Line

หลักการ แนวคิด และปัญหาการบังคับใช้ในเชิงกฎหมายและการปฏิบัติ

การพัฒนาอย่างรวดเร็วของเทคโนโลยีสารสนเทศและเศรษฐกิจดิจิทัลได้ส่งผลให้ “ข้อมูลส่วนบุคคล” กลายเป็นทรัพยากรสำคัญทางเศรษฐกิจและสังคม ขณะเดียวกัน ความเสี่ยงจากการละเมิดสิทธิในข้อมูลส่วนบุคคลก็เพิ่มสูงขึ้นอย่างมีนัยสำคัญ ประเทศไทยจึงได้ตรา พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act B.E. 2562 – “PDPA”) ขึ้น เพื่อกำหนดกรอบกฎหมายในการคุ้มครองข้อมูลส่วนบุคคลอย่างเป็นระบบ และยกระดับมาตรฐานการคุ้มครองข้อมูลให้ทัดเทียมกับนานาประเทศ

PDPA ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และเริ่มใช้บังคับตั้งแต่วันที่ 28 พฤษภาคม 2563 เป็นต้นมา โดยมีการกำหนดโครงสร้างสถาบัน กลไกการกำกับดูแล สิทธิของเจ้าของข้อมูล และบทลงโทษไว้อย่างครบถ้วน

1.คำนิยาม (Definition)

ข้อมูลส่วนบุคคล (Personal Data)

คือข้อมูลใดๆ เกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์  แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม (แนวคิดพื้นฐานของ PDPA คือการคุ้มครอง สิทธิและเสรีภาพของบุคคลซึ่งตามหลักกฎหมาย สิทธิเหล่านี้ สิ้นสุดลงเมื่อบุคคลถึงแก่ความตาย ดังนั้นข้อมูลของคนตายจึงไม่ใช่ข้อมูลที่ได้รับความคุ้มครองตาม PDPA)

ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data)

คือ ข้อมูลส่วนบุคคลประเภทพิเศษ ที่กฎหมายเห็นว่า หากถูกเก็บ ใช้ หรือเปิดเผยโดยมิชอบ อาจกระทบต่อศักดิ์ศรี สิทธิ เสรีภาพ ความปลอดภัย หรือก่อให้เกิดการเลือกปฏิบัติอย่างร้ายแรงต่อเจ้าของข้อมูล จึงได้รับการคุ้มครองในระดับที่เข้มงวดกว่าข้อมูลส่วนบุคคลทั่วไป ได้แก่

  • เชื้อชาติ เผ่าพันธุ์
  • ความคิดเห็นทางการเมือง
  • ความเชื่อในลัทธิ ศาสนา หรือปรัชญา
  • พฤติกรรม/รสนิยมทางเพศ
  • ประวัติอาชญากรรม
  • ข้อมูลสุขภาพ รวมถึงข้อมูลความพิการ
  • ข้อมูลสหภาพแรงงาน
  • ข้อมูลพันธุกรรม (Genetic Data)
  • ข้อมูลชีวภาพ (Biometric Data) เช่น ลายนิ้วมือ ใบหน้า ม่านตา เสียง

โดยเหตุผลที่ข้อมูลประเภทนี้ได้รับการคุ้มครองเป็นพิเศษในเชิงทฤษฎีกฎหมาย ข้อมูลประเภทนี้มีความอ่อนไหวเพราะอาจถูกใช้เพื่อ เลือกปฏิบัติ (discrimination) กระทบ ศักดิ์ศรีความเป็นมนุษย์ ทำให้บุคคลเสียโอกาสทางสังคม เศรษฐกิจ หรือการทำงาน เป็นข้อมูลที่อาจคาดหมายได้ว่าเจ้าของข้อมูลไม่ต้องการให้มีการเปิดเผยดังนั้น กฎหมายจึงไม่อนุญาตให้ใช้หลัก “ยินยอมโดยทั่วไป” เหมือนข้อมูลส่วนบุคคลธรรมดา การเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหว จะทำได้ต่อเมื่อเข้าเงื่อนไขตามที่กฎหมายกำหนดเท่านั้น หรืออีกนัยหนึ่งคือถือเป็นข้อมูลลับที่จะต้องมีฐานทางกฎหมายมารองรับจึงจะสามารถรวบรวมข้อมูลได้

2.แนวคิดและวัตถุประสงค์ของ PDPA

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ถูกออกแบบขึ้นบนพื้นฐานของแนวคิดสำคัญสามประการ อันสะท้อนถึงการเปลี่ยนแปลงเชิงโครงสร้างของระบบกฎหมายไทยในการรับมือกับความท้าทายของสังคมดิจิทัล กล่าวคือ (1) การคุ้มครองสิทธิและเสรีภาพของบุคคล (2) การกำหนดความรับผิดชอบของผู้ใช้ข้อมูล และ (3) การสร้างสมดุลระหว่างการคุ้มครองข้อมูลกับการใช้ข้อมูลเพื่อกิจกรรมทางเศรษฐกิจและสาธารณะ

ประการแรก การคุ้มครองสิทธิและเสรีภาพของบุคคล ถือเป็นแก่นสำคัญของ PDPA โดยกฎหมายฉบับนี้ตั้งอยู่บนแนวคิดที่ว่า ข้อมูลส่วนบุคคลมิใช่เพียงข้อมูลทางเทคนิค หากแต่เป็นข้อมูลที่เชื่อมโยงโดยตรงกับอัตลักษณ์ ศักดิ์ศรี และความเป็นส่วนตัวของมนุษย์ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลโดยปราศจากการกำกับดูแลที่เหมาะสม อาจนำไปสู่การละเมิดสิทธิขั้นพื้นฐาน เช่น สิทธิในความเป็นส่วนตัว สิทธิในชื่อเสียง หรือเสรีภาพในการดำรงชีวิต กฎหมายจึงมุ่งรับรองให้เจ้าของข้อมูลมีอำนาจควบคุมข้อมูลของตนเอง ผ่านการรับรองสิทธิในการรับทราบ เข้าถึง คัดค้าน แก้ไข ลบ หรือระงับการใช้ข้อมูล ทั้งนี้ เพื่อยืนยันหลักการว่าบุคคลควรเป็น “ศูนย์กลางของการคุ้มครองข้อมูล” (data subject–centric approach)

ประการที่สอง การกำหนดความรับผิดชอบของผู้ใช้ข้อมูล (Accountability) เป็นแนวคิดที่สะท้อนการเปลี่ยนภาระจากการพึ่งพาเพียงความยินยอมของเจ้าของข้อมูล ไปสู่การกำหนดหน้าที่เชิงรุกแก่ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล กล่าวคือ ผู้ใช้ข้อมูลต้องสามารถแสดงให้เห็นได้ว่าการประมวลผลข้อมูลเป็นไปโดยชอบด้วยกฎหมาย มีเหตุจำเป็น และมีมาตรการคุ้มครองที่เหมาะสม PDPA จึงกำหนดหน้าที่ต่าง ๆ เช่น การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล การบันทึกกิจกรรมการประมวลผลข้อมูล การแจ้งเหตุละเมิดข้อมูล และการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) แนวคิดนี้มีนัยสำคัญในเชิงวิชาการ เนื่องจากเป็นการเปลี่ยนบทบาทของผู้ใช้ข้อมูลจาก “ผู้รับความยินยอม” ไปเป็น “ผู้รับผิดชอบต่อผลของการใช้ข้อมูล”

ประการที่สาม การสร้างสมดุลระหว่างการคุ้มครองข้อมูลกับการใช้ข้อมูลเพื่อกิจกรรมทางเศรษฐกิจและสาธารณะ เป็นวัตถุประสงค์ที่สะท้อนความพยายามของกฎหมายในการหลีกเลี่ยงการคุ้มครองข้อมูลแบบสุดโต่ง PDPA มิได้มีเจตนาจะจำกัดการไหลเวียนของข้อมูลหรือขัดขวางการพัฒนาทางเศรษฐกิจ หากแต่ยอมรับว่าการใช้ข้อมูลมีความจำเป็นต่อการดำเนินธุรกิจ การบริหารภาครัฐ และการให้บริการสาธารณะ กฎหมายจึงเปิดให้มีการประมวลผลข้อมูลบนฐานกฎหมายอื่นนอกเหนือจากความยินยอม เช่น การปฏิบัติตามสัญญา การปฏิบัติตามกฎหมาย หรือประโยชน์โดยชอบด้วยกฎหมาย ทั้งนี้ ภายใต้เงื่อนไขว่าการใช้ข้อมูลดังกล่าวต้องไม่กระทบสิทธิและเสรีภาพของเจ้าของข้อมูลเกินสมควรแก่เหตุ

3.โครงสร้างความสัมพันธ์ของบุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

โครงสร้างของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 วางอยู่บนความสัมพันธ์ระหว่างบุคคลสามกลุ่มหลัก ได้แก่ เจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งแต่ละกลุ่มมีสถานะ หน้าที่ และความรับผิดแตกต่างกันอย่างมีนัยสำคัญ การทำความเข้าใจบทบาทของบุคคลทั้งสามกลุ่มนี้จึงเป็นพื้นฐานสำคัญของการบังคับใช้ PDPA อย่างถูกต้อง

3.1 เจ้าของข้อมูลส่วนบุคคล (Data Subject)

เจ้าของข้อมูลส่วนบุคคล หมายถึง บุคคลธรรมดาที่ข้อมูลสามารถระบุตัวตนของบุคคลนั้นได้ ไม่ว่าการระบุตัวตนดังกล่าวจะเป็นไปโดยตรงหรือโดยอ้อม ข้อมูลที่เข้าข่ายอาจรวมถึงข้อมูลพื้นฐาน เช่น ชื่อ ที่อยู่ หมายเลขโทรศัพท์ อีเมล ตลอดจนข้อมูลเชิงพฤติกรรม ข้อมูลทางเทคนิค หรือข้อมูลอื่นใดที่เมื่อพิจารณาร่วมกันแล้วสามารถเชื่อมโยงกลับไปยังบุคคลหนึ่งบุคคลใดได้

ในเชิงหลักการทางกฎหมาย แนวคิดเรื่อง Data Subject สะท้อนหลักการที่ว่า ข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของอัตลักษณ์และศักดิ์ศรีความเป็นมนุษย์ เจ้าของข้อมูลจึงมิใช่เพียง “ผู้ให้ข้อมูล” หากแต่เป็นผู้มีสิทธิในข้อมูลของตนเอง กฎหมายจึงรับรองสิทธิของเจ้าของข้อมูลในลักษณะเชิงรุก เช่น สิทธิในการรับทราบวัตถุประสงค์การใช้ข้อมูล สิทธิในการเข้าถึงและควบคุมข้อมูล รวมถึงสิทธิในการคัดค้านหรือเพิกถอนความยินยอม ทั้งนี้ เพื่อยืนยันหลักการว่า การประมวลผลข้อมูลต้องตั้งอยู่บนฐานของการเคารพสิทธิและเสรีภาพของบุคคลเป็นสำคัญ

3.2 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

ผู้ควบคุมข้อมูลส่วนบุคคล หมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจตัดสินใจเกี่ยวกับวัตถุประสงค์และวิธีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ไม่ว่าการดำเนินการดังกล่าวจะกระทำด้วยตนเองหรือผ่านบุคคลอื่นก็ตาม ตัวอย่างของผู้ควบคุมข้อมูล ได้แก่ บริษัทเอกชน หน่วยงานของรัฐ นายจ้าง สถานพยาบาล สถาบันการเงิน หรือผู้ให้บริการแพลตฟอร์มดิจิทัล

ในเชิงวิชาการ สถานะของ Data Controller มีความสำคัญอย่างยิ่ง เนื่องจากเป็น “ศูนย์กลางของความรับผิด” ภายใต้ PDPA กล่าวคือ ผู้ควบคุมข้อมูลเป็นผู้กำหนดเหตุผล ความจำเป็น และขอบเขตของการใช้ข้อมูล และต้องรับผิดชอบต่อความชอบด้วยกฎหมายของการประมวลผลข้อมูลทั้งหมด กฎหมายจึงกำหนดภาระหน้าที่จำนวนมากไว้กับผู้ควบคุมข้อมูล เช่น การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล การจัดทำบันทึกกิจกรรมการประมวลผล การแจ้งเหตุละเมิดข้อมูล และการอำนวยความสะดวกในการใช้สิทธิของเจ้าของข้อมูล

ประเด็นที่มีความท้าทายในทางปฏิบัติคือ การระบุว่าใครเป็นผู้ควบคุมข้อมูลในกรณีที่มีหลายฝ่ายเกี่ยวข้อง โดยเฉพาะในโครงสร้างธุรกิจสมัยใหม่ เช่น แพลตฟอร์มดิจิทัลหรือกลุ่มบริษัท ซึ่งอาจก่อให้เกิดสถานะ “ผู้ควบคุมข้อมูลร่วม” และนำไปสู่ความรับผิดร่วมกันตามกฎหมาย

3.3 ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

ผู้ประมวลผลข้อมูลส่วนบุคคล หมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล โดยไม่ได้มีอำนาจตัดสินใจเกี่ยวกับวัตถุประสงค์หลักของการใช้ข้อมูล ตัวอย่างเช่น ผู้ให้บริการระบบเทคโนโลยีสารสนเทศ ผู้ให้บริการ Cloud ผู้รับจ้างประมวลผลเงินเดือน หรือผู้ให้บริการ Outsourcing ด้านข้อมูล

แม้ Data Processor จะไม่มีอำนาจกำหนดวัตถุประสงค์ของการใช้ข้อมูล แต่ PDPA มิได้ถือว่าเป็นเพียงผู้ปฏิบัติตามคำสั่งโดยปราศจากความรับผิด กฎหมายกำหนดให้ผู้ประมวลผลข้อมูลต้องปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูลอย่างเคร่งครัด จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล และแจ้งเหตุละเมิดข้อมูลแก่ผู้ควบคุมข้อมูลโดยไม่ชักช้า ทั้งนี้ เพื่อป้องกันมิให้การถ่ายโอนการประมวลผลข้อมูลไปยังบุคคลภายนอกกลายเป็นช่องทางหลีกเลี่ยงความรับผิดตามกฎหมาย

ข้อสังเกตเชิงวิชาการ

ในทางปฏิบัติ เส้นแบ่งระหว่าง Data Controller และ Data Processor มักไม่ชัดเจน โดยเฉพาะในกรณีที่ผู้ให้บริการมีอำนาจกำหนดวัตถุประสงค์หรือรูปแบบการใช้ข้อมูลบางส่วน ซึ่งอาจทำให้ต้องรับผิดในฐานะ Data Controller ร่วมด้วย

4.ขอบเขตการบังคับใช้และลักษณะ Extraterritorial Effect

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) มิได้เป็นกฎหมายที่จำกัดผลการบังคับใช้เฉพาะภายในอาณาเขตของรัฐไทยเท่านั้น หากแต่มีลักษณะเป็นกฎหมายที่มี ผลบังคับข้ามพรมแดน (Extraterritorial Effect) เพื่อให้สอดคล้องกับสภาพความเป็นจริงของเศรษฐกิจดิจิทัลและการไหลเวียนของข้อมูลส่วนบุคคลในระดับสากล

PDPA ใช้บังคับกับบุคคลหรือหน่วยงานดังต่อไปนี้

  1. ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่ในประเทศไทย
    ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น จะกระทำภายในหรือนอกประเทศ หากผู้ควบคุมหรือผู้ประมวลผลตั้งอยู่ในประเทศไทย ย่อมอยู่ภายใต้บังคับของ PDPA อย่างชัดเจน
  2. ผู้ควบคุมหรือผู้ประมวลผลข้อมูลที่อยู่นอกราชอาณาจักร แต่มีลักษณะการดำเนินกิจการที่เชื่อมโยงกับเจ้าของข้อมูลในประเทศไทย โดยเฉพาะในกรณี
    – มีการ เสนอขายสินค้า หรือให้บริการ แก่เจ้าของข้อมูลซึ่งอยู่ในประเทศไทย ไม่ว่าจะมีการเรียกเก็บค่าตอบแทนหรือไม่
    – มีการ เฝ้าติดตามพฤติกรรม (behavioral monitoring) ของเจ้าของข้อมูลที่เกิดขึ้นในประเทศไทย เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ การวิเคราะห์พฤติกรรมผู้บริโภค หรือการทำโปรไฟล์ทางการตลาด

การกำหนดขอบเขตเช่นนี้สะท้อนให้เห็นถึงแนวคิดสำคัญว่า การคุ้มครองข้อมูลส่วนบุคคลไม่อาจจำกัดอยู่เพียงเขตแดนของรัฐ เนื่องจากข้อมูลสามารถถูกจัดเก็บ ประมวลผล และถ่ายโอนข้ามประเทศได้อย่างรวดเร็วโดยอาศัยเทคโนโลยีสารสนเทศ หากกฎหมายยังคงยึดติดกับหลักอาณาเขตแบบดั้งเดิม ย่อมไม่อาจคุ้มครองสิทธิของเจ้าของข้อมูลได้อย่างมีประสิทธิภาพ

ลักษณะ Extraterritorial Effect ของ PDPA ยังสะท้อนถึงการยอมรับหลักการสากลด้านการคุ้มครองข้อมูลส่วนบุคคล ที่มุ่งเน้น การคุ้มครองตัวบุคคล (data subject–centric approach) มากกว่าการพิจารณาจากที่ตั้งของผู้ควบคุมข้อมูลเป็นหลัก กล่าวคือ หากกิจกรรมการประมวลผลข้อมูลมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลในประเทศไทย กฎหมายย่อมเข้ามากำกับดูแลได้ แม้ผู้กระทำจะอยู่นอกประเทศก็ตาม

อย่างไรก็ดี การบังคับใช้กฎหมายในลักษณะข้ามพรมแดนย่อมก่อให้เกิดประเด็นท้าทายทั้งในทางปฏิบัติและทางกฎหมาย เช่น การบังคับคดีต่อผู้ประกอบการต่างประเทศ ความขัดแย้งของกฎหมายระหว่างรัฐ และภาระการปฏิบัติตามกฎหมายสำหรับธุรกิจข้ามชาติ ประเด็นเหล่านี้จึงทำให้ PDPA ไม่ได้เป็นเพียงกฎหมายคุ้มครองข้อมูลส่วนบุคคลภายในประเทศเท่านั้น หากแต่เป็นส่วนหนึ่งของโครงสร้างกฎหมายเศรษฐกิจดิจิทัลและกฎหมายระหว่างประเทศยุคใหม่

ข้อยกเว้นของการบังคับใช้กฎหมาย

แม้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลจะมีขอบเขตการบังคับใช้ที่กว้างและครอบคลุมกิจกรรมการประมวลผลข้อมูลส่วนบุคคลในแทบทุกภาคส่วน แต่กฎหมายก็มิได้มีเจตนารมณ์ให้การคุ้มครองดังกล่าวเป็นไปอย่างตายตัวหรือกระทบต่อเสรีภาพและประโยชน์สาธารณะในด้านอื่นจนเกินสมควร จึงได้กำหนด ข้อยกเว้นของการบังคับใช้กฎหมาย ไว้ในบางกรณี โดยตัวอย่างข้อยกเว้นที่สำคัญ ได้แก่

  1. การใช้ข้อมูลเพื่อกิจกรรมส่วนตัวหรือครอบครัว (Personal or Household Activities)
    การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่กระทำโดยบุคคลธรรมดาเพื่อวัตถุประสงค์ส่วนตัวหรือภายในครอบครัว เช่น การเก็บข้อมูลผู้ติดต่อในโทรศัพท์ หรือการสื่อสารส่วนตัวทั่วไป ไม่อยู่ภายใต้การบังคับของ PDPA ทั้งนี้ เนื่องจากกิจกรรมดังกล่าวมิได้มีลักษณะเชิงพาณิชย์หรือก่อให้เกิดความเสี่ยงเชิงโครงสร้างต่อสิทธิของเจ้าของข้อมูลในวงกว้าง
  2. การดำเนินงานด้านความมั่นคงของรัฐหรือประโยชน์สาธารณะสำคัญ
    การใช้ข้อมูลส่วนบุคคลเพื่อการรักษาความมั่นคงของรัฐ ความปลอดภัยสาธารณะ หรือการป้องกันภัยคุกคามร้ายแรง อาจได้รับการยกเว้นจากการบังคับใช้บางบทบัญญัติของ PDPA เพื่อให้รัฐสามารถปฏิบัติหน้าที่ได้อย่างมีประสิทธิภาพ อย่างไรก็ดี การยกเว้นดังกล่าวมิได้หมายความว่าหน่วยงานของรัฐจะใช้อำนาจได้โดยปราศจากขอบเขต หากแต่ยังต้องอยู่ภายใต้หลักความจำเป็นและความได้สัดส่วน
  3. งานด้านสื่อมวลชน ศิลปกรรม หรือวรรณกรรม
    การประมวลผลข้อมูลส่วนบุคคลเพื่อการนำเสนอข่าวสาร งานสร้างสรรค์ทางศิลปะ หรือวรรณกรรม ได้รับการยกเว้นบางส่วน เพื่อคุ้มครองเสรีภาพในการแสดงความคิดเห็นและเสรีภาพทางวิชาชีพ อันเป็นหลักการพื้นฐานของสังคมประชาธิปไตย อย่างไรก็ตาม การอ้างข้อยกเว้นนี้ต้องพิจารณาถึงดุลยภาพระหว่างเสรีภาพของสื่อกับสิทธิในความเป็นส่วนตัวของเจ้าของข้อมูลเป็นสำคัญ
  4. กระบวนการพิจารณาคดีของศาลและการบังคับใช้กฎหมาย
    การประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการดำเนินกระบวนพิจารณาคดี การพิจารณาพิพากษา หรือการบังคับคดีของศาล ได้รับการยกเว้นจากการบังคับใช้ PDPA เพื่อรักษาความเป็นอิสระของฝ่ายตุลาการและความยุติธรรมในกระบวนการยุติธรรม
  5. การดำเนินธุรกิจข้อมูลเครดิต
    ธุรกิจข้อมูลเครดิตซึ่งอยู่ภายใต้กฎหมายเฉพาะ ได้รับการยกเว้นการบังคับใช้ PDPA ในบางประเด็น เพื่อให้ระบบข้อมูลเครดิตสามารถดำเนินไปได้อย่างต่อเนื่องและสนับสนุนเสถียรภาพของระบบการเงิน ทั้งนี้ มิได้หมายความว่าธุรกิจดังกล่าวจะปราศจากความรับผิด หากแต่ยังต้องปฏิบัติตามมาตรฐานและกลไกคุ้มครองข้อมูลตามกฎหมายเฉพาะที่เกี่ยวข้อง

อย่างไรก็ดี ข้อยกเว้นตาม PDPA ต้องได้รับการตีความอย่างเคร่งครัด (strict interpretation) ตามหลักการทั่วไปของกฎหมาย เนื่องจากข้อยกเว้นเป็นการจำกัดสิทธิของเจ้าของข้อมูลในการได้รับความคุ้มครอง หากเปิดโอกาสให้มีการตีความขยายความโดยไม่จำเป็น อาจนำไปสู่การใช้ข้อยกเว้นเป็นช่องว่างในการหลีกเลี่ยงความรับผิด และบั่นทอนเจตนารมณ์หลักของกฎหมายในการคุ้มครองสิทธิและเสรีภาพของบุคคล

ดังนั้น ในทางปฏิบัติ ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลไม่อาจอ้างข้อยกเว้นเพียงโดยอาศัยลักษณะกิจกรรมโดยผิวเผิน แต่ต้องพิจารณาถึง วัตถุประสงค์ที่แท้จริง ลักษณะการใช้ข้อมูล และผลกระทบต่อเจ้าของข้อมูล เป็นรายกรณี ทั้งนี้ เพื่อให้การใช้ข้อยกเว้นเป็นไปอย่างเหมาะสม สอดคล้องกับหลักนิติธรรม และไม่ขัดต่อเจตนารมณ์ของ PDPA โดยรวม

5.หลักการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) วางหลักการพื้นฐานเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลไว้ในลักษณะที่มุ่งคุ้มครอง สิทธิในการกำหนดการเปิดเผยข้อมูลส่วนบุคคลของตนเอง (informational self-determination) โดยหลักการสำคัญที่กฎหมายกำหนดไว้ สามารถสรุปได้ดังต่อไปนี้

  1. การแจ้งวัตถุประสงค์อย่างชัดเจน (Purpose Specification and Transparency)
    ผู้ควบคุมข้อมูลต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบอย่างชัดเจน โปร่งใส และเข้าใจได้ง่าย ก่อนหรือในขณะเก็บรวบรวมข้อมูล วัตถุประสงค์ดังกล่าวต้องมีความชอบด้วยกฎหมาย มีความจำเป็น และจำกัดเฉพาะเท่าที่เกี่ยวข้องกับกิจกรรมที่ชัดเจน มิใช่การกำหนดวัตถุประสงค์แบบกว้างหรือคลุมเครือซึ่งอาจเปิดช่องให้มีการใช้ข้อมูลเกินความจำเป็น
  2. การขอความยินยอมโดยสมัครใจ (Freely Given Consent)
    ความยินยอมของเจ้าของข้อมูลต้องเป็นการแสดงเจตนาโดยสมัครใจ ปราศจากการบังคับ ข่มขู่ หรือผูกพันกับเงื่อนไขที่ไม่จำเป็นต่อการให้บริการ หากเจ้าของข้อมูลไม่มีทางเลือกที่แท้จริง ความยินยอมดังกล่าวย่อมขาดความสมบูรณ์ในเชิงกฎหมาย แม้จะมีการลงลายมือชื่อหรือกด “ยอมรับ” ก็ตาม
  3. การแยกข้อความขอความยินยอมออกจากเงื่อนไขอื่น (Granularity and Separability)
    PDPA กำหนดให้ข้อความขอความยินยอมต้องแยกออกจากข้อกำหนดหรือเงื่อนไขอื่นของสัญญา และต้องไม่ใช้ถ้อยคำที่ทำให้เกิดความเข้าใจผิดหรือบีบบังคับโดยอ้อม หลักการนี้สะท้อนแนวคิดว่าความยินยอมมิใช่ “ส่วนหนึ่งของสัญญาโดยอัตโนมัติ” หากแต่เป็นการแสดงเจตนาเฉพาะในเรื่องการใช้ข้อมูลส่วนบุคคล
  4. สิทธิในการถอนความยินยอมได้ตลอดเวลา (Right to Withdraw Consent)
    เจ้าของข้อมูลมีสิทธิถอนความยินยอมที่ให้ไว้ได้ตลอดเวลา โดยต้องไม่เสียค่าใช้จ่ายและต้องไม่ถูกกระทบต่อการใช้สิทธิหรือบริการที่ไม่เกี่ยวข้องกับข้อมูลนั้น หลักการนี้ตอกย้ำว่าความยินยอมเป็นสิทธิที่มีลักษณะที่ไม่ตายตัวเจ้าของข้อมูลสามารถเปลี่ยนความประสงค์ของตัวเองได้ มิใช่เมื่อให้สิทธิในการใช้ข้อมูลไปแล้วเป็นการสละสิทธิอย่างถาวร

ในเชิงทฤษฎี PDPA ให้ความสำคัญกับ “เสรีภาพในการตัดสินใจของเจ้าของข้อมูล” มากกว่าการยึดติดกับรูปแบบเอกสารหรือพิธีกรรมทางกฎหมาย กล่าวคือ การมีแบบฟอร์มความยินยอมที่ถูกต้องตามรูปแบบ มิได้เป็นหลักประกันโดยตัวมันเองว่าการประมวลผลข้อมูลจะชอบด้วยกฎหมาย หากในความเป็นจริง เจ้าของข้อมูลไม่เข้าใจ ไม่สามารถเลือกได้อย่างแท้จริง หรือถูกบังคับโดยทางอ้อม

แนวคิดดังกล่าวสะท้อนการเปลี่ยนแปลงจากกฎหมายยุคเดิมที่เน้น “เอกสารเป็นศูนย์กลาง” ไปสู่กฎหมายคุ้มครองข้อมูลยุคใหม่ที่เน้น สาระของความยินยอม (substantive consent) และการเคารพศักดิ์ศรีความเป็นมนุษย์ของเจ้าของข้อมูลเป็นสำคัญ

6.ฐานกฎหมายอื่นนอกเหนือจากความยินยอม

แม้ความยินยอมของเจ้าของข้อมูลจะเป็นฐานกฎหมายที่สำคัญภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) แต่กฎหมายมิได้จำกัดการประมวลผลข้อมูลส่วนบุคคลไว้เพียงฐานความยินยอมเท่านั้น หากแต่รับรอง ฐานกฎหมายอื่น (lawful bases) เพื่อให้การดำเนินกิจกรรมทางเศรษฐกิจ การบริหารจัดการองค์กร และการใช้อำนาจรัฐ สามารถดำเนินไปได้อย่างสมดุล โดยฐานกฎหมายที่สำคัญ ได้แก่

  1. การปฏิบัติตามสัญญา (Contractual Necessity)
    การประมวลผลข้อมูลส่วนบุคคลที่จำเป็นต่อการเข้าทำสัญญาหรือการปฏิบัติตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญา เช่น การใช้ข้อมูลลูกค้าเพื่อจัดส่งสินค้า หรือการใช้ข้อมูลพนักงานเพื่อจ่ายค่าจ้าง ถือเป็นการประมวลผลที่ชอบด้วยกฎหมายโดยไม่จำเป็นต้องขอความยินยอมเพิ่มเติม
  2. การปฏิบัติตามกฎหมาย (Legal Obligation)
    ในกรณีที่ผู้ควบคุมข้อมูลมีหน้าที่ต้องประมวลผลข้อมูลตามที่กฎหมายกำหนด เช่น กฎหมายแรงงาน กฎหมายภาษีอากร หรือกฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงิน การประมวลผลข้อมูลดังกล่าวย่อมชอบด้วย PDPA โดยอาศัยฐานหน้าที่ตามกฎหมาย
  3. ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest)
    ฐานกฎหมายนี้เปิดโอกาสให้ผู้ควบคุมข้อมูลสามารถประมวลผลข้อมูลส่วนบุคคลได้ หากมี ประโยชน์โดยชอบด้วยกฎหมาย ที่แท้จริงและจำเป็น อย่างไรก็ดี ฐานนี้เป็นฐานที่มีความละเอียดอ่อนในเชิงวิชาการและการบังคับใช้มากที่สุด
  4. ภารกิจเพื่อประโยชน์สาธารณะ หรือการใช้อำนาจรัฐ (Public Task / Public Interest)
    การประมวลผลข้อมูลส่วนบุคคลเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือการใช้อำนาจรัฐตามที่กฎหมายกำหนด เช่น งานทะเบียนราษฎร งานสาธารณสุข หรือการบริหารราชการแผ่นดิน ย่อมอยู่ในฐานกฎหมายนี้
  5. การคุ้มครองชีวิตหรือสุขภาพของบุคคล (Vital Interests)
    ในสถานการณ์ฉุกเฉินที่เกี่ยวข้องกับชีวิตหรือสุขภาพของเจ้าของข้อมูลหรือบุคคลอื่น เช่น การให้ข้อมูลทางการแพทย์เพื่อช่วยชีวิต การประมวลผลข้อมูลสามารถกระทำได้โดยไม่ต้องรอความยินยอม

ประเด็นเชิงวิชาการ: การอ้าง Legitimate Interest

ในเชิงทฤษฎีกฎหมาย การอ้างฐาน Legitimate Interest มิใช่การเปิดดุลพินิจให้ผู้ควบคุมข้อมูลสามารถประมวลผลข้อมูลตามความสะดวกของตนเอง หากแต่ต้องผ่านกระบวนการ ชั่งน้ำหนักผลประโยชน์ (balancing test) ระหว่างผลประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูล หรือบุคคลที่สามกับ สิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล

การชั่งน้ำหนักดังกล่าวต้องพิจารณาอย่างรอบด้าน เช่น ลักษณะของข้อมูล ความคาดหมายโดยสมเหตุสมผลของเจ้าของข้อมูล ความจำเป็นของการประมวลผล และผลกระทบที่อาจเกิดขึ้นต่อสิทธิในความเป็นส่วนตัว หากผลการประเมินชี้ว่าการประมวลผลก่อให้เกิดการละเมิดสิทธิของเจ้าของข้อมูลเกินสมควร ฐาน Legitimate Interest ย่อมไม่อาจนำมาอ้างได้

ดังนั้น ฐาน Legitimate Interest จึงไม่ใช่ “ฐานกฎหมายสำรอง” ที่ใช้แทนความยินยอมในทุกกรณี แต่เป็นฐานที่ต้องใช้ด้วยความระมัดระวังสูง และต้องสามารถอธิบายเหตุผลเชิงกฎหมายได้อย่างชัดเจนและตรวจสอบได้ หากมีการร้องเรียนหรือการตรวจสอบจากหน่วยงานกำกับดูแล

7.สิทธิของเจ้าของข้อมูลส่วนบุคคล

(PDPA) รับรอง สิทธิของเจ้าของข้อมูลส่วนบุคคล ไว้อย่างเป็นระบบ เพื่อเสริมสร้างอำนาจต่อรองและการคุ้มครองสิทธิในยุคดิจิทัล โดยสิทธิสำคัญที่กฎหมายรับรองไว้รวมทั้งสิ้น 8 ประการ อาทิ

  1. สิทธิในการรับทราบ (Right to Be Informed)
    เจ้าของข้อมูลมีสิทธิได้รับแจ้งรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น วัตถุประสงค์ ฐานกฎหมาย ระยะเวลาการเก็บรักษา และสิทธิที่เจ้าของข้อมูลพึงมี ทั้งนี้ เพื่อให้สามารถตัดสินใจได้อย่างมีข้อมูลครบถ้วน
  2. สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of Access)
    เจ้าของข้อมูลมีสิทธิขอเข้าถึงข้อมูลส่วนบุคคลของตนที่อยู่ในการครอบครองของผู้ควบคุมข้อมูล รวมถึงขอรับสำเนาข้อมูล เพื่อใช้ตรวจสอบความถูกต้องและความชอบด้วยกฎหมายของการประมวลผล
  3. สิทธิในการโอนย้ายข้อมูล (Right to Data Portability)
    ในกรณีที่กฎหมายกำหนด เจ้าของข้อมูลมีสิทธิขอรับข้อมูลส่วนบุคคลในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไป และสามารถโอนข้อมูลดังกล่าวไปยังผู้ควบคุมข้อมูลรายอื่นได้ ซึ่งเป็นกลไกที่ช่วยลดการผูกขาดข้อมูลและส่งเสริมการแข่งขันที่เป็นธรรม
  4. สิทธิในการคัดค้านการประมวลผลข้อมูล (Right to Object)
    เจ้าของข้อมูลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลในบางกรณี โดยเฉพาะเมื่อการประมวลผลอาศัยฐานประโยชน์โดยชอบด้วยกฎหมาย หรือเพื่อการตลาดทางตรง
  5. สิทธิในการลบหรือทำลายข้อมูล (Right to Erasure)
    เจ้าของข้อมูลมีสิทธิขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวบุคคลได้ เมื่อข้อมูลนั้นหมดความจำเป็น หรือการประมวลผลไม่ชอบด้วยกฎหมาย
  6. สิทธิในการแก้ไขข้อมูล (Right to Rectification)
    หากข้อมูลส่วนบุคคลไม่ถูกต้อง ไม่เป็นปัจจุบัน หรือก่อให้เกิดความเข้าใจผิด เจ้าของข้อมูลมีสิทธิขอให้แก้ไขข้อมูลดังกล่าวให้ถูกต้อง
  7. สิทธิในการระงับการใช้ข้อมูล (Right to Restriction of Processing)
    ในบางกรณี เจ้าของข้อมูลสามารถขอให้ผู้ควบคุมข้อมูลระงับการใช้ข้อมูลชั่วคราว เช่น ระหว่างการตรวจสอบความถูกต้องของข้อมูลหรือความชอบด้วยกฎหมายของการประมวลผล

สิทธิในการร้องเรียน (Right to Lodge a Complaint)
เจ้าของข้อมูลมีสิทธิร้องเรียนต่อหน่วยงานกำกับดูแล เมื่อเห็นว่าการประมวลผลข้อมูลส่วนบุคคลของตนไม่เป็นไปตาม PDPA โดยสิทธินี้เป็นกลไกสำคัญในการบังคับใช้กฎหมายให้เกิดผลในทางปฏิบัติ

สิทธิทั้งแปดประการดังกล่าวสะท้อนแนวคิดสำคัญของกฎหมายคุ้มครองข้อมูลยุคใหม่ คือ การควบคุมข้อมูลโดยเจ้าของข้อมูล” (Data Sovereignty) ซึ่งมองว่าข้อมูลส่วนบุคคลมิใช่ทรัพย์สินขององค์กรที่เก็บรวบรวม หากแต่เป็นส่วนหนึ่งของตัวบุคคลที่เจ้าของข้อมูลมีสิทธิในการกำหนดวิธีการใช้ ขอบเขต และระยะเวลาการประมวลผล

ในเชิงทฤษฎี แนวคิด Data Sovereignty ยังเชื่อมโยงกับหลักศักดิ์ศรีความเป็นมนุษย์และสิทธิในความเป็นส่วนตัว โดยเปลี่ยนบทบาทของเจ้าของข้อมูลจาก “ผู้ถูกกระทำ” ให้กลายเป็น “ผู้มีอำนาจควบคุม” ภายใต้ระบบกฎหมายที่กำหนดกลไกตรวจสอบและความรับผิดของผู้ควบคุมข้อมูลอย่างชัดเจน

บทสรุป (Conclusion)

PDPA เป็นกฎหมายที่เปลี่ยนกระบวนทัศน์จาก “การใช้ข้อมูลโดยเสรี” ไปสู่ “การใช้ข้อมูลอย่างมีความรับผิดชอบ” การทำความเข้าใจ PDPA ในเชิงหลักการและการบังคับใช้จึงมีความสำคัญอย่างยิ่ง ทั้งในมิติของการคุ้มครองสิทธิการนำข้อมูลที่ได้มาโดยมิชอบไปเผยแพร่

ข้อสงวนสิทธิ (Disclaimer)

บทความนี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลทางกฎหมายทั่วไปเท่านั้น มิได้มีเจตนาให้เป็นคำปรึกษาทางกฎหมาย ข้อมูลที่ปรากฏในบทความนี้อาจไม่ครอบคลุมครบถ้วนและอาจไม่ใช่กฎหมายฉบับล่าสุด ผู้อ่านไม่ควรอ้างอิงบทความนี้เป็นการทดแทนคำปรึกษาทางกฎหมายจากผู้ประกอบวิชาชีพ ซึ่งจะต้องวิเคราะห์ข้อเท็จจริงเฉพาะของแต่ละกรณี การเผยแพร่หรือการใช้บทความนี้ไม่ใช่การให้ความเห็นทางกฎหมายระหว่างที่ปรึกษาและลูกความแต่ประการใด และ สงวนลิขสิทธิ์ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2537

ผู้เขียน: พิณประภัสร์ จาติกวนิช
วันที่: 16 มกราคม 2569