‘สมาคมการค้า’ นิติบุคคลที่มีบทบาทสำคัญต่อเศรษฐกิจ และการค้าของประเทศ จัดตั้งขึ้นเพื่อส่งเสริมการประกอบวิสาหกิจในด้านต่าง ๆ แต่ไม่ใช่การหาผลกำไร หรือรายได้แบ่งปันกัน และมีกฎหมายกำกับดูแลเฉพาะรองรับ คือ พระราชบัญญัติสมาคมการค้า พ.ศ. 2509

ต่อมาได้มีการปรับปรุงแก้ไขเพิ่มเติมในพระราชบัญญัติสมาคมการค้า (ฉบับที่ 2) พ.ศ. 2550 เพื่อปรับปรุงกฎระเบียบ ข้อบังคับให้สอดคล้องกับความเปลี่ยนแปลงของยุคสมัย และยังมีมิติที่เกี่ยวข้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) ที่จะบังคับใช้ในวันที่ 1 มิถุนายน พ.ศ.2565 ปีที่ผ่านมา

เพราะภายใต้การพัฒนาทางเศรษฐกิจและการก้าวกระโดดทางเทคโนโลยี ‘ข้อมูล’ (Data) มีความสำคัญอย่างยิ่งต่อเศรษฐกิจและการค้ายุคใหม่ แต่การรวบรวม เก็บ ใช้ หรือเปิดเผยก็ควรมีความรอบคอบและระมัดระวัง เนื่องจากองค์กรธุรกิจ วิสาหกิจ ต่างๆ จะต้องมีการดำเนินการให้สอดคล้องกับกฎหมาย ในที่นี้ขอยกเคสของ ‘สมาคมการค้า’ นิติบุคคลที่มีกิจกรรมหลายด้านเกี่ยวข้องโดยตรงกับกฎหมาย PDPA และต้องมีการจัดการให้เหมาะสม

สมาคมการค้า คือ ‘ใคร’ ตามหลักกฎหมาย PDPA

ก่อนที่จะเข้าเรื่องว่า กิจกรรมของสมาคมการค้าแบบไหนบ้างเข้าข่ายกฎหมาย PDPA จะขอหยิบยก ความหมายของ ‘ข้อมูลส่วนบุคคล’ ตามนิยามของกฎหมาย PDPA ที่ระบุถึง ข้อมูลส่วนบุคคลอันหมายถึงข้อมูลที่สามารถระบุถึงตัวตนบุคคลได้ ทั้งในทางตรงและทางอ้อม

ขณะที่ สมาคมการค้าตามบทบัญญัติของกฎหมาย PDPA ก็เข้าข่ายเป็น ผู้ควบคุมข้อมูล (Data Controller) คือ บุคคลหรือนิติบุคคลที่มีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยกิจกรรมที่มีการจัดเก็บข้อมูลของสมาคมการค้าที่เห็นได้ชัดเจน คือ การจัดทำ ‘ทะเบียนสมาชิก’ เพื่อเก็บรักษาไว้ที่สำนักงานของสมาคมการค้า และให้ส่งสำเนาทะเบียนสมาชิกนั้นแก่นายทะเบียน โดยอ้างอิงจาก พ.ร.บ.สมาคมการค้า (ฉบับที่ 2) พ.ศ. 2550 มาตรา 26 ที่ระบุว่า

ให้สมาคมการค้าจัดทำทะเบียนสมาชิกเก็บรักษาไว้ที่สำนักงานของสมาคมการค้า และให้ส่งสำเนาทะเบียนสมาชิกนั้นแก่นายทะเบียนภายในกำหนดเก้าสิบวันนับแต่วันที่ได้รับใบอนุญาต และจดทะเบียนเป็นสมาคมการค้า ทะเบียนสมาชิกนั้นอย่างน้อยให้มีรายการดังต่อไปนี้

1.ชื่อและสัญชาติของสมาชิก
2.ชื่อที่ใช้ในการประกอบวิสาหกิจและประเภทของวิสาหกิจ
3.ที่ตั้งสำนักงานของสมาชิก
4.วันที่เข้าเป็นสมาชิก

ทว่า เนื้อหาสาระในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ระบุไว้ในมาตรา 19 ว่า..

ผู้ควบคุมข้อมูลส่วนบุคคล จะกระทำการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอม เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้ หรือกฎหมายอื่นบัญญัติให้กระทำได้

ดังนั้น ขั้นตอนในการจัดทำ ‘ทะเบียนสมาชิก’ จะเห็นว่าเป็นทั้งข้อมูลส่วนบุคคลทั่วไปที่สามารถระบุตัวบุคคลได้ทั้งทางตรง และทางอ้อม รวมถึงมีการเก็บข้อมูลประเภทอ่อนไหว คือ สัญชาติ เชื้อชาติ ศาสนา แต่เป็นการเก็บ รวบรวม ใช้ และเปิดเผยต่อนายทะเบียนหรือเจ้าหน้าที่รัฐซึ่งมีกฎหมายคุ้มครอง ส่วนนี้จึงถือว่า สมาชิกของสมาคมการค้าจะต้องปฏิบัติตามเงื่อนไขดังกล่าวโดยชอบตามกฎหมาย

ยกเว้น หากสมาคมการค้าจะนำข้อมูลสมาชิกมาใช้ในวัตถุประสงค์อื่นๆ ที่นอกเหนือจากการดำเนินการโดยชอบตามกฎหมาย หรือเพื่อสาธารณะประโยชน์ อาทิ กิจกรรมเพื่อส่งเสริมการค้าภายในสมาคมฯ หรือ อีเวนท์ที่มุ่งเน้นประโยชน์เฉพาะกลุ่มก็ยังมีความจำเป็นต้องขอความยินยอม (Consent ) จากเจ้าของข้อมูลส่วนบุคคล และต้องทำโดยชัดแจ้ง เช่น เป็นหนังสือสัญญาให้เซ็นต์ หรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่ โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้

รวมทั้งต้องมีการแจ้งถึงวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเอาไว้อย่างละเอียด และควรจะแยกส่วนจากข้อความอื่นอย่างชัดเจน เป็นรูปแบบข้อความที่สามารถเข้าถึงและเข้าใจได้ง่าย ไม่ก่อให้เกิดการเข้าใจผิดหรือหลอกลวง
ข้อสำคัญคือ ไม่มีเงื่อนไขในการให้ความยินยอม เพราะกฎหมายกำหนดให้ผู้ควบคุมข้อมูลจะต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลด้วย

กิจกรรมแบบไหน ? ต้องขอความยินยอมตามกฎหมาย PDPA

สำหรับกิจกรรมของสมาคมการค้ายังมีอีกหลายๆ ด้านที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลตามบทบัญญัติในกฎหมาย PDPA เนื่องจากสมาคมการค้าย่อมมีการจัดเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลทั้งสมาชิกและบุคคลภายนอกเพื่อประโยชน์ในด้านต่าง ๆ อาทิ

• จัดสัมมนา, Workshop
• ประชุม จัดเลี้ยง
• ทำวิจัยหรือแบบสำรวจที่เกี่ยวกับการค้า
• ทำสถิติ เอกสาร หรือข้อมูลด้านความคิดเห็นจากสมาชิกเพื่อประโยชน์ทางการค้า
• เปิดเผย หรือส่งต่อข้อมูลสมาชิกไปต่างประเทศ
• เผยแพร่ข้อมูลส่วนบุคคลสมาชิกทั้งในสื่อออนไลน์และออฟไลน์
• การจัดเก็บข้อมูลลูกจ้าง และ Outsource
• อื่น ๆ

ข้อสังเกต จากกิจกรรมในข้างข้างต้น สมาคมการค้า อาจระบุว่าเป็นการดำเนินการโดยชอบด้วยกฎหมาย หรือกิจกรรมเพื่อประโยชน์ต่อสาธารณะที่อาจมีการเก็บ ใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้แม้ได้ได้ขอความยินยอม แต่ก็ยังอยู่บนเงื่อนไขที่ว่าจะต้องจัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเหมาะสม

คำถาม คือ หากมีการจัดการที่บกพร่องจนนำไปสู่การรั่วไหลของข้อมูล หรือเกิดการละเมิดจะกลายเป็นว่าได้กระทำผิดกฎหมาย PDPA ไปโดยปริยายใช่หรือไม่ ?

ดังนั้น กฎหมาย PDPA ไม่เพียงดูที่ความยินยอมจากเจ้าของข้อมูล ยังดูเจตนา และความปลอดภัยของข้อมูลส่วนบุคคลด้วย เรื่องเหล่านี้จึงเป็นข้อควรระวังสำหรับองค์กรธุรกิจและองค์กรอิสระต่างๆ ด้วย

ถึงตรงนี้ บางท่านอาจสงสัยว่า ‘สมาคมการค้าที่เป็นต่างชาติ’ หากมีสถานะเป็นผู้ควบคุมข้อมูลจะต้องมีการขอความยินยอมตามกฎหมาย PDPA หรือไม่ คำตอบคือ ‘ใช่’ เพราะไม่ว่าจะเป็นสมาคมการค้าสัญชาติไทย หรือต่างชาติ หากมีการเก็บ รวบรวม ใช้ หรือเปิดเผย หรือเปิดเผยตามคำสั่งโดยมีการดำเนินกิจกรรมในประเทศที่ไม่ใช่โดยชอบด้วยกฎหมาย หรือเพื่อประโยชน์สาธารณะ แม้อยู่นอกประเทศไทยก็ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

แนวทางปฏิบัติให้สอดคล้องกับ PDPA

ด้วยเหตุนี้ แง่มุมของ ‘สมาคมการค้า’ จึงมีอีกหลากหลายประเด็นที่จะต้องทำความเข้าใจเรื่องกฎหมาย PDPA ให้ลึกซึ้ง และมีหลากหลายประเด็นให้ตีความว่าเข้าข่ายกระทำผิดตามกฎหมาย PDPA หรือไม่ ดังนั้น คำแนะนำคือ สมาคมการค้าจะต้องมีการกำหนดแนวทางปฏิบัติอย่างเหมาะสมเพื่อรับมือ เช่น

• หากเป็นสมาคมการค้าที่มีสมาชิกอยู่เป็นจำนวนมาก ซึ่งแน่นอนว่าย่อมต้องมีข้อมูลจำนวนมากด้วย ก็ควรศึกษาบริบทในการใช้ข้อมูลของสมาคมฯ (Context of Use) และกำหนดวัตถุประสงค์การเก็บ รวบรวม ใช้และเปิดเผยอย่างเหมาะสม

• มีการประเมินความเสี่ยงด้าน PDPA หรือที่เรียกว่าการทำ PDIA (Personal Data Impact Assessment) หรือ การประเมินผลกระทบกับข้อมูลส่วนบุคคล

• การจัดทำนโยบายข้อมูลส่วนบุคคล (Privacy Policy) รวมทั้งประกาศความเป็นส่วนตัว (Privacy notice)

• จัดทำนโยบายด้านการเก็บ รวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลภายนอก หรือ ข้อตกลงการเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วม (Joint Controller Agreement)

• การว่าจ้างหรือเพิ่มตำแหน่งงานในด้านเจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคล

• แต่หากเป็นองค์กรใหญ่ที่มีความซับซ้อนและข้อมูลเยอะมากก็อาจจะต้องมีการจ้าง DPO (Data Protection Officer) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นตำแหน่งที่กฎหมายคุ้มครองซึ่งจะเป็นแนวทางที่เหมาะสมมากที่สุดสำหรับสมาคมการค้าที่มีสมาชิกและมีข้อมูลส่วนบุคคลเป็นจำนวนมาก

ถึงกระนั้น สิ่งที่เราได้แนะนำและให้ข้อมูลมาในที่นี้ ยังเป็นเพียงหลักการและทฤษฎีในขั้นต้นเพื่อเป็นแนวทางให้สามารถพิจารณาถึงความเหมาะสม และตามความจำเป็น สำหรับองค์กรธุรกิจต่างๆ สามารถเรียนรู้ เข้าใจ และอย่างที่เคยบอกว่า กฎหมาย PDPA ยังมีอีกหลายๆ แง่มุมให้ ‘ตีความ’

ด้วยเหตุนี้ ผู้ประกอบการ วิสาหกิจ สมาคมการค้าต่าง ๆ จึงต้องนำไปปรับใช้อย่างเหมาะสม