นคร เสรีรักษ์*

1. มหากาพย์กฎหมายข้อมูลส่วนบุคคลที่คนไทยรอคอยมานานกว่า 20 ปี และยังต้องรอคอยวันที่กฎหมายมีผลบังคับใช้ครบทุกมาตราอีก 3 ปี มาถึงวันนี้มีกรรมการชุดใหญ่แล้ว มีกรรมการกำกับสำนักงานแล้ว รอการตั้งเลขาธิการและการจัดตั้งสำนักงานถาวรขึ้นมาทำหน้าที่แทนสำนักงานชั่วคราว
2. นอกเหนือจากนี้ก็เป็นเรื่องการรอ “กฎหมายลูก” ซึ่งได้แก่ประกาศ ข้อกำหนด ระเบียบ หลักเกณฑ์ และยังมีเรื่อง “แนวทางปฏิบัติ” ซึ่งปัจจุบันมีออกมาเสนอขายให้เห็นเยอะมากในท้องตลาด
3. เริ่มที่ “หลักเกณฑและแนวทางปฏิบัติในการบริหารจัดการขอมูลสวนบุคคลในองคกรภาคเอกชน” ของ เธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคลคนปัจจุบัน ซึ่งเป็นงานวิจัยที่เธียรชัยทำเสนอสำนักงานคณะกรรมการขอมูลขาวสารของราชการเมื่อป 2550 สาระสำคัญเปนการศึกษาเพื่อวางหลักเกณฑและแนวทางการคุมครองขอมูลสวนบุคคลที่จัดเก็บโดยภาคเอกชน และเป็นการสรุปหลักเกณฑตามมาตรฐานสากลมานำเสนอเพื่อใหองคกรเอกชนไดนำไปพิจารณาปรับใช้ตามความเหมาะสมหรือสอดคลองกับธุรกิจของตน
4. ยังมีแนวทาง “แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Thailand Data Protection Guidelines)” ของศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ซึ่งจัดทำโดยได้รับการสนับสนุนจากบริษัทผู้ประกอบอาชีพด้านกฎหมายหลายแห่ง[1]
5. แนวทางนี้มีการเผยแพร่หลายเวอร์ชั่นแล้ว แต่มีข้อที่ต้องสังเกตคือผู้จัดทำประกาศแจ้งความไม่รับผิดชอบต่อเนื้อหาหนังสือไว้อย่างชัดเจนใน “ขอปฏิเสธความรับผิด” โดยระบุว่า “‘ผู้แต่ง’ ไม่ได้ให้การรับรองหรือรับประกันใดๆ ถึงความถูกต้องครบถ้วนของเนื้อหาของงานนี้”
6. นอกจากนี้ ยังมีแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลภาคธุรกิจธนาคาร (Guideline on Personal Data Protection for Thai Banks) ซึ่งสมาคมธนาคารไทยจัดทำขึ้นเพื่อใช้เป็นข้อเสนอแนะสำหรับธนาคารสมาชิกนำไปพิจารณาเป็นแนวปฏิบัติตามที่สมาชิกเห็นสมควร และมีแนวทางปฏิบัติของสมาคมนายหน้าประกันภัยไทย ซึ่งเป็นแนวทางปฏิบัติที่นายหน้าประกันภัยแต่ละรายสามารถนำไปปรับปรุงประยุกต์ใช้ตามความเหมาะสม
7. ล่าสุด มี “แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล (Personal Data Protection Guideline) ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” ของสถาบันวิจัยเพื่อการพัฒนาประเทศไทย (TDRI) ซึ่งนำเสนอผลการศึกษาต่อกระทรวงดีอีไปแล้ว เข้าใจว่าสำนักงานชั่วคราวน่าจะกำลังรอส่งให้สำนักงานตัวจริง หรือกำลังนำเสนอกรรมการชุดปัจจุบันพิจารณาในขั้นตอนการออกกฎหมายลำดับรอง
8. ปัจจุบันน่าจะมีแนวปฏิบัติมากกว่านี้ที่จัดทำกันขึ้นมาใช้กันภายในองค์กร หรือที่สมาคมวิชาชีพต่างๆจัดทำเป็นแนวทางสำหรับสมาชิก ซึ่งล้วนนำเสนอ “แนวทาง” เพื่อให้ผู้ปฏิบัตินำไปใช้ประกอบการจัดทำแนวทางขององค์กรตัวเอง หรือปรับใช้เป็นแนวทางปฏิบัติงานในส่วนที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
9. แต่สำหรับหน่วยงานภาครัฐ ยังมีแนวทางปฏิบัติในเรื่องข้อมูลส่วนบุคคลภายใต้ พ.ร.บ. ข้อมูลข่าวสารของราชการ 2540 ซึ่งเป็นแนวทางที่จัดทำโดยอนุกรรมการข้อมูลส่วนบุคคลภายใต้คณะกรรมการข้อมูลข่าวสารของราชการ (กขร.) ซึ่งสำนักนายกรัฐมนตรีสั่งการให้หน่วยงานของรัฐทุกแห่งถือปฏิบัตินานแล้ว
10. มาตรการ/แนวทางตาม Guideline ฉบับนี้มี 10 ข้อ

10.1 ต้องแจ้งเจ้าของข้อมูลว่าจะมีการเก็บข้อมูลส่วนบุคคล วัตถุประสงค์การเก็บ ประเภทบุคคลหรือองค์กรที่ข้อมูลอาจได้รับการเปิดเผย ต้องแจ้งสิทธิของเจ้าของข้อมูลและมาตรการที่จะใช้ในการจำกัดการใช้-เปิดเผย-เข้าถึง-แก้ไข โดยต้องแจ้งก่อนหรือในขณะที่เก็บ

10.2 ต้องจัดเก็บอย่างจำกัดตามวัตถุประสงค์ของการเก็บ ต้องเก็บโดยวิธีที่ถูกกฎหมาย และวิธีที่เป็นธรรมและเหมาะสม โดยได้แจ้งและได้ขอคำยินยอมจากเจ้าของข้อมูลแล้ว

10.3 ข้อมูลที่เก็บไว้จะเอาไปใช้ได้เฉพาะตามวัตถุประสงค์ของการเก็บเท่านั้น เว้นแต่ได้รับคำยินยอมจากเจ้าของข้อมูล

10.4 เจ้าของข้อมูลมีสิทธิเลือกว่าจะยินยอมให้มีการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลของตน

10.5 ข้อมูลที่จัดเก็บต้องมีความถูกต้อง สมบูรณ์ เป็นปัจจุบัน ตามความจำเป็นและตามวัตถุประสงค์การเก็บ

10.6 ต้องมีมาตรการคุ้มครองข้อมูลเพื่อป้องกันอันตรายที่อาจเกิด ไม่ว่าจะเป็นการสูญหาย-เสียหาย-การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การทำลายโดยไม่ได้รับอนุญาต การใช้-แก้ไข-เปิดเผย โดยมิชอบ

10.7 เจ้าของข้อมูลมีสิทธิรับรู้ว่ามีการเก็บข้อมูลส่วนบุคคลของตนหรือไม่ มีสิทธิเข้าถึงข้อมูล และมีสิทธิขอให้ตรวจสอบความถูกต้องและขอให้ปรับปรุง แก้ไข เพิ่มเติม หรือทำลายข้อมูลของตน

10.8 การส่งข้อมูลไปยังบุคคลอื่นไม่ว่าภายในหรือต่างประเทศ จะต้องได้รับคำยินยอมจากเจ้าของข้อมูล และจะต้องมีมาตรการที่ประกันได้ว่าเมื่อได้รับข้อมูลไปแล้วจะเก็บรักษาให้เป็นไปตามหลักเกณฑ์นี้

10.9 ในกรณีที่เป็นการดำเนินการที่เกี่ยวกับข้อมูลของเด็ก เยาวชน หรือผู้ที่ยังไม่บรรลุนิติภาวะ จะต้องคำนึงถึงการให้คำยินยอมที่เหมาะสม ไม่ว่าจะเป็นการดำเนินการโดยตัวผู้เยาว์เองหรือโดยผู้ปกครอง

10.10 กรณีที่มีการมอบหมายให้บุคคลหรือหน่วยงานอื่นให้ทำหน้าที่เกี่ยวกับข้อมูลส่วนบุคคล บุคคลหรือหน่วยงานดังกล่าวจะต้องมีระบบการคุ้มครองข้อมูลที่มาตรฐาน และจะต้องมีการจัดทำข้อตกลงที่ชัดเจนว่าจะเก็บรักษาข้อมูลให้เป็นไปตามหลักเกณฑ์นี้

11. ซึ่งหมายความว่าในบรรดาแนวทางที่หลายที่ออกมาวางขายในท้องตลาดอยู่ขณะนี้ หน่วยงานบริษัทห้างร้านทั้งหลายจะปฏิบัติหรือไม่ปฏิบัติตามก็ได้ เพราะเป็นเพียงการเสนอแนวทางหรือคำแนะนำให้เอาไปประกอบการพิจารณา แต่สำหรับแนวทางของ กขร. นั้น หน่วยงานของรัฐต้องถือปฏิบัติตาม ดังนั้นในวันนี้ หากจะพูดถึงเรื่องแนวทางปฏิบัติเรื่องคุ้มครองข้อมูลส่วนบุคคล ดาต้าไพรเวซีไกด์ไลน์ ของสำนักนายกฯ จึงเป็นแนวทางปฏิบัติฉบับแรกและฉบับเดียวในประเทศไทยที่หน่วยงานของรัฐต้องปฏิบัติตาม
12. ย้ำไว้อีกครั้งว่า สำหรับหน่วยงานของรัฐนั้น แนวทางปฏิบัติของ กขร. 10 ข้อนี้ เป็นสิ่งที่ต้องนำไปปฏิบัติ และปฏิบัติได้โดยไม่ต้องไปพิจารณาอะไรต่อไปให้ยุ่งยากมากกว่านี้ เพราะเจตนารมณ์ของแนวทางนี้ก็เพื่อคุ้มครองสิทธิพลเมืองในเรื่องข้อมูลส่วนบุคคลที่อยู่ในครอบครองดูแลของหน่วยงานของรัฐ
13. ที่สำคัญที่สุดคือหลักการคุ้มครองข้อมูลส่วนบุคคลภายใต้ พ.ร.บ.ข้อมูลข่าวสารฯ นั้น เป็นไปตามมาตรฐานโลกทุกประการ และไม่อยู่ในส่วนที่ต้องเลื่อนการบังคับใช้ตามการเลื่อนซ้ำซากของ พ.ร.บ.ข้อมูลส่วนบุคคลที่ทำให้การคุ้มครองสิทธิพลเมืองได้รับการดูแลล่าช้าถึงสองปี
14. จริงๆแล้วมาตรการ 10 ข้อนี้อ่านเข้าใจได้ไม่ยาก และสามารถนำไปปฏิบัติได้ทันที ถ้าอ่านแนวปฏิบัติหรือไกด์ไลน์เล่มหนาๆ แล้วไม่เข้าใจ ภาคเอกชนจะเอาไกด์ไลน์ภาครัฐไปใช้ สำนักนายกฯ คงไม่ขัดข้อง.

---

*ผู้อำนวยการ Privacy Thailand/อาจารย์ประจำวิทยาลัยการปกครองท้องถิ่น มหาวิทยาลัยขอนแก่น

[1]สนับสนุนโดย บริษัท อาร์แอนด์ที เอเชีย (ประเทศไทย) จำกัด บริษัท แชนด์เล่อร์ เอ็มเอชเอ็ม จำกัด บริษัท ติลลิกีแอนด์กิบบินส์ อินเตอร์เนชั่นแนล จำกัด บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด บริษัท เอพี (ไทยแลนด์) จำกัด (มหาชน) และชมรมวานิชธนกิจ สมาคมบริษัทหลักทรัพย์ไทย