ความไม่พร้อมในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
ความยินยอมถือเป็นหลักการพื้นฐานสำคัญในการเก็บ รวบรวม และประมวลผลข้อมูลส่วนบุคคล หากไม่มีแนวทางปฏิบัติดังกล่าวที่เป็นรูปธรรม ก็เป็นการยากที่บุคคลที่ต้องเกี่ยวข้องกับการใช้ข้อมูลส่วนบุคคลจะสามารถเข้าใจสิทธิและหน้าที่ของตนเองได้อย่างถูกต้อง
Cap & Corp Forum
โดยผลของกฎหมาย พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ควรจะต้องมีผลบังคับใช้ทั้งฉบับได้ในวันที่ 27 พฤษภาคม 2563 นี้ ซึ่งก็จะเหลือระยะเวลาอีกไม่ถึงหนึ่งเดือน แต่ในความเป็นจริงแล้วกฎหมายฉบับดังกล่าวยังไม่น่าจะสามารถบังคับใช้ได้จริงด้วยเหตุผลหลายประการ ดังนี้
ประการแรก “คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” ซึ่งเป็นผู้บังคับใช้กฎหมายยังไม่ได้รับการสรรหาและแต่งตั้ง โดยสำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมได้เปิดรับสมัครบุคคลเพื่อเป็นประธานกรรมการและกรรมการผู้ทรงคุณวุฒิในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเมื่อวันที่ 4-24 มีนาคม 2563 ที่ผ่านมา
การไม่มีคณะกรรมการที่มีอำนาจในการบังคับใช้กฎหมายอย่างแท้จริงย่อมทำให้กระบวนการบังคับใช้กฎหมายต่าง ๆ ไม่สามารถดำเนินการไปได้อย่างมีประสิทธิภาพ นอกจากนี้ภายใต้โครงสร้างการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลฯ ยังกำหนดให้มีการแต่งตั้ง “คณะกรรมการผู้เชี่ยวชาญ” เพื่อทำหน้าที่ในการพิจารณาเรื่องร้องเรียนตรวจสอบการกระทำใด ๆ ของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลรวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับข้อมูลส่วนบุคคลที่ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคล และไกล่เกลี่ยข้อพิพาทเกี่ยวกับข้อมูลส่วนบุคคลอีกด้วย
การที่ไม่มีทั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและคณะกรรมการผู้เชี่ยวชาญย่อมทำให้กลไกการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลโดยรัฐไม่สามารถกระทำได้
ประการที่สอง “อนุบัญญัติ” ต่าง ๆ ที่มีความจำเป็นในการบังคับใช้กฎหมายยังไม่แล้วเสร็จ อาทิ
(1) ประกาศกำหนดหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ
(2) ประกาศกำหนดข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลเพื่อเป็นแนวทางให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลปฏิบัติ
(3) ประกาศกำหนดในเรื่องของแบบในการขอความยินยอมและข้อยกเว้นในการไม่ต้องได้รับความยินยอม
ความยินยอมถือเป็นหลักการพื้นฐานสำคัญในการเก็บ รวบรวม และประมวลผลข้อมูลส่วนบุคคล หากไม่มีแนวทางปฏิบัติดังกล่าวที่เป็นรูปธรรม ก็เป็นการยากที่บุคคลที่ต้องเกี่ยวข้องกับการใช้ข้อมูลส่วนบุคคลจะสามารถเข้าใจสิทธิและหน้าที่ของตนเองได้อย่างถูกต้อง โดยเฉพาะในด้าน “การคุ้มครองผู้บริโภค” ที่ผู้บริโภคมักไม่อยู่ในสถานะที่จะต่อรองเงื่อนไขของข้อตกลงเรื่องสิทธิในการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล
(4) ประกาศยกเว้นมิให้นำกฎหมายมาใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็กในฐานะผู้ควบคุมข้อมูลส่วนบุคคลในเรื่องการบันทึกรายการต่าง ๆ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานฯ สามารถตรวจสอบได้ อาทิ ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวมวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภทข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคลรวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น และการใช้หรือเปิดเผยข้อมูลนั้น
การที่กิจการขนาดเล็กใดจะได้รับยกเว้นอย่างไรและบนเงื่อนไขใดบ้าง ย่อมมีความสำคัญกับผู้ประกอบการ เนื่องจากมาตรการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นต้นทุนที่มีนัยสำคัญต่อการประกอบธุรกิจ
(5) ประกาศหรือข้อกำหนดในเรื่องมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และหลักเกณฑ์การทบทวนมาตรการดังกล่าว รวมถึงกระบวนการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าวและมาตรการเยียวยาความเสียหายที่อาจเกิดขึ้นด้วย
มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเป็นอีกเรื่องที่มีความจำเป็นอย่างยิ่งเนื่องจากอาจส่งผลกระทบต่อทั้งผู้ประกอบธุรกิจและผู้บริโภคที่อาจได้รับความเสียหายจากเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าวด้วย
(6) ประกาศกำหนดคุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
ตาม GDPR ที่เป็นต้นแบบในการยกร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer, DPO) เป็นบุคคลที่มีความสำคัญมากในองค์กรที่มีการประมวลผลข้อมูลส่วนบุคคล ซึ่งตามกฎหมายผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในการดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ เป็นต้น ดังนั้น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจึงทำหน้าที่เสมือนผู้ตรวจสอบและตรวจทานกระบวนการภายในองค์กรให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
(7) ประกาศกำหนดว่าด้วยการยื่น การไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลาในการพิจารณาคำร้องเรียนในกรณีที่เจ้าของข้อมูลส่วนบุคคลต้องการร้องเรียนผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมาย
ประการสุดท้าย ความตระหนักถึงสิทธิในความเป็นส่วนตัวของข้อมูลส่วนบุคคลในฐานะสิทธิขั้นพื้นฐานประการหนึ่งของปัจเจกบุคคลที่ทั้งรัฐและเอกชนพึงต้องเคารพในหลักการคุ้มครองอย่างเข้มงวด ซึ่งในส่วนนี้ ในทัศนคติของผู้เขียนเห็นว่ามีความสำคัญมากที่สุดและเป็นส่วนที่อาจขาดหายไปมากที่สุดเมื่อเปรียบเทียบกับประเทศอื่น ๆ ที่สามารถบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพ เรายังพบเห็นการใช้อำนาจรัฐโดยไม่มีกรอบหรือข้อจำกัดทางกฎหมายในการละเมิดหรืออาจจะละเมิดสิทธิในความเป็นส่วนตัวของข้อมูลส่วนบุคคลของประชาชน ยิ่งโดยเฉพาะในสถานการณ์พิเศษที่มีเรื่องความปลอดภัยสาธารณะเข้ามาเป็นองค์ประกอบสำคัญ ก็ยิ่งดูเหมือนการคุ้มครองสิทธิของประชาชนจะเป็นเรื่องที่ไม่ต้องคำนึงถึงหลักการพื้นฐานทางกฎหมายคุ้มครองข้อมูลส่วนบุคคลแต่อย่างใด
ทั้งหมดข้างต้น เป็นเพียงบางส่วนที่น่าจะทำให้การบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลต้องล่าช้าออกไป ซึ่งผู้เขียนได้แต่หวังว่ากฎหมายที่มีความสำคัญอย่างมากในแง่ของการคุ้มครองสิทธิของประชาชนในยุคดิจิทัลฉบับนี้จะสามารถนำมาใช้บังคับและคุ้มครองสิทธิของประชาชนได้อย่างแท้จริงในเร็ววัน มิใช่เป็นเพียงตัวอักษรและกฎหมายที่ถูกทำให้เป็นเพียงสัญลักษณ์ว่ามีอยู่เท่านั้น.
…
ศุภวัชร์ มาลานนท์
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์
Fulbright Hubert H. Humphrey Fellowship
American University Washington College of Law