‘มูลนิธิ’ เป็นรูปแบบการนำทรัพย์สินมารวมกันเพื่อทำกิจกรรมให้เป็นไปตามวัตถุประสงค์ของการก่อตั้ง โดยในปัจจุบันมีการจดทะเบียนก่อตั้งมูลนิธิเพื่อดำเนินกิจกรรมในหลายด้าน อาทิ ศาสนา อนุรักษ์ กีฬา สังคม สาธารณสุข การศึกษา ศิลปะ วัฒนธรรม ฯลฯ ส่วนใหญ่จะเป็นกิจกรรมเพื่อการสังคมสงเคราะห์ ถึงอย่างนั้น แม้จะมองที่รูปแบบการดำเนินกิจกรรมเป็นไปเพื่อ ‘ประโยชน์สาธารณะ’ แต่ต้องไม่ลืมว่าองค์กรมูลนิธิมีสถานะเป็น ‘นิติบุคคล’ ตามประมวลกฎหมายแพ่งและพาณิชย์
ด้วยเหตุนี้ มีหลายกิจกรรม ตลอดจนการดำเนินการของมูลนิธิที่จะต้องเข้าใจ และปรับเปลี่ยนเพื่อให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) ที่จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้
มูลนิธิ กับกฎหมาย PDPA เกี่ยวข้องกันอย่างไร?
กฎหมาย PDPA มุ่งเน้นการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามหลักการจัดการสากล เทียบเคียงมาจากกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎระเบียบของสหภาพยุโรป และเป็นต้นแบบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลทั่วโลกที่ต้องการให้องค์กรธุรกิจ หน่วยงานรัฐต่าง ๆ มีความระมัดระวังในการเก็บ รวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
สำหรับ มูลนิธิต่าง ๆ ตามแง่มุมของกฎหมาย PDPA มีสถานะเป็น ‘ผู้ควบคุมข้อมูล หรือ Data Controller’ คือ บุคคล หรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล กฎหมายระบุว่า จะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กฎหมายอื่นบัญญัติให้กระทำได้ ซึ่งมุมนี้อาจจะบอกได้ว่ามูลนิธิมีประมวลกฎหมายแพ่งและพาณิชย์รองรับในการเก็บรวมรวมข้อมูลทะเบียนสมาชิกและกรรมการ เพื่อส่งให้นายทะเบียน อยู่ในข้อยกเว้นสำหรับการขอความยินยอมซึ่งเป็นไปตามขั้นตอนของกฎหมายในการก่อตั้งมูลนิธิ
แต่กฎหมายอนุญาตให้เก็บ รวบรวม ใช้ หรือเปิดเผยได้ โดยเพื่อประโยชน์ในงานด้านทะเบียน แต่ไม่ได้ระบุถึงผลต่อเนื่องหลังจากนั้น เช่น หากข้อมูลส่วนบุคคลภายในมูลนิธิเกิดการละเมิด นำไปสู่การฟ้องร้อง หรือจ่ายค่าสินไหมทดแทน ก็จะมีการนำกฎหมาย PDPA มาใช้เป็นบรรทัดฐานในการตัดสินคดี
ส่วนนี้จึงเป็นส่วนแรกที่มูลนิธิต่าง ๆ จะต้องมีการจัดเก็บข้อมูลให้มีความปลอดภัยอย่างเหมาะสมตามหน้าที่ทางกฎหมาย รวมไปถึงการเก็บรวมรวมข้อมูลภายในองค์กร ข้อมูลส่วนบุคคลผู้บริจาค ข้อมูลส่วนบุคคลที่ได้รับความอนุเคราะห์ หรือช่วยเหลือ ตลอดจนภาพถ่าย วิดีโอ หรือข้อมูลในรูปแบบต่าง ๆ ที่สามารถระบุตัวบุคคลได้ทั้งทางตรง และทางอ้อม ก็ต้องเก็บและใช้อย่างระมัดระวังเช่นกัน รวมถึงควรเน้นย้ำภายในองค์กรเสมอว่าการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะต้องขอความยินยอมจากเจ้าของข้อมูลซึ่งเป็นเรื่องที่สำคัญมาก
ข้อมูลส่วนบุคคลอ่อนไหว ‘เรื่องใหญ่’ ที่มูลนิธิต้องรีบจัดการ
ประเด็นต่อมา คือ รูปแบบของมูลนิธิ และกิจกรรมที่เกี่ยวโยงกับการเก็บ รวมรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลประเภทอ่อนไหว (Sensitive Data) อาทิ เชื้อชาติ ศาสนา ข้อมูลสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ข้อมูลสหภาพแรงงาน ประวัติอาชญากรรม พฤติกรรมทางเพศ ความคิดเห็นทางการเมือง ความเชื่อ เป็นข้อมูลที่สามารถระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น หรือข้อมูลที่อาจจะส่งผลกระทบโดยตรงต่อเจ้าของข้อมูลส่วนบุคคลที่จะก่อให้เกิด อคติ ความไม่เป็นธรรม เกลียดชัง เลือกปฏิบัติ หรือเสื่อมเสีย เช่น
- มูลนิธิที่เกี่ยวกับเด็ก อาจละเมิดสิทธิของผู้เยาว์ที่ต้องขอความยินยอมจากผู้ปกครองตามกฎหมาย
- มูลนิธิที่เกี่ยวกับผู้พิการ อาจละเมิดสิทธิของผู้พิการและผู้ไร้ความสามารถ
- มูลนิธิที่เกี่ยวกับการรักษาทางการแพทย์ ที่อาจจะเกี่ยวโยงเรื่องการเปิดเผยข้อมูลสุขภาพ อีเอ็นเอ ข้อมูลชีวภาพ
- มูลนิธิที่เกี่ยวกับศาสนาและความเชื่อ แม้ข้อมูลส่วนบุคคลของผู้เสียชีวิตไม่ได้รับความคุ้มครองตามกฎหมาย PDPA แต่การเปิดเผยข้อมูลด้านศาสนา ปรัชญา ความเชื่อ โดยเจ้าของข้อมูลที่มีชีวิตอยู่ไม่ยินยอมก็เข้าข่ายละเมิดเช่นกัน
- มูลนิธิด้านสังคมสงเคราะห์ อาจเข้าข่ายละเมิดข้อมูลส่วนบุคคลอ่อนไหวของบุคคลได้ง่าย เช่น การตรวจสอบข้อมูลสุขภาพ ข้อมูลอาชญากรรม ข้อมูลของบุคคลไร้ความสามารถ หรือเสมือนไร้ความสามารถ
- มูลนิธิที่มุ่งเน้นกิจกรรมทางการเมือง ก็อาจจะเข้าข่ายการเก็บข้อมูลอ่อนไหวเพื่อประโยชน์เฉพาะด้านที่ต้องขอความยินยอม
ทั้งนี้กฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA มีโทษอาญาจำคุกสูงสุด 1 ปี ปรับสูงสุด 1 ล้านบาท โทษปกครองปรับสูงสุด 5 ล้านบาท รวมถึงโทษทางแพ่งที่อาจจะต้องจ่ายค่าสินไหมทดแทนเป็นเงินก้อนโต หากเกิดการละเมิดข้อมูลส่วนบุคคลอ่อนไหวซึ่งเรามองว่าเป็นโจทย์ใหญ่ที่มูลนิธิต้องรีบจัดการเรื่องกฎหมาย PDPA อย่างรอบคอบ
4 เรื่องเร่งด่วนที่ มูลนิธิ ต้องทำเพื่อรับมือกฎหมาย PDPA
สำหรับมูลนิธิที่มีการเก็บข้อมูลส่วนบุคคลทั่วไป หรือมีความจำเป็นต้องเก็บข้อมูลส่วนบุคคลอ่อนไหวเป็นจำนวนมาก ตามกฎหมาย PDPA กำหนดให้จะต้องขอความยินยอมโดยชัดเจนกับเจ้าของข้อมูลส่วนบุคคล และต้องนำข้อมูลไปใช้ตามวัตถุประสงค์ที่แจ้งเจ้าของข้อมูลไว้แต่แรก รวมทั้งมีการจัดทำเรื่องการจัดการข้อมูลส่วนบุคคลที่เหมาะสม ดังนี้
1.ศึกษาบริบทในการใช้ข้อมูล (Context of Use) และกำหนดวัตถุประสงค์การเก็บ รวบรวม ใช้ และเปิดเผยอย่างเหมาะสม
2.กำหนดนโยบายความเป็นส่วนตัว (Privacy Policy) ประกาศความเป็นส่วนตัว (Privacy notice) และหากมีเว็บไซต์ที่เก็บข้อมูลด้วยคุกกี้ก็ต้องทำ Cookie Policy ด้วย
3.จัดทำระบบหรือเอกสารขอความยินยอม (Consent)
4.กำหนดมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม (Information security)
อย่างไรก็ตาม กฎหมาย PDPA ได้มีการยกเว้นในบางกรณีที่ทำให้สามารถเก็บ รวบรวมใช้ และเปิดเผยข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูล คือ
1.เพื่อจัดทำจดหมายเหตุ วิจัย สถิติ
2.ป้องกันหรือระงับอันตรายต่อชีวิตหรือร่างกาย
3.ปฏิบัติหน้าที่ตามสัญญา
4.ประโยชน์สาธารณะ
5.ประโยชน์โดยชอบด้วยกฎหมาย
6.ปฏิบัติหน้าที่ตามกฎหมาย
กระนั้น จากข้อยกเว้นในบางกรณีที่กฎหมายระบุว่าสามารถเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอม แต่ก็ยังคงต้องอยู่บนเงื่อนไขของความ ‘เหมาะสม จำเป็น และความปลอดภัยของข้อมูล’ เพราะตามที่เราได้ระบุไว้ข้างต้น กฎหมาย PDPA ดูผลจากการกระทำ และเจตนา หากการกระทำใด ๆ ก็ตามที่ส่งผลต่อเจ้าของข้อมูลส่วนบุคคล เจ้าของมีสิทธิที่จะขอให้ยุติการเปิดเผย แก้ไข ถ่ายโอน ระงับ หรือทำลายข้อมูลได้ทุกเวลา (ยกเว้บบางกรณีตามกฎหมายกำหนด) แต่หากมูลนิธิซึ่งเป็นเจ้าของข้อมูลไม่ปฏิบัติตามคำร้องก็อาจนำไปสู่การฟ้องร้องดำเนินคดี และจะนำมาซึ่งความยุ่งยากอีกมากในอนาคต
จะเห็นได้ว่า แม้จะเป็นกิจกรรมของมูลนิธิ ที่ได้จัดตั้งตามประมวลกฎหมายแพ่งและพาณิชย์ ดำเนินกิจกรรมเพื่อการสังคมสงเคราะห์ หรือสาธารณะประโยชน์ แต่หากเกิดการละเมิดที่ส่งผลให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคล กฎหมาย PDPA ก็จะถูกนำมาเป็นบรรทัดฐานตัดสินคดีการละเมิดนี้อยู่ดี
ด้วยเหตุผลเหล่านี้ ทั้งมูลนิธิ หรือผู้ที่มีกำลังทรัพย์ในการบริจาคเพื่อช่วยเหลือกิจกรรมของมูลนิธิ ซึ่งบ่อยครั้งมีการถ่ายภาพหรือเปิดเผยข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลอ่อนไหวของผู้ที่ได้รับความช่วยเหลือจึงต้องควรระมัดระวัง และต้องทำความเข้าใจกฎหมายฉบับใหม่นี้อย่างถี่ถ้วน
