คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล : ความหวังของสังคมไทย
ถือว่าเป็นข่าวดีต้อนรับ Data Privacy Day วันคุ้มครองข้อมูลส่วนบุคคล (สากล) วันที่ 28 ม.ค.นี้ เมื่อคณะรัฐมนตรีได้มีมติเมื่อวันอังคาร ที่ 11 ม.ค.2565 ประกอบกับมติคณะรัฐมนตรี 19 พ.ค.2563 แต่งตั้งประธานกรรมการและกรรมการผู้ทรงคุณวุฒิในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ประธานกรรมการและกรรมการผู้ทรงคุณวุฒิ รวม 10 คนนี้เป็นไปตามที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเสนอ และได้มีการประกาศเผยแพร่มติคณะรัฐมนตรีดังกล่าวในราชกิจจานุเบกษาแล้วเมื่อวันที่ 18 มกราคม 2565 ที่ผ่านมา
การที่มีประกาศราชกิจจานุเบกษาแต่งตั้งประธานกรรมการและกรรมการผู้ทรงคุณวุฒิครบถ้วนตามจำนวนที่กฎหมายกำหนด ถือเป็น “หมุดหมาย” สำคัญของประเทศไทยในการมีองค์กรที่จะบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อย่างแท้จริง
เนื่องจากตามโครงสร้างการบังคับใช้ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ หากไม่สามารถแต่งตั้งคณะกรรมการได้ องคาพายพต่าง ๆ ของกฎหมายก็จะไม่สามารถดำเนินการได้อย่างแท้จริง
ซึ่งในช่วงที่ผ่านมาก็ต้องถือว่าในระหว่างที่ยังไม่สามารถจัดตั้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (“สำนักงานฯ”) สำนักงานปลัดกระทรวงดิจิทัลฯ ซึ่งทำหน้าที่สำนักงานฯ ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ และรองปลัดกระทรวงดิจิทัลฯ ซึ่งทำหน้าที่เลขาธิการก็ได้ร่วมกันขับเคลื่อน
เพื่อสร้างความตระหนักรู้และความเข้าใจต่อพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ให้แก่สังคมในวงกว้าง รวมถึงการเตรียมการต่าง ๆ เพื่อให้กฎหมายสามารถพร้อมใช้บังคับทั้งฉบับในวันที่ 1 มิถุนายน 2565 นี้ แม้ว่าจะมีข้อจำกัดหลาย ๆ ประการ อาทิ ทรัพยากรบุคคลของสำนักงานฯ และความไม่ทั่วถึงในหลาย ๆ พื้นที่ในแง่ของการเข้าถึงข้อมูล
อย่างไรก็ตาม ผู้เขียนเชื่อว่าผู้ประกอบการรายใหญ่ของประเทศ ภาคอุตสาหกรรมต่าง ๆ และกลุ่มธุรกิจที่อยู่ภายใต้การกำกับดูแลหรือการอนุญาตของหน่วยงานรัฐ เช่น บริษัทจดทะเบียนในตลาดหลักทรัพย์ กลุ่มธุรกิจสถาบันการเงิน กลุ่มธุรกิจประกันภัย กิจการโทรคมนาคม หรือ รัฐวิสาหกิจต่าง ๆ
ที่เป็นผู้ใช้ข้อมูลส่วนบุคคลรายใหญ่ของประเทศที่มีฐานลูกค้าหรือผู้ใช้บริการจำนวนมากต่างได้รับทราบและตระหนักถึงความสำคัญของการสร้างธรรมภิบาลของการใช้ข้อมูลส่วนบุคคลภายในองค์กร ให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เป็นอย่างดี
รวมถึงเข้าใจถึงความจำเป็นของประเทศไทยในการที่จะต้องมีการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ให้สอดคล้องกับมาตรฐานสากล เพื่อให้ประเทศไทยเป็นประเทศผู้นำเข้าข้อมูลได้โดยที่ไม่มีข้อจำกัดทางการค้า หรือถูกทำให้สูญเสียความสามารถในการแข่งขันหรือโอกาสต่าง ๆ อันเนื่องมาจากสภาพไม่พร้อมใช้บังคับของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ
ในโอกาสที่มีการแต่งตั้งคณะกรรมการที่มีอำนาจหน้าที่ตามกฎหมายครบถ้วนแล้ว ผู้เขียนในฐานะเจ้าของข้อมูลส่วนบุคคลคนหนึ่งที่กฎหมายฉบับนี้ได้บัญญัติรับรองและยืนยันสิทธิในความเป็นส่วนตัวเอาไว้ จึงขอฝากความหวังไปยังคณะกรรมการทุกท่าน ให้เร่งดำเนินการเพื่อสร้างความเชื่อมั่นต่อการที่ประเทศไทยจะมีการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลไปในทิศทางเดียวกับหลาย ๆ ประเทศที่ได้นำ GDPR หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปมาเป็นต้นแบบในการตรากฎหมาย
โดยเฉพาะในการเป็นกฎหมายที่คุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลจากการกระทำที่ไม่ชอบด้วยกฎหมาย ไม่เฉพาะเพียงแต่กรณีที่เกิดเหตุการณ์ข้อมูลรั่วไหลเท่านั้น แต่ยังรวมถึงการมีฐานทางกฎหมายในการประมวลผล การใช้ข้อมูลให้น้อยที่สุด สอดคล้องกับวัตถุประสงค์ที่ชอบด้วยกฎหมายและเพียงเท่าที่จำเป็นเท่านั้น และประการสำคัญ “ความโปร่งใส” ในการประมวลผลข้อมูลส่วนบุคคล
แต่การมีคณะกรรมการอาจไม่ใช่ “แก้วสารพัดนึก” ที่จะมาช่วยสร้างและเปลี่ยนพฤติกรรมการใช้ ข้อมูลในระบบธุรกิจได้ภายในระยะเวลาอันสั้น คณะกรรมการเองก็จำเป็นอย่างยิ่งที่ต้องให้ “แนวทาง” หรือ Guideline ที่ชัดเจนแก่ผู้เกี่ยวข้องว่าอะไรทำได้ หรือทำไม่ได้
เพราะต้องยอมรับว่าแม้แต่ในสหภาพยุโรปที่มีการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในระดับสหภาพมาตั้งแต่ปี 1995 ก่อนจะมาปรับปรุงครั้งใหญ่ในปี 2016 ก็ยังมีข้อถกเถียงและการตีความต่าง ๆ จำนวนมากเกี่ยวกับสภาพการบังคับใช้ของกฎหมาย พฤติกรรมต่าง ๆ ที่เกี่ยวเนื่องกับการใช้ข้อมูล
เอาแค่ว่า อะไรบ้างคือ “ความยินยอม” ที่ชอบด้วยกฎหมาย ใครคือ “ผู้ควบคุมข้อมูลส่วนบุคคล” ใครคือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” หรือ “ข้อมูลส่วนบุคคล” หมายความรวมถึงอะไรบ้าง ยังต้องมีการตีความกันยืดยาว มีการออก Guideline จำนวนมากจากหน่วยงานบังคับใช้กฎหมายเพื่อสร้างกติการ่วมกันในการประมวลผลข้อมูลส่วนบุคคล
ดังนั้น ประเทศไทยที่ไม่เคยมีประสบการณ์ในการบังคับใช้กฎหมายลักษณะนี้เลยยิ่งมีความต้องการที่จะได้ข้อแนะนำและทิศทางจากคณะกรรมการอย่างมาก
ผู้เขียนจึงเห็นว่า ภารกิจแรก ๆ ที่มีความสำคัญเป็นอันดับต้น ๆ ของคณะกรรมการ น่าจะมีดังนี้
(1) สร้างความเชื่อมั่นต่อสาธารณะว่ากฎหมายจะถูกใช้บังคับในวันที่ 1 มิถุนายน 2565 อย่างเป็นธรรม และไม่มีเหตุผลและความจำเป็นที่จะต้องเลื่อนการบังคับใช้กฎหมายอีกต่อไป เพราะผู้ที่ไม่ปรับตัวก็จะยังคงไม่ปรับตัวต่อไป เนื่องจากเชื่อว่ากฎหมายจะไม่ใช้บังคับ (ท่านต้องทำลายความเชื่อนี้)
(2) เร่งสร้างความชัดเจนในการบังคับใช้กฎหมาย โดยเฉพาะการมีกฎหมายลำดับรองที่จำเป็นต่อการดำเนินงานของภาคส่วนที่เกี่ยวข้อง
(3) สร้างความเชื่อมั่นและความตระหนักรู้ถึงสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยเฉพาะการให้ความรู้แก่กลุ่มผู้บริโภคและภาคประชาสังคม
(4) ในช่วงที่อาจจะยังขาดความชัดเจนในบางเรื่อง Enforcement Priority ของคณะกรรมการจะไปในทิศทางไหน เช่น องค์กรอาจจะมี Privacy Notice แล้วแต่ยังอาจจะไม่ถูกต้องครบถ้วน มีการปรับปรุงกระบวนการทำงานแล้ว แต่ก็อาจจะยังมีบางส่วนหรือหลายส่วนที่อาจจะไม่สมบูรณ์ กรณีแบบนี้ หากมีการร้องเรียนคณะกรรมการจะดำเนินการอย่างไร เป็นต้น
(5) จัดตั้งสำนักงานฯ ตามเงื่อนไขที่กฎหมายกำหนดเพื่อให้มีหน่วยธุรการซึ่งจะเข้ามาผลักดันและส่งเสริมการทำงานของคณะกรรมการ
ระบบเศรษฐกิจดิจิทัลของประเทศไทยจะไปในทิศทางไหน การคุ้มครองสิทธิในความเป็นส่วนตัวของพลเมืองจะเป็นไปตามแนวทางสากลได้หรือไม่ ขึ้นอยู่กับกรรมการทุกท่านในการสามารถสร้างสมดุลของการบังคับใช้กฎหมาย ระหว่าง “free flow of data” และ “right to data privacy” ซึ่งไม่ใช่เรื่องง่าย แต่คือสิ่งที่ทุกท่านอาสามาทำให้สำเร็จ.
คอลัมน์ : Tech, Law and Security
ศุภวัชร์ มาลานนท์
มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
พรชัย วิสุทธิศักดิ์
มหาวิทยาลัยเชียงใหม่
สุทธิชัย งามชื่นสุวรรณ
มหาวิทยาลัยสงขลานครินทร์