กฎหมาย PDPA กับการประมวลผลข้อมูลส่วนบุคคลในภาคธุรกิจ
ความก้าวหน้าของเทคโนโลยีสารสนเทศ ส่งผลให้มีการเผยแพร่ หรือถ่ายโอนข้อมูลอย่างรวดเร็ว ซึ่งก่อให้เกิดผลดีต่อภาคธุรกิจ รวมถึงระบบเศรษฐกิจ
บทความโดย ชญานี ศรีกระจ่าง คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์
แต่หากข้อมูลบางส่วนที่ส่งต่อกันนั้นเป็นข้อมูลส่วนบุคคล ซึ่งอาจถูกนำไปใช้ประโยชน์โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล หรือมีการรั่วไหลเกิดขึ้นและทำให้ความเป็นส่วนตัวของบุคคลถูกละเมิด
ด้วยเหตุนี้ประเทศไทยจึงมีการตรา พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (Personal Data Protection Act A.D.2019) หรือที่เรียกกันโดยย่อว่ากฎหมาย PDPA กฎหมายฉบับนี้มีวัตถุประสงค์ในการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล กฎหมาย PDPA จะมีผลบังคับใช้อย่างเต็มรูปแบบในวันที่ 1 มิถุนายน พ.ศ.2565
มาตรา 6 ของกฎหมาย PDPA กำหนดนิยามของข้อมูลส่วนบุคคล ว่าเป็นข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม และคำว่า “บุคคล” ตามมาตรานี้ หมายถึงบุคคลธรรมดาเท่านั้น
จากนิยามข้างต้นจะเห็นได้ว่า ธุรกิจแบบ B2B (Business to Business) ซึ่งเป็นธุรกิจระหว่างผู้ประกอบการด้วยกันเอง จะได้รับผลกระทบจากกฎหมาย PDPA น้อยกว่าธุรกิจแบบ B2C (Business to Customer) ที่เป็นธุรกิจที่มีการส่งมอบสินค้าจากผู้ประกอบการถึงผู้บริโภคโดยตรง ด้วยเหตุที่ข้อมูลส่วนบุคคลตามกฎหมาย PDPA ไม่หมายรวมถึงข้อมูลของนิติบุคคล ไม่ว่าจะเป็นชื่อของนิติบุคคล ที่อยู่สำนักงาน ตราประทับนิติบุคคล หรือเลขทะเบียนนิติบุคคล
ข้อมูลส่วนบุคคลที่ถูกประมวลผล (เก็บ รวบรวม ใช้ เปิดเผย) ในภาคธุรกิจแบ่งออกเป็น 2 ส่วน คือ ข้อมูลส่วนบุคคลของลูกค้าและข้อมูลส่วนบุคคลของพนักงาน ตัวอย่างข้อมูลส่วนบุคคลของลูกค้า เช่น ชื่อนามสกุล ที่อยู่ เบอร์โทรศัพท์ เลขบัตรเครดิต ส่วนข้อมูลส่วนบุคคลของพนักงาน เช่น ข้อมูลการจ้างงาน ข้อมูลการศึกษา ข้อมูลเงินเดือน ข้อมูลสุขภาพ เลขประกันสังคม เป็นต้น
ผู้ประกอบธุรกิจในฐานะเป็นผู้ควบคุมข้อมูล ที่ทำการประมวลผลข้อมูลส่วนบุคคลของพนักงานหรือลูกค้า จะต้องปฏิบัติให้สอดคล้องกับหลักเกณฑ์ตามที่บัญญัติในกฎหมาย PDPA ดังนี้
ก่อนทำการประมวลผลข้อมูลส่วนบุคคลประเภททั่วไป ผู้ควบคุมข้อมูลต้องพิจารณาว่ามีฐานทางกฎหมายรองรับหรือไม่ ซึ่งฐานทางกฎหมายถูกบัญญัติในมาตรา 24 ได้แก่ ฐานสัญญา ฐานหน้าที่ตามกฎหมาย ฐานประโยชน์สำคัญต่อชีวิต ฐานภารกิจของรัฐ ฐานประโยชน์อันชอบธรรม และฐานจดหมายเหตุ วิจัย สถิติ ถ้าวัตถุประสงค์ในการประมวลผลข้อมูลเข้าตามฐานกฎหมายข้างต้น ผู้ควบคุมข้อมูลส่วนบุคคลไม่ต้องขอความยินยอมจากเจ้าของข้อมูล
- ฐานสัญญา เป็นการปฏิบัติตามสัญญาตามปกติทางการค้าระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับเจ้าของข้อมูลส่วนบุคคล เช่น การประมวลผลที่อยู่ของลูกค้าเพื่อทำการจัดส่งสินค้าตามสัญญาซื้อขาย หรือการประมวลผลเลขบัญชีธนาคารของพนักงานเพื่อจ่ายค่าจ้างตามสัญญาจ้างแรงงาน
- ฐานหน้าที่ตามกฎหมาย เป็นกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามกฎหมาย เช่น ผู้ควบคุมข้อมูลมีหน้าที่ตามกฎหมายในการประมวลผลข้อมูลเงินเดือนของพนักงานเพื่อคำนวนจ่ายค่าประกันสังคมให้กับสำนักงานประกันสังคม
- ฐานประโยชน์สำคัญต่อชีวิต เป็นการประมวลผลข้อมูลส่วนบุคคลเพื่อป้องกัน หรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูล เช่น การป้องกันโรคระบาด ผู้ควบคุมข้อมูลสามารถประมวลผลข้อมูลส่วนบุคคลได้โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูล
- ฐานภารกิจของรัฐ เป็นการประมวลผลข้อมูลที่จำเป็นต่อการดำเนินภารกิจของรัฐเพื่อประโยชน์สาธารณะหรือเพื่อการปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้ให้แก่ผู้ควบคุมข้อมูล โดยผู้ควบคุมข้อมูลในฐานนี้อาจเป็นหน่วยงานของรัฐหรือเอกชนที่มีอำนาจตามกฎหมายก็ได้ เช่น การประมวลผลข้อมูลส่วนบุคคลของสถานตรวจสภาพรถเอกชนซึ่งได้รับอนุญาตจากกรมการขนส่งทางบก
- ฐานประโยชน์อันชอบธรรม เป็นฐานที่ผู้ควบคุมข้อมูลต้องดำเนินการที่จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย ซึ่งการได้ประโยชน์นั้นจะต้องไม่กระทบต่อสิทธิของเจ้าของข้อมูลส่วนบุคคล และเจ้าของข้อมูลสามารถคาดหมายได้ว่าจะมีการดำเนินการดังกล่าว เช่น การใช้กล้อง CCTV บันทึกภาพภายในห้างสรรพสินค้าเพื่อรักษาความปลอดภัยของลูกค้าและพนักงาน
- ฐานจดหมายเหตุ วิจัย สถิติ เป็นกรณีที่ผู้ควบคุมข้อมูลมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลเพื่อใช้ในการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เช่น บริษัทผลิตยาทำการประมวลผลข้อมูลส่วนบุคคลเพื่อใช้ในการวิจัยพัฒนายารักษาโควิด-19
หากพิจารณาแล้วพบว่าการประมวลผลข้อมูลไม่มีฐานทางกฎหมายข้างต้นรองรับ เช่น การประมวลผลข้อมูลส่วนบุคคลของลูกค้าเพื่อใช้วิเคราะห์พฤติกรรมการบริโภคและนำไปใช้ในเสนอขายสินค้าอื่น กรณีนี้ผู้ควบคุมข้อมูลจะต้องนำฐานความยินยอมตามมาตรา 19 มาใช้ กล่าวคือ จะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนหรือขณะประมวลผลข้อมูล โดยการขอความยินยอมต้องแจ้งถึงวัตถุประสงค์การประมวลผลข้อมูล เจ้าของข้อมูลต้องมีอิสระในการให้ความยินยอมและสามารถที่จะถอนความยินยอมเมื่อใดก็ได้
ส่วนการประมวลผลข้อมูลที่มีความอ่อนไหว เช่น ข้อมูลเกี่ยวกับเชื้อชาติ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลชีวภาพ มาตรา 26 กำหนดว่าต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล เนื่องจากข้อมูลดังกล่าวมีความละเอียดอ่อนและเสี่ยงต่อการถูกเลือกปฏิบัติ อย่างไรก็ตาม กฎหมายมีข้อยกเว้นตามมาตรา 26(1) – (5) ที่ไม่ต้องขอความยินยอมจากเจ้าของข้อมูล เช่น การประมวลผลข้อมูลที่มีวัตถุประสงค์เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลไม่สามารถให้ความยินยอมได้
ดังนี้ ผู้ประกอบการในภาคธุรกิจควรมีการใช้ข้อมูลส่วนบุคคลอย่างระมัดระวัง โดยประมวลผลข้อมูลเท่าที่จำเป็นและเป็นไปตามวัตถุประสงค์ที่แจ้งกับเจ้าของข้อมูล รวมทั้งจัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลตามหลักเกณฑ์ที่กำหนดในกฎหมาย PDPA เพราะหากเกิดกรณีข้อมูลส่วนบุคคลรั่วไหลออกไปและถูกนำไปใช้ในทางมิชอบ นอกจากเจ้าของข้อมูลจะได้รับความเสียหายแล้ว ผู้ควบคุมข้อมูลอาจมีความรับผิดทางแพ่ง มีโทษทางอาญาและมีโทษปรับทางปกครองอีกด้วย.