‘คนละครึ่ง’ และการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
แม้ว่า พรบ.คุ้มครองข้อมูลส่วนบุคคลฯ จะเลื่อนการบังคับใช้ไปเป็น 1 มิ.ย.65 แต่หน่วยงานของรัฐ ควรเป็นองค์กรต้นแบบในการปฏิบัติตามกฎหมาย
โครงการคนละครึ่ง (“โครงการฯ”) ซึ่งดำเนินการมาถึงระยะที่ 3 ถือว่าเป็นโครงการของรัฐที่ประสบความสำเร็จมากที่สุดโครงการหนึ่ง โดยเงื่อนไขการลงทะเบียนตามที่ปรากฏใน www.คนละครึ่ง.com กระทรวงการคลังในฐานะหน่วยงานเจ้าของโครงการได้กำหนดหลักเกณฑ์ เงื่อนไข และความยินยอมสำหรับประชาชนที่เข้าร่วมโครงการคนละครึ่ง ระยะที่ 3 ไว้ในส่วนที่เกี่ยวข้องกับ “การประมวลผลข้อมูลส่วนบุคคล” ของประชาชนที่ลงทะเบียนเข้าร่วมโครงการไว้หลายประการ และอาจมีปัญหาความชอบด้วยกฎหมายของการประมวลผลข้อมูลส่วนบุคคลหากพิจารณาตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังนี้
- กิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามโครงการฯ อยู่ภายใต้การบังคับใช้ของกฎหมายหรือไม่
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดยกเว้นให้บางกิจกรรมการประมวลผลและบางองค์กรได้รับยกเว้นไม่อยู่ภายใต้บังคับของกฎหมาย อาทิ การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงทางการคลังของรัฐ เป็นต้น ซึ่งในกรณีนี้ ผู้เขียนเห็นว่าการประมวลผลข้อมูลส่วนบุคคลของกระทรวงการคลังตามโครงการฯ ไม่น่าจะอยู่ในขอบเขตของการยกเว้นการบังคับใช้กฎหมาย ดังนั้น หากพิจารณาตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กระทรวงการคลัง และหน่วยงานอื่น ๆ ที่เข้ามาเกี่ยวข้องกับกิจกรรมการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลของประชาชนจึงควรต้องปฏิบัติตามเงื่อนไขต่าง ๆ ตามที่กฎหมายกำหนด
2.ฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
ตามข้อมูลที่ปรากฏใน www.คนละครึ่ง.com กระทรวงการคลังแจ้ง “ข้อความตกลงยินยอม” ว่าประชาชนที่เข้าร่วมโครงการฯ ได้ตกลงยินยอม ดังต่อไปนี้
(1)ตกลงยินยอมให้กระทรวงการคลัง ธนาคารกรุงไทยฯ และหน่วยงานของรัฐที่เกี่ยวข้อง จัดเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล
(2)ตกลงยินยอมให้กระทรวงการคลัง หรือหน่วยงานอื่นของรัฐ จัดเก็บ ใช้ ประมวลผล และเปิดเผยข้อมูล ส่วนบุคคลเพื่อประโยชน์ในการดำเนินมาตรการอื่นของรัฐหรือเพื่อประโยชน์ในการบริหารราชการแผ่นดินในอนาคต
(3)ตกลงยินยอมให้หน่วยงานของรัฐที่เกี่ยวข้องร้องขอ สอบถาม และใช้ข้อมูลส่วนบุคคลเพื่อประโยชน์ในการดำเนินโครงการฯ
โดยความตกลงดังกล่าวข้างต้น ประชาชนที่ลงทะเบียนไม่มีสิทธิเลือกไม่ตกลง เนื่องจากการไม่ตกลงคือการปฏิเสธไม่เข้าร่วมโครงการฯ และย่อมเสียสิทธิอันพึงมีพึงได้ตามกฎหมายไป
ดังนั้น ในทัศนะของผู้เขียน ข้อตกลงที่กำหนดโดยกระทรวงการคลังดังกล่าว ไม่อาจถือว่าเป็นการ “ขอความยินยอม” ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เนื่องจากฎหมายได้กำหนดเงื่อนไขของความยินยอมที่ชอบด้วยกฎหมายไว้ ดังนี้
1)การขอความยินยอมต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว
แต่ “ข้อความตกลงยินยอม” ข้างต้นไม่มีการแยกส่วนของการขอความยินยอมในการประมวลผลข้อมูลส่วนบุคคลออกจากส่วนอื่น ๆ ของข้อตกลงและความยินยอมในการเข้าร่วมโครงการฯ
(2)ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม โดยในการเข้าทำสัญญาซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ
แต่ “ข้อความตกลงยินยอม” ข้างต้น ประชาชนในฐานะเจ้าของข้อมูลส่วนบุคคลไม่มีอิสระอย่างแท้จริงในการให้หรือไม่ให้ความยินยอม เนื่องจากการไม่ให้ความยินยอมคือการไม่สามารถเข้าถึงสิทธิตามโครงการฯ
(3)เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล
แต่ “ข้อความตกลงยินยอม” ข้างต้น ประชาชนอาจจะไม่สามารถเพิกถอนความยินยอมได้
จากเหตุผลข้องต้น ผู้เขียนจึงเห็นว่ากรณีนี้จึงไม่ใช่การขอความยินยอมและฐานในการประมวลผลตามภารกิจและนโยบายของรัฐบาลครั้งนี้ก็ไม่ควรนำฐาน “ความยินยอม” มาใช้ เนื่องจากโดยสภาพไม่อาจทำได้และการขอความยินยอมจะเป็นอุปสรรคต่อการดำเนินการโครงการของรัฐ แต่เนื่องจาก “ข้อความตกลงยินยอม” ไม่มีการแจ้งฐานการประมวลผลอื่น ๆ และมีการใช้ข้อความที่อาจทำให้สับสนได้ว่าเป็นการขอความยินยอม กรณีนี้ในอนาคตจึงควรปรับปรุงเงื่อนไขของ “ข้อความตกลงยินยอม” ให้สอดคล้องกับเงื่อนไขทางกฎหมายที่เกี่ยวข้อง
แม้ว่าพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จะเลื่อนการบังคับใช้ไปเป็นวันที่ 1 มิถุนายน 2565 เนื่องด้วยความไม่พร้อมของหลายภาคส่วน แต่ผู้เขียนเห็นว่าหน่วยงานของรัฐควรเป็นองค์กรต้นแบบในการปฏิบัติตามกฎหมายที่เกี่ยวข้องกับการคุ้มครองสิทธิของประชาชน โดยเฉพาะในบริบทการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวเนื่องกับการให้บริการของภาครัฐที่มีการเก็บรวบรวม และอาจมีการใช้ข้อมูลอ่อนไหวของประชาชนจำนวนมาก ดังนั้น ในขั้นตอนการประมวลผลข้อมูลส่วนบุคคล หน่วยงานของรัฐจึงควรดำเนินการตามกรอบของกฎหมายอย่างเคร่งครัด โดยเฉพาะอย่างยิ่งในกรณีของการมีหนังสือแจ้งการประมวลผลข้อมูลส่วนบุคคล (Privacy Notice) ซึ่งกฎหมายกำหนดหน้าที่แจ้งและต้องทำตามที่แจ้งในกรณีดังต่อไปนี้
- ฐานในการประมวลผลข้อมูลส่วนบุคคล กล่าวคือ หน่วยงานของรัฐต้องอธิบายว่าอาศัยอำนาจหรือสิทธิใดในการเก็บรวมรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของประชาชนที่เข้าร่วมโครงการฯ
- ระยะเวลาในการจัดเก็บข้อมูลแต่ละจำพวกอย่างชัดเจน และกำหนดการทำลายข้อมูลเหล่านั้น
- แจ้งวัตถุประสงค์การประมวลผลให้ชัดเจนว่ามีอย่างไรและเพื่ออะไร
- ระบุหน่วยงานหรือบุคคลที่จะมีการโอนข้อมูลไปให้และเพื่อวัตถุประสงค์ใด
- มาตรการด้านความปลอดภัยของข้อมูล
- สิทธิของประชาชนในฐานะเจ้าของข้อมูลส่วนบุคคลและช่องทางการใช้สิทธิเหล่านั้น
การแจ้งและปฏิบัติตามเงื่อนไขการแจ้งย่อมทำให้ประชาชนในฐานะเจ้าของข้อมูล สามารถตรวจสอบกระบวนการประมวลผลข้อมูลส่วนบุคคลว่าชอบด้วยกฎหมายหรือไม่ และเป็นหลักประกันต่อสิทธิขั้นพื้นฐานของพลเมืองว่า สิทธิในความเป็นส่วนตัวของเขาเหล่านั้นจะได้รับความเคารพจากองค์กรของรัฐตลอดวงจรชีวิตของข้อมูล.