สำนักกฎหมาย

มารุต บุนนาค

อินเตอร์เนชั่นแนล ลอว์ ออฟฟิศ

กฎหมายข้อมูลส่วนบุคคล

ลงพิมพ์ในแนวหน้า : 8 พฤษภาคม 2563

ดร. รุจิระ บุนนาค

8 พฤษภาคม 2563

Facebook Rujira Bunnag

Twitter @RujiraBunnag

                การเก็บและบันทึกข้อมูลในยุคดิจิทัลทำได้อย่างง่ายดาย  ข้อมูลส่วนใหญ่จะประกอบไปด้วยข้อมูลส่วนบุคคล ข้อมูลนี้ถือเป็นหนึ่งของสิทธิขั้นพื้นฐานที่เรียกว่า สิทธิในความเป็นส่วนตัว (Privacy Right)  

               พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลใช้บังคับในวันที่ 27 พ.ค. 2563 เหตุผลในการประกาศใช้  เนื่องจากล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคล ได้สร้างความเดือดร้อนรำคาญ หรือความเสียหายให้แก่เจ้าของข้อมูล ประกอบกับความก้าวหน้าของเทคโนโลยี ทำให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทำได้โดยง่าย สะดวก และรวดเร็ว อันก่อให้เกิดความเสียหายต่อเศรษฐกิจ  จึงจำเป็นต้องกำหนดหลักเกณฑ์ กลไก  หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคล

              “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ นามสกุล ที่อยู่ หมายเลขโทรศัพท์ หมายเลขบัตรประชาชน อีเมลลายนิ้วมือ เป็นต้น

              “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

               “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

               สำหรับการเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เฉพาะที่จำเป็น ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล 
               (1) วัตถุประสงค์ของการเก็บรวบรวมเพื่อการนำข้อมูลส่วนบุคคลไปใช้       

               (2) แจ้งให้ทราบถึงกรณีที่เจ้าของข้อมูลต้องให้ข้อมูลส่วนบุคคล เพื่อปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญา รวมทั้งแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล  
               (3) ระยะเวลาในการเก็บ หากระบุไม่ได้ ต้องระบุเวลาคาดหมาย 
               (4) ประเภทของบุคคล หรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย 
               (5) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อในกรณีที่มีตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ให้แจ้งข้อมูล สถานที่ติดต่อ และวิธีการติดต่อของตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลด้วย

               ข้อมูลส่วนบุคคลบางอย่างไม่สามารถจับเก็บได้  คือ ข้อมูลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม สุขภาพ ความพิการ พันธุกรรม หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูล เว้นแต่จะได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล หรือเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อประโยชน์สาธารณะด้านการสาธารณสุข หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาล เป็นต้น
           
                เจ้าของข้อมูลมีสิทธิ 
                (1) ได้รับการแจ้งให้ทราบ 
                (2) ขอเข้าถึงข้อมูลส่วนบุคคล 
                (3) ขอให้โอนข้อมูลส่วนบุคคล 
                (4) คัดค้านการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล 
                (5) ขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ 
                (6) ขอให้ระงับการใช้ข้อมูล 
                (7) ขอให้แก้ไขข้อมูลส่วนบุคคล

               ผู้ควบคุมข้อมูลส่วนบุคคล ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัย ดำเนินการเพื่อป้องกันไม่ให้ผู้อื่นใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบ จัดให้มีระบบการตรวจสอบ เพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล แจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล   

              ในส่วนของผู้ประมวลผลข้อมูลส่วนบุคคล ต้องดำเนินการตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมาย หรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคล ทั้งต้องจัดให้มีมาตรการรักษาความปลอดภัย รวมทั้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น

           หากผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ดำเนินการใดๆเกี่ยวกับข้อมูลส่วนบุคคลอันเป็นการฝ่าฝืน หรือไม่ปฏิบัติตามพ.ร.บ.นี้ จนทำให้เกิดความเสียหายแก่เจ้าของข้อมูล ต้องชดใช้ค่าสินไหมทดแทน ไม่ว่าการดำเนินการนั้น จะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อหรือไม่  ทั้งอาจต้องรับผิดทางอาญาที่มีโทษทั้งปรับ หรือจำคุก หรือ ทั้งปรับและจำคุก  

            ตามพ.ร.บ. นี้ มีการจัดตั้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยมีวัตถุประสงค์เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมทั้งส่งเสริมและสนับสนุนให้เกิดการพัฒนาด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศ

        พ.ร.บ.นี้ไม่ใช้บังคับแก่ 
        (1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น 
        (2) การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์ 
        (3) บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพ หรือเป็นประโยชน์สาธารณะเท่านั้น 
        (4) สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการพิจารณาตามหน้าที่และอำนาจของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา หรือคณะกรรมาธิการแล้วแต่กรณี 
        (5) การพิจารณาพิพากษาคดีของศาลและการดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี และการวางทรัพย์ รวมทั้งการดำเนินงานตามกระบวนการยุติธรรมทางอาญา 
        (6) การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

        เมื่อกฎหมายใช้บังคับ การเก็บข้อมูลส่วนตัวต่าง ๆ  เพื่อนำไปรวบรวม ใช้ หรือเปิดเผยข้อมูลต่อไปนั้น ต้องเก็บจากเจ้าของข้อมูลโดยตรง และได้รับการยินยอมโดยตรงจากเจ้าของข้อมูลเป็นลายลักษณ์อักษร หรือผ่านระบบออนไลน์ตามรูปแบบที่กฎหมายกำหนด  

       ดังนั้น ก่อนที่เจ้าของข้อมูลส่วนบุคคลจะยินยอม ต้องอ่านรายละเอียดให้ดีก่อน  รวมถึงยินยอมให้เก็บ ใช้ เปิดเผยข้อมูล ไปกับหน่วยงานใดบ้าง เพราะผู้มีสิทธิเด็ดขาด คือเจ้าของข้อมูลส่วนบุคคล นั่นเอง

จำนวนการอ่าน 86 ครั้ง