‘สิทธิเด็ก’ กฎหมายที่มุ่งเน้นปกป้องคุ้มครองสิทธิ การละเมิดความเป็นส่วนตัว หรือการดูหมิ่นที่อาจก่อให้เกิดความเสียหายทั้งทางร่างกายและจิตใจ ด้วยเหตุนี้กฎหมายเด็กของหลายๆ ประเทศ จึงมีความเข้มงวดและมีโทษที่ค่อนข้างรุนแรง ตลอดจนถึงการเป็นข้อบังคับสากล อาทิ อนุสัญญาสหประชาชาติว่าด้วยสิทธิเด็ก (UN Convention on the Rights of the Child: UNCRC) ที่ทั่วโลกยึดถือเป็นบรรทัดฐานของกฎหมาย

สำหรับประเทศไทยเองก็มี พ.ร.บ.คุ้มครองเด็ก พ.ศ.2546 กฎหมายคุ้มครอง ‘เด็ก’ ซึ่งหมายถึงบุคคลที่มีอายุต่ำกว่าสิบแปดปีบริบุูรณ์ แต่ไม่รวมถึงผู้ที่บรรลุนิภาวะด้วยการสมรส โดยกฎหมายมุ่งปกป้องคุ้มครอง เกื้อหนุน และการสงเคราะห์สวัสดิภาพเด็ก หรือการงดเว้นไม่ให้เด็กทำธุรกรรมทางกฎหมาย

ขณะที่ กฎหมาย PDPA (Personal Data Protection Act) หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคล ตามข้อกำหนดของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งจะมีผลบังคับใช้ในในวันที่ 1 มิถุนายน 2565 นี้ ก็มีมาตราที่ระบุถึงข้อบังคับในการเก็บรวบรวม ใช้ และเผยแพร่ข้อมูลเด็กและผู้เยาว์ที่ยังไม่บรรลุนิติภาวะโดยเฉพาะ ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากไม่ได้รับความยินยอมจาก ‘ผู้ปกครองที่มีอำนาจ’ กระทำการแทนผู้เยาว์ตามกฎหมาย

เหตุนี้ จึงมีข้อสังเกตว่า สำหรับโรงเรียน สถานรับเลี้ยง สถานพยาบาลสำหรับเด็ก สถานกวดวิชา แคมป์เยาวชน หน่วยงานหรือสถานประกอบการที่มีการเก็บข้อมูลส่วนบุคคลของเด็ก แม้แต่แพลตฟอร์มสำหรับเด็ก หรือร้านเกม ที่มีการเก็บข้อมูลส่วนบุคคลผู้เยาว์เพื่อประโยชน์ทางธุรกิจ

ไม่ว่าจะเป็น ข้อมูลส่วนบุคคลทั่วไป (Personal Data) อาทิ ชื่อ สกุล ที่อยู่ เลขบัตรประชาชน อีเมล เบอร์โทรศัพท์ ข้อมูลกายภาพ เช่น ภาพถ่าย คลิปวิดีโอ รวมถึง ข้อมูลชีวภาพ เช่น ข้อมูลภาพจำลองใบหน้า ม่านตา ลายนิ้วมือ ข้อมูลพันธุกรรม ข้อมูลสุขภาพ หรือแม้แต่ข้อมูลด้านเชื้อชาติ ศาสนา อุปลักษณะนิสัย ทัศนคติ ซึ่งเหล่านี้เป็นข้อมูลอ่อนไหว (Sensitive Data)

ธุรกิจที่มีการจัดเก็บข้อมูลเด็กและผู้เยาว์ที่ไม่บรรลุนิติภาวะจะต้องมีความเข้าใจ และการจัดการเพื่อเตรียมพร้อมรับมือกับความเสี่ยงที่อาจจะเกิดขึ้นภายใต้กฎหมายใหม่ที่กำลังประกาศใช้ในเร็ว ๆ นี้

ธุรกิจเกี่ยวกับ ‘เด็ก’ กลุ่มไหนบ้างเสี่ยงทำผิดกฎหมาย PDPA

1.ธุรกิจด้านการศึกษา – โรงเรียนตั้งแต่ชั้นอนุบาล – มัธยมศึกษา ซึ่งมีส่วนเกี่ยวข้องทั้งที่เป็นผู้ควบคุมข้อมูล(Data Controller) ที่มีการรวบรวม ใช้และเผยแพร่ของมูลส่วนบุคคลของเด็กที่ยังไม่บรรลุนิติภาวะ รวมทั้งการส่งต่อข้อมูลให้แก่บุคคลที่สาม เพื่อประโยชน์หรือกิจกรรมต่างๆ เช่น โรงเรียนเก็บข้อมูลเด็กและมีการใช้และเผยแพร่ต่อให้กับครูผู้สอน/บุคคลภายนอก หรือในมุมของสถาบันกวดวิชาที่มีการเก็บข้อมูลเด็กและส่งต่อให้ติวเตอร์ก็เข้าข่ายทำผิดกฎหมาย PDPA เช่นกันหากไม่มีการขอความยินยอมจากผู้ปกครอง

2.ธุรกิจด้านการรับเลี้ยง ฝากเลี้ยงเด็ก – เป็นอีกหนึ่งธุรกิจที่จะได้รับผลต่อการบังคับใช้กฎหมาย PDPA โดยตรงหากมีการเก็บข้อมูลส่วนบุคคลเด็กหรือผู้เยาว์ที่ไม่ได้รับความยินยอมจากผู้ปกครอง โดยเฉพาะสำหรับเด็กที่อายุไม่เกิน 10 ปี การรวบรวม ใช้ และเผยแพร่ข้อมูลส่วนบุคคลจะต้องขอความยินยอมจากผู้ปกครองที่มีอำนาจตามกฎหมาย

3.สถานรักษาและดูแลสุขภาพเด็ก – ไม่ว่าจะเป็นโรงพยาบาล คลินิก ที่มีการเก็บข้อมูลเด็กและผู้เยาว์ที่ยังไม่บรรลุนิติภาวะ ก็เข้าข่ายทำผิดกฎหมาย PDPA หากว่าการเก็บข้อมูลเหล่านั้นเป็นไปเพื่อประโยชน์ในด้านธุรกิจก็เข้าข่ายที่ต้องขอความยินยอมจากผู้ปกครองทุกครั้ง

4.ธุรกิจบริการหรือความบันเทิงสำหรับเด็ก : สวนสนุก สวนน้ำ สวนสัตว์ แคมป์เยาวชน ร้านอาหาร ร้านเกม สถานประกอบการที่มีการเก็บข้อมูลส่วนบุคคลของเด็กเพื่อใช้ประโยชน์ในเชิงพาณิชย์ก็ต้องขอความยินยอมจากผู้ปกครองเช่นกัน

5.แพลตฟอร์มผู้ให้บริการที่มีกลุ่มเป้าหมายเป็นเด็ก : ในที่นี้อาจนึกภาพถึงเว็บไซต์ หรือแอปพลิเคชันสำหรับเด็ก ตลอดจนถึง ‘ร้านเกม’ หรือแม้แต่สื่อเด็กในรูปแบบต่างๆ ที่แม้จะมีการทำเอกสารขอความยินยอมจากผู้ใช้ที่เรียกว่า ‘Term of Service’ ให้ผู้ใช้กดยินยอมรับเงื่อนไขของแพลตฟอร์ม แต่หากผู้ใช้เป็นเด็กที่อายุไม่เกิน 10 ปี หรือยังไม่บรรลุนิติภาวะ การยินยอมดังกล่าวตามข้อกำหนดในกฎหมาย PDPA อาจจะไม่ชอบด้วยกฎหมายและใช้เป็นหลักฐานการยินยอมไม่ได้ เพราะอำนาจการยินยอมเป็นของ ‘ผู้ปกครอง’ ดังนั้นแง่มุมเหล่านี้จึงมีความอ่อนไหวที่ผู้ประกอบการธุรกิจและแพลตฟอร์มสำหรับเด็กจะต้องศึกษาโดยละเอียด และมีระบบในการขอความยินยอมที่สามารถยืนยันตัวตนได้ว่าผู้ให้ความยินยอมมีบทบาทเป็นผู้ปกครองของผู้เยาว์

เก็บข้อมูลเด็กต้องรู้! แบบไหนบ้าง ที่ไม่ผิดกฎหมาย PDPA

กฎหมาย PDPA ห้ามไม่ให้เก็บข้อมูลส่วนบุคคลเด็กและผู้เยาว์ที่ยังไม่บรรลุนิติภาวะโดยปราศจากความยินยอมจากผู้ปกครอง แต่ก็มีข้อยกเว้นที่สามารถทำได้เพื่อวัตถุประสงค์บางอย่าง คือ

1.เพื่อจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติที่เป็นประโยชน์ต่อส่วนรวม

2.เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

3.เพื่อความจำเป็นและเป็นการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือ ดำเนินการที่เป็นไปตามคำขอของเจ้าของข้อมูลส่วนบุคคล

4.เป็นการปฏิบัติหน้าที่ หรือภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐ

5. เพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานของบุคคล

6. เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

อย่างไรก็ตาม หากในกรณีที่ผู้ควบคุมข้อมูล มีการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง จะต้องมีการแจ้งให้ ‘ผู้ปกครอง’ ของผู้เยาว์ซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลทราบโดยเร็ว

กระนั้น ทั้งผู้ควบคุมข้อมูล และผู้ประมวลผลข้อมูล หากมีการรวบรวม ใช้ และเผยแพร่ข้อมูลส่วนบุคคล อันก่อให้เกิดความเสียหาย หรือการละเมิดก็ไม่สามารถหลีกเลี่ยงโทษทั้งทางอาญา แพ่งและโทษทางปกครองอยู่ได้ดี

ด้วยเหตุนี้ จึงจะเห็นได้ว่า สิทธิเด็กและผู้เยาว์ที่ยังไม่บรรลุนิติภาวะด้านข้อมูลส่วนบุคคล ต้องขอความยินยอมจากผู้ปกครอง แต่หากความยินยอมนั้นทำให้เกิดความเสียหายทั้งร่างกายและจิตใจ ก็ยังสามารถขอให้ถอนการยินยอมได้ในทันที และหากไม่ปฏิบัติตามก็จะนำไปสู่การฟ้องร้องดำเนินคดีตามกฎหมาย ซึ่งสิ่งเหล่านี้ กฎหมายยังมีความอ่อนไหว และยังสามารถตีความไปได้อีกหลายๆ แง่มุม

ดังนั้น ธุรกิจที่เกี่ยวข้อง หรือมีการเก็บข้อมูลส่วนบุคคลเด็กและผู้เยาว์ที่ยังไม่บรรลุนิติภาวะจึงต้องมีการทำความเข้าใจสาระของข้อกฎหมาย PDPA รวมถึงการประเมินผลกระทบการละเมิดข้อมูลส่วนบุคคล (DPIA) เพื่อรับมือความเสี่ยงที่ธุรกิจทำผิดกฎหมายซึ่งอาจนำไปสู่ความยุ่งยากอีกมากที่จะเกิดขึ้นในอนาคต