'สุภิญญา' ชี้กฎหมาย 'PDPA' มุ่งเน้นหน้าที่ของนิติบุคคลต้องคุ้มครองข้อมูลของปัจเจกบุคคล

'สุภิญญา-อดีตกสทช.'ชี้พรบ.คุ้มครองข้อมูลส่วนบุคคล เน้นหน้าที่ของนิติบุคคล ทั้งภาครัฐ ธุรกิจเอกชน ต้องคุ้มครองข้อมูลของปัจเจกบุคคล ส่วนการถ่ายรูปโพสต์ลงโซเชียลมีเดียต้องระวังการใช้ข้อมูลเชิงการค้า พร้อมหนุนการเปิดเผยข้อมูลของภาครัฐเพื่อประโยชน์สาธารณะ

1มิ.ย.2565-น.ส.สุภิญญา กลางณรงค์ อดีตกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) โพสต์ข้อความผ่านเฟซบุ๊กส่วนตัวเกี่ยวกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ กฎหมาย PDPA มีเนื้อหาดังนี้

- Data Protection as Digital Rights -

ช่วงนี้คนไทยตื่นตัวมากขึ้นเรื่อง พรบ.คุ้มครองข้อมูลส่วนบุคคล หรือ เรียกกันว่า PDPA ที่จะมีผลบังคับใช้วันพรุ่งนี้ 1 มิ.ย. 65 หลังเลื่อนมาสองปี จึงทำให้ข้อมูลที่ส่งต่อกันช่วงนี้มีทั้งเข้าใจถูกเข้าใจผิดเต็มไปหมด ถือเป็นโอกาสของภาครัฐ เอกชน สังคม ควรใช้เป็นโอกาสในการทำความเข้าใจ / ไว้ผ่านไปสักเดือน เราค่อยมารีวิวผลกระทบของ พรบ.กันอีกทีในเวทีนักคิดดิจิทัล โดยเฉพาะประเด็นการคุ้มครองความเป็นส่วนตัวของข้อมูลในฐานะสิทธิทางดิจิทัลของคนไทย รอติดตามค่ะ

กฎหมายนี้เป็นเรื่องใหม่ ยอมรับว่าตัวเราเองถ้าไม่ได้ฟังผู้เชี่ยวชาญมาก่อน ก็คงงงและสับสนเช่นเดียวกัน ต้องขอบคุณ อาจารย์ ดร.นพ. นวนรรณ รองคณบดีคณะแพทย์ รามาธิบดี มหาวิทยาลัยมหิดล และ เป็นหนึ่งในกรรมการผู้ทรงคุณวุฒิด้านการคุ้มครองข้อมูล คณะกรรมการคุ้มครองข้อมูลฯ ที่สละเวลาและให้เกียรติมาบรรยายให้ความรู้ ณ มูลนิธิธรรมตโปทา ซึ่งเป็นองค์กรการกุศลด้านการอบรมหลักสูตรวิปัสสนากรรมฐานฯ เมื่อต้นเดือน พ.ค.ที่ผ่านมา

ทำให้เข้าใจระดับชั้นของข้อมูลมากขึ้น
คือข้อมูลที่เปิดเผยได้ทั่วไป
ข้อมูลที่เราเลือกเปิด ปิดได้ถึงความเป็นส่วนตัว (Privacy) เช่นการที่เราเลือกจะเปิดผ้าม่านหรือปิดในบางวัน บางเวลา
และ ชั้นข้อมูลที่เป็นความลับ ห้ามเผยแพร่ (Confidentiality)
หลักการสำคัญของหน่วยงานที่จะเก็บข้อมูลของเราคือการต้องให้เรารู้ขอบเขต เหตุผลการต้องเก็บ ใช้ข้อมูล และ เราต้องยินยอมก่อน (consent) แต่หลายกรณีก็มีข้อยกเว้น โดยไม่ต้องขอความยินยอม ซึ่งมีฐานตามกฎหมายหลายประการ

เราทุกคนต่างเป็น Data subject หรือ ผู้ต้องให้ข้อมูลส่วนบุคคล ส่วนองค์กรที่เก็บ/ควบคุมข้อมูลเป็น Data controller โดยจะมีหน่วยงานที่มาประมวลผลข้อมูลหรือ Data processor ที่ต้องรับผิดชอบการดูแลข้อมูลไม่ให้รั่วไหลตามกฎหมาย เช่นเราไปโรงพยาบาล เราก็ต้องเป็นผูัให้ข้อมูล โรงพยาบาลรามาธิบดี เป็น Data controller ภายใต้นิติบุคคลใหญ่คือ มหาวิทยาลัยมหิดล ที่ต้องรับผิดชอบตามกฎหมายถ้าข้อมูลนั้นรั่วไหล เป็นต้น

อย่างไรก็ตามอาจมีปัจเจกบุคคลที่กลายเป็น Data controller ด้วยเช่นกัน ถ้าใช้ข้อมูลนั้นไปในเชิงพาณิชย์ เช่นทนายความอิสระ ช่างภาพอิสระ

กฎหมายนี้เน้น หน้าที่ของนิติบุคคล ทั้งภาครัฐ ธุรกิจเอกชน มูลนิธิ หรือ NGOs ในการต้องคุ้มครองข้อมูลของปัจเจกบุคคล ตั้งแต่ข้อมูลพื้นฐาน เช่น เบอร์โทร อีเมล ที่อยู่ เลขบัตร ไปจนถึงข้อมูลละเอียดอ่อน เช่นข้อมูลสุขภาพ ศาสนา ความเชื่อ เป็นต้น

ส่วนการถ่ายรูป โพสต์รูป ลงโซเชียลมีเดีย ไม่ได้เกี่ยวกับกฎหมายนี้โดยตรงนักถ้าเป็นเรื่องส่วนตัว ภายในครอบครัว

ที่ต้องระวังคือการใช้ข้อมูลนั้นในเชิงการค้า แสวงหารายได้ ผลกำไร ส่วนการละเมิดผู้อื่น เช่น การแอบถ่าย หรือ นำรูปผู้อื่นไปใช้ในทางเสียหาย ก็จะมีกฎหมายอื่นๆดูแลอยู่ด้วยแล้วเช่นกัน

การใช้ข้อมูลจะมีทั้งแบบที่ผิดกฎหมาย และ แบบผิดมารยาท (แต่ไม่ผิดกฎหมาย คล้ายเรื่อง ผิดกฎหมาย vs. ผิดจริยธรรม ) ซึ่งเป็นเรื่องที่ต้องค่อยๆทำความเข้าใจ เพราะเป็นเรื่องใหม่กับทุกฝ่าย ในขณะที่เราก็ต้องยกระดับในการคุ้มครองข้อมูลส่วนในยุคดิจิทัล เพราะทุกคนเสี่ยงกันหมด ทั้งในแง่ความเป็นส่วนตัว และ ความปลอดภัย ยกตัวอย่างการถูกละเมิดโดยแก๊งค์คอลเซ็นเตอร์นั่นเอง (ต้องไม่ใช่การใช้กฎหมายนี้จุกจิกในการจัดการคนเล็กคนน้อย อย่างที่กังวลกัน)

ส่วนเส้นแบ่งระหว่าง ข้อมูลที่ต้องเปิดเผย กับ ข้อมูลที่ต้องคุ้มครอง เช่น บัญชีทรัพย์สินของปัจเจกทั่วไปกับบุคคลทางการเมืองที่กฎหมายเขียนไว้ ก็สามารถเปิดเผยได้ เช่นเดียวกับข้อมูลของหน่วยราชการเพื่อประโยชน์สาธารณะก็ต้องเปิดเผยตามหลัก Open Data รวมถึงการทำหน้าที่ของสื่อมวลชนด้วย

หลักการสิทธิทางดิจิทัล (Digital Rights) คือ สังคมไทยต้องสนับสนุน การเปิดเผยข้อมูลของภาครัฐเพื่อประโยชน์สาธารณะ ธรรมาภิบาล ความโปร่งใส แต่ก็ต้องคุ้มครองข้อมูลส่วนบุคคลเพื่อความเป็นส่วนตัวและความปลอดภัยของพลเมืองนั่นเอง

เรื่องยากที่ต้องทำให้เข้าใจง่ายขึ้น

- Open (public) Data, (Personal) Data Protection -
ปล. การที่ ดร.นพ.นวนรรณ มาบรรยายที่มูลนิธิธรรมตโปทา ถือเป็นการผสานงานทางธรรมกับทางโลกมาเจอกัน เพราะศูนย์ปฏิบัติธรรมภายใต้มูลนิธิก็ต้องเก็บข้อมูลในใบสมัครเข้าคอร์สและเป็นข้อมูลละเอียดอ่อนด้วย มูลนิธิฯจึงต้องปรับตัวให้สอดคล้องกับบทบัญญัติของกฎหมาย เช่นการต้องให้ผู้สมัครยินยอม และ มีนโยบายความเป็นส่วนตัว (Privacy Notice) เป็นต้น ต้องปรับวัฒนธรรมใหม่กันพอสมควรเลย

ขออนุโมทนา ดร.นวนรรนด้วยค่ะ ที่มาช่วยให้ความรู้บุคคลากรที่อาสามาช่วยงานธรรมะ โดยขับรถไปกลับเองถึงเขาใหญ่ บรรยายจัดเต็ม ความรู้อัดแน่นไม่มีกั๊ก ที่สำคัญไม่ยอมรับค่าตอบแทนเลย (เซ็นรับแต่บริจาคคืนกลับมาให้หมด สาธุยิ่งค่ะ) ขอให้บุญกุศลส่งผลให้มีสุขภาพแข็งแรง และ ทำภารกิจในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอย่างราบรื่นตั้งแต่วันพรุ่งนี้ที่รอคอยกันมานานนะ ท่ามกลางอุปสรรคมากมาย เป็นกำลังใจให้ค่ะ 🙂
Nawanan Theera-Ampornpunt

เพิ่มเพื่อน

ข่าวที่เกี่ยวข้อง

รัฐบาลย้ำ 'PDPA' เพื่อคุ้มครองปชช. พร้อมผ่อนคลายเกณฑ์กลุ่มเอสเอ็มอี

รัฐบาลย้ำใช้กฎหมาย PDPA เพื่อประโยชน์คุ้มครองกับประชาชน ให้เวลาผู้ประกอบการขนาดเล็กปรับตัว ดีอีเอสเตรียมประกาศกฎหมาย 8 ฉบับผ่อนคลายเกณฑ์สำหรับเอสเอ็มอี คาด 4 ฉบับมีผลบังคับสัปดาห์หน้า 

'เทพไท' ยก 4 ประเด็น พรบ.คุ้มครองข้อมูลส่วนบุคคล มีปัญหาในทางปฏิบัติ จี้ให้ทบทวนแก้ไข

'เทพไท' ยก4 ประเด็น พรบ.คุ้มครองข้อมูลส่วนบุคคล จะมีปัญหาในทางปฏิบัติ แนะผู้บังคับใช้กฎหมายใช้ดุลพินิจเป็นอย่างมาก จี้หน่วยงานที่เกี่ยวข้องทบทวนแก้ไขเงื่อนไขการบังคับใช้ หวั่นสร้างความเดือดร้อนให้กับประชาชน