การคุ้มครองข้อมูลส่วนบุคคลและการปฏิบัติตาม PDPA ของหน่วยงานภาครัฐ ควรทำแบบไหน อย่างไรให้ถูกต้อง

แชร์

อ่าน

ครั้ง

โดย : ชไมพร วุฒิมานพ

การคุ้มครองข้อมูลส่วนบุคคลและการปฏิบัติตาม PDPA ของหน่วยงานภาครัฐ ควรทำแบบไหน อย่างไรให้ถูกต้อง

แชร์

อ่าน

ครั้ง

โดย : ชไมพร วุฒิมานพ

     หลังการมีผลบังคับใช้ทั้งฉบับของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection   Act : PDPA) เป็นผลให้ทุกหน่วยงานเร่งปฏิบัติบัติให้เป็นไปตามที่กฎหมายกำหนด ทั้งการจัดทำประกาศความเป็นส่วนตัว การขอความยินยอม การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นต้น ซึ่งการบังคับใช้กฎหมายฉบับนี้ยังมีขอบเขตการบังคับใช้ถึงหน่วยงานราชการด้วย ซึ่งการที่จะพิจารณาว่าหน่วยงานราชการได้อยู่ภายใต้บังคับของ PDPA หรือไม่นั้น ต้องไม่ใช่หน่วยงานที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ  ความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์ หน่วยงานราชการที่มีหน้าที่นอกเหนือจากที่กล่าวมาจะต้องอยู่ภายใต้บังคับของ PDPA ซึ่งการปฏิบัติให้สอดคล้องตามกฎมหายฉบับนี้นั้นจะต้องพิจารณาว่ามีกฎหมายเฉพาะที่กำหนดเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลไว้แล้วหรือไม่ หากใช่ก็ต้องปฏิบัติตามกฎมายว่าด้วยเรื่องนั้น ๆ โดยต้องนำ PDPA มาปฏิบัติเพิ่มเติมในบางส่วน

     ปัจจุบันการดำเนินงานของหน่วยงานภาครัฐจะอยู่ภายใต้บังคับของพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 (Official Information Act : OIA) ซึ่งเป็นกฎหมายทั่วไปที่หน่วยงานราชการจะต้องปฏิบัติเพื่อคุ้มครองข้อมูลส่วนบุคคล แต่เนื่องจากกฎหมายฉบับดังกล่าวมีเหตุผลในการประกาศใช้เพื่อให้ประชาชนสามารถแสดงความคิดเห็นและใช้สิทธิในทางการเมืองได้ และเนื่องจากกฎหมายฉบับนี้เป็นการที่ให้อำนาจหน่วยงานราชการในการที่จะสามารถเปิดเผยข้อมูลที่อยู่ในความครอบครองของหน่วยงานต่อสาธารณะได้ ซึ่งข้อมูลนั้นครอบคลุมถึงข้อมูลส่วนบุคคลด้วย

     การบังคับใช้ของ PDPA นั้น เป็นการกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป ซึ่งกฎหมายฉบับนี้ต้องการให้ผู้ควบคุมข้อมูลห้ามเปิดเผยข้อมูลส่วนบุคคลหากไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลหรือไม่มีฐานทางกฎหมายอื่นมารองรับ

     จากที่กล่าวมาข้างต้นจะเห็นได้ว่ากฎหมายทั้ง 2 ฉบับ มีความต่างกันในวัตถุประสงค์ของการบังคับใช้ ดังนั้น การปฏิบัติตามกฎหมายทั้ง 2 ฉบับของหน่วยงานภาครัฐจึงต้องพิจารณาถึงขอบเขตการบังคับใช้ของกฎหมาย คือ OIA แม้จะเป็นกฎหมายที่บังคับใช้ทั่วไปกับหน่วยงานราชการ แต่การบังคับใช้นั้นไม่มีขอบเขตรวมไปถึงภาคเอกชนด้วย ซึ่ง

     PDPA เป็นกฎหมายที่ใช้บังคับเป็นการทั่วไปทั้งหน่วยงานราชการและเอกชน เมื่อพิจารณาแล้วเห็นว่า OIA เป็นกฎหมายเฉพาะที่บังคับใช้กับหน่วยงานราชการเท่านั้น นำไปสู่การที่หน่วยงานราชการเหล่านั้นจะต้องปฏิบัติตาม PDPA คือ ในการคุ้มครองข้อมูลส่วนบุคคลหน่วยงานราชการต้องดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล รวมทั้งบทกำหนดโทษที่เกี่ยวข้องให้สอดคล้องกับ PDPA ด้วย แม้ในเรื่องเหล่านี้จะมีการกำหนดไว้ใน OIA แล้วก็ตาม กล่าวคือ หาก OIA กำหนดอย่างใดไว้ หน่วยงานราชการจะต้องปฏิบัติตามกฎหมายฉบับดังกล่าว แล้วค่อยนำส่วนที่นอกเหนือจาก OIA แต่กำหนดไว้ใน PDPA ปฏิบัติเพิ่มเติม แต่ในส่วนที่กฎหมายทั้ง 2 ฉบับเขียนไว้ในเรื่องเดียวกัน ก็ต้องบังคับในส่วนนั้นให้เป็นไปตามกฎหมายทั้ง 2 ฉบับ และในกรณีเกี่ยวกับการร้องเรียน อำนาจของคณะกรรมการผู้เชี่ยวชาญออกคำสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล อำนาจหน้าที่ของพนักงานเจ้าหน้าที่รวมทั้งบทกำหนดโทษที่เกี่ยวข้อง ต้องปฏิบัติตาม PDPA ในกรณีที่กฎหมายเฉพาะนั้นไม่มีบทบัญญัติเกี่ยวกับการร้องเรียน หรือกรณีที่กฎหมายเฉพาะนั้นมีบทบัญญัติที่ให้อำนาจแก่เจ้าหน้าที่ผู้มีอำนาจพิจารณาเรื่องร้องเรียนตามกฎหมายนั้นออกคำสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล แต่ไม่เพียงพอเท่ากับอำนาจของคณะกรรมการผู้เชี่ยวชาญตาม PDPA และเจ้าหน้าที่ผู้มีอำนาจตามกฎหมายนั้นร้องขอต่อคณะกรรมการผู้เชี่ยวชาญหรือเจ้าของข้อมูลส่วนบุคคลผู้เสียหายยื่นคำร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ

     แม้หน่วยงานราชการจะมีกฎหมายที่กำกับดูแลข้อมูลซึ่งรวมถึงข้อมูลส่วนบุคคลอยู่แล้ว แต่ยังมีความจำเป็นในการที่จะปฏิบัติให้สอดคล้องกับ PDPA เพื่อเป็นประโยชน์กับหน่วยงานในการป้องกันการถูกล่วงละเมิดข้อมูลส่วนบุคคลคลและการเกิดความเสียหายจากการร้องเรียนจากเจ้าของข้อมูลส่วนบุคคล

unnamed (1)-min
นางสาวชไมพร วุฒิมานพ
ที่ปรึกษากฎหมายคุ้มครองข้อมูลส่วนบุคคล จาก PDPA Thailand