พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA): คู่มือเชิงกฎหมายสำหรับองค์กร
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act หรือ PDPA) เป็นกฎหมายหลักของประเทศไทยในการกำกับดูแลการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล กฎหมายฉบับนี้มีผลบังคับใช้เต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 หลังจากถูกเลื่อนการบังคับใช้ในหมวดสำคัญมาหลายครั้ง โครงสร้างของ PDPA ได้รับอิทธิพลอย่างชัดเจนจาก General Data Protection Regulation (GDPR) ของสหภาพยุโรป ทำให้องค์กรที่คุ้นเคยกับกรอบ GDPR สามารถเทียบเคียงหลักการได้ แต่ก็มีรายละเอียดเฉพาะที่ทีมกฎหมายไทยต้องพิจารณาอย่างรอบคอบ
ขอบเขตการบังคับใช้
PDPA บังคับใช้กับ "ข้อมูลส่วนบุคคล" ซึ่งหมายถึงข้อมูลเกี่ยวกับบุคคลธรรมดาที่ทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมข้อมูลของผู้ถึงแก่กรรมและข้อมูลนิติบุคคล จุดที่ทีมกฎหมายต้องให้ความสำคัญคือขอบเขตนอกราชอาณาจักร (extraterritorial scope) กล่าวคือ กฎหมายบังคับใช้กับผู้ควบคุมหรือผู้ประมวลผลข้อมูลที่อยู่นอกประเทศไทยด้วย หากมีการดำเนินกิจกรรมดังต่อไปนี้
- เสนอขายสินค้าหรือบริการให้แก่เจ้าของข้อมูลที่อยู่ในประเทศไทย ไม่ว่าจะมีการชำระเงินหรือไม่
- เฝ้าติดตามพฤติกรรม (behavior monitoring) ของเจ้าของข้อมูลที่เกิดขึ้นในประเทศไทย
ผลก็คือ แพลตฟอร์มต่างประเทศที่มีลูกค้าไทยไม่อาจอ้างว่าอยู่นอกเขตอำนาจได้ นอกจากนี้ยังมีข้อยกเว้นบางประการ เช่น การเก็บข้อมูลเพื่อกิจการส่วนตัวหรือกิจกรรมในครอบครัว หน่วยงานที่ทำหน้าที่ด้านความมั่นคงของรัฐ และกิจการสื่อมวลชนภายใต้จริยธรรมวิชาชีพในบางกรณี
บทบาทของผู้ควบคุมและผู้ประมวลผลข้อมูล
PDPA แยกบทบาทออกเป็นสองประเภทหลักซึ่งมีภาระหน้าที่ต่างกัน
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือผู้มีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล มีหน้าที่หลักในการกำหนดฐานทางกฎหมาย จัดทำมาตรการรักษาความมั่นคงปลอดภัย และรับผิดชอบต่อสิทธิของเจ้าของข้อมูล
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือผู้ดำเนินการตามคำสั่งของผู้ควบคุมข้อมูล เช่น ผู้ให้บริการคลาวด์หรือผู้รับจ้างประมวลผลเงินเดือน
ความสัมพันธ์ระหว่างสองฝ่ายต้องจัดทำเป็นข้อตกลงประมวลผลข้อมูล (Data Processing Agreement) ที่ระบุขอบเขต วัตถุประสงค์ และมาตรการรักษาความปลอดภัย ในทางปฏิบัติ องค์กรจำนวนมากทำหน้าที่ทั้งสองบทบาทพร้อมกันในบริบทที่ต่างกัน ทีมกฎหมายจึงควรจัดทำแผนผังการไหลของข้อมูล (data flow mapping) เพื่อระบุสถานะของตนในแต่ละกิจกรรม
ฐานทางกฎหมายและความยินยอม
ความเข้าใจผิดที่พบบ่อยคือการคิดว่าทุกการประมวลผลข้อมูลต้องอาศัยความยินยอม แท้จริงแล้ว PDPA กำหนดฐานทางกฎหมายหลายฐานที่ใช้ได้โดยไม่ต้องขอความยินยอม ได้แก่
- การปฏิบัติตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญา
- การปฏิบัติหน้าที่ตามกฎหมายของผู้ควบคุมข้อมูล
- ประโยชน์โดยชอบด้วยกฎหมาย (legitimate interest) โดยต้องชั่งน้ำหนักกับสิทธิของเจ้าของข้อมูล
- การป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ
- ภารกิจเพื่อประโยชน์สาธารณะหรือการใช้อำนาจรัฐ
เมื่อจำเป็นต้องใช้ความยินยอม กฎหมายกำหนดว่าความยินยอมต้องทำโดยชัดแจ้ง เป็นอิสระ แยกออกจากเงื่อนไขอื่น และเจ้าของข้อมูลต้องถอนความยินยอมได้โดยง่ายเทียบเท่ากับการให้ความยินยอม สำหรับ ข้อมูลอ่อนไหว (sensitive data) เช่น เชื้อชาติ ความเห็นทางการเมือง ศาสนา ข้อมูลสุขภาพ ข้อมูลชีวภาพ และประวัติอาชญากรรม กฎหมายกำหนดมาตรฐานเข้มงวดกว่า โดยหลักต้องได้รับความยินยอมโดยชัดแจ้ง เว้นแต่เข้าข้อยกเว้นเฉพาะ
สิทธิของเจ้าของข้อมูล
PDPA รับรองสิทธิของเจ้าของข้อมูลหลายประการที่องค์กรต้องมีกระบวนการรองรับภายในกรอบเวลาที่เหมาะสม โดยทั่วไปไม่เกิน 30 วัน
- สิทธิในการเข้าถึงและขอรับสำเนาข้อมูล
- สิทธิในการขอให้โอนย้ายข้อมูล (data portability)
- สิทธิในการคัดค้านการประมวลผล
- สิทธิในการขอให้ลบหรือทำลายข้อมูล (right to erasure)
- สิทธิในการขอให้ระงับใช้ข้อมูล
- สิทธิในการขอแก้ไขข้อมูลให้ถูกต้องเป็นปัจจุบัน
เจ้าหน้าที่คุ้มครองข้อมูล (DPO)
PDPA กำหนดให้ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) ในบางกรณี ได้แก่ เมื่อเป็นหน่วยงานรัฐ เมื่อกิจกรรมหลักเป็นการประมวลผลข้อมูลที่ต้องตรวจสอบอย่างสม่ำเสมอเนื่องจากมีข้อมูลจำนวนมาก หรือเมื่อกิจกรรมหลักเป็นการประมวลผลข้อมูลอ่อนไหว DPO ทำหน้าที่ให้คำแนะนำ ตรวจสอบการปฏิบัติตามกฎหมาย และประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล องค์กรที่มีบริษัทในเครือหลายแห่งสามารถแต่งตั้ง DPO ร่วมกันได้หากเข้าถึงได้โดยสะดวก
การแจ้งเหตุละเมิดข้อมูล
เมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลมีหน้าที่แจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับแต่ทราบเหตุ เว้นแต่การละเมิดนั้นไม่มีความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล และหากการละเมิดมีความเสี่ยงสูง ต้องแจ้งเจ้าของข้อมูลพร้อมแนวทางเยียวยาด้วย องค์กรจึงควรจัดทำแผนตอบสนองเหตุการณ์ (incident response plan) ล่วงหน้า
บทลงโทษ
PDPA กำหนดความรับผิดสามชั้นซึ่งอาจเกิดขึ้นพร้อมกัน
- โทษทางแพ่ง ผู้ควบคุมหรือผู้ประมวลผลต้องชดใช้ค่าสินไหมทดแทน และศาลอาจสั่งให้ชดใช้ค่าสินไหมเพื่อการลงโทษ (punitive damages) ได้ถึงสองเท่าของค่าเสียหายที่แท้จริง
- โทษทางปกครอง ปรับได้สูงสุดถึง 5 ล้านบาทต่อกรณี ขึ้นอยู่กับลักษณะความผิด
- โทษทางอาญา ในความผิดร้ายแรงบางประเภท โดยเฉพาะการใช้หรือเปิดเผยข้อมูลอ่อนไหวโดยมิชอบ มีทั้งโทษจำคุกและปรับ และกรรมการหรือผู้บริหารอาจต้องรับผิดเป็นการส่วนตัวหากการกระทำเกิดจากคำสั่งหรือการละเลยของตน
ข้อพิจารณาเชิงปฏิบัติสำหรับองค์กร
การปฏิบัติตาม PDPA ไม่ใช่โครงการที่ทำครั้งเดียวจบ แต่เป็นกระบวนการต่อเนื่อง ทีมกฎหมายและทีมปฏิบัติการควรร่วมกันจัดทำบันทึกรายการกิจกรรมการประมวลผล (Records of Processing Activities) ทบทวนนโยบายความเป็นส่วนตัวและแบบฟอร์มขอความยินยอมให้สอดคล้องกับฐานทางกฎหมายที่ใช้จริง ตรวจสอบสัญญากับผู้ประมวลผลภายนอก และประเมินการส่งข้อมูลข้ามพรมแดนซึ่ง PDPA กำหนดให้ประเทศปลายทางต้องมีมาตรฐานคุ้มครองที่เพียงพอหรือมีมาตรการคุ้มครองที่เหมาะสม การลงทุนในระบบธรรมาภิบาลข้อมูลตั้งแต่ต้นจะช่วยลดความเสี่ยงทั้งด้านกฎหมายและด้านชื่อเสียงขององค์กรได้อย่างมีนัยสำคัญ