ครบ 20 ปีพอดีกับความพยายามยกร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เพื่อให้มีมาตรการกำกับดูแลการใช้ข้อมูลส่วนบุคคล ที่จะไม่ละเมิดสิทธิความเป็นส่วนตัว และไม่ให้เกิดความเสียหายทางเศรษฐกิจ ล่าสุด กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ได้เปิดประชาพิจารณ์ร่างกฎหมายนี้อีกรอบ โดยแบ่งเป็นการรับฟังความเห็นเฉพาะกลุ่ม กับผ่านช่องทางออนไลน์ทาง http://www.lawamendment.go.th/ ไปจนถึงวันที่ 2 ก.พ. 2561 นี้
โดย “อัจฉรินทร์ พัฒนพันธ์ชัย” ปลัดกระทรวงดีอี ระบุว่า กำลังเร่งผลักดันร่างกฎหมายนี้ โดยตั้งใจว่าจะส่งกลับเข้าคณะกรรมการกฤษฎีกา และที่ประชุมคณะรัฐมนตรี (ครม.) ให้ทัน ก.พ.นี้ ก่อนเข้าสู่การพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.) ต่อไป
- เปิดวิธีลงทะเบียน เลือกตั้งล่วงหน้า 2566 มีขั้นตอนอย่างไร ?
- ทำความรู้จักบัตรวิสดอมกสิกรไทย ต้องรวยแค่ไหนถึงถือบัตรได้
- ประกันสังคม ม.33-39-40 ผู้ประกันตนแต่ละประเภท มีสิทธิต่างกันอย่างไร?
นิยาม “ข้อมูลส่วนบุคคล”
สาระสำคัญของกฎหมายฉบับนี้ ตั้งแต่นิยาม “ข้อมูลส่วนบุคคล” ระบุว่าคือข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงการระบุเฉพาะชื่อ ตำแหน่ง สถานที่ทำงาน หรือที่อยู่ทางธุรกิจ และข้อมูลของผู้ถึงแก่กรรม
เมื่อประกาศใช้แล้ว จะแบ่งการบังคับใช้ออกเป็น 2 ระยะ คือ ในส่วนคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการฯ จะบังคับใช้ทันที แต่ส่วนของการคุ้มครองข้อมูลส่วนบุคคลให้เวลาเตรียมตัว 1 ปี
มีข้อยกเว้นการบังคับใช้
และมีข้อยกเว้นการบังคับใช้ กรณีที่มีกฎหมายอื่นกำหนดการคุ้มครองข้อมูลในกิจการใดไว้เฉพาะแล้ว เว้นแต่ที่เกี่ยวกับการเก็บ-ใช้-เปิดเผยข้อมูล และบทกำหนดโทษให้ยึดตาม พ.ร.บ.นี้
ทั้งมาตรา 4 ยังยกเว้นการใช้กับ 1.บุคคลเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนของบุคคลนั้น ไม่ได้เปิดเผยหรือให้ผู้อื่นใช้ 2.การใช้หรือเปิดเผยข้อมูลที่เก็บไว้เฉพาะเพื่อกิจการสื่อมวลชน งานศิลปกรรม/วรรณกรรม ตามจริยธรรมวิชาชีพ หรือเป็นประโยชน์สาธารณะเท่านั้น 3.สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการ ที่ใช้ตามอำนาจหน้าที่ 4.การพิจารณาพิพากษาคดีของศาล และกระบวนการยุติธรรมทางอาญา 5. กิจการทางศาสนาขององค์กรศาสนา 6.การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิก
ตั้ง กก.คุ้มครองข้อมูลส่วนบุคคล
กลไกสำคัญในการขับเคลื่อน คือ “คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” ซึ่ง ครม.จะตั้งผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล กฎหมาย ไอซีที หรือด้านอื่นที่เป็นประโยชน์ 6 คน โดย 1 คนจะเป็นประธานบอร์ด อีก 5 คนเป็นกรรมการผู้ทรงคุณวุฒิ มีวาระ 4 ปี อีก 4 คนคือ ปลัดกระทรวงดีอี ปลัดสำนักนายกรัฐมนตรี เลขาธิการคณะกรรมการคุ้มครองผู้บริโภค อธิบดีกรมคุ้มครองสิทธิและเสรีภาพ
มีหน้าที่กำหนดมาตรการหรือแนวทางการคุ้มครองข้อมูลส่วนบุคคล ประกาศหลักเกณฑ์ที่เกี่ยวข้อง วินิจฉัยชี้ขาดปัญหาที่เกิดจากการบังคับใช้กฎหมายนี้
ทั้งยังตั้ง “สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” ปฏิบัติงานวิชาการและงานธุรการ โดยมี “คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” เป็นผู้ออกข้อบังคับด้านการเงินและการบริหารงาน
“เก็บ-ใช้-เปิด” เท่าที่แจ้งเจ้าของ
ส่วนผู้ที่กระทบโดยตรงคือ “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคล หรือนิติบุคคล ที่มีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน และต้องแจ้งวัตถุประสงค์รวมถึงปฏิบัติเท่าที่จำเป็นตามที่แจ้งไว้ ทั้งต้องเก็บจากเจ้าของข้อมูลโดยตรงเท่านั้น มีข้อยกเว้นการเก็บโดยไม่ได้รับความยินยอมคือ 1.เพื่อประโยชน์การศึกษาวิจัยหรือสาธารณะ และได้เก็บข้อมูลไว้เป็นความลับ 2.เพื่อป้องกันหรือระงับอันตรายต่อชีวิต หรือสุขภาพของบุคคลนั้น 3.เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยตรงหรือโดยปริยายของเจ้าของข้อมูล 4.จำเป็นสำหรับภารกิจเพื่อประโยชน์สาธารณะ หรือในการใช้อำนาจรัฐ เว้นแต่ประโยชน์นั้นจะด้อยกว่าประโยชน์หรือสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูล
ทั้งการจัดเก็บต้องมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ซึ่งคณะกรรมการการกำหนด และหากเกิดความเสียหายจากการดำเนินการต้องชดใช้ค่าสินไหมทดแทนให้ เว้นแต่พิสูจน์ได้ว่า เกิดจากเหตุสุดวิสัยหรือเกิดจากเจ้าของข้อมูลเอง หรือเป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่
“ผู้ประมวลผลข้อมูลส่วนบุคคล” เป็นอีกกลุ่มที่กระทบ ซึ่งมีแนวปฏิบัติเช่นเดียวกับผู้ควบคุมข้อมูลส่วนบุคคล
การโอนข้อมูลไป ตปท.
กรณีส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ต้องเป็นไปตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศ เว้นแต่ 1.จะเป็นการปฏิบัติตามกฎหมาย 2.ได้รับความยินยอมจากเจ้าของข้อมูล 3.เป็นการปฏิบัติตามสัญญาที่ทำระหว่างเจ้าของข้อมูลส่วนบุคคลกับผู้ควบคุมข้อมูลส่วนบุคคล 4.เป็นการโอนไปยังผู้ซึ่งได้รับเครื่องหมายรับรองมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับรอง
สิทธิของเจ้าของข้อมูล
เจ้าของข้อมูลมีสิทธิขอเข้าถึงข้อมูลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลดังกล่าว โดยผู้ควบคุมต้องดำเนินการภายใน 30 วัน และจะปฏิเสธคำขอได้เฉพาะกรณี 1.ขัดหรือแย้งกับกฎหมาย หรือปฏิบัติตามคำสั่งศาล 2.มีผลต่อการสืบสวนสอบสวนของพนักงานเจ้าหน้าที่ 3.การเปิดเผยอาจจะเป็นอันตรายต่อสิทธิและเสรีภาพของบุคคลอื่น
หากไม่ปฏิบัติตามเกณฑ์นี้ เจ้าของข้อมูลมีสิทธิขอให้ลบหรือทำลาย ระงับการใช้ชั่วคราว หรือแปลงข้อมูลส่วนบุคคลให้อยู่ในรูปแบบข้อมูลที่ไม่สามารถรู้ตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ หากไม่ดำเนินการให้ มีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ เพื่อสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการได้
ข้อมูลเดิมต้องขอความยินยอม
สำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อน พ.ร.บ.ใช้บังคับ สามารถใช้หรือเปิดเผยข้อมูลนั้นต่อไปได้ตามวัตถุประสงค์เดิมที่ได้แจ้งต่อเจ้าของข้อมูล และต้องขอความยินยอมจากเจ้าของข้อมูลตามหลักเกณฑ์และระยะเวลาที่กฎกระทรวงกำหนด แต่ต้องไม่เกิน 3 ปี นับแต่ พ.ร.บ.นี้มีผลบังคับใช้
ติดตามข่าวสาร ผ่านแฟนเพจเฟซบุ๊ค ประชาชาติธุรกิจออนไลน์
www.facebook.com/PrachachatOnline
ทวิตเตอร์ @prachachat
สามารถดาวน์โหลด ประชาชาติธุรกิจ ฉบับ e-Newspaper
หรือ e-Book ได้ที่แอปพลิเคชั่น Ookbee เลือก “ประชาชาติ”
