เรียกได้ว่าส่งผลกระทบไปทั่วทุกวงการเลยก็ว่าได้ครับ สำหรับประเด็นเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย แม้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จะขยายเวลาบังคับใช้ออกไปอีก 1+1 ปี (บังคับใช้อย่างเต็มรูปแบบ 1 มิถุนายน 2565) แต่ก็ยังคงได้รับการพูดถึงในวงกว้างถึงการเตรียมตัวและการปฏิบัติตามกฎหมายในแต่ละบริบท ไม่เว้นแม้กระทั่งในวงการการศึกษา ซึ่งสถานศึกษาในเมืองไทยบางแห่งเริ่มออกมาเคลื่อนไหวด้าน การคุ้มครองข้อมูลส่วนบุคคลในสถานศึกษา กันแล้ว โดยคำนึงถึงการคุ้มครองข้อมูลส่วนบุคคลของผู้เรียนวัยเด็กตลอดจนวัยผู้ใหญ่เป็นสำคัญ
“สถานศึกษา” ตามพระราชบัญญัติการศึกษาแห่งชาติ พ.ศ. 2542 หมายถึง หน่วยงานที่มีอำนาจหน้าที่หรือวัตถุประสงค์ในการจัดการศึกษา ทั้งภาครัฐและเอกชน ไม่ว่าจะเป็นโรงเรียน วิทยาลัย มหาวิทยาลัย มหาวิทยาลัยในกำกับ(ของรัฐ) ศูนย์การเรียนรู้ สถาบันฝึกอบรม สถาบันกวดวิชา ฯลฯ ต่างก็ต้องดำเนินการที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลทั้งสิ้น ไม่มากก็น้อย โดยมีวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล (ของผู้เรียน) เพื่อดำเนินกิจการโดยทั่วไป ตลอดจนใช้ประมวลผลเพื่อการตลาด หรือการประชาสัมพันธ์ ซึ่งมีความจำเป็นต้องมีนโยบายและมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม และ “ควร” ดำเนินการขอความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของผู้เรียนด้วย
สถานศึกษาหลายแห่งจำเป็นต้องนำข้อมูลส่วนบุคคล (ของผู้เรียน) มาประมวลผล เพื่อการดำเนินกิจการทั่วไป การตลาด และการประชาสัมพันธ์ จึงควรมีนโยบายคุ้มครองข้อมูลส่วนบุคคล และขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลของผู้เรียนในสถานศึกษาเป็นอะไรได้บ้าง?
ข้อมูลส่วนบุคคล คือ ข้อมูลใด ๆ ก็ตามที่สามารถใช้ระบุตัวตนของเจ้าของข้อมูลได้ (ทั้งทางตรงและทางอ้อม) สามารถเป็นได้หลายรูปแบบ ทั้งข้อความ ภาพ เสียง วิดีโอ และฟอร์มแมตอื่น ๆ ซึ่งรายการดังต่อไปนี้ คือ ตัวอย่างของส่วนบุคคลของผู้เรียน ที่อาจถูกประมวลผลภายในสถานศึกษาได้:
- ชื่อและภาพประจำตัวของนักเรียนดีเด่นประจำปีการศึกษา ที่ติดอยู่บนบอร์ดในโรงเรียน
- ภาพและข้อความข่าวประชาสัมพันธ์ในวารสารของมหาวิทยาลัย เล่าประวัติโดยคร่าวของนักศึกษาที่ได้รับรางวัลชนะเลิศการแข่งขันระดับประเทศ สร้างชื่อเสียงให้กับมหาวิทยาลัยและประเทศชาติ
- สมุดบันทึกรายชื่อและข้อมูลการเข้าคาบเรียนของนักเรียน
- ภาพและวิดีโอกิจกรรมวันไหว้ครูของนักเรียนที่ลงประชาสัมพันธ์อยู่บนเว็บไซต์ของโรงเรียน โดยโฟกัสที่ใบหน้าของนักเรียนอย่างชัดเจน
- ผลสอบของนักศึกษามหาวิทยาลัย มีข้อมูลรายชื่อ เลขประจำตัว และคะแนนสอบ ที่ประกาศติดไว้บนบอร์ด หรือโพสต์ไว้บนหน้าเว็บไซต์ของสาขาวิชาโดยไม่จำเป็นต้องล็อกอินเพื่อเข้าชมหน้าดังกล่าว ทุกคนสามารถเข้าชมได้
- หนังสือรุ่นของนักเรียนระดับมัธยม มีข้อมูลชื่อ ชั้นเรียน รูปภาพ และคำบรรยายตัวตนของนักเรียน
- ประวัติจำเป็นของนักเรียนนักศึกษาที่ต้องกรอกเพื่อสมัครเข้าศึกษา
เราจะเห็นได้ว่าข้อมูลส่วนบุคคลของผู้เรียนมีอยู่ทั่วสถานศึกษา ทั้งที่สามารถมองเห็นได้และที่ถูกประมวลผลหรือเก็บรักษาอยู่ “หลังบ้าน” ไม่มีนักเรียนนักศึกษาคนไหนที่ข้อมูลส่วนบุคคลจะไม่ถูกประมวลผลอย่างแน่นอน
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้เรียนในสถานศึกษา กระทำโดยไม่ได้มีเจตนาไม่ดี แต่ก็มีบางส่วนที่นำไปใช้เพื่อการโฆษณาประชาสัมพันธ์ และข้อมูลหลายชนิดก็มีลักษณะเป็นสาธารณะ สามารถพบเห็นได้โดยบุคคลทั่วไป จึงอาจเกิดการละเมิดโดยบุคคลที่สามได้ ข้อมูลส่วนบุคคลของผู้เรียนเหล่านี้จึงเข้าข่ายควรได้รับการคุ้มครองตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA)
การคุ้มครองข้อมูลส่วนบุคคลในสถานศึกษา : เมื่อไหร่สังคมไทยจะตื่นตัว?
หลายคนอาจจะคิดว่าผู้เขียนตกตื่นไปหรือเปล่า? การคุ้มครองข้อมูลส่วนบุคคลในสถานศึกษา จำเป็นขนาดนั้นเลยหรือ? แต่เปล่าเลยครับ…
การคุ้มครองข้อมูลส่วนบุคคลของผู้เรียนในสถานศึกษา เป็นเรื่องที่ต่างประเทศ (โดยเฉพาะประเทศในยุโรป) ให้ความสำคัญและเป็นกระแสตื่นตัวกันอย่างมากมาเป็นเวลาหลายปีแล้ว นับตั้งแต่การประกาศใช้ GDPR หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป สถานศึกษาเช่น โรงเรียน วิทยาลัย และมหาวิทยาลัย ต่างมีนโยบายและมาตรการคุ้มครองข้อมูลส่วนบุคคลออกมาให้เห็นความเปลี่ยนแปลงได้อย่างชัดเจน โดยมีการประกาศเอาไว้อย่างชัดแจ้งบนหน้าเว็บไซต์ของสถานศึกษา ตลอดจนมีการขอความยินยอมจากผู้เรียน/ผู้ปกครอง เพื่อให้ทางสถานศึกษาสามารถประมวลผลข้อมูลส่วนบุคคลของผู้เรียนได้ตามวัตถุประสงค์ที่แจ้งเอาไว้
เมื่อ PDPA คลอดออกมาแล้ว คงถึงเวลาที่บุคลากรในวงการการศึกษาจะหันมาให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อประโยชน์ของผู้เรียนซึ่งเป็นอนาคตของชาติ และร่วมปลูกฝังค่านิยมด้านการคุ้มครองข้อมูลส่วนบุคคลให้กับพวกเขา จากการที่ได้เห็นแนวทางการปฎิบัติจริงเพื่อคุ้มครองข้อมูลส่วนบุคคล
ดร.อุดมธิปก ไพรเกษตร ผู้อำนวยการสถาบันพัฒนาและทดสอบทักษะดิจิทัล (DDTI) กล่าวว่า สำหรับประเทศไทย เริ่มเห็นสถานศึกษาบางแห่งที่เป็นหน่วยงานนานาชาติหันมาดูแลในเรื่องการคุ้มครองข้อมูลส่วนบุคคล โดยมีการจัดทำนโยบาย/มาตรการคุ้มครองข้อมูล และเอกสารขอความยินยอมเพื่อประมวลผลข้อมูลส่วนบุคคลของผู้เรียนกันแล้ว ตั้งแต่ในขั้นตอนของการกรอกข้อมูลเพื่อสมัครเรียนและรับผู้เรียนเข้าเรียนในสถานศึกษาอย่างเป็นทางการ
ส่วนสถานศึกษาในไทยหลาย ๆ แห่งยังคงไม่ตื่นตัวในเรื่องนี้…
ตาม PDPA สถานศึกษาที่ผู้เรียนมีอายุตั้งแต่ 20 ปีขึ้นไป ซึ่งบรรลุนิติภาวะแล้ว สามารถขอความยินยอมจากตัวผู้เรียนโดยตรงได้ ไม่มีปัญหาแต่อย่างใด แต่สำหรับโรงเรียน วิทยาลัย มหาวิทยาลัย หรือสถานศึกษาที่มีผู้เรียนเป็นผู้เยาว์ (อายุระหว่าง 10-19 ปี ) จะต้องขอความยินยอมจากผู้ปกครองที่มีอำนาจประกอบกับความยินยอมจากผู้เยาว์ ส่วนกรณีที่ผู้เยาว์มีอายุไม่ถึง 10 ปี สถานศึกษาจะต้องขอความยินยอมจากผู้ปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
*นอกเหนือจากการขอความยินยอม สถานศึกษาอาจประมวลผลข้อมูลส่วนบุคคลของผู้เรียนได้ หากมีกฎหมายอื่นกำหนดเอาไว้ว่าสามารถกระทำได้
ผู้เขียนอยากเห็นสถานศึกษาในประเทศไทย “ตื่นตัว” กับประเด็นการคุ้มครองข้อมูลส่วนบุคคลในสถานศึกษา และหวังว่าการร่วมด้วยช่วยกันปฎิบัติตามกฎหมายอย่างเต็มที่ จะช่วยให้ข้อมูลส่วนบุคคลของผู้เรียนได้รับการคุ้มครองอย่างเป็นระบบ และถูกละเมิดได้ยาก
เรียนรู้เพิ่มเติมเกี่ยวกับ การคุ้มครองข้อมูลส่วนบุคคล กับหลักสูตร Personal Data Protection Certificate: PDPC เนื้อหาครอบคลุม กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และแนวทางการปฏิบัติเพื่อคุ้มครองข้อมูลส่วนบุคคล
ICDL Thailand by DBC <<< สนใจคลิกเพื่อสอบถามผ่าน Inbox
