สำรวจความพร้อมภาครัฐ ปฏิบัติตาม PDPA | เขมภัทร ทฤษฎิคุณ
ใกล้จะครบ 1 เดือน ที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA มีผลใช้บังคับ หลังจากเลื่อนการบังคับใช้มาเป็นระยะเวลา 2 ปี ด้วยเหตุผลเพื่อภาครัฐและบริษัทเอกชนได้เตรียมความพร้อม
หลังกฎหมายบังคับใช้ เกิดคำถามและความเข้าใจผิดหลายกรณีเกี่ยวกับสิ่งที่ทำได้-ทำไม่ได้ ตามกฎหมายกำหนด ซึ่งหน่วยงานกำกับดูแลคือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจำเป็นต้องให้ความกระจ่าง แก่ประชาชนอย่างทันท่วงที
เพื่อป้องกันการสร้างความเข้าใจผิด หรือการใช้ประโยชน์จากกฎหมายในทางไม่ชอบ ซึ่งอาจเป็นอุปสรรคต่อการปรับตัวรับการบังคับใช้ PDPA ตามเจตนารมณ์แท้จริงของกฎหมาย
นอกจากการแก้ไขความเข้าใจผิดเกี่ยวกับกฎหมายสำหรับประชาชนแล้ว อีกปัจจัยสำคัญที่ต้องเร่งยกระดับ คือ ความพร้อมของหน่วยงานต่างๆ โดยเฉพาะ หน่วยงานของภาครัฐ เนื่องจากภาคเอกชนได้เร่งปรับตัว เตรียมความพร้อมคุ้มครองข้อมูลส่วนบุคคลตามหลักสากล GDPR ไปก่อนแล้ว รวมทั้งการปฏิบัติตามหลักธรรมาภิบาลขององค์กรในการประกอบกิจการ
แต่สำหรับหน่วยงานภาครัฐ ที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นจำนวนมาก ตั้งแต่เกิดจนเสียชีวิต ยังติดกับอุปสรรคหลายประการที่ทำให้ยังไม่ได้มีการยกระดับการคุ้มครองข้อมูลส่วนบุคคลในภาครัฐ
ซึ่งการคุ้มครองข้อมูลส่วนบุคคลในภาครัฐที่ผ่านมาเป็นไปตาม พ.ร.บ. ข้อมูลข่าวสารราชการ พ.ศ. 2540 แต่ในตอนนี้ การคุ้มครองข้อมูลส่วนบุคคลของภาครัฐจะต้องปรับไปตาม PDPA ด้วย
จากการศึกษาของทีดีอาร์ไอ พบว่า ตลอด 2 ปีที่ผ่านมา มีบางหน่วยงานได้เตรียมความพร้อมในการปฏิบัติตาม PDPA ไปบ้างแล้ว
เช่น สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) ซึ่งเป็นหน่วยงานของรัฐแรกๆ ที่ได้ดำเนินการปฏิบัติตาม PDPA และเป็นตัวอย่างที่ดีให้กับหน่วยงานอื่นๆ โดยการทำเอกสารแม่แบบสำหรับการดำเนินการ (https://www.dga.or.th/document-sharing/article/59030/) ในการปฏิบัติตามกฎหมาย
อย่างไรก็ตามความเปลี่ยนแปลงที่เกิดขึ้นในหลายหน่วยงานมีเพียงบนกระดาษ ไม่ได้เปลี่ยนแปลงระดับนโยบาย กระบวนการทำงาน ไปจนถึงเทคโนโลยีเพื่อการรักษาความปลอดภัยข้อมูลส่วนบุคคล ซึ่งอาจทำให้ข้อมูลส่วนบุคคลของประชาชนถูกละเมิด/รั่วไหลได้ ตามที่เคยเกิดขึ้นแล้ว
"หลัง PDPA ประกาศใช้ ในช่วงปี พ.ศ. 2564 มีการละเมิด/รั่วไหลของข้อมูลส่วนบุคคลในภาครัฐถึง 5 ครั้ง" (1)
เพื่อยกระดับความพร้อมให้กับภาครัฐและป้องปัญหาเกิดขึ้นเช่นในอดีต จำเป็นที่ภาครัฐจะต้องปรับปรุงแก้ไขสิ่งต่างๆ ดังนี้
1.สร้างความเข้าใจและความชัดเจนในบทบาทหน้าที่ ความไม่เข้าใจหรือไม่ชัดเจนในบทบาทของภาครัฐในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตาม PDPA ทำให้บางส่วนอาจเห็นว่าการคุ้มครองข้อมูลส่วนบุคคลเป็นหน้าที่ของสำนัก/กอง/กลุ่ม/แผนกหนึ่งในหน่วยงานของรัฐเป็นผู้รับผิดชอบ เช่น สำนักเทคโนโลยี เป็นต้น
แต่ตามหลักคือ หน่วยงานภาครัฐจะต้องสร้างความเข้าใจให้กับเจ้าหน้าที่ทุกคนและยึดหลักปฏิบัติเดียวกันทั้งองค์กร
2.มีนโยบายภายในองค์กรเพื่อรองรับการปฏิบัติตาม PDPA หรือแม้แต่การปรับเปลี่ยนกฎเกณฑ์ทางกฎหมายภายใต้อำนาจของหน่วยงานของรัฐ เพื่อให้สอดคล้องกับหลักการของกฎหมายคุ้มครองข้อมูลส่วนบุคคล
3.มีแนวปฏิบัติ (guidelines) เพื่อการเตรียมความพร้อมในการปฏิบัติตาม PDPA และมีคำอธิบายบทบัญญัติของ PDPA ซึ่งหากพิจารณาเฉพาะตัวพระราชบัญญัติแล้วจะเห็นเพียงหลักการ แต่ไม่เห็นแนวทางในการปฏิบัติตาม โดยแนวปฏิบัติสามารถดูสรุปได้จากภาพ
4.มีความเข้าใจต่อการพิจารณาฐานทางกฎหมาย เมื่อขาดนโยบายและแนวปฏิบัติ หน่วยงานของรัฐส่วนใหญ่จึงไม่มั่นใจว่า ภารกิจหรือกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของตนจะต้องใช้ฐานการประมวลผลข้อมูลส่วนบุคคลใด
โดยเฉพาะอย่างยิ่งในมาตราที่กฎหมายห้ามไม่ให้เก็บรวบรวมข้อมูลส่วนบุคคลหากไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ซึ่งจะเป็นปัญหาสำหรับหน่วยงานของรัฐที่มีภารกิจต้องเก็บจากบุคคลเป็นจำนวนมาก เช่น ฐานข้อมูลทะเบียนราษฎร หรือฐานข้อมูลบัตรประจำตัวประชาชน เป็นต้น
เจ้าหน้าที่รัฐอาจไม่มั่นใจว่าจะสามารถขอความยินยอมได้อย่างไร ซึ่งในความเป็นจริงแล้ว PDPA ได้ให้อำนาจหน่วยงานของรัฐในฐานการประมวลผลเพื่อการใช้ประโยชน์ในการจัดทำบริการสาธารณะเอาไว้ โดยไม่ต้องขอความยินยอม
นอกจากนี้ ในกรณีอื่นๆ หน่วยงานของรัฐก็อาจจะอาศัยฐานในการประมวลผลอื่นๆ เพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ ได้แก่ ฐานสัญญา ฐานสถิติ เอกสารประวัติศาสตร์ และจดหมายเหตุ ฐานป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ฐานประโยชน์โดยชอบด้วยกฎหมาย และฐานการปฏิบัติตามกฎหมาย ซึ่ง PDPA รับรองเอาไว้
5.มีระบบเทคโนโลยีสารสนเทศที่ปลอดภัย หน่วยงานของรัฐบางแห่งยังไม่มีระบบที่ทันสมัยเพียงพอกับการรับมือกับการละเมิด/รั่วไหลของข้อมูลส่วนบุคคล ซึ่งอาจเกิดการรั่วไหลหรือถูกโจมตีต่อระบบคอมพิวเตอร์ได้
หรือในกรณีที่เก็บรักษาเอกสารอิเล็กทรอนิกส์ไว้ในเครื่องคอมพิวเตอร์สำนักงานโดยไม่มีการตั้งรหัสการเข้าถึงข้อมูล (access control) อาจทำให้บุคคลที่ไม่มีส่วนเกี่ยวข้องเข้าถึงข้อมูลได้โดยไม่จำเป็น
นอกเหนือจากสิ่งต่างๆที่กล่าวมาแล้ว หลักสำคัญในการปรับตัวตาม PDPA ของภาครัฐคือการตระหนักถึงบทบาทในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ที่ต้องใหการคุ้มครองข้อมูลส่วนบุคคลของประชาชน
และต้องสร้างความโปร่งใสในการสื่อสารกับประชาชน ในกรณีที่จะต้องเก็บรวบรวมและใช้ข้อมูลส่วนบุคคล ภาครัฐควรจะต้องมีการแจ้งให้ประชาชนทราบ เพื่อให้ประชาชสามารถใช้สิทธิของตนเองได้ตามกฎหมาย
เพราะหน่วยงานของรัฐส่วนใหญ่ยังขาดการเตรียมกระบวนการเพื่อแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล การจัดเตรียมช่องทางการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล โดยควรจะต้องแจ้งให้ประชาชนรับรู้ เพื่อประโยชน์ของประชาชนในการควบคุมสิทธิในข้อมูลส่วนบุคคลของตนเอง.
อ้างอิง
(1.)พสิษฐ์ คงคุณากรกุล. ‘ย้อนรอยเหตุ ‘ข้อมูลเสี่ยงรั่ว-รั่วไหล’ ขององค์กรในไทย จากทั้งปี 64 ถึงกรณี TCAS’ (The Standard, 4 กุมภาพันธ์ 2565) <https://thestandard.co/leaked-information-from-thai-companies-2021-from-tcas/> สืบค้นเมื่อ 3 มิถุนายน 2565.
(2.)สถาบันวิจัยเพื่อการพัฒนาประเทศไทย, รายงานผลการสำรวจการเตรียมความพร้อมหน่วยงานในการคุ้มครองข้อมูลส่วนบุคคล ปี 2561 (สถาบันวิจัยเพื่อการพัฒนาประเทศไทย 2561) 110.
(3.) เพิ่งอ้าง.
(4.)พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 24 (4).
(5.) วิชญาดา อำพนกิจวิวัฒน์, ‘ระบบ ‘ข้อมูลส่วนบุคคล’ ที่ดี รัฐต้องมี ‘คน’ ที่พร้อม’ (TDRI, 27 สิงหาคม 2564) <https://tdri.or.th/2021/08/papa-awareness-raising-and-training-of-staff/> สืบค้นเมื่อ 6 มิถุนายน 2565
คอลัมน์ วาระทีดีอาร์ไอ
เขมภัทร ทฤษฎิคุณ
นักวิจัยประจำฝ่ายกฎหมายเพื่อการพัฒนา
สถาบันวิจัยเพื่อการพัฒนาประเทศไทย (TDRI)
