“เราถ่ายรูปกับเพื่อนแล้วอัปโหลดลงโซเชียล ผิด PDPA ไหมนะ เพื่อนฟ้องเราได้หรือเปล่า?” “การใช้ภาพจากกล้องติดหน้ารถยนต์ที่ถ่ายเห็นคนอื่นบนถนนมาเป็นหลักฐานตอนเกิดอุบัติเหตุ ถือเป็นการละเมิดความเป็นส่วนตัวหรือไม่?” บทความนี้จะมาไขข้อข้องใจกับคำถามทั่ว ๆ ไปที่หลายคนสงสัยเกี่ยวกับ PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลที่จะเริ่มบังคับใช้ภายในกลางปีหน้า จากผู้เชี่ยวชาญด้าน PDPA ทั้ง 3 ท่าน ที่ได้ให้เกียรติมาร่วมสนทนาพูดคุยใน Clubhouse event เมื่อวันที่ 30 กันยายน ที่ผ่านมา โดยเราได้สรุปเนื้อหาและประเด็นที่น่าสนใจต่าง ๆ ที่ได้จากการพูดคุยมาให้ได้อ่านกันค่ะ Clubhouse event นี้เป็นส่วนหนึ่งของความร่วมมือระหว่าง Government Big Data Institute (GBDi) และ ASEAN CIO Association Club (ACIOA) เพื่อส่งเสริมความฉลาดรู้ทางข้อมูล (Data Literacy) ในภูมิภาคอาเซียน โดยได้รับเกียรติจากวิทยากรผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลถึง 3 ท่าน ได้แก่ ดร.สุนทรีย์ ส่งเสริม สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ดร.พีรพัฒ โชคสุวัฒนสกุล อาจารย์ประจำคณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย และอาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ก่อนอื่นเลย มาทำความเข้าใจกันก่อนว่า PDPA คืออะไร สำคัญอย่างไร ดร.พีรพัฒ: PDPA ย่อมาจาก Personal Data Protection Act หรือว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎหมายที่ออกมาเพื่อคุ้มครองคนที่ข้อมูลส่วนบุคคลชี้ไปหา หรือที่เราเรียกว่าเจ้าของข้อมูลส่วนบุคคล เวลาที่มีคนจะมายุ่งกับข้อมูลของเรา เขาต้องบอกให้ได้ว่ามีสิทธิอะไร ถ้าจะมาทำให้ความเป็นส่วนตัวในข้อมูลส่วนบุคคลของเราได้รับการกระทบมากเกินไปเขาก็ควรจะไม่มีสิทธินั้น หรือเราเองก็ควรมีสิทธิที่จะปกป้องผลกระทบที่อาจเกิดขึ้นกับเราเอง กฎหมายฉบับนี้ถูกสร้างมาเพื่อคุ้มครองการใช้ชีวิตของเรา เช่น บน Social media บน Internet ที่มีข้อมูล มี Footprints ของเราเต็มไปหมด ซึ่งก็ไม่ใช่แค่ประเทศไทยที่มีกฎหมายนี้ อย่างในยุโรปก็มี GDPR ที่มีจุดประสงค์ก็เพื่อคุ้มครองพวกเราทุก ๆ คน แล้วคำสำคัญที่ควรรู้มีอะไรบ้าง ดร.สุนทรีย์: แน่นอนก็คือคำว่า ‘ข้อมูลส่วนบุคคล’ ซึ่งหมายถึงข้อมูลอะไรก็แล้วแต่ที่ชี้มาทำให้ระบุตัวคนได้ทั้งทางตรงและทางอ้อม นิยามนี้เป็นนิยามตามมาตรฐานสากล ถ้าถามว่าทำไมต้องให้นิยามกว้างขนาดนี้ ทำไมไม่เจาะจงไปเลยว่าอะไรคือข้อมูลส่วนบุคคลบ้าง นั่นเป็นเพราะเทคโนโลยีที่พัฒนาอย่างรวดเร็วทำให้บางครั้งข้อมูลบางอย่างที่เราไม่เคยนึกว่าจะโยงมาถึงตัวเราได้ แต่เมื่อมาประกอบกันก็อาจสามารถระบุมาถึงตัวเราได้ คำนิยามของ “ข้อมูลส่วนบุคคล” จึงต้องครอบคลุมทั้งข้อมูลที่ระบุตัวเราได้ทั้งทางตรงและทางอ้อม คำต่อมาก็คือคำว่า ‘เจ้าของข้อมูลส่วนบุคคล’ สมัยก่อนเมื่อเราได้ยินคำว่าเจ้าของ เราจะเข้าใจว่าหน่วยงานที่เป็นคนเก็บข้อมูลก็คือเจ้าของข้อมูล แต่สำหรับกฎหมายคุ้มครองข้อมูลส่วนบุคคล คำว่าเจ้าของข้อมูลส่วนบุคคลหรือที่ภาษาอังกฤษใช้คำว่า ‘Data Subject’ นั้นหมายถึงบุคคลธรรมดาอย่างเรานี่แหละที่เป็นเจ้าของข้อมูลส่วนบุคคล ศัพท์ใหม่ที่เพิ่มขึ้นมาอีกสองคำคือ ‘ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)’ กับ ‘ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)’ Data Controller คือคนที่เก็บรวบรวมข้อมูลของเรา ใช้ข้อมูลเรา หรือเอาไปเปิดเผย อย่างเช่น การซื้อของออนไลน์ บริษัทที่เราไปซื้อของจำเป็นต้องเก็บข้อมูลของเรา เช่นนี้จะถือว่าเขาเป็น ‘ผู้ควบคุมข้อมูลส่วนบุคคล’ ของเรา ถ้าบริษัทนี้ส่งข้อมูลไปให้อีกบริษัทหนึ่งให้ช่วยจัดการคำสั่งซื้อสินค้า บริษัทหลังนี้จะถือว่าเป็น ‘ผู้ประมวลผลข้อมูลส่วนบุคคล’ นั่นก็คือผู้ที่รับข้อมูลจากผู้ควบคุมฯ ให้ไปทำตามคำสั่ง คำต่อมาที่อยากแนะนำคือ ‘ความยินยอม (Consent)’ กับคำว่า ‘ประกาศความเป็นส่วนตัว (Privacy Notice)’ เวลาเข้าเว็บไซต์ต่าง ๆ ก็จะเห็น pop-up ขึ้นมาและมีคำถามให้กดยอมรับหรือยินยอม เจอคำว่าประกาศความเป็นส่วนตัว บางทีก็เป็นคำว่านโยบายคุ้มครองข้อมูลส่วนบุคคล หลายคนก็งงว่าตกลงมันคืออะไร เป็นสิ่งเดียวกันหรือเปล่า ตามกฎหมายแล้วจะมีสองเรื่องอยู่ในนี้ก็คือเรื่อง ‘ความยินยอม’ กับ ‘Privacy Notice’ หรือการประกาศแจ้งความเป็นส่วนตัว เป็นการแจ้งรายละเอียดว่าเว็บไซต์นั้นจะเก็บข้อมูลอะไรเราบ้าง สมมุติจะเก็บคุกกี้ ก็ต้องบอกว่าจะเก็บคุกกี้เรื่องอะไรบ้าง หรือถ้าเราไปทำธุรกรรมที่ธนาคาร ธนาคารจะเก็บข้อมูลอะไรเราบ้าง PDPA ถูกเลื่อนการบังคับใช้ไปหลายครั้ง ครั้งนี้จะมีการขยายเวลาอีกหรือไม่ ดร.สุนทรีย์: ในส่วนของเรื่องการบังคับใช้กฎหมาย ทางรัฐบาลและกระทรวงตั้งใจจะให้กฎหมายฉบับนี้มีผลบังคับใช้ตามกำหนด คือในวันที่ 1 มิถุนายนปีหน้า ในปีที่ผ่านมาหลายท่านอาจจะได้เห็นกิจกรรมที่ทางสำนักงานฯ และกระทรวงฯ จัดมาตลอดเพื่อเตรียมความพร้อมให้กับผู้ประกอบการ เนื่องจากเป็นกฎหมายใหม่ที่ทำให้ต้องปรับตัวกันเยอะมาก และจะต้องออกกฎหมายระดับรอง ประกาศ หรือหลักเกณฑ์ต่าง ๆ ที่เกี่ยวข้องเป็นจำนวนมาก ซึ่งเรา (สำนักงานฯ) พยายามดึงผู้เกี่ยวข้องเข้ามามีส่วนร่วมให้มากที่สุด โดยกฎหมายระดับรองจะมีประกาศที่เกี่ยวข้องทั้งหมด 18 เรื่องที่เป็นเนื้อหาเฉพาะ อีกโครงการคือการจัดทำแผนแม่บท ซึ่งหมายถึงการวางนโยบายระยะยาว 1-5 ปี ยุทธศาสตร์ที่สำคัญแรกเลยคือการให้ความรู้ สร้างความตระหนักรู้ และสร้างบุคคลากรให้เข้าใจกฎหมายฉบับนี้ เรามีการทำแนวทางปฏิบัติ (Guideline) เพื่อใช้เป็นแนวทางตัวอย่างสำหรับนำไปปฏิบัติเมื่อถึงเวลาที่กฎหมายฉบับนี้ถูกบังคับใช้ โดยโครงการที่ได้จัดทำขึ้นไปแล้วเป็นการเน้นในฝั่งของผู้ประกอบการ สำหรับโครงการหลังจากนี้เราจะเน้นการสร้างความรู้ความเข้าใจให้กับประชาชนให้มากขึ้น วันนี้ต้องขอบคุณทาง GBDi มากที่จัดกิจกรรมนี้ขึ้นเพื่อเป็นช่องทางให้สำนักงานฯ ได้มีโอกาสสื่อสารกับคนทั่วไป ได้รับฟังว่าคนทั่วไปมีความสงสัยในกฎหมายฉบับนี้อย่างไรบ้าง เพื่อนำไปปรับทำเป็นแผนที่จะสื่อสารส่งความรู้ เพิ่มความเข้าใจให้ประชาชนได้มากขึ้น ให้กฎหมายฉบับนี้สามารถพร้อมบังคับใช้ได้ในวันที่ 1 มิถุนายนปีหน้า ในระหว่างนี้แต่ละฝ่ายควรมีการเตรียมตัวอย่างไรบ้าง อ.ฐิติรัตน์: ระหว่างที่รอกฎหมายมีผลบังคับใช้ กลุ่มธุรกิจหรือองค์กรต่าง ๆ สามารถเริ่มเตรียมการเพื่อที่จะทำตามกฎหมายได้ทันที เพราะการดำเนินกิจการขององค์กรล้วนแต่มีการใช้ข้อมูลส่วนบุคคลอยู่แล้ว โดยข้อมูลส่วนบุคคลในแต่ละองค์กรอาจมาจาก ข้อมูลของลูกค้า พาร์ตเนอร์ หรือลูกจ้าง ซึ่งแต่ละกลุ่มล้วนมีความสำคัญต่อหน่วยงาน เมื่อเราเอาข้อมูลของพวกเขามาใช้เราก็ควรจะดูแลใหัดี ถ้าเราดูแลไม่ดีมันก็จะเกิดปัญหาขึ้นแบบที่เห็นในข่าว เช่น ลูกค้าเกิดความไม่พอใจแล้วหนีไปใช้แบรนด์อื่น หรือลูกจ้างรู้สึกไม่สบายใจกับองค์กรซึ่งจะนำมาสู่บรรยากาศที่ไม่ดีต่อการทำงานและอาจจะก่อให้เกิดความเสียหายต่าง ๆ ตัวกฎหมายที่ออกมานี้ถือเป็นการกำหนดมาตรฐาน สร้างความคาดหวังในสังคมที่ตรงกันว่านี่คือ ขั้นตอนที่เราจะดูแลข้อมูลของคนที่เราจะทำงานด้วยให้ดี ไม่ว่าจะเป็นลูกค้า พาร์ตเนอร์ หรือลูกจ้าง การเตรียมตัวขององค์กรอาจจะเริ่มต้นจากการประเมินว่าองค์กรของตนใช้ข้อมูลแบบไหนอยู่บ้าง มีความเสี่ยงตรงไหน มีเรื่องไหนที่ควรจะกังวลแล้วเริ่มจากจุดนั้น เมื่อกฎหมายมีกำหนดบังคับใช้ในปีหน้าเราจะพูดได้อย่างเต็มปากว่าได้ทำตามกฎหมายแล้ว ยิ่งถ้าทำได้ก่อนก็ยิ่งแสดงให้เห็นถึงความตั้งใจ ในความเป็นจริงมีหลายหน่วยงานที่ได้ปฏิบัติตามกฎหมายนี้แล้วถึงแม้ตัวกฎหมายจะถูกเลื่อนการบังคับใช้ โดยเฉพาะหน่วยงานด้านการเงินการธนาคาร ซึ่งถือเป็นการพัฒนาการที่ดีและสะท้อนให้เห็นว่าประชาชนมีความตื่นตัวในเรื่องพวกนี้อยู่แล้ว PDPA เกี่ยวข้องกับประชาชนทุกคนอย่างไร ประชาชนจะได้รับประโยชน์หรือเสียผลประโยชน์จากการบังคับใช้ PDPA อย่างไรบ้าง อ.ฐิติรัตน์: คนทั่วไปน่าจะได้ประโยชน์มากกว่าเสียผลประโยชน์ในเชิงที่ว่าเราจะมีข้อมูลมากขึ้นจากบริการและแพลตฟอร์มต่าง ๆ ที่เราใช้ ถ้าใครจะเอาข้อมูลเราไปเขาต้องบอกเราว่าจะเอาไปใช้ทำอะไร ถ้าบริการไหนใช้ข้อมูลของเรามากเกินไปหรือบอกเราไม่ชัดเจน เราก็มีสิทธิเลือกไม่ใช้บริการนั้น ซึ่งแรงตอบสนองจากผู้บริโภคจะทำให้ธุรกิจต่าง ๆ ปรับตัว เช่น เคยมี E-commerce Platform ที่เชื่อมบัญชีกับเบอร์มือถือของเราเพื่อยืนยันตัวตน ซึ่งนอกจากจะเชื่อมเบอร์มือถือแล้วยังขอเข้าถึงสมุดโทรศัพท์ในมือถือเราด้วย ทำให้รู้เบอร์เพื่อน ๆ ของเรา ถ้าหากเพื่อนของเรามีบัญชีอยู่บนแพลตฟอร์มเดียวกัน เราจะสามารถเห็นได้ว่าเพื่อนไปซื้อของจากร้านไหน โดยที่แพลตฟอร์มไม่ได้บอกเราก่อนหรือไม่ได้ให้ตัวเลือกเราเลยว่าเราต้องการเชื่อมข้อมูลเหล่านั้นหรือไม่ เหตุการณ์นี้ทำให้เกิดการตอบสนองที่ค่อนข้างรุนแรง มีคนเข้าไปต่อว่า ทำให้บริษัทต้องรีบปรับตัวภายใน 1-2 วัน มีการปรับแก้ฟังก์ชันเหล่านี้ กฎหมายที่ออกมาช่วยสร้างความชัดเจนว่าอะไรคือมาตรฐานที่บริษัทจะต้องทำ หากไม่ทำตามผู้บริโภคสามารถใช้สิทธิเรียกร้องได้เต็มที่ และสามารถใช้สิทธิของตนเองเพื่อขอทราบว่าข้อมูลอะไรของเราถูกนำไปประมวลผลบ้าง หรือถูกนำไปแชร์ให้บุคคลที่สามหรือไม่ หรือเวลาที่เรารับ Spam Call เราก็สามารถถามได้ว่าเขาเอาข้อมูลเรามาจากไหน และเรามีสิทธิที่จะขอให้เขาหยุดเอาข้อมูลของเราไปใช้งาน หรือขอให้ลบจากระบบเลยก็ยังได้ หากพบว่าใครไม่ปฏิบัติตามเราสามารถร้องเรียนได้ที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานใหม่ที่ตั้งขึ้นมาเพื่อกำกับดูแลให้องค์กรต่าง ๆ ทั้งรัฐและเอกชนทำตามกฎหมายนี้และคุ้มครองสิทธิของประชาชน กฎหมายที่ออกมาช่วยสร้างความชัดเจนว่าอะไรคือมาตรฐานที่บริษัทจะต้องทำ...
