ข่าวสารและบทความล่าสุด

แม้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) จะถูกนำมาใช้บังคับในประเทศไทยอย่างเต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน พ.ศ. 2565 เป็นต้นมา โดยมีวัตถุประสงค์ในการปกป้องและคุ้มครองสิทธิเสรีภาพของบุคคลในการรักษาความเป็นส่วนตัวในข้อมูลส่วนบุคคลของตนเอง ด้วยการกำหนดหน้าที่ให้บุคคลที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ล้วนแต่จะต้องปฏิบัติตามบทบัญญัติของกฎหมาย เพื่อให้การดำเนินกิจกรรมต่าง ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลเป็นไปอย่างมีมาตรฐาน

อย่างไรก็ตาม แม้ในช่วงปีที่ผ่านมา จะมีหน่วยงานทั้งภาครัฐและภาคเอกชนหลายแห่งถูกหน่วยงานกำกับดูแลสั่งปรับกรณีไม่ปฏิบัติให้เป็นไปตาม PDPA หลายองค์กรในประเทศไทยซึ่งมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลก็ยังคงมีความเข้าใจผิดบางประการเกี่ยวกับข้อกำหนดของ PDPA ซึ่งอาจก่อให้เกิดความเสี่ยงแก่องค์กรในการละเมิดต่อกฎหมาย และส่งผลกระทบในเชิงธุรกิจ ดังนั้นในวันนี้เราจะมาวิเคราะห์ 3 ความเข้าใจผิดที่พบบ่อย ๆ เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล

1. ต้องขอความยินยอม (Consent) เสมอ?

หนึ่งในความเข้าใจผิดที่พบได้บ่อยที่สุดคือการที่องค์กรเข้าใจว่า ต้องมีการขอความยินยอม (Consent) ก่อนการเก็บรวบรวมข้อมูลทุกครั้ง หากไม่ได้รับความยินยอมจากเจ้าของข้อมูลจะไม่สามารถเก็บรวบรวมหรือนำข้อมูลไปใช้ได้เลย

แต่ความจริงแล้วฐานความยินยอม (Consent) เป็นเพียง 1 ใน 7 ฐานทางกฎหมาย (Lawful Basis) ที่ PDPA รับรองให้นำมาใช้เป็นเหตุผลอ้างในการประมวลผลข้อมูลส่วนบุคคลได้ และยิ่งไปกว่านั้น ฐานความยินยอมควรนำมาพิจารณาใช้เป็นฐานสุดท้ายในการประมวลผลข้อมูล เนื่องจากหากเจ้าของข้อมูลไม่ให้ความยินยอมหรือถอนความยินยอม ผู้ควบคุมข้อมูลก็จะไม่สามารถประมวลผลข้อมูลนั้นได้อีกต่อไป โดยฐานทางกฎหมายอื่น ๆ ที่ต้องพิจารณาก่อนฐานความยินยอม ได้แก่

• ฐานสัญญา (Contract)
• ฐานหน้าที่ตามกฎหมาย (Legal Obligation)
• ฐานภารกิจของรัฐ (Public Interest)
• ฐานประโยชน์โดยชอบธรรม (Legitimate Interest)
• ฐานประโยชน์สำคัญต่อชีวิต (Vital Interests) และ
• ฐานจดหมายเหตุ วิจัย และสถิติ (Scientific or Research)
  

ซึ่งฐานทางกฎหมายข้างต้นล้วนแต่เป็นฐานที่มีความสำคัญไม่ต่างกัน การนำแต่ละฐานมาปรับใช้ จะขึ้นอยู่กับหลักเกณฑ์และข้อกำหนดที่แตกต่างกันออกไป ดังนั้น หากมีการนำฐานความยินยอมมาใช้อย่างไม่ถูกต้องตามเงื่อนไขอาจทำให้เกิดภาระในการที่ต้องบริหารจัดการความยินยอมที่เกินความจำเป็น หรือทำให้เกิดความความเข้าใจผิดเมื่อมีการนำข้อมูลนั้นไปใช้ต่อในอนาคตได้

2. ผู้รับจ้าง/ผู้ให้บริการแพลตฟอร์ม ต้องรับผิดชอบแทนทุกกรณี?

อีกหนึ่งความเข้าใจผิดที่พบบ่อยคือการที่องค์กรเข้าใจว่าเมื่อใช้บริการจากผู้รับจ้างหรือผู้ให้บริการแพลตฟอร์มต่าง ๆ ซึ่งเป็นหน่วยงานภายนอกองค์กรแล้ว จะสามารถมอบความรับผิดชอบทั้งหมดให้กับผู้ให้บริการเหล่านั้นได้ ซึ่งในความเป็นจริงแล้ว ความรับผิดชอบยังคงอยู่ที่องค์กรในฐานะที่เป็นเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เนื่องจากเป็นผู้มีอำนาจในการตัดสินใจเกี่ยวกับการประมวลผลข้อมูลนั้น ๆ

ดังนั้น เพื่อจำกัดความรับผิดที่อาจจะเกิดขึ้นจากการละเมิดข้อมูลส่วนบุคคล ไม่ว่าจะโดยตั้งใจหรือไม่ องค์กรจึงมีหน้าที่ต้องตรวจสอบให้แน่ใจว่าผู้ให้บริการหรือผู้รับจ้างซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ที่องค์กรเลือกใช้มีมาตรการในการรักษาความปลอดภัยข้อมูลที่เพียงพอ และสามารถปฏิบัติตามข้อกำหนดในกฎหมายได้อย่างครบถ้วน

นอกจากนี้ การทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement: DPA) กับผู้ให้บริการภายนอก เพื่อกำหนดรายละเอียดเกี่ยวกับการประมวลผล ก็จะเป็นการช่วยจำกัดขอบเขตความรับผิดชอบให้กับคู่สัญญาทั้งสองฝ่ายให้ชัดเจนยิ่งขึ้น ซึ่งการจัดทำ DPA นี้เป็นหนึ่งในหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลนั่นเอง

3. การปกปิดข้อมูล/ลบชื่อเจ้าของข้อมูล ทำให้ข้อมูลนั้นไม่ใช่ข้อมูลส่วนบุคคล?

องค์กรบางแห่งอาจมองว่า หากปกปิดหรือลบข้อมูลส่วนบุคคลบางส่วนออกจากชุดข้อมูล ก็จะไม่ถือว่าเป็นข้อมูลส่วนบุคคลแล้ว แต่ความจริงแล้วข้อมูลที่สามารถเชื่อมโยงกลับไปถึงตัวบุคคลได้ แม้จะไม่มีชื่อปรากฏอยู่ก็ยังถือเป็นข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เนื่องจากอาจเป็นข้อมูลที่สามารถระบุตัวบุคคลได้ผ่านการใช้ข้อมูลที่เหลือมาประกอบกัน (การระบุทางอ้อม) เช่น เพศ อายุ สถานที่ทำงาน เป็นต้น

ดังนั้น เพื่อป้องกันไม่ให้ข้อมูลดังกล่าวย้อนกลับมาระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้ (re-identification) องค์กรซึ่งเป็นผู้ควบคุมข้อมูลจึงจำเป็นต้องมีกระบวนการดำเนินงานในการทำให้ข้อมูลนั้นไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้อีกต่อไป ไม่ว่าโดยทางตรงหรือทางอ้อม และต้องไม่สามารถย้อนกลับ (Irreversible) ได้

การทำความเข้าใจในข้อกำหนดต่าง ๆ และการปฏิบัติตาม PDPA อย่างถูกต้องเป็นสิ่งที่องค์กรทุกแห่งควรเริ่มหันมาให้ความสำคัญมากยิ่งขึ้น เพราะไม่เพียงแต่จะช่วยป้องกันผลกระทบทางกฎหมายจากการถูกฟ้องร้องและการถูกปรับจากหน่วยงานกำกับดูแล แต่ยังช่วยสร้างภาพลักษณ์ที่ดีขององค์กรต่อสาธารณะ และส่งเสริมความเชื่อมั่นให้กับลูกค้าและผู้ใช้บริการ ว่าข้อมูลส่วนบุคคลในอยู่ในความดูแลขององค์กรจะถูกนำไปใช้อย่างเหมาะสมและปลอดภัยภายใต้การคุ้มครองที่มีมาตรฐาน

แหล่งอ้างอิง

• ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์ในการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ พ.ศ. 2567, https://www.pdpc.or.th/7020/
• แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล, https://www.law.chula.ac.th/wp-content/uploads/2021/04/TDPG3.0-Extension-20210413-1.pdf
• Introduction to anonymisation, https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/data-sharing/anonymisation/introduction-to-anonymisation/