ความพร้อมในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
เมื่อไทยนำกฎหมายคุ้มครองข้อมูลส่วนบุคคลของอียูมาเป็นต้นแบบ เพื่อยกร่างกฎหมายของตัวเอง คงต้องพิจารณาอย่างถี่ถ้วนเพื่อให้เหมาะกับประเทศไทย ไม่เช่นนั้นจุดหมายปลายทางอาจจะไม่ใช่การคุ้มครองสิทธิอย่างที่ตั้งใจไว้
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ปี 2562 จะมีผลใช้บังคับในวันที่ 28 พ.ค.2563 มีบทบัญญัติจำนวนมากที่อาจส่งผลกระทบต่อการใช้ชีวิตประจำวัน รูปแบบการดำเนินธุรกิจและการกระทำของหน่วยงานรัฐ โดยผู้เขียนขอยกเฉพาะประเด็นที่เห็นว่ามีความสำคัญและอาจจะยังไม่มีการกล่าวถึงมากนัก โดยเปรียบเทียบกับ GDPR ที่เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (อียู) ที่ประเทศไทยใช้เป็นต้นแบบในการยกร่างกฎหมาย เพื่อประกอบความเข้าใจ ดังนี้
- 1.ข้อยกเว้นการบังคับใช้กฎหมาย
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดข้อยกเว้นการบังคับใช้กฎหมายไว้บางส่วนดังนี้
1.การใช้เพื่อประโยชน์ส่วนตน มาตรา 4 (1) กำหนดว่า "การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมเพื่อประโยชน์ส่วนตน หรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น"
กรณีใดบ้างที่จะถือว่าเป็นการใช้เพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวนั้น เป็นกรณีที่อาจเกิดปัญหาในการตีความและก่อให้เกิดความขัดแย้งได้ในหลายกรณี อาทิ การถ่ายภาพของบุคคลอื่นแล้วนำไปโพสต์ในสื่อสังคมออนไลน์ต่างๆ การเปิดเผยชื่อบุคคล บ้านเลขที่ หมายเลขโทรศัพท์ เป็นต้น
ในคดี C-212/13 ชายชาวเช็กได้ติดกล้องวงจรปิดภายในพื้นที่บ้านของตนเองเพื่อความปลอดภัยในชีวิตและทรัพย์สิน เนื่องจากบ้านของเขาเคยถูกบุกรุกมาก่อน โดยมีกล้องตัวหนึ่งบันทึกภาพถ่ายในบริเวณทางเท้าหน้าบ้านซึ่งเป็นถนนสาธารณะด้วย กรณีนี้ศาลยุติธรรมแห่งอียูตัดสินว่าไม่ถือเป็นการใช้เพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัว
2.ข้อยกเว้นสำหรับกิจการสื่อมวลชน มาตรา 4 (3) กำหนดว่า บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะเพื่อกิจการสื่อมวลชนอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพ หรือเป็นประโยชน์สาธารณะ แต่ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานด้วย
จากข้อยกเว้นข้างต้น สื่อมวลชนได้รับยกเว้นเฉพาะเพื่อกิจการสื่อมวลชนอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น ซึ่งจากข้อความของตัวบท ย่อมนำมาซึ่งข้อโต้แย้งต่อไปว่าอะไรคือ "จริยธรรมแห่งการประกอบวิชาชีพ" หรือ "ประโยชน์สาธารณะ" เพราะหากไม่ต้องด้วยข้อยกเว้น สื่อมวลชนก็ต้องดำเนินการตามเงื่อนไขของกฎหมายในการกระทำต่อข้อมูลส่วนบุคคล อาทิ การเปิดเผยชื่อและภาพถ่ายของผู้ถูกกล่าวหาว่ากระทำความผิดต่อสาธารณะโดยไม่ได้รับความยินยอมจะกระทำได้หรือไม่ ถ้าทำได้ใช้กฎหมายใดเป็นข้อยกเว้น นอกจากนี้สื่อมวลชนยังมีหน้าที่ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานด้วย ซึ่งมาตรฐานดังกล่าวคืออะไร และมีเนื้อหาอย่างไร
- 2.นายจ้างอยู่ภายใต้บังคับของกฎหมายหรือไม่
ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 6 "ผู้ควบคุมข้อมูลส่วนบุคคล" หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล” จากบทบัญญัติดังกล่าว นายจ้างไม่ว่าจะเป็นบุคคลธรรมดาหรือนิติบุคคล เป็นส่วนราชการหรือรัฐวิสาหกิจ ก็สามารถมีสถานะเป็น "ผู้ควบคุมข้อมูลส่วนบุคคล" หากไม่ต้องด้วยข้อยกเว้นตามกฎหมายในมาตรา 4 ที่มิให้นำ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ไปใช้บังคับหรือกรณีอื่นๆ ตามที่กฎหมายกำหนด ดังนั้น โดยหลักการ ความสัมพันธ์ของนายจ้างและลูกจ้างที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกจ้างจึงอาจอยู่ภายใต้บังคับของกฎหมายฉบับนี้
ทั้งนี้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มิได้ยกตัวอย่างเพื่อให้ทราบว่ากรณีใดบ้างที่อาจถือได้ว่าเป็นข้อมูลส่วนบุคคล เพียงแต่กำหนดว่าเป็น "ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม" ซึ่งหากพิจารณาจากกรณีศึกษาในต่างประเทศ "ข้อมูลส่วนบุคคล" อาจหมายความรวมถึงข้อมูลดังต่อไปนี้ ชื่อ-สกุล, หมายเลขโทรศัพท์, ที่อยู่, e-mail, social media account, หมายเลขบัตรประจำตัวประชาชน, หมายเลขหนังสือเดินทาง, ข้อมูลเกี่ยวกับการประกันสังคม, ข้อมูลเกี่ยวกับสุขภาพ, ข้อมูลด้านการเงิน, ข้อมูลเงินเดือนและค่าตอบแทนต่างๆ ฯลฯ เป็นต้น
3.การระบุพิกัดหรือการระบุสถานที่
การระบุพิกัดหรือการระบุสถานที่ผ่าน Geolocation หรือ Location data เป็นเทคโนโลยีที่ได้รับความนิยมมากขึ้นเรื่อยๆ อุปกรณ์หลายๆ ชนิดสามารถใช้ในการระบุพิกัดได้อย่างมีประสิทธิภาพผ่านการทำงานร่วมกันของฮาร์ดแวร์และซอฟต์แวร์ ไม่ว่าจะเป็นคอมพิวเตอร์ส่วนบุคคลหรือแบบพกพา สมาร์ทโฟน สมาร์ทวอทช์ หรือระบบ GPS Tracking ที่ฝังมาในอุปกรณ์ต่างๆ อาทิ กล้องติดรถยนต์ (Dash Cams) หรือแม้กระทั่งตัวรถยนต์เอง เป็นต้น
โดยในประเทศสหรัฐและอียู ถือว่าพิกัดสถานที่ดังกล่าวเป็น “ข้อมูลส่วนบุคคล” ดังนั้น การดำเนินการใดๆ ต่อสิทธิความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลจึงต้องดำเนินการตามที่กฎหมายอนุญาตและกำหนดไว้เท่านั้น ซึ่งในส่วนนี้หน่วยงานบังคับใช้กฎหมายควรต้องสร้างความชัดเจนต่อประชาชนและสังคมว่าขอบเขตการบังคับใช้กฎหมายมีอยู่อย่างไร
4.เอชทีทีพีคุกกี้ (HTTP cookie) หรือ "เว็บคุกกี้" หรือ "คุกกี้"
ในคดี C-673/17 ศาลยุติธรรมแห่งอียู ตัดสินว่าการขอความยินยอมให้ใช้คุกกี้บนเว็บไซต์ของตนเองโดยใช้ pre-ticked checkbox นั้นไม่ชอบด้วยกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยการให้ความยินยอมนั้นต้องเป็นความยินยอมโดยอิสระ ชัดเจน ได้รับแจ้งข้อมูลที่เพียงพอต่อการตัดสินใจ ไม่สร้างความสับสนหลงผิด และต้องมีการแสดงออกของการกระทำโดยชัดแจ้งว่ามีการให้ความยินยอม (active consent) โดยหากเป็นกรณีที่ได้เลือกมาให้แล้ว (pre-select tick) กรณีนี้ถือไม่ได้ว่าได้มีการให้ความยินยอม ซึ่งจากคดีข้างต้นทำให้เข้าใจได้ว่า การใช้ “คุกกี้” บนเว็บไซต์ต้องขอความยินยอมและความยินยอมนั้นต้องชอบด้วยเงื่อนไขของกฎหมายด้วย
นอกเหนือจากประเด็นข้างต้นแล้ว ยังมีอีกหลายกรณีที่ยังไม่มีความชัดเจน โดยเฉพาะรัฐเองที่เหมือนจะเป็นผู้ละเมิดสิทธิในการได้รับความคุ้มครองข้อมูลส่วนบุคคลและไม่ตระหนักว่าการดำเนินการต่างๆ เป็นการเก็บและใช้ข้อมูลส่วนบุคคล ซึ่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้บัญญัติรับรองว่า "สิทธิในการได้รับความคุ้มครองข้อมูลส่วนบุคคล" เป็น "สิทธิขั้นพื้นฐาน" ประการหนึ่ง
ซึ่งผู้เขียนก็ได้แต่หวังว่ากฎหมายฉบับนี้จะถูกใช้ไปในทิศทางที่คุ้มครองสิทธิของปัจเจกชนมากขึ้น และรัฐเองจะพึงระวังมากขึ้นต่อการกระทำต่างๆ กับข้อมูลของพลเมืองและเคารพต่อกฎหมายที่ตนเองบัญญัติขึ้น