‘มูลนิธิ’ เป็นรูปแบบการนำทรัพย์สินมารวมกันเพื่อทำกิจกรรมให้เป็นไปตามวัตถุประสงค์ของการก่อตั้ง โดยในปัจจุบันมีการจดทะเบียนก่อตั้งมูลนิธิเพื่อดำเนินกิจกรรมในหลายด้าน อาทิ ศาสนา อนุรักษ์ กีฬา สังคม สาธารณสุข การศึกษา ศิลปะ วัฒนธรรม ฯลฯ ส่วนใหญ่จะเป็นกิจกรรมเพื่อการสังคมสงเคราะห์ ถึงอย่างนั้น แม้จะมองที่รูปแบบการดำเนินกิจกรรมเป็นไปเพื่อ ‘ประโยชน์สาธารณะ’ แต่ต้องไม่ลืมว่าองค์กรมูลนิธิมีสถานะเป็น ‘นิติบุคคล’ ตามประมวลกฎหมายแพ่งและพาณิชย์

ด้วยเหตุนี้ มีหลายกิจกรรม ตลอดจนการดำเนินการของมูลนิธิที่จะต้องเข้าใจ และปรับเปลี่ยนเพื่อให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) ที่จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน พ.ศ.2565 ที่ผ่านมา

กฎหมาย PDPA มุ่งเน้นการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามหลักการจัดการสากล เทียบเคียงมาจากกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎระเบียบของสหภาพยุโรป และเป็นต้นแบบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลทั่วโลกที่ต้องการให้องค์กรธุรกิจ หน่วยงานรัฐต่าง ๆ มีความระมัดระวังในการเก็บ รวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

สำหรับ มูลนิธิต่าง ๆ ตามแง่มุมของกฎหมาย PDPA มีสถานะเป็น ‘ผู้ควบคุมข้อมูล หรือ Data Controller’ คือ บุคคล หรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล กฎหมายระบุว่า จะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กฎหมายอื่นบัญญัติให้กระทำได้ ซึ่งมุมนี้อาจจะบอกได้ว่ามูลนิธิมีประมวลกฎหมายแพ่งและพาณิชย์รองรับในการเก็บรวมรวมข้อมูลทะเบียนสมาชิกและกรรมการ เพื่อส่งให้นายทะเบียน อยู่ในข้อยกเว้นสำหรับการขอความยินยอมซึ่งเป็นไปตามขั้นตอนของกฎหมายในการก่อตั้งมูลนิธิ

แต่กฎหมายอนุญาตให้เก็บ รวบรวม ใช้ หรือเปิดเผยได้ โดยเพื่อประโยชน์ในงานด้านทะเบียน แต่ไม่ได้ระบุถึงผลต่อเนื่องหลังจากนั้น เช่น หากข้อมูลส่วนบุคคลภายในมูลนิธิเกิดการละเมิด นำไปสู่การฟ้องร้อง หรือจ่ายค่าสินไหมทดแทน ก็จะมีการนำกฎหมาย PDPA มาใช้เป็นบรรทัดฐานในการตัดสินคดี

ส่วนนี้ จึงเป็นส่วนแรกที่มูลนิธิต่าง ๆ จะต้องมีการจัดเก็บข้อมูลให้มีความปลอดภัยอย่างเหมาะสมตามหน้าที่ทางกฎหมาย รวมไปถึงการเก็บรวมรวมข้อมูลภายในองค์กร ข้อมูลส่วนบุคคลผู้บริจาค ข้อมูลส่วนบุคคลที่ได้รับความอนุเคราะห์ หรือช่วยเหลือ ตลอดจนภาพถ่าย วิดีโอ หรือข้อมูลในรูปแบบต่าง ๆ ที่สามารถระบุตัวบุคคลได้ทั้งทางตรง และทางอ้อม ก็ต้องเก็บและใช้อย่างระมัดระวังเช่นกัน รวมถึงควรเน้นย้ำภายในองค์กรเสมอว่าการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะต้องขอความยินยอมจากเจ้าของข้อมูลซึ่งเป็นเรื่องที่สำคัญมาก

ประเด็นต่อมา คือ รูปแบบของมูลนิธิ และกิจกรรมที่เกี่ยวโยงกับการเก็บ รวมรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลประเภทอ่อนไหว (Sensitive Data) อาทิ เชื้อชาติ ศาสนา ข้อมูลสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ข้อมูลสหภาพแรงงาน ประวัติอาชญากรรม พฤติกรรมทางเพศ ความคิดเห็นทางการเมือง ความเชื่อ เป็นข้อมูลที่สามารถระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น หรือข้อมูลที่อาจจะส่งผลกระทบโดยตรงต่อเจ้าของข้อมูลส่วนบุคคลที่จะก่อให้เกิด อคติ ความไม่เป็นธรรม เกลียดชัง เลือกปฏิบัติ หรือเสื่อมเสีย เช่น

• มูลนิธิที่เกี่ยวกับเด็ก อาจละเมิดสิทธิของผู้เยาว์ที่ต้องขอความยินยอมจากผู้ปกครองตามกฎหมาย

• มูลนิธิที่เกี่ยวกับผู้พิการ อาจละเมิดสิทธิของผู้พิการและผู้ไร้ความสามารถ

• มูลนิธิที่เกี่ยวกับการรักษาทางการแพทย์ ที่อาจจะเกี่ยวโยงเรื่องการเปิดเผยข้อมูลสุขภาพ อีเอ็นเอ ข้อมูลชีวภาพ

• มูลนิธิที่เกี่ยวกับศาสนาและความเชื่อ แม้ข้อมูลส่วนบุคคลของผู้เสียชีวิตไม่ได้รับความคุ้มครองตามกฎหมาย PDPA แต่การเปิดเผยข้อมูลด้านศาสนา ปรัชญา ความเชื่อ โดยเจ้าของข้อมูลที่มีชีวิตอยู่ไม่ยินยอมก็เข้าข่ายละเมิดเช่นกัน

• มูลนิธิด้านสังคมสงเคราะห์ อาจเข้าข่ายละเมิดข้อมูลส่วนบุคคลอ่อนไหวของบุคคลได้ง่าย เช่น การตรวจสอบข้อมูลสุขภาพ ข้อมูลอาชญากรรม ข้อมูลของบุคคลไร้ความสามารถ หรือเสมือนไร้ความสามารถ

• มูลนิธิที่มุ่งเน้นกิจกรรมทางการเมือง ก็อาจจะเข้าข่ายการเก็บข้อมูลอ่อนไหวเพื่อประโยชน์เฉพาะด้านที่ต้องขอความยินยอม

ทั้งนี้กฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA มีโทษอาญาจำคุกสูงสุด 1 ปี ปรับสูงสุด 1 ล้านบาท โทษปกครองปรับสูงสุด 5 ล้านบาท รวมถึงโทษทางแพ่งที่อาจจะต้องจ่ายค่าสินไหมทดแทนเป็นเงินก้อนโต หากเกิดการละเมิดข้อมูลส่วนบุคคลอ่อนไหวซึ่งเรามองว่าเป็นโจทย์ใหญ่ที่มูลนิธิต้องรีบจัดการเรื่องกฎหมาย PDPA อย่างรอบคอบ

สำหรับมูลนิธิที่มีการเก็บข้อมูลส่วนบุคคลทั่วไป หรือมีความจำเป็นต้องเก็บข้อมูลส่วนบุคคลอ่อนไหวเป็นจำนวนมาก ตามกฎหมาย PDPA กำหนดให้จะต้องขอความยินยอมโดยชัดเจนกับเจ้าของข้อมูลส่วนบุคคล และต้องนำข้อมูลไปใช้ตามวัตถุประสงค์ที่แจ้งเจ้าของข้อมูลไว้แต่แรก รวมทั้งมีการจัดทำเรื่องการจัดการข้อมูลส่วนบุคคลที่เหมาะสม ดังนี้

1.ศึกษาบริบทในการใช้ข้อมูล (Context of Use) และกำหนดวัตถุประสงค์การเก็บ รวบรวม ใช้ และเปิดเผยอย่างเหมาะสม

2.กำหนดนโยบายความเป็นส่วนตัว (Privacy Policy) ประกาศความเป็นส่วนตัว (Privacy notice) และหากมีเว็บไซต์ที่เก็บข้อมูลด้วยคุกกี้ก็ต้องทำ Cookie Policy ด้วย

3.จัดทำระบบหรือเอกสารขอความยินยอม (Consent)

4. จัดทำข้อมูลหรือบันทึกรายการข้อมูลส่วนบุคคล (RoPA)

5. กำหนดมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม

(Information security)

อย่างไรก็ตาม กฎหมาย PDPA ได้มีการยกเว้นในบางกรณีที่ทำให้สามารถเก็บ รวบรวมใช้ และเปิดเผยข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูล คือ

1.เพื่อจัดทำจดหมายเหตุ วิจัย สถิติ

2.ป้องกันหรือระงับอันตรายต่อชีวิตหรือร่างกาย

3.ปฏิบัติหน้าที่ตามสัญญา

4.ประโยชน์สาธารณะ

5.ประโยชน์โดยชอบด้วยกฎหมาย

6.ปฏิบัติหน้าที่ตามกฎหมาย

กระนั้น จากข้อยกเว้นในบางกรณีที่กฎหมายระบุว่าสามารถเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอม แต่ก็ยังคงต้องอยู่บนเงื่อนไขของความ ‘เหมาะสม จำเป็น และความปลอดภัยของข้อมูล’ เพราะตามที่เราได้ระบุไว้ข้างต้น กฎหมาย PDPA ดูผลจากการกระทำ และเจตนา หากการกระทำใด ๆ ก็ตามที่ส่งผลต่อเจ้าของข้อมูลส่วนบุคคล เจ้าของมีสิทธิที่จะขอให้ยุติการเปิดเผย แก้ไข ถ่ายโอน ระงับ หรือทำลายข้อมูลได้ทุกเวลา (ยกเว้บบางกรณีตามกฎหมายกำหนด) แต่หากมูลนิธิซึ่งเป็นเจ้าของข้อมูลไม่ปฏิบัติตามคำร้องก็อาจนำไปสู่การฟ้องร้องดำเนินคดี และจะนำมาซึ่งความยุ่งยากอีกมากในอนาคต

จะเห็นได้ว่า แม้จะเป็นกิจกรรมของมูลนิธิ ที่ได้จัดตั้งตามประมวลกฎหมายแพ่งและพาณิชย์ ดำเนินกิจกรรมเพื่อการสังคมสงเคราะห์ หรือสาธารณะประโยชน์ แต่หากเกิดการละเมิดที่ส่งผลให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคล กฎหมาย PDPA ก็จะถูกนำมาเป็นบรรทัดฐานตัดสินคดีการละเมิดนี้อยู่ดี