ใกล้จะครบ 1 เดือนที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA มีผลใช้บังคับ หลังจากเลื่อนการบังคับใช้มาเป็นระยะเวลา 2 ปี ด้วยเหตุผลเพื่อภาครัฐและบริษัทเอกชนได้เตรียมความพร้อม
หลังกฎหมายบังคับใช้ เกิดคำถามและความเข้าใจผิดหลายกรณีเกี่ยวกับสิ่งที่ ทำได้-ทำไม่ได้ ตามกฎหมายกำหนด ซึ่งหน่วยงานกำกับดูแลคือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจำเป็นต้อง ให้ความกระจ่างแก่ประชาชนอย่างทันถ่วงที เพื่อป้องกันการสร้างความเข้าใจผิด หรือการใช้ ประโยชน์จากกฎหมายในทางไม่ชอบ ซึ่งอาจ เป็นอุปสรรคต่อการปรับตัวรับการบังคับใช้ PDPA ตามเจตนารมณ์แท้จริงของกฎหมาย
นอกจากการแก้ไขความเข้าใจผิดเกี่ยวกับ กฎหมายสำหรับประชาชนแล้ว อีกปัจจัยสำคัญที่ต้องเร่งยกระดับคือ ความพร้อมของ หน่วยงานต่างๆ โดยเฉพาะหน่วยงานของภาครัฐ เนื่องจากภาคเอกชนได้เร่งปรับตัว เตรียมความพร้อมคุ้มครองข้อมูลส่วนบุคคลตามหลักสากล GDPR ไปก่อนแล้ว รวมทั้งการปฏิบัติตามหลักธรรมาภิบาลขององค์กรในการประกอบกิจการ
แต่สำหรับหน่วยงานภาครัฐที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นจำนวนมาก ตั้งแต่เกิดจนเสียชีวิต ยังติดกับอุปสรรคหลาย ประการที่ทำให้ยังไม่ได้ยกระดับการคุ้มครองข้อมูลส่วนบุคคลในภาครัฐ ซึ่งการคุ้มครองข้อมูลส่วนบุคคลในภาครัฐที่ผ่านมาเป็นไปตาม พ.ร.บ.ข้อมูลข่าวสารราชการ พ.ศ.2540 แต่ในตอนนี้ การคุ้มครองข้อมูลส่วนบุคคลของภาครัฐจะต้องปรับไปตาม PDPA ด้วย
จากการศึกษาของทีดีอาร์ไอ พบว่า ตลอด 2 ปีที่ผ่านมา มีบางหน่วยงานได้เตรียม ความพร้อมในการปฏิบัติตาม PDPA ไปบ้างแล้ว เช่น สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) ซึ่งเป็นหน่วยงาน ของรัฐแรกๆ ที่ได้ดำเนินการปฏิบัติตาม PDPA และเป็นตัวอย่างที่ดีให้กับหน่วยงาน อื่นๆ โดยการทำเอกสารแม่แบบสำหรับการ ดำเนินการในการปฏิบัติตามกฎหมาย
อย่างไรก็ตาม ความเปลี่ยนแปลงที่เกิดขึ้นในหลายหน่วยงานมีเพียงบนกระดาษ ไม่ได้ เปลี่ยนแปลงระดับนโยบาย กระบวนการทำงาน ไปจนถึงเทคโนโลยีเพื่อการรักษาความปลอดภัยข้อมูลส่วนบุคคล ซึ่งอาจทำให้ ข้อมูลส่วนบุคคลของประชาชนถูกละเมิด/รั่วไหลได้ ตามที่เคยเกิดขึ้นแล้ว หลัง PDPA ประกาศใช้ในช่วงปี 2564 มีการละเมิด/รั่วไหล ของข้อมูลส่วนบุคคลในภาครัฐถึง 5 ครั้ง
เพื่อยกระดับความพร้อมให้กับภาครัฐ และป้องกันปัญหาเกิดขึ้นเช่นในอดีต จำเป็นที่ภาครัฐจะต้องปรับปรุงแก้ไขสิ่งต่างๆ ดังนี้
1.สร้างความเข้าใจและความชัดเจนในบทบาทหน้าที่ ความไม่เข้าใจหรือไม่ชัดเจนในบทบาทของภาครัฐในฐานะผู้ควบคุมข้อมูล ส่วนบุคคลตาม PDPA ทำให้บางส่วนอาจเห็นว่าการคุ้มครองข้อมูลส่วนบุคคลเป็นหน้าที่ของสำนัก/กอง/กลุ่ม/แผนกหนึ่งในหน่วยงานของรัฐเป็นผู้รับผิดชอบ เช่น สำนักเทคโนโลยี เป็นต้น แต่ตามหลักคือ หน่วยงานภาครัฐจะต้องสร้างความเข้าใจให้กับเจ้าหน้าที่ทุกคนและยึดหลักปฏิบัติเดียวกันทั้งองค์กร
2.มีนโยบายภายในองค์กรเพื่อรองรับการปฏิบัติตาม PDPA หรือแม้แต่การปรับเปลี่ยน กฎเกณฑ์ทางกฎหมายภายใต้อำนาจของ หน่วยงานของรัฐ เพื่อให้สอดคล้องกับหลักการ ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล
3.มีแนวปฏิบัติ (guidelines) เพื่อการ เตรียมความพร้อมในการปฏิบัติตาม PDPA และมีคำอธิบายบทบัญญัติของ PDPA ซึ่งหากพิจารณาเฉพาะตัวพระราชบัญญัติแล้ว จะเห็นเพียงหลักการแต่ไม่เห็นแนวทางในการปฏิบัติตาม
4.มีความเข้าใจต่อการพิจารณาฐานทางกฎหมาย เมื่อขาดนโยบายและแนวปฏิบัติ หน่วยงานของรัฐส่วนใหญ่จึงไม่มั่นใจว่า ภารกิจหรือกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของตนจะต้องใช้ฐานการประมวลผล ข้อมูลส่วนบุคคลใด โดยเฉพาะอย่างยิ่งในมาตราที่กฎหมายห้ามไม่ให้เก็บรวบรวมข้อมูลส่วนบุคคล หากไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ซึ่งจะเป็นปัญหาสำหรับหน่วยงานของรัฐที่มีภารกิจต้องเก็บจากบุคคลเป็นจำนวนมาก เช่น ฐานข้อมูลทะเบียนราษฎร หรือฐานข้อมูลบัตรประจำตัวประชาชน เป็นต้น
เจ้าหน้าที่รัฐอาจไม่มั่นใจว่าจะสามารถขอความยินยอมได้อย่างไร ซึ่งในความเป็นจริงแล้ว PDPA ได้ให้อำนาจหน่วยงานของรัฐในฐานการประมวลผลเพื่อการใช้ประโยชน์ในการจัดทำบริการสาธารณะเอาไว้ โดยไม่ต้อง ขอความยินยอม นอกจากนี้ ในกรณีอื่นๆ หน่วยงานของรัฐก็อาจจะอาศัยฐานในการประมวลผลอื่นๆ เพื่อเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลได้ ได้แก่ ฐานสัญญา ฐานสถิติ เอกสารประวัติศาสตร์ และจดหมายเหตุ ฐานป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ฐานประโยชน์โดยชอบด้วยกฎหมาย และฐานการปฏิบัติตามกฎหมาย ซึ่ง PDPA รับรองเอาไว้
5.มีระบบเทคโนโลยีสารสนเทศที่ปลอดภัย หน่วยงานของรัฐบางแห่งยังไม่มีระบบที่ทันสมัยเพียงพอกับการรับมือกับการละเมิด/รั่วไหลของข้อมูลส่วนบุคคล ซึ่งอาจเกิดการรั่วไหลหรือถูกโจมตีต่อระบบคอมพิวเตอร์ได้ หรือในกรณีที่เก็บรักษาเอกสารอิเล็กทรอนิกส์ไว้ในเครื่องคอมพิวเตอร์สำนักงานโดยไม่มีการตั้งรหัสการเข้าถึงข้อมูล (access control) อาจทำให้บุคคลที่ไม่มีส่วนเกี่ยวข้องเข้าถึงข้อมูลได้โดยไม่จำเป็น
นอกเหนือจากสิ่งต่างๆ ที่กล่าวมาแล้ว หลักสำคัญในการปรับตัวตาม PDPA ของภาครัฐคือการตระหนักถึงบทบาทในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ที่ต้องให้การคุ้มครองข้อมูลส่วนบุคคลของประชาชน และต้องสร้างความโปร่งใสในการสื่อสารกับประชาชน
ในกรณีที่จะต้องเก็บรวบรวมและใช้ข้อมูลส่วนบุคคล ภาครัฐควรจะต้องมีการแจ้งให้ประชาชนทราบ เพื่อให้ประชาชสามารถใช้สิทธิของตนเองได้ตามกฎหมาย
เพราะหน่วยงานของรัฐส่วนใหญ่ยังขาดการเตรียมกระบวนการเพื่อแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล การจัดเตรียมช่องทางการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล โดยควรจะต้องแจ้งให้ประชาชนรับรู้ เพื่อประโยชน์ของประชาชนในการควบคุมสิทธิในข้อมูลส่วนบุคคลของตนเอง
บทความ โดย เขมภัทร ทฤษฎิคุณ นักวิจัยทีมกฎหมายเพื่อการพัฒนา
หมายเหตุ เผยแพร่ครั้งแรกใน กรุงเทพธุรกิจ เมื่อ 30 มิถุนายน 2565
ผลงานล่าสุดจากทีดีอาร์ไอ
- แผนที่งานวิจัยด้านความปลอดภัยทางถนนของจักรยานยนต์ในประเทศไทย
- การเสริมสร้างกรอบการกำกับดูแลสำหรับเศรษฐกิจดิจิทัลของประเทศไทย
- กัญชาเสรีที่ (ไม่) มีอยู่จริง
- คิดยกกำลังสอง: อาเซียนซื้อขายไฟ…ไทยได้อะไร?
- พินิจเศรษฐกิจการเมือง: แก้โจทย์สังคมสูงวัย คนไทยยังมีงานทำแม้ถึงวันเกษียณ