เปิด “กม.คุ้มครองข้อมูล” ตั้ง กก.-สนง.คุม เตรียมตัว 1 ปี-

ครบ 20 ปีพอดีกับความพยายามยกร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เพื่อให้มีมาตรการกำกับดูแลการใช้ข้อมูลส่วนบุคคล ที่จะไม่ละเมิดสิทธิความเป็นส่วนตัว และไม่ให้เกิดความเสียหายทางเศรษฐกิจ ล่าสุด กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ได้เปิดประชาพิจารณ์ร่างกฎหมายนี้อีกรอบ โดยแบ่งเป็นการรับฟังความเห็นเฉพาะกลุ่ม กับผ่านช่องทางออนไลน์ทาง http://www.lawamendment.go.th/ ไปจนถึงวันที่ 2 ก.พ. 2561 นี้

โดย “อัจฉรินทร์ พัฒนพันธ์ชัย” ปลัดกระทรวงดีอี ระบุว่า กำลังเร่งผลักดันร่างกฎหมายนี้ โดยตั้งใจว่าจะส่งกลับเข้าคณะกรรมการกฤษฎีกา และที่ประชุมคณะรัฐมนตรี (ครม.) ให้ทัน ก.พ.นี้ ก่อนเข้าสู่การพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.) ต่อไป

นิยาม “ข้อมูลส่วนบุคคล”

สาระสำคัญของกฎหมายฉบับนี้ ตั้งแต่นิยาม “ข้อมูลส่วนบุคคล” ระบุว่าคือข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงการระบุเฉพาะชื่อ ตำแหน่ง สถานที่ทำงาน หรือที่อยู่ทางธุรกิจ และข้อมูลของผู้ถึงแก่กรรม

เมื่อประกาศใช้แล้ว จะแบ่งการบังคับใช้ออกเป็น 2 ระยะ คือ ในส่วนคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการฯ จะบังคับใช้ทันที แต่ส่วนของการคุ้มครองข้อมูลส่วนบุคคลให้เวลาเตรียมตัว 1 ปี

มีข้อยกเว้นการบังคับใช้

และมีข้อยกเว้นการบังคับใช้ กรณีที่มีกฎหมายอื่นกำหนดการคุ้มครองข้อมูลในกิจการใดไว้เฉพาะแล้ว เว้นแต่ที่เกี่ยวกับการเก็บ-ใช้-เปิดเผยข้อมูล และบทกำหนดโทษให้ยึดตาม พ.ร.บ.นี้

ทั้งมาตรา 4 ยังยกเว้นการใช้กับ 1.บุคคลเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนของบุคคลนั้น ไม่ได้เปิดเผยหรือให้ผู้อื่นใช้ 2.การใช้หรือเปิดเผยข้อมูลที่เก็บไว้เฉพาะเพื่อกิจการสื่อมวลชน งานศิลปกรรม/วรรณกรรม ตามจริยธรรมวิชาชีพ หรือเป็นประโยชน์สาธารณะเท่านั้น 3.สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการ ที่ใช้ตามอำนาจหน้าที่ 4.การพิจารณาพิพากษาคดีของศาล และกระบวนการยุติธรรมทางอาญา 5. กิจการทางศาสนาขององค์กรศาสนา 6.การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิก

ตั้ง กก.คุ้มครองข้อมูลส่วนบุคคล

กลไกสำคัญในการขับเคลื่อน คือ “คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” ซึ่ง ครม.จะตั้งผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล กฎหมาย ไอซีที หรือด้านอื่นที่เป็นประโยชน์ 6 คน โดย 1 คนจะเป็นประธานบอร์ด อีก 5 คนเป็นกรรมการผู้ทรงคุณวุฒิ มีวาระ 4 ปี อีก 4 คนคือ ปลัดกระทรวงดีอี ปลัดสำนักนายกรัฐมนตรี เลขาธิการคณะกรรมการคุ้มครองผู้บริโภค อธิบดีกรมคุ้มครองสิทธิและเสรีภาพ

มีหน้าที่กำหนดมาตรการหรือแนวทางการคุ้มครองข้อมูลส่วนบุคคล ประกาศหลักเกณฑ์ที่เกี่ยวข้อง วินิจฉัยชี้ขาดปัญหาที่เกิดจากการบังคับใช้กฎหมายนี้

ทั้งยังตั้ง “สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” ปฏิบัติงานวิชาการและงานธุรการ โดยมี “คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” เป็นผู้ออกข้อบังคับด้านการเงินและการบริหารงาน

“เก็บ-ใช้-เปิด” เท่าที่แจ้งเจ้าของ

ส่วนผู้ที่กระทบโดยตรงคือ “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคล หรือนิติบุคคล ที่มีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน และต้องแจ้งวัตถุประสงค์รวมถึงปฏิบัติเท่าที่จำเป็นตามที่แจ้งไว้ ทั้งต้องเก็บจากเจ้าของข้อมูลโดยตรงเท่านั้น มีข้อยกเว้นการเก็บโดยไม่ได้รับความยินยอมคือ 1.เพื่อประโยชน์การศึกษาวิจัยหรือสาธารณะ และได้เก็บข้อมูลไว้เป็นความลับ 2.เพื่อป้องกันหรือระงับอันตรายต่อชีวิต หรือสุขภาพของบุคคลนั้น 3.เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยตรงหรือโดยปริยายของเจ้าของข้อมูล 4.จำเป็นสำหรับภารกิจเพื่อประโยชน์สาธารณะ หรือในการใช้อำนาจรัฐ เว้นแต่ประโยชน์นั้นจะด้อยกว่าประโยชน์หรือสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูล

ทั้งการจัดเก็บต้องมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ซึ่งคณะกรรมการการกำหนด และหากเกิดความเสียหายจากการดำเนินการต้องชดใช้ค่าสินไหมทดแทนให้ เว้นแต่พิสูจน์ได้ว่า เกิดจากเหตุสุดวิสัยหรือเกิดจากเจ้าของข้อมูลเอง หรือเป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่

“ผู้ประมวลผลข้อมูลส่วนบุคคล” เป็นอีกกลุ่มที่กระทบ ซึ่งมีแนวปฏิบัติเช่นเดียวกับผู้ควบคุมข้อมูลส่วนบุคคล

การโอนข้อมูลไป ตปท.

กรณีส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ต้องเป็นไปตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศ เว้นแต่ 1.จะเป็นการปฏิบัติตามกฎหมาย 2.ได้รับความยินยอมจากเจ้าของข้อมูล 3.เป็นการปฏิบัติตามสัญญาที่ทำระหว่างเจ้าของข้อมูลส่วนบุคคลกับผู้ควบคุมข้อมูลส่วนบุคคล 4.เป็นการโอนไปยังผู้ซึ่งได้รับเครื่องหมายรับรองมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับรอง

สิทธิของเจ้าของข้อมูล

เจ้าของข้อมูลมีสิทธิขอเข้าถึงข้อมูลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลดังกล่าว โดยผู้ควบคุมต้องดำเนินการภายใน 30 วัน และจะปฏิเสธคำขอได้เฉพาะกรณี 1.ขัดหรือแย้งกับกฎหมาย หรือปฏิบัติตามคำสั่งศาล 2.มีผลต่อการสืบสวนสอบสวนของพนักงานเจ้าหน้าที่ 3.การเปิดเผยอาจจะเป็นอันตรายต่อสิทธิและเสรีภาพของบุคคลอื่น

หากไม่ปฏิบัติตามเกณฑ์นี้ เจ้าของข้อมูลมีสิทธิขอให้ลบหรือทำลาย ระงับการใช้ชั่วคราว หรือแปลงข้อมูลส่วนบุคคลให้อยู่ในรูปแบบข้อมูลที่ไม่สามารถรู้ตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ หากไม่ดำเนินการให้ มีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ เพื่อสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการได้

ข้อมูลเดิมต้องขอความยินยอม

สำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อน พ.ร.บ.ใช้บังคับ สามารถใช้หรือเปิดเผยข้อมูลนั้นต่อไปได้ตามวัตถุประสงค์เดิมที่ได้แจ้งต่อเจ้าของข้อมูล และต้องขอความยินยอมจากเจ้าของข้อมูลตามหลักเกณฑ์และระยะเวลาที่กฎกระทรวงกำหนด แต่ต้องไม่เกิน 3 ปี นับแต่ พ.ร.บ.นี้มีผลบังคับใช้

ติดตามข่าวสาร ผ่านแฟนเพจเฟซบุ๊ค ประชาชาติธุรกิจออนไลน์
www.facebook.com/PrachachatOnline
ทวิตเตอร์ @prachachat

สามารถดาวน์โหลด ประชาชาติธุรกิจ ฉบับ e-Newspaper
หรือ e-Book ได้ที่แอปพลิเคชั่น Ookbee เลือก “ประชาชาติ”