สรุปสาระสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคล และประเด็นที่เกี่ยวข้องกับการคุ้มครองข้อมูล ส่วนบุคคลในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ

ตามที่กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ได้เสนอร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... ต่อคณะรัฐมนตรี โดยที่ร่างพระราชบัญญัติดังกล่าว มีหลักการเพื่อให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เนื่องจากความก้าวหน้าของเทคโนโลยีสารสนเทศ รวมทั้งระบบสื่อสาร ทำให้การเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลสามารถทำได้โดยง่าย สะดวก และรวดเร็ว อันอาจนำมาซึ่งความเดือดร้อน รำคาญ หรือความเสียหายในกรณีที่มีการนำไปแสวงหาประโยชน์หรือเปิดเผยโดยไม่ได้รับความยินยอมหรือแจ้งล่วงหน้า ที่แม้ว่าจะได้มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลในบางเรื่อง แต่ก็ยังไม่มีหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป ต่อมาคณะรัฐมนตรีได้มีมติอนุมัติหลักการร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... เมื่อวันที่ 6 มกราคม 2558 และส่งให้สำนักงานคณะกรรมการกฤษฎีกาตรวจพิจารณา โดยให้รับข้อสังเกตของส่วนราชการที่เกี่ยวข้องไปประกอบการพิจารณาด้วย แล้วส่งให้คณะกรรมการประสานงานสภานิติบัญญัติแห่งชาติพิจารณา ก่อนเสนอสภานิติบัญญัติแห่งชาติต่อไป ซึ่งบัดนี้ คณะกรรมการกฤษฎีกา (คณะที่ 11) ได้พิจารณาตรวจร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... เสร็จเรียบร้อยแล้ว

สรุปสาระสำคัญของร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... ที่ผ่านการตรวจพิจารณาของคณะกรรมการกฤษฎีกา (คณะที่ 11) และประเด็นที่มีความเกี่ยวข้องกับประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล ของหน่วยงานของรัฐ พ.ศ. 2553 ซึ่งสามารถสรุปสาระสำคัญได้ ดังนี้

โครงสร้างของร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ..... ประกอบด้วย

บททั่วไป (มาตรา 1 - มาตรา 6)
หมวด 1 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 7 – มาตรา 16)
หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล

• ส่วนที่ 1 บททั่วไป (มาตรา 17 – มาตรา 18)
• ส่วนที่ 2 การเก็บรวบรวมข้อมูลส่วนบุคคล (มาตรา 19 – มาตรา 23)
• ส่วนที่ 3 การใช้หรือเปิดเผยข้อมูลส่วนบุคคล (มาตรา 24 – มาตรา 25)

หมวด 3 สิทธิของเจ้าของข้อมูลส่วนบุคคล (มาตรา 26 – มาตรา 30)
หมวด 4 ข้อปฏิบัติในการคุ้มครองข้อมูล (มาตรา 31 – มาตรา 34)
หมวด 5 การร้องเรียน (มาตรา 35 – มาตรา 41)
หมวด 6 ความรับผิดทางแพ่ง (มาตรา 42)
หมวด 7 บทกำหนดโทษ (มาตรา 43 – มาตรา 49)
บทเฉพาะกาล (มาตรา 50 – มาตรา 53)
1. การคุ้มครองข้อมูลส่วนบุคคลในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐตามพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 สรุปสาระสำคัญ ดังนี้

• ตามความในหมวด 4 ธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ มาตรา 35 แห่งพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 ได้กำหนดให้การทำ “คำขอ การอนุญาต การจดทะเบียน คำสั่งทางปกครอง การชำระเงิน การประกาศ หรือการดำเนินการใดๆ ตามกฎหมายกับหน่วยงานของรัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทำในรูปของข้อมูลอิเล็กทรอนิกส์ตามหลักเกณฑ์และวิธีการที่กำหนดโดยพระราชกฤษฎีกา ให้นำพระราชบัญญัตินี้มาใช้บังคับและให้ถือว่ามีผลโดยชอบด้วยกฎหมายเช่นเดียวกับการดำเนินการตามหลักเกณฑ์และวิธีการที่กฎหมายในเรื่องนั้นกำหนด…” ทั้งนี้ เพื่อให้มีการคุ้มครองข้อมูลส่วนบุคคลของผู้ที่ติดต่อหรือทำธุรกรรมทางอิเล็กทรอนิกส์ของหน่วยงานภาครัฐ โดยในมาตรา 6 แห่งพระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 (ซึ่งออกโดยอาศัยอำนาจตามมาตรา 35) กำหนดว่า “ในกรณีที่มีการรวบรวม จัดเก็บ ใช้ หรือเผยแพร่ข้อมูล หรือข้อเท็จจริงที่ทำให้สามารถระบุตัวบุคคลไม่ว่าโดยตรงหรือโดยอ้อมให้หน่วยงานของรัฐจัดทำแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลด้วย”
• คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ได้กำหนดหลักเกณฑ์และวิธีการในการคุ้มครองข้อมูลส่วนบุคคล ที่สอดคล้องตามความในมาตรา 6 แห่งพระราชกฤษฎีกาฯ โดยจัดทำเป็นประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่องแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. 2553 ซึ่งมีสาระสำคัญ ที่หน่วยงานของรัฐจะต้องจัดทำเนื้อหาและรายละเอียดให้ครอบคลุมดังนี้

                นโยบายในการคุ้มครองข้อมูลส่วนบุคคล จำนวน 8 ข้อ
                (1) การเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัด
                (2) คุณภาพของข้อมูลส่วนบุคคล
                (3) การระบุวัตถุประสงค์ในการเก็บรวบรวม
                (4) ข้อจำกัดในการนำข้อมูลส่วนบุคคลไปใช้
                (5) การรักษาความมั่นคงปลอดภัย
                (6) การเปิดเผยเกี่ยวกับการดำเนินการแนวปฏิบัติและแนวนโยบายเกี่ยวกับข้อมูลส่วนบุคคล
                (7) การมีส่วนร่วมของเจ้าของข้อมูล
                (8) ความรับผิดชอบของบุคคลซึ่งทำหน้าที่ควบคุมข้อมูล
               
                ข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล จำนวน 9 ข้อ
                (1) ข้อมูลเบื้องต้น
                (2) การเก็บรวบรวมข้อมูลส่วนบุคคล
                (3) การแสดงระบุความเชื่อมโยงให้ข้อมูลส่วนบุคคลกับหน่วยงานหรือองค์กรอื่น
                (4) การรวบรวมข้อมูลจากที่มาหลายๆ แห่ง
                (5) การให้บุคคลอื่นใช้หรือการเปิดเผยข้อมูลส่วนบุคคล
                (6) การรวบรวม จัดเก็บ ใช้ และการเปิดเผยข้อมูลเกี่ยวกับผู้ใช้บริการ
                (7) การเข้าถึง การแก้ไขให้ถูกต้อง และการปรับปรุงให้เป็นปัจจุบัน
                (8) การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
                (9) การติดต่อกับเว็บไซต์

2. การคุ้มครองข้อมูลส่วนบุคคล ตามร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... สรุปสาระสำคัญ ดังนี้

• เป็นกฎหมายกลางในการคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไป (มีขอบเขตการใช้บังคับกับหน่วยงานของรัฐด้วย)
• หากมีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ในลักษณะใด กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้วให้เป็นไปตามกฎหมายนั้น (มาตรา 3) เว้นแต่

                บทบัญญัติเกี่ยวกับการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล และบทกำหนดโทษที่เกี่ยวข้อง จะต้องนำบทบัญญัติแห่งพระราชบัญญัตินี้ไปใช้บังคับเป็นการเพิ่มเติม ไม่ว่า จะซ้ำกับกฎหมายนั้นหรือไม่ก็ตาม
                บทบัญญัติในเรื่องการร้องเรียน บทบัญญัติที่ให้อำนาจแก่คณะกรรมการผู้เชี่ยวชาญออกคำสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล และบทบัญญัติเกี่ยวกับอำนาจหน้าที่ของพนักงานเจ้าหน้าที่ รวมทั้งบทกำหนดโทษที่เกี่ยวข้อง ให้บังคับตามพระราชบัญญัตินี้ เฉพาะในกรณีที่กฎหมายว่าด้วยการนั้นไม่มีบทบัญญัติเกี่ยวกับการร้องเรียน

• สำหรับข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล มาตรา 31 ได้กำหนดให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้ทำประกาศกำหนดข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลเพื่อเป็นแนวทางให้ผู้ควบคุมข้อมูลส่วนบุคคลปฏิบัติ
• มาตรา 42 กรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการใดๆ อันทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนเพื่อการนั้น เว้นแต่จะพิสูจน์ได้ว่า (1) ความเสียหายนั้นเกิดจากเหตุสุดวิสัย (2) เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติตามอำนาจหน้าที่ตามกฎหมาย และ (3) เป็นการปฏิบัติครบถ้วนตามข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดตามมาตรา 31

จากข้างต้นการคุ้มครองข้อมูลส่วนบุคคลที่มีความเกี่ยวข้องและใกล้เคียงกันระหว่างประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. 2553 และร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... เช่น

1. นิยามคำว่า ข้อมูลส่วนบุคคล มีหลักการสำคัญเหมือนกัน คือ สิ่งที่ระบุหรืออาจระบุ ตัวบุคคล (Identified and Identifiable)
2. หลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคลสอดคล้องกับหลักการคุ้มครองข้อมูล ส่วนบุคคลตามแนวทางขององค์การเพื่อความร่วมมือทางเศรษฐกิจและการพัฒนา Organization for Economic Cooperation and Development (OECD) คือ ให้ความสำคัญกับ “หลักการยินยอม” และ “หลักการปกปิด” เป็นหลักการทั่วไป ทั้งนี้ “การเปิดเผย” เป็นข้อยกเว้น
3. เนื้อหาการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล ในร่างพระราชบัญญัติฯ อาจมีความเข้มข้นในบางประเด็นมากกว่าในประกาศคณะกรรมการฯ ทั้งนี้ อย่างไรก็ตามอาจจะต้องรอคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลพิจารณากำหนดและประกาศข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลเพื่อเป็นแนวทางปฏิบัติให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล ต่อไป

ผู้เขียน: กลุ่มงานกำกับดูแลฯ