มหากาพย์!! 'กฎหมายคุ้มครองข้อมูลส่วนบุคคล'
เมื่อสัปดาห์ที่ผ่านคณะรัฐมนตรี (ครม.) ได้มีมติขยายเวลาการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ Personal Data Protection Act (PDPA) ออกไปอีก 1 ปี ทำให้กฎหมายฉบับนี้จะเลื่อนไปมีผลใช้บังคับในวันที่ 1 มิถุนายน พ.ศ. 2565
โดยเหตุผลที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเสนอให้ ครม. พิจารณาเลื่อนการบังคับใช้กฎหมายฉบับนี้ คือ...
1.) การกำหนดหลักเกณฑ์ วิธีการ และเงื่อนไขที่เพื่อให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ มีรายละเอียดมากและซับซ้อน
2.) การปฏิบัติตามกฎหมายฉบับนี้ต้องใช้เทคโนโลยีขั้นสูงเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพสมดังเจตนารมณ์ของกฎหมาย
3.) สถานการณ์การแพร่ระบาดของโรคโควิดระบาดยังมีอยู่ต่อเนื่องและรุนแรงยิ่งขึ้น ทำให้หน่วยงานภาครัฐและเอกชนจำนวนมากไม่พร้อมที่จะปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
เท่ากับว่ากฎหมายฉบับนี้ออกมาตั้งแต่ปี 2562 แต่กว่าจะได้บังคับใช้เต็มรูปแบบ (ถ้าไม่ถูกเลื่อนอีกรอบ) ก็ปี 2565 เลย
3 ปีที่กฎหมายออกมาแล้วกว่าจะมีผลใช้บังคับอาจจะดูว่านาน แต่ถ้าเพื่อน ๆ ได้ทราบประวัติศาสตร์ของกฎหมายคุ้มครองส่วนบุคคลนี้แล้วจะตกใจกว่านี้ครับ
เพราะกฎหมายคุ้มครองข้อมูลส่วนบุคคลนี้ ถือเป็นมหากาพย์การร่างกฎหมายที่ยาวนานที่สุดฉบับหนึ่งของประเทศไทยเลยทีเดียว
เท่าที่ผมลองสืบค้นดู ก็พบว่า (ร่าง) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ของประเทศไทยเริ่มต้นร่างครั้งแรกเมื่อปี พ.ศ. 2541 โดยสาเหตุที่ต้องเริ่มต้นร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลในขณะนั้น ก็เนื่องมาจากรัฐธรรมนูญไทย พ.ศ. 2540 มาตรา 34 บัญญัติไว้ว่า...
“มาตรา ๓๔ สิทธิของบุคคลในครอบครัว เกียรติยศ ชื่อเสียง หรือความเป็นอยู่ส่วนตัวย่อมได้รับความคุ้มครอง”
แต่กว่าที่ร่างกฎหมายคุ้มครองฉบับแรกจะถูกเสนอให้ ครม. พิจารณาได้ ก็ต้องรอถึงปี พ.ศ. 2549 หรือ กว่า 8 ปีนับแต่ที่เริ่มต้นร่างขึ้น และแม้ว่าคณะรัฐมนตรีจะได้มีมติเห็นชอบในหลักการดังกล่าวแล้ว แต่กระบวนการที่จะผ่านออกมาเป็นกฎหมายให้ใช้บังคับได้นั้น ก็จะต้องกลับไปผ่านการพิจารณาของรัฐสภาเสียก่อน
และอย่างที่ทุกท่านทราบกันก็คือ กว่าที่กฎหมายฉบับนี้จะคลอดออกมาเป็น พ.ร.บ. คุ้มครองส่วนบุคคลได้ก็ในปี 2562 ซึ่งรวมเวลาทั้งหมดตั้งแต่เริ่มต้นร่างจนผ่านออกมาเป็นกฎหมายได้ก็ใช้เวลาไปทั้งสิ้น 21 ปี
เท่านั้นยังไม่พอ เมื่อกฎหมายออกมาแล้วก็ต้องให้หน่วยงานต่าง ๆ มีการเตรียมความพร้อมเพื่อปฏิบัติตามกฎหมายฉบับนี้ กฎหมายจึงให้เวลาอีก 1 ปี กว่าที่จะมีผลใช้บังคับ
ปรากฏว่าเมื่อใกล้จะครบ 1 ปี คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ก็ยังไม่ได้รับการแต่งตั้งออกมา ทำให้กฎหมายลูกของ พ.ร.บ. ดังกล่าวก็ยังร่างไม่เสร็จ ทำให้หน่วยงานต่าง ๆ ที่จะต้องปฏิบัติตามกฎหมายฉบับนี้ขอให้รัฐบาลเลื่อนการบังคับใช้ไปอีก 1 ปี
จนแล้วจนรอด เมื่อใกล้ถึงวันที่ 1 มิถุนายน พ.ศ. 2564 ที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลจะมีผลใช้บังคับเต็มรูปแบบ ครม. ก็มีมติให้เลื่อนการบังคับใช้ไปอีก 1 ปี เท่ากับว่าตั้งแต่เริ่มต้นร่างจนถึงวันที่จะเริ่มมีผลใช้บังคับจริงในปี 2565 (ถ้าไม่ถูกเลื่อนอีกรอบ) รวมเป็นระยะเวลาทั้งสิ้น 24 ปีเลยทีเดียว
อย่างไรก็ตาม แม้ว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลออกไปรอบล่าสุด แต่กระทรวงดิจิทัลฯ ก็ได้มีการประกาศมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลออกมาแล้ว
ดังนั้น ผู้ที่ควบคุมข้อมูลส่วนบุคคล (Data Controller) ซึ่งก็คือ ผู้ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ก็ต้องมีหน้าที่ตามมาตรฐานดังกล่าวด้วย เช่น ต้องมีการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Access Control) ให้มีความเหมาะสม ไม่ใช่ว่าทุกคนในหน่วยงานสามารถเข้าถึงข้อมูลส่วนบุคคลของคนอื่นได้ตามอำเภอใจ คนที่จะเข้าถึงข้อมูลได้ต้องมีหน้าที่ความรับผิดชอบโดยตรง เป็นต้น
นอกจากนี้ เรายังมีกฎหมายฉบับอื่น ๆ ที่มีบทบัญญัติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลด้วยเช่นกัน เช่น พ.ร.บ. การประกอบข้อมูลเครดิต พ.ร.บ. สุขภาพแห่งชาติ ฯลฯ ซึ่งหน่วยงานหรือองค์กรใดที่อยู่ภายใต้การกำกับกฎหมายนั้น ๆ ก็จะต้องปฏิบัติตามกฎหมายดังกล่าวด้วยเช่นกัน
สำหรับหน่วยงานหรือบริษัทห้างร้านต่าง ๆ ถ้าถามว่าระหว่างรอกฎหมายบังคับใช้ในอีก 1 ปีข้างหน้าจะต้องทำอย่างไรดี ผมก็ขอแนะนำให้เริ่มศึกษาและดำเนินการไปได้เลยครับ เพราะตอนนี้ผมคิดว่าคนไทยส่วนใหญ่ตระหนักและเข้าใจถึงความสำคัญของข้อมูลส่วนบุคคลของตนเองแล้ว
การที่หน่วยงานเราให้ความสำคัญกับการคุ้มครองข้อมูลของลูกค้าหรือบุคคลที่มาใช้บริการของหน่วยงานเรานั้น ย่อมทำให้เราได้รับความไว้วางใจจากบุคคลดังกล่าวด้วย
ถ้าไม่รู้ว่าจะเริ่มต้นอย่างไร ผมก็แนะนำให้ดูจากแนวทางของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปที่ชื่อว่า “General Data Protection Regulation (GDPR)” ซึ่งประเทศไทยเราใช้เป็นแนวทางในการร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับปัจจุบัน หรือ ไม่ก็ลองอ่าน “แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล Version 3.0 ที่จัดทำโดยศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัยตามลิงค์นี้ก็ได้ครับ https://www.law.chula.ac.th/wp-content/uploads/2020/12/TDPG3.0-C5-20201224.pdf
และเดี๋ยวตอนที่กฎหมายฉบับนี้จะเริ่มใช้บังคับจริงในปีหน้า ผมจะมาเขียนอธิบายถึงสิทธิหน้าที่ของเจ้าของข้อมูล และผู้ที่เก็บรวบรวม หรือใช้ข้อมูลส่วนบุคคลให้ได้อ่านกันอีกทีนะครับ อย่าลืมติดตามเข้ามาอ่านกันได้
ดร.พีรภัทร ฝอยทอง
ทนายความและที่ปรึกษากฎหมายที่มีประสบการณ์ในวงการการเงินการธนาคาร และประกันมาอย่างยาวนาน มีประสบการณ์ทั้งการเป็นพนักงานประจำ ลามไปทำธุรกิจส่วนตัว เป็นอาจารย์พิเศษ และวิทยากรรับเชิญในองค์กรเอกชนและสถาบันการศึกษาต่าง ๆ ทั้งเรื่องกฎหมายและการเงิน ชอบพูดคุยและพยายามอธิบายเรื่องยาก ๆ ให้เข้าใจง่าย โดยเฉพาะเรื่องกฎหมาย การเงิน หรือประเด็นทางสังคมที่คนสนใจ สำเร็จการศึกษา ครุศาสตรดุษฎีบัณฑิต (สาขาบริหารการศึกษา) จากจุฬาลงกรณ์มหาวิทยาลัย นิติศาสตรมหาบัณฑิต (สาขากฎหมายธุรกิจ) และ นิติศาสตรบัณฑิต จากมหาวิทยาลัยธรรมศาสตร์