การประมวลผลข้อมูลส่วนบุคคลที่ไม่อยู่ภายใต้บังคับ PDPA | ชญานี ศรีกระจ่าง
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act) เป็นกฎหมายที่บัญญัติเกี่ยวกับหลักเกณฑ์ กลไกและมาตรการในการคุ้มครองข้อมูลส่วนบุคคล มีวัตถุประสงค์เพื่อคุ้มครองสิทธิของประชาชนในฐานะเป็นเจ้าของข้อมูลส่วนบุคคล
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ใช้บังคับกับการประมวลผลข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่ในประเทศไทย และยังขยายขอบเขตไปบังคับกับการประมวลผลข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่นอกประเทศไทย
หากมีการเสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลที่อยู่ในประเทศไทย หรือมีการเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในประเทศไทย
อย่างไรก็ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ บัญญัติข้อยกเว้นไม่นำกฎหมายฉบับนี้ไปใช้บังคับกับการประมวลผลข้อมูลส่วนบุคคลในบางกรณีตามมาตรา 4(1) - มาตรา 4(6) โดยมีรายละเอียดดังต่อไปนี้
1. การเก็บรวบรวม ใช้เปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น (มาตรา 4(1)) กิจกรรมตามมาตรา 4(1) ได้รับการยกเว้นเนื่องจากการประมวลผลข้อมูลส่วนบุคคลดังกล่าวไม่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูล และไม่ต้องการสร้างภาระแก่เจ้าของข้อมูลในการที่จะต้องปฏิบัติตามกฎหมาย
การประมวลผลข้อมูลส่วนบุคคลกรณีนี้มีเงื่อนไขสำคัญคือ ต้องไม่มีวัตถุประสงค์เพื่อการพาณิชย์ เช่น การติดตั้งกล้อง CCTV ในบริเวณบ้านเพื่อรักษาความปลอดภัยของทรัพย์สินและบุคคลในครอบครัว หรือการถ่ายรูปของตนเองและเพื่อนแล้วเผยแพร่ในสื่อสังคมออนไลน์
2. การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐซึ่งรวมถึงความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงไซเบอร์ (มาตรา 4(2))
กรณีข้างต้นต้องปรากฏข้อเท็จจริงว่าเป็นการดำเนินการของหน่วยงานรัฐและเป็นการดำเนินการตามหน้าที่ตามที่กำหนดในมาตรา 4(2) เท่านั้น ดังนี้ เห็นได้ว่าไม่ใช่หน่วยงานรัฐทุกหน่วยงานที่จะได้รับยกเว้นไม่อยู่ภายใต้บังคับของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ
ตัวอย่างกิจกรรมตามมาตรา 4(2) เช่น สำนักข่าวกรองแห่งชาติสั่งให้หน่วยงานของรัฐหรือบุคคลส่งข้อมูลหรือเอกสารที่มีผลกระทบต่อความมั่นคงของชาติ หรือคณะกรรมการกำกับดูแลความมั่นคงปลอดภัยไซเบอร์มีคำสั่งให้พนักงานเจ้าหน้าที่เข้าถึงข้อมูลคอมพิวเตอร์ซึ่งได้รับผลกระทบจากภัยคุกคามทางไซเบอร์
3. บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น (มาตรา 4(3))
กิจกรรมตามมาตรา 4(3) ไม่อยู่ภายใต้บังคับของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เนื่องจากกฎหมายต้องการคุ้มครองเสรีภาพของสื่อมวลชนและเสรีภาพในงานเขียนซึ่งเป็นสิทธิเสรีภาพขั้นพื้นฐานของประชาชน
โดยอยู่ภายใต้เงื่อนไขว่ากิจกรรมนั้นเป็นไปตามจริยธรรมการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะ ตัวอย่างกิจกรรมตามมาตรา 4(3) เช่น การทำข่าวของผู้สื่อข่าวตามมาตรฐานวิชาชีพ การถ่ายภาพเพื่อประโยชน์ทางศิลปกรรม
4. สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการพิจารณาตามหน้าที่และอำนาจของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา หรือคณะกรรมาธิการ แล้วแต่กรณี (มาตรา 4(4))
กิจกรรมตามมาตรา 4(4) ครอบคลุมถึงการประมวลผลข้อมูลส่วนบุคคลของฝ่ายนิติบัญญัติ และการดำเนินการดังกล่าวนั้นอยู่ภายในขอบอำนาจหน้าที่ เช่น การเสนอร่างกฎหมายโดยสมาชิกสภาผู้แทนราษฎร การเรียกบุคคลเพื่อมาให้ข้อมูลประกอบการร่างกฎหมาย
5. การพิจารณาพิพากษาคดีของศาลและการดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี และการวางทรัพย์ รวมทั้งการดำเนินงานตามกระบวนการยุติธรรมทางอาญา (มาตรา 4(5))
กรณีตามมาตรา 4(5) ได้รับการยกเว้นไม่อยู่ภายใต้บังคับของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เพื่อให้เป็นไปตามหลักความเป็นอิสระของฝ่ายตุลาการ กิจกรรมตามมาตรานี้ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลของศาล หน่วยงานอื่นที่เกี่ยวข้อง
รวมถึงการดำเนินงานตามกระบวนการยุติธรรมทางอาญาอีกด้วย เช่น การจับกุม การสอบสวน การรับแจ้งความร้องทุกข์ การตรวจค้น
6. การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต (มาตรา 4(6)) การประมวลผลข้อมูลส่วนบุคคลตามมาตรา 4(6) เป็นการดำเนินการโดยบริษัทข้อมูลเครดิตและสมาชิกตามพ.ร.บ.การประกอบธุรกิจข้อมูลเครดิต พ.ศ.2545
เช่น บริษัทข้อมูลเครดิตเปิดเผยข้อมูลประวิติการชำระสินเชื่อที่ผ่านมาของลูกค้าธนาคารตามที่ธนาคารซึ่งเป็นสมาชิกบริษัทข้อมูลเครดิตร้องขอ หรือธนาคารซึ่งเป็นสมาชิกบริษัทข้อมูลเครดิตส่งข้อมูลประวัติการชำระสินเชื่อของลูกค้าให้กับบริษัทข้อมูลเครดิต
ในกรณีที่การประมวลผลข้อมูลส่วนบุคคลเข้าข้อยกเว้นตามมาตรา 4(1) - มาตรา 4(6) นั้น มีผลทำให้ผู้ควบคุมข้อมูลส่วนบุคคลไม่ต้องปฏิบัติหน้าที่ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ
เช่น หน้าที่จัดทำ Privacy policy (นโยบายคุ้มครองข้อมูลส่วนบุคคล) เพื่อแจ้งข้อมูล หน้าที่ในการหาฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล หน้าที่ในการบันทึกรายการ และหน้าที่ในการขอความยินยอม
อย่างไรก็ตาม มาตรา 4 วรรคสามกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลของกิจกรรมตามมาตรา 4(2)-(6) จำเป็นต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานด้วย
เช่น มีมาตรการในการรักษาความลับของข้อมูล มีมาตรการกำหนดให้บุคคลากรในองค์กรรักษาความปลอดภัยของข้อมูล
จากที่กล่าวมาข้างต้น เห็นได้ว่าการประมวลผลข้อมูลส่วนบุคคลบางกรณีไม่อยู่ภายใต้บังคับของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ซึ่งมีผลทำให้เจ้าของข้อมูลส่วนบุคคลไม่ได้รับสิทธิตามกฎหมายดังกล่าว ไม่ว่าจะเป็นสิทธิในการเข้าถึงข้อมูลส่วนบุคคล สิทธิในการคัดค้านการประมวลผล หรือสิทธิในการได้รับแจ้งข้อมูล ซึ่งทั้งนี้กฎหมายได้คำนึงถึงความจำเป็น และประโยชน์สาธารณะเป็นสำคัญ