กฎหมามคุ้มครองข้อมูลส่วนบุคคล:ประเด็นของรัฐVsเอกชน
ในช่วงที่ผ่านมา ผู้เขียนได้รับเกียรติให้ไปบรรยายในเรื่องกฎหมายคุ้มครองข้อมูลส่วนบุคคลอยู่หลายครั้ง
และคำถามที่พบบ่อยในการบรรยาย หากเป็นวงของภาครัฐ คือ บริบทใดบางที่ภาครัฐจะได้รับการยกเว้นตามกฎหมายนี้ และหากเป็นภาคเอกชน ข้อสงสัยจะอยู่ในหลักการเรื่อง Legal Basis ในการขอข้อมูลส่วนบุคคลจากลูกค้า ซึ่งจำเป็นหรือไม่ที่ต้องขอความยินยอมในทุกกรณี ซึ่งกรณีจะเป็นเช่นไรถ้าลูกค้าไม่ยอมให้ข้อมูลบางอย่างในการเข้าทำสัญญารับบริการ
ภาครัฐ : ได้รับการยกเว้นไม่ต้องทำตามกฎหมายนี้ใช่หรือไม่?
ไม่ใช่ เนื่องจาก เจตนารมณ์ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล คือ การให้มีผลบังคับใช้กับทุกคน ทั้งภาครัฐและเอกชน ดังนั้น หากพิจารณาถ้อยคำในกฎหมายจะพบว่าไม่มีบทบัญญัติในข้อไหนที่ยกเว้นหน่วยงานหรือบุคคลใดเป็นการเฉพาะเจาะจง แต่การยกเว้นการปฏิบัติตามกฎหมายฉบับนี้มุ่งเน้นที่ “ประเภทของกิจกรรม” ซึ่งหากกิจกรรมเช่นว่านั้นเป็นไปตามข้อกำหนดของกฎหมาย การดำเนินการดังกล่าวจึงจะได้รับการยกเว้น
ยกตัวอย่างเช่น (1) การดำเนินการที่เกี่ยวข้องกับการพิจารณาพิพากษาของศาล รวมถึงการดำเนินงานของเจ้าหน้าที่ในกระบวนยุติธรรม (2) การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิก (เช่น Bank/Non-Bank) ภายใต้กฎหมายว่าด้วยการประกอบธุรกิจบัตรเครดิต (3) การใช้ข้อมูลตามหน้าที่ของสภา (ผู้แทนราษฎร วุฒิสภา รัฐสภา หรือคณะกรรมาธิการ) และ (4) การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่ง “ความมั่นคง” ในที่นี้ตีความให้รวมถึง ความมั่นคงทางการคลังของภาครัฐ (ซึ่งหมายถึง การดำเนินงานหน่วยงานที่มีความเกี่ยวข้องกับภารกิจทางการคลังและการจัดเก็บภาษี เช่น กรมสรรพากร กรมสรรพาสามิต และกรมศุลกากร) ความมั่นคง ในการรักษาความปลอดภัยของประชาชน (เช่น ทหาร ตำรวจ) และยังรวมไปถึงการรักษาความมั่นคงปลอดภัยทางไซเบอร์อีกด้วย
ดังนั้น หลักการของข้อยกเว้นในส่วนนี้ กฎหมายต้องการจะหมายความถึง การยกเว้นให้กิจกรรมหรือการดำเนินการบางอย่างของหน่วยงานของรัฐ มิใช่ให้กิจกรรมทุกอย่างที่ภาครัฐดำเนินการจะหลุดพ้น เช่น หากหน่วยงานมีหน้าที่ในการรักษาความมั่นคงทางการคลัง กิจกรรมที่ทำเพื่อความมั่นคงทางการคลังย่อมได้รับการยกเว้น แต่กิจกรรมอื่น ๆ เช่น การเก็บข้อมูลส่วนบุคคลของบุคลากรภายในองค์กรตามกรอบบริหารงานทรัพยกรบุคคล หน่วนงานของรัฐดังกล่าวยังคงมีหน้าที่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอยู่ เนื่องจากการดำเนินงานในลักษณะเช่นว่า ไม่ได้ทำการในฐานะที่มีหน้าที่รักษาความมั่นคงของภาครัฐ แต่เป็นการบริหารจัดการภายในองค์กรที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคล (ของบุคคลในองค์กร) นั้นเอง
นอกจากนี้ การยกเว้นในกิจกรรมบางประเภทเช่นว่า กฎหมายก็มิได้บัญญัติให้ภาครัฐดำเนินการอย่างไรก็ได้กับข้อมูลส่วนบุคคลเหล่านั้น หากแต่ได้กำหนดว่า หน่วยงานที่ได้รับการยกเว้นยังคงมีหน้าที่ในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานที่กำหนด ซึ่งคำว่า “มาตรฐาน” ในที่นี้ แม้ไม่ได้ระบุชัด แต่เมื่ออยู่ในบริบทของกฎหมายคุ้มครองข้อมูลส่วนบุคคลแล้ว หน่วยงานที่ได้รับยกเว้นย่อมมีหน้าที่ดูแลความปลอดภัยของข้อมูลให้สอดคล้องกับมาตรฐานของกฎหมายฉบับนี้
ภาคเอกชน : ทำอย่างไรหากเจ้าของข้อมูลไม่ให้ความยินยอม?
เรื่องของความยินยอมนั้น แม้กฎหมายจะเขียนไว้ชัดว่า “ห้ามเก็บรวบรวมข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอม” แต่ความยินยอม (Consent) ก็มิใช่ Legal Basis เพียงอย่างเดียวใน การประมวลผลข้อมูลส่วนบุคคล เนื่องจากกฎหมายยังได้กำหนดว่า การเก็บรวบรวมข้อมูลส่วนบุคคล ในบางกรณีผู้ควบคุมข้อมูลสามารถเก็บรวบรวมได้โดย “ไม่ต้องอาศัยฐานความยินยอม”
ยกตัวอย่างเช่น (1) การเก็บข้อมูลส่วนบุคคลเป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาหรือจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนเข้าทำสัญญา (Contract) เช่น ในการทำสัญญาให้บริการ ผู้ควบคุมข้อมูลจำเป็นต้องใช้ ชื่อ ที่อยู่ และเบอร์โทรศัพท์ ของลูกค้า เนื่องจากข้อมูลดังกล่าวหากไม่ได้รับ ก็ไม่สามารถดำเนินการหรือเข้าทำสัญญาระหว่างกันได้ ในกรณีเช่นนี้ ข้อมูล (ชื่อ ที่อยู่ และเบอร์โทรศัพท์) จึงเป็นข้อมูลส่วนบุคคลที่จำเป็นเพื่อการปฏิบัติตามสัญญา ดังนั้น ผู้ควบคุมข้อมูลในกรณีนี้ จึงได้รับการยกเว้นไม่ต้องขอความยินยอม เพียงแต่มีหน้าที่ “แจ้งวัตถุประสงค์” ให้ลูกค้าทราบว่า จะมีการขอข้อมูลดังกล่าวเพื่อใช้ในการทำสัญญาก็เพียงพอแล้ว อย่างไรก็ดี หากมีกรณีที่ลูกค้าไม่ให้ข้อมูลส่วนบุคคลเหล่านั้น สัญญาระหว่างผู้ควบคุมข้อมูลและลูกค้าก็ไม่สามารถดำเนินการได้ (เท่ากับสัญญาระหว่างกันก็ไม่เกิด)
(2) การเก็บข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการศึกษาวิจัย หรือสถิติ (Research) เช่น ในการทำสัญญาให้บริการ ผู้ให้บริการอาจมีการนำข้อมูลบางอย่างของลูกค้ามาใช้ในการศึกษาเพื่อวิเคราะห์ในเชิงสถิติหรือทำวิจัย (การดำเนินการของส่วนงานวิจัยของบริษัทต่างๆ) ในกรณีเช่นนี้ กฎหมายอนุญาตให้เก็บรวบรวมข้อมูลของลูกค้าได้โดยไม่ต้องใช้ฐานความยินยอม เพียงแค่มีหน้าที่ “แจ้งวัตถุประสงค์” ให้ลูกค้าทราบถึงการใช้ข้อมูลในเชิง Research นั้น ซึ่งกรณีดังกล่าวจะเป็นคนละกรณีกับการนำข้อมูลไปใช้เพื่อทำ marketing ซึ่งกฎหมายไม่ได้ยกเว้นในเรื่องการขอความยินยอมในกรณีของ Marketing ไว้ ดังนั้น หากเป็นกรณีการนำข้อมูลส่วนบุคคลของลูกค้าไปใช้เพื่อทำการตลาดแล้ว ต้องมีการขอความยินยอมก่อนเสมอ (และต้องมีช่องทางให้ถอนความยินยอมได้ด้วยเช่นกัน)
ท้ายที่สุด อาจสรุปได้สั้นๆ ว่า ภาครัฐไม่ได้รับการยกเว้นในทุกกิจกรรมภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล และสำหรับภาคเอกชนการจัดทำสัญญา 1 ฉบับอาจจำเป็นต้องทำความเข้าใจเรื่อง Legal Basis ให้ดีว่า ภายใต้กรอบของสัญญาแต่ละฉบับ กฎหมายได้กำหนดหลักการในการประมวลผลข้อมูลส่วนบุคคลไว้อย่างไร ซึ่งในสัญญา 1 ฉบับการเก็บข้อมูลแต่ละส่วน อาจใช้ฐาน Legal Basis ที่แตกต่างกันออกไป และการขอความยินยอมก็มิใช่ Legal basis ที่จำเป็นในทุกกรณี
[บทความนี้เป็นความเห็นส่วนตัวของผู้เขียน]