันอย่างชัดเจน ในประเด็นนี้ เนื่องจากผมยังคงศึกษาอยู่ในประเทศอังกฤษ จึงไม่ได้มีโอกาสเข้าร่วมกิจกรรมในการรับฟังความคิดเห็นในร่างพ.ร.บ.ฉบับดังกล่าว ซึ่งถือเป็นกิจกรรมที่ดี ที่โดยปกติทาง สพธอ. จะจัดให้มีการรับฟังความคิดเห็นในตัวกฎหมายที่ได้ผ่านการพิจารณาจากคณะยกร่างแล้ว โดยผมหวังว่าจะมีท่านผู้มีเกียรติที่ได้มีโอกาสเข้าร่วมงานได้ทักท้วงในประเด็นนี้แล้ว เหตุที่ผมเป็นกังวลเพราะในระหว่างที่เรายังไม่มีกฎหมายของไทยเอง ในภาคธุรกิจก็จะพยายามดำเนินการให้เป็นไปตามที่กำหนดใน GDPR เพื่อไม่ให้เกิดปัญหาในการดำเนินธุรกิจ
แต่หากว่าร่างกฎหมายฉบับนี้ที่มีบทนิยามศัพท์ซึ่งไม่รวมเอา ชื่อ ตำแหน่ง สถานที่ทำงาน หรือที่อยู่ทางธุรกิจ เข้ามาอยู่ในความหมายของคำว่า ข้อมูลส่วนบุคคล อันเป็นการขัดกับบทนิยามศัพท์ของ GDPR ได้มีการประกาศออกมาบังคับใช้แล้ว ย่อมต้องก่อให้เกิดความสับสนกับผู้ปฏิบัติได้ ในประเด็นนี้ถ้าจะมองว่าต้องถือตามที่กฎหมายไทยที่ได้ออกมาบังคับใช้ โดยไม่ต้องคำนึงถึงบทนิยามศัพท์ของ GDPR เพราะมิใช่กฎหมายของไทย

ในความเห็นส่วนตัวผมมองว่า มุมมองนี้จะถูกต้องหาก มองเรื่องนี้ผ่านมุมมองเรื่องอำนาจอธิปไตยและเขตอำนาจของศาลเพียงเท่านั้น แต่เนื่องจากเรื่องนี้ไม่สามารถที่จะมองข้ามโลกแห่งความเป็นจริงในการดำเนินธุรกิจได้ ดังนั้นหากกฎหมายไทยที่แตกต่างในลักษณะนี้ใช้บังคับ และภาคธุรกิจไทยได้ปฏิบัติตามกฎ หมายไทยที่แตกต่างจาก GDPR สุดท้ายหากเกิดปัญหาที่มีผล กระทบอันก่อให้เกิดความเสียหายสูงที่มาจากการละเมิดข้อกำหนดของ GDPR ก็ทำให้ภาคธุรกิจของไทยอาจถูกฟ้องดำเนินคดีในต่างประเทศได้ เพราะโทษปรับตามกฎหมายฉบับนี้สูงถึง 20 ล้านยูโร หรือประมาณ 780 ล้านบาท ซึ่งถือได้ว่าคุ้มค่าแน่ นอนหากจำเป็นต้องดำเนินคดีกันจริงๆ ดังนั้นในประเด็นนี้เพื่อลดความสับสนของภาคเอกชน จึงเสนอให้บทนิยามศัพท์ไม่ควรมีลักษณะขัดหรือแย้งกับที่ได้กำหนดไว้ใน GDPR

ในตอนนี้ GDPR ได้มีผลใช้บังคับแล้ว ผู้เขียนมีข้อแนะนำให้หน่วยงานซึ่งไม่ได้จำกัดอยู่แต่เฉพาะภาคเอกชนเท่านั้นที่มีบุคลากรในหน่วยงาน ลูกค้า หรือกลุ่มธุรกิจการค้าที่มีความจำเป็นต้องติดต่อกับพลเมืองของสหภาพยุโรป รีบดำเนินการขอความยินยอมในการจัดเก็บ การใช้ และถ่ายโอนข้อมูลส่วนบุคคล ของบุคคลต่างๆ ข้างต้น
ส่วนประชาชนผู้เป็นเจ้า ของข้อมูลส่วนบุคคล ผู้เขียนก็อยากตั้งข้อสังเกตเพื่อให้เกิดความระมัดระวังในการให้ความยินยอมเกี่ยวกับข้อมูลส่วนบุคคลของท่านสักนิดก่อนที่จะมีการกดปุ่มหรือลงนามเพื่อให้การอนุญาตใดๆ เพราะหนังสือยินยอมส่วนใหญ่โดยเฉพาะบริษัทขนาดใหญ่ หรือบริษัทข้ามชาติล้วนร่างโดยทนายความฝีมือดีทั้งนั้น และ เพื่อประโยชน์ของทางธุรกิจและเพื่อป้องกันปัญหาการละเมิดอันเนื่องมาจากการใช้ข้อมูลส่วนบุคคลของท่าน

ในหนังสือให้ความยินยอมจึงมีโอกาสสูงที่ข้อความด้านในจะมีการทำให้การยินยอมเพียงครั้งเดียวของท่าน กลายเป็นการให้ความยินยอมในการจัดเก็บ ใช้ประโยชน์ ถ่ายโอนข้อมูลให้กับทางบริษัท รวมถึงบริษัทในเครือและบริษัทคู่ค้า ซึ่งโดยหลักแล้วควรจะเป็นท่านผู้เป็นเจ้าของข้อมูลส่วนบุคคลเท่านั้นที่จะเป็นผู้ให้อนุญาตในแต่ละครั้ง มิใช่เป็นการให้ความยินยอมแบบรวมครั้งเดียวเช่นนี้ แต่หากท่านใดได้ให้ความยินยอมไปแล้วก็อย่าเพิ่งตกใจนะครับ ท่านยังมีสิทธิในการปฏิเสธการให้ใช้ข้อมูลรวมไปถึงสิทธิในการลบข้อมูลของท่านออกจากบริษัทต่างๆ ได้ดังนั้นท่านก็สามารถดำเนินการผ่านช่องทางเหล่านี้เพื่อแก้ปัญหาดังกล่าวได้อยู่

ถึงตรงนี้แล้วท่านผู้อ่านอาจคิดว่าทำไมเรื่องนี้มันดูยุ่งยากจัง นี่แหละครับโลกที่กำลังจะย่างเข้าสู่ยุค 5.0 เราค่อยๆ ร่วม กันเรียนรู้ไปด้วยกันแล้วอีกไม่นานท่านก็จะเริ่มชินไปเองครับ

คอลัมน์ :GDPR VS ร่างพ.ร.บ.คุ้มครอง ข้อมูลส่วนบุคคล |โดย...มาร์ค เจริญวงศ์ อัยการประจำสำนักงานอัยการสูงสุด |หน้า 7 หนังสือพิมพ์ฐานเศรษฐกิจ |ฉบับ 3371 ระหว่างวันที่ 3-6 มิ.ย.2561