กฎหมายคุ้มครองข้อมูลส่วนบุคคล: ปัญหาการบังคับใช้
ก่อนที่จะจบบทความในชุดเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล เรื่องสุดท้ายที่อยากจะนำมาพูดถึงปัญหาที่อาจเกิดจากการบังคับใช้กฎหมายฉบับนี้
ปัญหาประการแรกคือ ข้อมูลอะไรบ้างที่จะถือว่าเป็นข้อมูลส่วนบุคคล คำถามนี้เป็นคำถามสำคัญที่ควรจะตอบให้ได้เป็นอันดับแรก เนื่องจากจะเป็นตัวกำหนดว่าการจัดเก็บ ใช้ หรือเปิดเผยข้อมูลดังกล่าวจะต้องปฏิบัติตามกฎหมายฉบับนี้หรือไม่ การกลับไปดูบทนิยามที่กำหนดไว้ในพระราชบัญญัติ(พ.ร.บ.)ฉบับนี้ อาจจะไม่สามารถตอบคำถามนี้ได้อย่างชัดเจนเสมอไป หากเป็นข้อมูลที่สามารถใช้ระบุเจ้าของข้อมูลได้โดยตรง เช่น หมายเลขประจำตัวประชาชน หรือรูปถ่าย ก็อาจจะไม่มีข้อสงสัยเท่าใดนัก แต่หากเป็นข้อมูลที่ไม่สามารถใช้ระบุตัวเจ้าของข้อมูลได้โดยตรง เช่น หมายเลขบัตรเครดิต เพราะถ้ารู้เพียงตัวเลขดังกล่าวก็ยังไม่สามารถใช้ระบุตัวเจ้าของข้อมูลได้ แต่ต้องมีชื่อเจ้าของบัตร รายละเอียดของธนาคารผู้ออกบัตร หรือรายละเอียดอื่น ๆ ที่ต้องนำมาใช้ประกอบกันถึงจะสามารถระบุตัวตนของเจ้าของข้อมูลได้ เช่นนี้แล้วหมายความว่าหมายเลขบัตรเครดิตจะเป็นข้อมูลส่วนบุคคลก็ต่อเมื่อมีข้อมูลเพิ่มเติมอย่างเพียงพอที่จะใช้ระบุตัวเจ้าของข้อมูลใช่หรือไม่
ผู้เขียนมีความเห็นว่าหากผู้ควบคุมข้อมูลสามารถใช้หมายเลขบัตรเครดิตนี้ไปประกอบกับข้อมูลอื่นที่ตนมีแล้วใช้ระบุตัวเจ้าของบัตรได้ ข้อมูลนี้ก็เป็นข้อมูลส่วนบุคคล แต่ที่ยังมีข้อสงสัยอยู่คือ ในกรณีที่จะต้องเอาข้อมูลบัตรเครดิตนี้ไปทำการสืบค้นต่อว่าเจ้าของบัตรเป็นใคร ถ้ามีช่องทางให้สืบค้นได้จะทำให้ข้อมูลนี้เป็นข้อมูลส่วนบุคคลหรือไม่ แล้วความยากง่ายในการสืบค้นข้อมูลนี้จะมีผลกระทบต่อความเป็นข้อมูลส่วนบุคคลหรือไม่
ประการต่อมาเรื่องการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล กฎหมายได้เปิดช่องไว้ว่า หากโดยสภาพไม่อาจขอความยินยอมโดยการทำเป็นหนังสือ หรือทำผ่านระบบอิเล็กทรอนิกส์ได้ อาจขอความยินยอมด้วยวิธีอื่นได้ คำว่า “โดยสภาพ” นี้หมายความว่าอย่างไร หากผู้ควบคุมข้อมูลพยายามติดต่อขอความยินยอมโดยวิธีการที่กฎหมายกำหนดแล้ว แต่ยังไม่สามารถขอความยินยอมจากเจ้าของข้อมูลได้ อาจจะด้วยว่าช่องทางการติดต่อที่เจ้าของข้อมูลให้ไว้ไม่อัพเดทอีกต่อไป หรือเป็นกรณีที่เจ้าของข้อมูลไม่สนใจจะให้ความยินยอม หากความยินยอมนั้นจำเป็นต่อการให้บริการต่อไปของผู้ควบคุมข้อมูล ผู้ควบคุมข้อมูลจะสามารถกำหนดระยะเวลาอันสมควรให้เจ้าของข้อมูลตอบกลับ และหากไม่ตอบกลับภายในระยะเวลาดังกล่าวให้ถือว่าเป็นการให้ความยินยอมโดยปริยายได้หรือไม่ หากทำไม่ได้การให้บริการก็อาจจะต้องหยุดชะงักลงซึ่งอาจส่งผลเสียต่อเจ้าของข้อมูลมากกว่าก็เป็นได้
เรื่องสุดท้ายคือ เรื่องการจัดเก็บข้อมูลทางอ้อม เนื่องจากในปัจจุบันผู้ควบคุมข้อมูลมีช่องทางในการได้ข้อมูลส่วนบุคคลมาจากช่องทางอื่นๆ ที่ไม่ได้มาจากเจ้าของข้อมูลโดยตรง ไม่ว่าจะเป็นทางโซเชียลมีเดียต่างๆ ฐานข้อมูลสาธารณะที่หน่วยงานของรัฐบาลจัดไว้ให้ตรวจสอบ หรือการได้ข้อมูลมาจากตัวกลางในการปฏิบัติทางการค้า เช่น บริษัทประกันภัยอาจจะได้ข้อมูลลูกค้ามาจากบริษัทขายรถยนต์เพื่อช่วยในการจัดทำประกันภัยรถยนต์ให้กับลูกค้า โดยหลักแล้วการจัดเก็บข้อมูลผ่านช่องทางเหล่านี้บริษัทประกันภัยในฐานะผู้ควบคุมข้อมูลต้องได้รับความยินยอมจากเจ้าของข้อมูล รวมถึงมีหนังสือแจ้งรายละเอียดตามที่กฎหมายกำหนดให้แก่เจ้าของข้อมูล
ทั้งนี้ เว้นแต่จะเข้าข้อยกเว้นที่กฎหมายกำหนด แต่เนื่องจากบริษัทประกันภัยไม่ได้เป็นผู้ติดต่อเจ้าของข้อมูลโดยตรงจึงต้องอาศัยนายหน้าในการขอความยินยอมรวมถึงดำเนินการอื่น ๆ ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด กรณีเช่นนี้หากนายหน้าไม่ปฏิบัติตามกฎหมายอย่างครบถ้วน บริษัทประกันภัยก็อาจมีความรับผิดตามกฎหมาย แม้ว่าตนจะได้ทำทุกอย่างเพื่อปฏิบัติตามกฎหมายแล้วอย่างนั้นหรือ
ผู้เขียนหวังเป็นอย่างยิ่งว่า แนวทางปฏิบัติที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะออกมาในอนาคตนั้นจะช่วยคลายข้อสงสัย และแนะแนวทางการปฏิบัติงานให้กับผู้ประกอบธุรกิจได้ชัดเจนมากขึ้น ความชัดเจนนี้นอกจากจะช่วยทำให้กฎหมายฉบับนี้มีผลบังคับใช้ได้อย่างมีประสิทธิภาพแล้ว ยังเป็นการช่วยคุ้มครองเจ้าของข้อมูลได้ดีมากขึ้นด้วย
[บทความนี้เป็นความเห็นส่วนตัวของผู้เขียนอันเป็นความเห็นในทางวิชาการ และไม่ใช่ความเห็นของบริษัท อัลเลน แอนด์ โอเวอรี่ (ประเทศไทย) จำกัด ที่ผู้เขียนทำงานอยู่]
โดย...
ภูริตา ธนโชคโสภณ
บริษัท อัลเลน แอนด์ โอเวอรี่ (ประเทศไทย) จำกัด