คุยเฟื่องเรื่อง (ร่าง)
พรบ.คุ้มครองข้อมูลส่วนบุคคล
เมื่ออุปกรณ์อิเล็กทรอนิกส์และเทคโนโลยีสารสนเทศที่ทันสมัยเข้ามามีบทบาทกับชีวิตประจำวันของเราทั้งในเรื่องงานและเรื่องส่วนตัว
ข้อมูลมากมายจึงถูกเก็บรวบรวมไว้ในอุปกรณ์ไอที หรือไม่ก็บนระบบสุดไฮเทค ซึ่งเป็นการเพิ่มความเสี่ยงให้ข้อมูลนั้นถูกนำไปเปิดเผยเพื่อแสวงหาผลประโยชน์โดยไม่ได้รับความยินยอมจากเจ้าของ
จนอาจสร้างความเดือนร้อนเสียหายไม่ว่าจะเป็นชื่อเสียง เงินทอง หรือความรำคาญใจ
เช่น แอบเอาข้อมูลส่วนบุคคลไปขายให้บริษัทบัตรเครดิตหรือบริษัทขายตรงต่างๆ หรือ
มีการลักลอบนำบทสนทนาใน Line ส่วนตัวมาโพสต์ประจานต่อสาธารณะ
เป็นต้น
ดังนั้น
หน่วยงานด้านกฏหมายของรัฐจึงจำเป็นต้องให้ความคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามรัฐธรรมนูญแห่งราชอาณาจักรไทย
ซึ่งตลอดช่วงเวลาที่รัฐบาลคณะต่างๆ หมุนเปลี่ยนวาระกันไป ต่างก็มีความพยายามผลักดันกฏหมายดังกล่าวแต่จนแล้วจนรอดก็ยังคงไม่ประสบผลสำเร็จ
จวบจนถึงขณะนี้ รัฐบาลชุดปัจจุบันและคณะ คสช. ก็กำลังสานต่อโดยนำเสนอร่างกฏหมายฉบับนี้เข้าสู่วาระการพิจารณาของสภานิตินบัญญัติแห่งชาติ
(สนช.) เพื่อที่จะได้ตราออกเป็นกฏหมายและประกาศบังคับใช้งานต่อไป
วันนี้ผมจึงขอสรุปสาระสำคัญที่ระบุไว้ใน
(ร่าง) พรบ.คุ้มครองข้อมูลส่วนบุคคล เพื่อให้คุณได้รับทราบและทำความเข้าใจเบื้องต้น
ดังนี้
สาระสำคัญของกฎหมายที่ควรรู้..
o กฏหมายนี้มีชื่อว่า “(ร่าง) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ….” บังคับใช้หลักจากประกาศในราชกิจจานุเบกษา
180 วัน
o (ร่าง) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ประกอบไปด้วย 6 หมวด
61 มาตรา
o “ข้อมูลส่วนบุคคล” หมายความว่า
ข้อมูลเกี่ยวกับสิ่งเฉพาะตัวของบุคลล เช่น การศึกษา ฐานะการเงิน ประวัติสุขภาพ
ประวัติอาชญากรรม ประวัติการทำงาน
หรือประวัติกิจกรรมที่มีชื่อบุคคลนั้นหรือมีเลขหมาย รหัส
หรือสิ่งบอกลักษณะอื่นที่ทำให้รู้ตัวบุคคลนั้นได้ เช่น ลายพิมพ์นิ้วมือ
แผ่นบันทึกลักษณะเสียงของคน หรือรูปถ่าย
และให้หมายความรวมถึงข้อมูลเกี่ยวกับสิ่งเฉพาะตัวของผู้ที่ถึงแก่กรรมแล้วด้วย
o “ผู้ควบคุมข้อมูลส่วนบุคคล”
หมายความว่า
ผู้ที่ทำหน้าที่รับผิดชอบในการเก็บ รวบรวม และควบคุมการใช้และการเปิดเผยข้อมูลส่วนบบุคคล
o พระราชบัญญัตินี้ไม่ใช้บังคับแก่
หน่วยงานของรัฐที่อยู่ภายใต้กฏหมายว่าด้ยข้อมูลข่าวสารของราชการ บุคคลหรือนิติบุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อใช้ประโยชน์ส่วนตนหรือนิติบุคคเท่านั้น
บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะเพื่อกิจการสื่อมวลชน
งานศิลปกรรม หรืองานวรรณกรรมเท่านั้น
o ”คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” จะเป็นคนกำหนดนโยบาย มาตรการ
หรือแนวทางการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
กำหนดหลักเกณฑ์ใบรับรองและมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล รวมถึงหลักปฎิบัติอื่นใดตาม พรบ.
ฉบับนี้กำหนดขึ้น
o มาตรา 16
ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบบุคลไม่ได้หากเจ้าขงข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอม
เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฏหมายอื่นบัญญัติให้กระทำได้
o มาตรา 17
ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ดูแลรักษาความมั่นคงปลอดภัยมิให้ข้อมูลส่วนบุคคลสุญหาย
ถูกแก้ไขหรือเปลี่ยนแปลง และมีหน้าที่ดูแลข้อมูลส่วนบุคคลที่ใช้หรือเปิดเผยให้มีความถูกต้อง
ครบถ้วน และเป็นปัจจุบัน
o มาตรา 19 การเก็บรวบรวม ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีดังต่อไปนี้ให้ผู้ควบคุมข้อมูลส่วนบุคคลได้รับการยกเว้นไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
เช่น เป็นการปฎิบัติตามกฏหาย
เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคลและการยินยิมไม่สามารถดำเนินการได้ในวลานั้น เพื่อประโยชน์ที่เกียวกับชีวิต สุขภาพ
หรือความปลอดภัยของเจ้าของข้อมูล
เพื่อประโยชน์แก่การสอบสอนตามประมวลกฏหมายอาญา เพื่อประโยชน์การศึกษาวิจัยหรือสถิติและได้เก็บข้มูลไว้เป็นความลับ กรณือื่นตามที่กำหนดในกฏกระทรวง
o มาตรา 20
ให้คณะกรรมการมีอำนาจประกาศกำหนดประมวลจริยธรรมเพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฎิบัติตามเกี่ยวกับการคุ้มครอง การเก็บรักษา การลบหรือการทำลายข้อมูล การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลที่ถูกต้อง
ไม่เลือกปฎิบัติ ไม่ผิดกฎหมายหรือวัตถุประสงค์
o มาตรา 23
ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมข้อมูลส่วนบุคคลอันมีลักษณะต้องห้าม
ดังเช่น ข้อมูลเกี่ยวกับพฤติกรรมทางเพศ
ประวัติอาชญากรรม ประวัติสุขภาพ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา หรือข้อมูลอื่นตามที่กำหนดในกฏกระทรวง
เป็นต้น
ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมข้อมูลส่วนบุคคลอันมีลักษณะต้องห้ามได้เมื่อได้รับความยินยอมเป็นหนังสือจากเจ้าของข้อมูลส่วนบุคคลหรือในกรณีที่
พรบ. นี้ได้กำหนดไว้
o มาตรา 24 ในการเก็บรวบรวมข้อมูลส่วนบุคคล
ให้ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งต่อเจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะที่จะดำเนินการถึงรายละเอียด
ดังต่อไปนี้ ชื่อ
สถานที่และสถานภาพของผู้ควบคุมข้อมูลส่วนบุคคล
วัตถุประสงค์การเก็บรวบรวม ประเภทของข้อมูล ระยะเวลาในการเก็บรักษา
รายละเอียดอื่นๆตามที่คณะกรรมการกำหนด
o มาตรา 29
ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลเปิดเผยข้อมูลส่วนบุคคลไปนอกราชอาณาจักรโดยไม่ได้รับความยินยอมเป็นหนังสือจากเจ้าของข้อมูลส่วนบุคคล
เว้นแต่ได้รับการยกเว้น
หรือเพื่อดำเนินคดีนอกราชอาณาจักร หรือ เป็นการปฎิบัติตามสัญญากับเจ้าของข้อมูล หรือเพื่อป้องกันการฟอกเงินการก่อการร้าย
หรืออื่นใดตามที่คณะกรรมการกำหนด
o มาตรา 30
ห้ามมืให้ผู้ควบคุมข้อมูลส่วนบุคคลเปิดเผยข้อมูลส่วนบุคคลไปยังประเทศที่มิได้มีบทบัญญัติในการให้ความคุ้มครองข้อมูลส่วนบุคคลหรือมีแต่มีสาระสำคัญต่ำกว่าบทบัญญัตินี้โดยไม่ได้รับความยินยอมเป็นหนังสือจากเจ้าของข้อมูลส่วนบุคคล
เว้นแต่มีความจำเป็นตามที่คณะกรรมการกำหนด
o มาตรา 31
ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไว้ได้เท่าที่ระยะเวลาที่กำหนด
หรือเท่าที่จำเป็นตามวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล
o มาตรา 34 “ผู้ควบคุมข้อมูลส่วนบุคคลเชิงธุรกิจหรือการพาณิชย์”
หมายความว่า ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเก็บรวบรวม ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลโดยมีวัตถุประสงค์ในการประกอบกิจการเชิงธุรกิจหรือการพาณิชย์
o มาตรา 36 ผู้ควบคุมข้อมูลส่วนบุคคลเชิงธุรกิจหรือการพาณิชย์ต้องจัดให้มีข้อปฎิบัติเกี่ยวกับการเก็บรวบรวม
ใช้
และเปิดเผยข้อมูลส่วนบุคคลที่มีมาตรฐานไม่ต่ำกว่าข้อปฎิบัติตามประมวลจริยธรรมที่ประกาศนี้กำหนดไว้
o มาตรา 37 ผู้ควบคุมข้อมูลส่วนบุคคลเชิงธุรกิจหรือการพาณิชย์ต้องปฎิบัติ
ดังต่อไปนี้ จัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคล
จัดให้มีระบบบริหารจัดการความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศ
ฝึกอบรมลูกจ้างหรือผู้รับจ้างให้ปฎิบัติตามพระราชบัญญัตินี้ และรายงานการดำเนินงานตามหลักเกณฑ์ วิธีการ
และแบบที่คณะกรรมการกำหนด
o มาตรา 39 ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลเชิงธุรกิจหรือการพาณิชย์ว่าจ้างผู้ใดให้เก็บรวบรวมข้อมูลแทนตน
ต้องกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคลในสัญญาว่าจ้างไม่น้อยกว่าหลักเหณฑ์ที่บัญญัติไว้ใน
พรบ. นี้
o มาตรา 41 เจ้าของข้อมูลส่วนบุคคลมีสิทธิ ดังต่อไปนี้ ขอตรวจดูข้อมูลส่วนบุคคลที่เกี่ยวกับตน ขอให้แจ้งถึงการมีอยู่
การใช้หรือการเปิดเผยข้อมูลที่เกี่ยวกับตน
ขอให้ดำเนินการแก้ไข ปรับปรุงข้อมูลให้เป็นปัจจุบัน
ขอให้ระงับการใช้หรือการเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน
ขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่เกี่ยวกับตน
o มาตรา 45
ให้คณะกรรมการแต่งตั้งคณะกรรมการตรวจสอบข้อมูลส่วบุคคลขึ้นโดยมีอำนาจ
พิจารณาเรื่องร้องเรียน ตรวจสอบการกรำใดๆของผู้ควบคุมข้อมูล ไกล่เกลียข้อพิพาท
รายงานผลการปฎิบัติงาน ปฎิบัติการอื่นใดตามที่ พรบ นี้กำหนด
o มาตรา 50 ให้มีเครื่องหมายรับรองมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล
o มาตรา 52 ในกรณีที่ผู้กระทำความผิดซึ่งต้องรับโทษตามพระราชบัญญตินี้เป็นนิติบุคคล
ให้กรรมการผู้จัดการ ผู้จัดการ
หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้นต้องระวางโทษตามที่บัญญัตไว้สำหรับความผิดนั้นๆ
ด้วย
เว้นแต่จะพิสูจน์ได้ว่าตนมิได้รู้เห็นหรือยินยอมในการกระทำความผิดของนิติบุคคลนั้น
o มาตรา 58 ผู้ใดกระทำการใดๆ
เกี่ยวกับข้อมูลส่วนบุคคลเพื่อให้ตนเองหรือผู้อื่นได้รับประโยชน์อันไม่ชอบด้วยกฎหมาย
หรือเพื่อให้ผู้อื่นเสียหาย ต้องระวางโทษจำคุกไม่เกินสามปีหรือปรับไม่เกินหกหมื่นบาท
หรือทั้งจำทั้งปรับ
ถ้าการกระทำนั้นเป็นการเผยแพร่ข้อมูลส่วนบุคคลทางสิ่งพิมพ์
วิทยุกระจายเสียง วิทยุโทรทัศน์ หรือสื่อิเล็กทรอนิกส์อื่น
ผู้กระทำต้องระวางโทษจำคุกไม่เกินห้าปีหรือปรับไม่เกินหนึ่งแสนบาม หรือทั้งจับทั้งปรับ
อย่างไรก็ตาม
ข้อมูลที่ผมกล่าวไว้ข้างต้นยังอยู่ในระหว่างการเป็น “(ร่าง) คุ้มครองข้อมูลส่วนบุคคล
พ.ศ….” เท่านั้น ดังนั้น
เมื่อมีการประกาศเป็นกฏหมายฉบับใช้งานจริงออกมา
อาจจะมีการปรับปรุงหรือเปลี่ยนแปลงข้อมูลก็ได้นะครับ
Content Cr : DestinationOne Counselor
No comments:
Post a Comment
Note: Only a member of this blog may post a comment.