คุยเฟื่องเรื่อง (ร่าง) พรบ.คุ้มครองข้อมูลส่วนบุคคล

คุยเฟื่องเรื่อง (ร่าง) พรบ.คุ้มครองข้อมูลส่วนบุคคล

เมื่ออุปกรณ์อิเล็กทรอนิกส์และเทคโนโลยีสารสนเทศที่ทันสมัยเข้ามามีบทบาทกับชีวิตประจำวันของเราทั้งในเรื่องงานและเรื่องส่วนตัว ข้อมูลมากมายจึงถูกเก็บรวบรวมไว้ในอุปกรณ์ไอที หรือไม่ก็บนระบบสุดไฮเทค ซึ่งเป็นการเพิ่มความเสี่ยงให้ข้อมูลนั้นถูกนำไปเปิดเผยเพื่อแสวงหาผลประโยชน์โดยไม่ได้รับความยินยอมจากเจ้าของ จนอาจสร้างความเดือนร้อนเสียหายไม่ว่าจะเป็นชื่อเสียง เงินทอง หรือความรำคาญใจ เช่น แอบเอาข้อมูลส่วนบุคคลไปขายให้บริษัทบัตรเครดิตหรือบริษัทขายตรงต่างๆ หรือ มีการลักลอบนำบทสนทนาใน Line ส่วนตัวมาโพสต์ประจานต่อสาธารณะ เป็นต้น

ดังนั้น หน่วยงานด้านกฏหมายของรัฐจึงจำเป็นต้องให้ความคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามรัฐธรรมนูญแห่งราชอาณาจักรไทย ซึ่งตลอดช่วงเวลาที่รัฐบาลคณะต่างๆ หมุนเปลี่ยนวาระกันไป ต่างก็มีความพยายามผลักดันกฏหมายดังกล่าวแต่จนแล้วจนรอดก็ยังคงไม่ประสบผลสำเร็จ จวบจนถึงขณะนี้ รัฐบาลชุดปัจจุบันและคณะ คสช. ก็กำลังสานต่อโดยนำเสนอร่างกฏหมายฉบับนี้เข้าสู่วาระการพิจารณาของสภานิตินบัญญัติแห่งชาติ (สนช.)  เพื่อที่จะได้ตราออกเป็นกฏหมายและประกาศบังคับใช้งานต่อไป

วันนี้ผมจึงขอสรุปสาระสำคัญที่ระบุไว้ใน (ร่าง) พรบ.คุ้มครองข้อมูลส่วนบุคคล เพื่อให้คุณได้รับทราบและทำความเข้าใจเบื้องต้น ดังนี้

สาระสำคัญของกฎหมายที่ควรรู้..

o กฏหมายนี้มีชื่อว่า   “(ร่าง) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ….”  บังคับใช้หลักจากประกาศในราชกิจจานุเบกษา 180 วัน

o (ร่าง) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ประกอบไปด้วย 6 หมวด 61 มาตรา

o “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับสิ่งเฉพาะตัวของบุคลล เช่น การศึกษา ฐานะการเงิน ประวัติสุขภาพ ประวัติอาชญากรรม ประวัติการทำงาน หรือประวัติกิจกรรมที่มีชื่อบุคคลนั้นหรือมีเลขหมาย รหัส หรือสิ่งบอกลักษณะอื่นที่ทำให้รู้ตัวบุคคลนั้นได้ เช่น ลายพิมพ์นิ้วมือ แผ่นบันทึกลักษณะเสียงของคน หรือรูปถ่าย และให้หมายความรวมถึงข้อมูลเกี่ยวกับสิ่งเฉพาะตัวของผู้ที่ถึงแก่กรรมแล้วด้วย

o “ผู้ควบคุมข้อมูลส่วนบุคคล”  หมายความว่า  ผู้ที่ทำหน้าที่รับผิดชอบในการเก็บ รวบรวม และควบคุมการใช้และการเปิดเผยข้อมูลส่วนบบุคคล

o พระราชบัญญัตินี้ไม่ใช้บังคับแก่ หน่วยงานของรัฐที่อยู่ภายใต้กฏหมายว่าด้ยข้อมูลข่าวสารของราชการ  บุคคลหรือนิติบุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อใช้ประโยชน์ส่วนตนหรือนิติบุคคเท่านั้น  บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมเท่านั้น

o ”คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล”  จะเป็นคนกำหนดนโยบาย มาตรการ หรือแนวทางการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล กำหนดหลักเกณฑ์ใบรับรองและมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล  รวมถึงหลักปฎิบัติอื่นใดตาม พรบ. ฉบับนี้กำหนดขึ้น

o มาตรา 16  ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบบุคลไม่ได้หากเจ้าขงข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอม เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฏหมายอื่นบัญญัติให้กระทำได้

o มาตรา 17 ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ดูแลรักษาความมั่นคงปลอดภัยมิให้ข้อมูลส่วนบุคคลสุญหาย ถูกแก้ไขหรือเปลี่ยนแปลง   และมีหน้าที่ดูแลข้อมูลส่วนบุคคลที่ใช้หรือเปิดเผยให้มีความถูกต้อง ครบถ้วน และเป็นปัจจุบัน

o มาตรา 19 การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีดังต่อไปนี้ให้ผู้ควบคุมข้อมูลส่วนบุคคลได้รับการยกเว้นไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เช่น  เป็นการปฎิบัติตามกฏหาย เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคลและการยินยิมไม่สามารถดำเนินการได้ในวลานั้น  เพื่อประโยชน์ที่เกียวกับชีวิต สุขภาพ หรือความปลอดภัยของเจ้าของข้อมูล  เพื่อประโยชน์แก่การสอบสอนตามประมวลกฏหมายอาญา  เพื่อประโยชน์การศึกษาวิจัยหรือสถิติและได้เก็บข้มูลไว้เป็นความลับ  กรณือื่นตามที่กำหนดในกฏกระทรวง

o มาตรา 20  ให้คณะกรรมการมีอำนาจประกาศกำหนดประมวลจริยธรรมเพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฎิบัติตามเกี่ยวกับการคุ้มครอง  การเก็บรักษา การลบหรือการทำลายข้อมูล  การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลที่ถูกต้อง ไม่เลือกปฎิบัติ ไม่ผิดกฎหมายหรือวัตถุประสงค์ 

o มาตรา 23 ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมข้อมูลส่วนบุคคลอันมีลักษณะต้องห้าม ดังเช่น  ข้อมูลเกี่ยวกับพฤติกรรมทางเพศ ประวัติอาชญากรรม ประวัติสุขภาพ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา  หรือข้อมูลอื่นตามที่กำหนดในกฏกระทรวง เป็นต้น  ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมข้อมูลส่วนบุคคลอันมีลักษณะต้องห้ามได้เมื่อได้รับความยินยอมเป็นหนังสือจากเจ้าของข้อมูลส่วนบุคคลหรือในกรณีที่ พรบ. นี้ได้กำหนดไว้

o มาตรา 24 ในการเก็บรวบรวมข้อมูลส่วนบุคคล ให้ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งต่อเจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะที่จะดำเนินการถึงรายละเอียด ดังต่อไปนี้  ชื่อ สถานที่และสถานภาพของผู้ควบคุมข้อมูลส่วนบุคคล  วัตถุประสงค์การเก็บรวบรวม ประเภทของข้อมูล ระยะเวลาในการเก็บรักษา รายละเอียดอื่นๆตามที่คณะกรรมการกำหนด

o มาตรา 29 ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลเปิดเผยข้อมูลส่วนบุคคลไปนอกราชอาณาจักรโดยไม่ได้รับความยินยอมเป็นหนังสือจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่ได้รับการยกเว้น  หรือเพื่อดำเนินคดีนอกราชอาณาจักร หรือ เป็นการปฎิบัติตามสัญญากับเจ้าของข้อมูล  หรือเพื่อป้องกันการฟอกเงินการก่อการร้าย หรืออื่นใดตามที่คณะกรรมการกำหนด

o มาตรา 30 ห้ามมืให้ผู้ควบคุมข้อมูลส่วนบุคคลเปิดเผยข้อมูลส่วนบุคคลไปยังประเทศที่มิได้มีบทบัญญัติในการให้ความคุ้มครองข้อมูลส่วนบุคคลหรือมีแต่มีสาระสำคัญต่ำกว่าบทบัญญัตินี้โดยไม่ได้รับความยินยอมเป็นหนังสือจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่มีความจำเป็นตามที่คณะกรรมการกำหนด

o มาตรา 31 ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไว้ได้เท่าที่ระยะเวลาที่กำหนด หรือเท่าที่จำเป็นตามวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล

o มาตรา 34 “ผู้ควบคุมข้อมูลส่วนบุคคลเชิงธุรกิจหรือการพาณิชย์” หมายความว่า ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยมีวัตถุประสงค์ในการประกอบกิจการเชิงธุรกิจหรือการพาณิชย์

o มาตรา 36 ผู้ควบคุมข้อมูลส่วนบุคคลเชิงธุรกิจหรือการพาณิชย์ต้องจัดให้มีข้อปฎิบัติเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่มีมาตรฐานไม่ต่ำกว่าข้อปฎิบัติตามประมวลจริยธรรมที่ประกาศนี้กำหนดไว้

o มาตรา 37 ผู้ควบคุมข้อมูลส่วนบุคคลเชิงธุรกิจหรือการพาณิชย์ต้องปฎิบัติ ดังต่อไปนี้  จัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคล  จัดให้มีระบบบริหารจัดการความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศ   ฝึกอบรมลูกจ้างหรือผู้รับจ้างให้ปฎิบัติตามพระราชบัญญัตินี้   และรายงานการดำเนินงานตามหลักเกณฑ์ วิธีการ และแบบที่คณะกรรมการกำหนด

o มาตรา 39 ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลเชิงธุรกิจหรือการพาณิชย์ว่าจ้างผู้ใดให้เก็บรวบรวมข้อมูลแทนตน ต้องกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคลในสัญญาว่าจ้างไม่น้อยกว่าหลักเหณฑ์ที่บัญญัติไว้ใน พรบ. นี้

o มาตรา 41 เจ้าของข้อมูลส่วนบุคคลมีสิทธิ ดังต่อไปนี้  ขอตรวจดูข้อมูลส่วนบุคคลที่เกี่ยวกับตน  ขอให้แจ้งถึงการมีอยู่ การใช้หรือการเปิดเผยข้อมูลที่เกี่ยวกับตน  ขอให้ดำเนินการแก้ไข ปรับปรุงข้อมูลให้เป็นปัจจุบัน  ขอให้ระงับการใช้หรือการเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน  ขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่เกี่ยวกับตน

o มาตรา 45 ให้คณะกรรมการแต่งตั้งคณะกรรมการตรวจสอบข้อมูลส่วบุคคลขึ้นโดยมีอำนาจ พิจารณาเรื่องร้องเรียน ตรวจสอบการกรำใดๆของผู้ควบคุมข้อมูล ไกล่เกลียข้อพิพาท รายงานผลการปฎิบัติงาน ปฎิบัติการอื่นใดตามที่ พรบ นี้กำหนด

o มาตรา 50 ให้มีเครื่องหมายรับรองมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล

o มาตรา 52 ในกรณีที่ผู้กระทำความผิดซึ่งต้องรับโทษตามพระราชบัญญตินี้เป็นนิติบุคคล ให้กรรมการผู้จัดการ ผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้นต้องระวางโทษตามที่บัญญัตไว้สำหรับความผิดนั้นๆ ด้วย เว้นแต่จะพิสูจน์ได้ว่าตนมิได้รู้เห็นหรือยินยอมในการกระทำความผิดของนิติบุคคลนั้น

o มาตรา 58 ผู้ใดกระทำการใดๆ เกี่ยวกับข้อมูลส่วนบุคคลเพื่อให้ตนเองหรือผู้อื่นได้รับประโยชน์อันไม่ชอบด้วยกฎหมาย หรือเพื่อให้ผู้อื่นเสียหาย ต้องระวางโทษจำคุกไม่เกินสามปีหรือปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ  ถ้าการกระทำนั้นเป็นการเผยแพร่ข้อมูลส่วนบุคคลทางสิ่งพิมพ์ วิทยุกระจายเสียง วิทยุโทรทัศน์ หรือสื่อิเล็กทรอนิกส์อื่น  ผู้กระทำต้องระวางโทษจำคุกไม่เกินห้าปีหรือปรับไม่เกินหนึ่งแสนบาม หรือทั้งจับทั้งปรับ

อย่างไรก็ตาม ข้อมูลที่ผมกล่าวไว้ข้างต้นยังอยู่ในระหว่างการเป็น “(ร่าง) คุ้มครองข้อมูลส่วนบุคคล พ.ศ….” เท่านั้น ดังนั้น เมื่อมีการประกาศเป็นกฏหมายฉบับใช้งานจริงออกมา อาจจะมีการปรับปรุงหรือเปลี่ยนแปลงข้อมูลก็ได้นะครับ

Content Cr : DestinationOne Counselor