กฎหมายคุ้มครองข้อมูลส่วนบุคคลในบริบทของผู้บริโภค
กฎหมายกำหนดให้เป็นสิทธิและเป็น “สิทธิขั้นพื้นฐาน” แต่ดูเหมือนในประเทศไทย หน่วยงานรัฐที่เกี่ยวข้องกับการบังคับใช้กฎหมายอาจยังไม่ได้ให้ความสำคัญมากนัก
Cap & Corp Forum
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งจะมีผลใช้บังคับเต็มรูปแบบในวันที่ 28 พฤษภาคม 2563 ได้ก่อตั้งสิทธิหลาย ๆ ประการให้แก่ผู้บริโภคในฐานะเจ้าของข้อมูลส่วนบุคคล ซึ่งจะส่งผลให้ผู้ประกอบการในฐานะผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ตามกฎหมายที่จะพึงปฏิบัติต่อข้อมูลส่วนบุคคลของผู้บริโภคดังกล่าว และแม้ว่าพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จะมุ่งใช้กับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในทุก ๆ ลักษณะไม่ว่าจะเป็นความสัมพันธ์ระหว่างนายจ้างและลูกจ้างหรือระหว่างรัฐกับประชาชนด้วยก็ตาม แต่หากดูจากนโยบายการบังคับใช้กฎหมายในต่างประเทศจะพบว่าส่วนสำคัญที่สุดของกฎหมายคุ้มครองข้อมูลส่วนบุคคล คือการใช้กฎหมายเพื่อคุ้มครองสิทธิของผู้บริโภคจากการใช้ประโยชน์ของข้อมูลเหล่านั้นจากผู้ประกอบธุรกิจโดยไม่ชอบด้วยกฎหมาย ตัวอย่างที่ชัดเจนคือการบังคับใช้กฎหมายกับบริษัทเทคโนโลยีขนาดใหญ่ที่กระทำการฝ่าฝืนกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือละเมิดนโยบายความเป็นส่วนตัวของผู้บริโภคหรือผู้ใช้บริการ อาทิกรณีของ Facebook Google หรือ Apple เป็นต้น
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดให้สิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็น “สิทธิขั้นพื้นฐาน” (มาตรา 24 ประกอบมาตรา 26) ตามกฎหมาย “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม โดยข้อมูลนั้นอาจอยู่ในรูปแบบใด ๆ ก็ได้ ไม่ว่าจะเป็นกระดาษหรือในรูปแบบอิเล็กทรอนิกส์ และไม่ว่าเจ้าของข้อมูลส่วนบุคคลนั้นจะเป็นผู้สร้างข้อมูลนั้นขึ้นมาหรือไม่ก็ตาม และไม่ว่ารูปแบบการจัดเก็บจะเป็นสิ่งที่บุคคลทั่วไปสามารถเข้าใจได้หรือไม่ ดังนั้น ในทางกฎหมาย ข้อมูลส่วนบุคคลจึงมีความหมายอย่างกว้าง ทำให้ข้อมูลต่าง ๆ ดังต่อไปนี้ มีสภาพเป็นข้อมูลส่วนบุคคลตามกฎหมาย เช่น ชื่อ-สุกล หมายเลขโทรศัพท์ หมายเลขบัตรประจำตัวประชาชน ที่อยู่ อีเมล พิกัดตำแหน่ง ข้อมูลพันธุกรรม ข้อมูลการแพทย์ ประวัติการศึกษา IP Address Mac Address หรือ Cookies เป็นต้น
ดังนั้น ในการที่ผู้ประกอบธุรกิจ ไม่ว่าจะเป็นเจ้าของเว็บไซต์ ผู้ให้บริการ App ต่าง ๆ สถาบันการเงิน ผู้ให้บริการโทรคมนาคม สถานพยาบาล หากจะเก็บรวบรวม ใช้ หรือเปิดเผย “ข้อมูลส่วนบุคคล” ของผู้บริโภคหรือผู้ใช้บริการก็จะต้องดำเนินการตามเงื่อนไขของกฎหมายเท่านั้น โดยเฉพาะในเรื่องของการได้รับความยินยอม โดยผู้บริโภคต้องได้รับแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยนั้นด้วยอย่างชัดแจ้งว่าจะเอาข้อมูลใดบ้างไปใช้เพื่ออะไรและใช้อย่างไร ผู้ประกอบธุรกิจไม่สามารถเพียงแต่กล่าวว่าจะเก็บรวบรวมข้อมูลทุกอย่างและอาจนำไปขายต่อให้ data analytic เพื่อการจัดทำฐานข้อมูล รวมทั้งถ้าจะจัดเก็บ Cookies หรือ Location Data หรือ IP Address ก็ต้องขอความยินยอมก่อนด้วยเช่นกัน และข้อมูลอะไรที่ไม่เกี่ยวกับการดำเนินการตามสัญญาและการใช้บริการ ผู้ประกอบธุรกิจก็ไม่มีสิทธิที่จะเก็บรวบรวมข้อมูลส่วนนั้น
ในด้านสิทธิของผู้บริโภคตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กฎหมายกำหนดไว้หลายประการ ดังนี้
1.สิทธิในการเข้าถึงข้อมูลส่วนบุคคล
ผู้บริโภคในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม (มาตรา 30) และมีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากผู้ควบคุมข้อมูลส่วนบุคคลได้ (มาตรา 31)
2.สิทธิในการเคลื่อนย้ายข้อมูล
สิทธิในการเคลื่อนย้ายข้อมูล หรือ Data Portability คือความสามารถในการควบคุม แชร์ และเคลื่อนย้ายข้อมูลจากระบบหนึ่งไปสู่อีกระบบหนึ่ง ซึ่งการที่ผู้บริโภคสามารถเคลื่อนย้ายข้อมูลดังกล่าวได้ จะทำให้ผู้บริโภคมีความเป็นเจ้าของข้อมูลอย่างแท้จริง และทำให้เกิดการเคลื่อนย้ายการใช้บริการจากผู้ประกอบธุรกิจรายหนึ่งไปยังอีกรายหนึ่งได้ง่ายขึ้นและลดการถูกจำกัดสิทธิในการเลือกใช้บริการของผู้บริโภคได้
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ บัญญัติรองรับหลักการดังกล่าวไว้ในมาตรา 31 กล่าวคือ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ ผู้บริโภคในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ หรือขอรับข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้
3.สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
มาตรา 32 กำหนดว่า เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้หากต้องด้วยกรณีที่กฎหมายกำหนด อาทิ เป็นกรณีที่ไม่ได้รับความยินยอม หรือกรณีเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง เป็นต้น
4.สิทธิในการขอให้ลบหรือทำลาย
5.สิทธิในการขอให้ทำข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล
สิทธิตามข้อ 4. และ 5. บัญญัติไว้ในมาตรา 33 โดยกำหนดเงื่อนไขไว้ว่าเจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือเมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ต่อไป เป็นต้น
6.สิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลตามมาตรา 34
7.สิทธิในความถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิดของข้อมูลส่วนบุคคลตามมาตรา 35
8.สิทธิในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญตามมาตรา 73
9.สิทธิในการได้รับการเยียวยาและเรียกค่าเสียหายทางแพ่งตามมาตรา 77
จากกรณีดังกล่าวข้างต้น กฎหมายกำหนดให้เป็นสิทธิและเป็น “สิทธิขั้นพื้นฐาน” แต่ดูเหมือนในประเทศไทย หน่วยงานรัฐที่เกี่ยวข้องกับการบังคับใช้กฎหมายอาจจะยังไม่ได้ให้ความสำคัญหรือสร้างความตระหนักรู้แก่ผู้บริโภคในฐานะผู้ทรงสิทธิมากนัก
…
ศุภวัชร์ มาลานนท์
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์
Fulbright Hubert H. Humphrey Fellowship
American University Washington College of Law