ความคืบหน้า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล อิง GDPR มากขึ้น แต่เอกชนกังวลเพราะมีโทษอาญาด้วย

2018-09-20

วันที่ 11 กันยายน กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดให้ภาคสังคมเข้ารับฟังเวทีประชาพิจารณ์ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล สถานะตอนนี้คือคณะกรรมการกฤษฎีกาได้แก้ไขกลับมาแล้ว ขั้นต่อไปคือเข้าสู่การพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.)

ร่าง พ.ร.บ.ฉบับแก้ไขโดยคณะกรรมการกฤษฎีกา มีการอ้างอิงหลักการ GDPR หรือกฎใหม่คุ้มครองข้อมูลส่วนบุคคลยุโรปเพิ่มหลายจุด แต่มีบางจุดที่ภาคเอกชนกังวลคือ การให้อำนาจเลขา สพธอ. (หน่วยงานที่มาทำหน้าที่เป็นผู้กำกับดูแล ช่วงก่อนตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมาทำหน้าที่) ในการตัดสินโทษปรับและสามารถใช้ดุลยพินิจได้นั้นสมควรหรือไม่, ค่าปรับถูกรวมเข้าเป็นรายได้ของหน่วยงาน regulator ไม่นำไปรวมกับรายได้แผ่นดิน, รวมถึงการเพิ่มโทษอาญาเข้ามาทำให้ธุรกิจรู้สึกมีความเสี่ยง

No Description

หลักการสำคัญบางประการใน ร่าง พ.ร.บ. ที่คณะกรรมการกฤษฎีกาแก้ไข

  • นิยาม จากเดิมที่นิยาม “ข้อมูลส่วนบุคคล” ไม่รวมที่อยู่ทางธุรกิจ ฉบับแก้ไขได้ตัดข้อแม้ออก และแก้ไขเป็น ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวคนได้ ไม่ว่าทางตรง ทางอ้อม
    No Description
    (ซ้ายฉบับเก่า ขวาฉบับคณะกรรมการกฤษฎีกาแก้ไข)
  • มีระยะเวลาบังคับใช้หลังประกาศเร็วขึ้น จาก 1 ปี เป็น 180 วัน
  • ปรับสัดส่วนคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เป็นกรรมการโดยตำแหน่ง 5 คน (จากเดิม 8 คน) กรรมการโดยการสรรหา 9 คน (จากเดิม 5 คน) เพิ่มการมีส่วนร่วมจากภาคส่วนที่เกี่ยวข้อง ในกฎหมายระบุว่าจะแต่งตั้งจาก ผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการคุ้มครองข้อมูลส่วนบุคคล, ด้านการคุ้มครองผู้บริโภค, เทคโนโลยีสารสนเทศและการสื่อสาร, สังคมศาสตร์ และกฎหมายสุขภาพ
  • ที่มาของคณะกรรมการสรรหา ประกอบด้วย นายกรัฐมนมนตรีแต่งตั้ง 2 คน, ประธานรัฐสภา แต่งตั้ง 2 คน, ผู้ตรวจการแผ่นดินแต่งตั้ง 2 คน คณะกรรมการสิทธิมนุษยชนแห่งชาติ แต่งตั้ง 2 คน
  • เปลี่ยนอัตราโทษ จาก 1-5 แสนบาท เป็น 1-5 ล้านบาท

ยกตัวอย่างบางส่วนในร่าง พ.ร.บ. ที่อิง GDPR เพิ่มเข้ามา

  • GDPR Article 8 ว่าด้วยเงื่อนไขที่เกี่ยวข้องกับความยินยอมของเด็ก มีการเพิ่มเติมการขอความยินยอมจากเด็กและผู้ไร้ความสามารถในร่างกฎหมายมาตราที่ 20
  • GDPR Article 9 ว่าด้วยเรื่องข้อมูลอ่อนไหว มีข้อมูลอะไรบ้างที่ห้ามนำไปประมวลผล
    ในนิยามข้อมูลอ่อนไหวในร่างกฎหมายไทย ได้เพิ่มข้อมูลสหภาพแรงงาน ชีวภาพ พันธุกรรมเข้ามาในหมวดนี้ด้วย จากเดิมที่มีแค่ เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติ อาชญากรรม และข้อมูลสุขภาพ
  • GDPR Article 45,46,47 ว่าด้วยการโอนข้อมูลข้ามประเทศและโอนข้อมูลภายในองค์กร ในร่างกฎหมายมีการแก้ไขให้ชัดเจนขึ้นว่าถ้าประเทศปลายทางมีมาตรฐานดีหรือไม่ดีพอ และได้แจ้งความยินยอมเจ้าของข้อมูลแล้วก็สามารถทำได้ และเพิ่มเติมหลักการให้ความคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร หากมีนโยบายที่ได้รับการตรวจสอบและรับรองจากสำนักงานก็สามารถโอนข้อมูลไปยังต่างประเทศได ้

No Description

ข้อเสนอแนะและความกังวล

ความกังวลบางประการที่ภาคธุรกิจและสังคมมีต่อ ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ความเห็นจาก สุธี ทุวิรัตน์ กรรมการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ ระบุว่า การให้อำนาจเลขาสำนักงานคุ้มครองข้อมูลส่วนบุคคลในการกำหนดโทษโดยใช้ดุลยพินิจได้เป็นเรื่องน่ากังวลอย่างยิ่ง

ที่สำคัญคือ สำนักงานฯ มีสิทธิ์ถือหุ้นในบริษัทเอกชนด้วย (มาตรา 44 วงเล็บ 4 ระบุว่าสำนักงานคุ้มครองข้อมูลส่วนบุคคลสามารถถือหุ้น เข้าเป็นหุ้นส่วน หรือเข้าร่วมทุนกับนิติบุคคลอื่นในกิจการที่เกี่ยวกับวัตถุประสงค์ของสำนักงาน)

สิทธินัย จันทรานนท์ data protection officer หรือเจ้าหน้าที่คุ้มครองข้อมูลของการบินไทย ที่ถือว่าเป็นองค์กรแรกๆ ของไทยที่ตื่นตัวเรื่องการคุ้มครองข้อมูลส่วนบุคคล ระบุว่าร่างนี้มีความสมบูรณ์กว่าร่างก่อนหน้า หลายอย่างรับเอาหลัก GDPR มา แต่ไม่แน่ใจว่าครบถ้วนถูกต้องหรือไม่ นอกจากเอกชนแล้ว หน่วยงานราชการก็ต้องทำงานให้สอดคล้องหลักคุ้มครองข้อมูลส่วนบุคคลด้วย

นายสิทธินัย เน้นเรื่องการใส่โทษอาญา เข้าไปทั้งที่กฎหมายนี้เป็นกฎหมายใหม่นั้นเป็นเรื่องสมควรหรือไม่ เพราะแม้แต่ GDPR ยังมีแค่โทษปรับทางแพ่ง ไม่มีอาญาหรือจำคุก ถ้าเป็นเช่นนี้ จะทำให้ธุรกิจดำเนินงานภายใต้ความเสี่ยงโทษอาญาทันที

(หมายเหตุ: ในร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หมวดกำหนดโทษ มีการระบุโทษอาญาเข้ามาด้วย สรุปได้ว่าถ้าผู้ถือครองข้อมูลเปิดเผยข้อมูลโดยไม่ขอความยินยอมก็จะเจอโทษปรับไม่เกิน 1 ล้านบาท และจำคุกไม่เกิน 1 ปี หรือทั้งจำทั้งปรับ)

No Descriptionบรรยากาศการประชุมชี้แจงและรับฟังความคิดเห็นเกี่ยวกับร่างกฎหมาย
ภาพจาก กระทรวงดีอี

เนื่องจากนิยามข้อมูลส่วนบุคคลไม่ได้มีพูดถึงข้อมูลปกปิดตัวตน (เช่น ข้อมูลเซอร์เวย์ถามความเห็น) จึงมีข้อเสนอแนะจากผู้เข้าร่วมฟังคนหนึ่งว่า ควรอธิบายให้ชัดในกฎหมายว่าข้อมูลที่ปกปิดตัวตนแล้วถือว่าเป็นข้อมูลส่วนบุคคลหรือไม่ แต่จากการตีความทางกฎหมายแล้วนั้นไม่ถือว่าเป็นข้อมูลส่วนบุคคล เพราะเกรงจะกระทบการทำบิ๊กดาต้า

เมธา สุวรรณสาร นายกสมาคม TISA ถามว่า หน่วยงานกำกับที่ตั้งขึ้นใหม่นี้จะมีอำนาจกำกับทั้งรัฐและเอกชนหรือไม่ ถ้ามี เท่ากับมีอำนาจกำกับ แบงค์ชาติ กลต.หรือไม่ ถ้าเป็นเช่นนั้น จะถือเป็นการซ้ำซ้อนกับหน่วยงานเหล่านั้น สร้างภาระให้หน่วยงานกำกับ จึงมองว่า ผู้กำกับดูแลควรมีหน้าที่แค่กำกับจริงๆ ไม่ใช่ลงไปจัดการ เพราะเทคโนโลยีมันเปลี่ยนเร็วกว่าหน่วยงานกำกับจะตามทัน กล่าวคือไม่ควรกำกับมาก แต่ควรวางแค่กรอบก็พอ

กระทรวงดีอีจะพยายามนำความเห็นไปหารือในขั้น สนช. พิจารณา

นางอัจฉรินทร์ พัฒนพันธ์ชัย ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เน้นย้ำถึงการจัดรับฟังความเห็นในวันนี้ (11 กันยายน) ว่า เป็นวัตถุประสงค์ของกระทรวงที่จะให้สังคมรับฟัง เพราะกระทรวงไม่สามารถปรับแก้ไขในร่างนี้ได้แล้ว ซึ่งจะรวบรวมความเห็นเข้าไปในขั้นตอนการหารือถกเถียงในขั้น สนช. พิจารณาได้ถ้ามีโอกาส

อ่านร่างกฎหมายเพิ่มเติม

Topics: