ดิลก ถือกล้า | บรรณาธิการวารสารการบริหารฅน
เมื่อพรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 ได้ถูกเลื่อนการบังคับใช้ออกไปจากเดิมจะมีผลตั้งแต่ 28 พฤษภาคม 2563 ไปเป็นมีผลบังคับใช้ ตั้งแต่ 1 มิถุนายน 2564 ท่ามกลางความโล่งอก และเสียงถอนหายใจของบริษัทห้างร้านต่างๆที่ส่วนใหญ่ที่ยังไม่มีความพร้อมเท่าใดนัก
แต่หลายคนอาจจะยังไม่เข้าใจหรือเข้าใจผิดคิดว่า กฎหมายเลื่อนออกไปทำให้เราไม่ต้องกังวลมากในการจะละเมิดหรือใช้ข้อมูลส่วนบุคคลของคนอื่น ซึ่งเป็นความเข้าใจที่ผิดอย่างมาก มีความสุ่มเสี่ยงอย่างมากที่จะนำไปสู่การกระทำผิดกฎหมาย เพราะการที่ได้ตรากฎหมายออกมาเป็น “พระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ปี พ.ศ. 2563” ก็ด้วยเหตุผลที่ว่า การเลื่อนการบังคับใช้กฎหมายที่เป็บพระราชบัญญัติจะทำได้ยากและเป็นเรื่องใหญ่ ดังนั้น จึงใช้การตราเป็นพระราชกฤษฎีกา ยกเว้น การบังคับใช้กับหน่วยงานและกิจการแทน ย้ำนะครับว่า ยกเว้น การบังคับใช้กับหน่วยงานและกิจการ นั่นแปลว่า การบังคับใช้กับบุคคลทั่วไปยังคงมีผลบังคับใช้ ใครจะละเมิดข้อมูลส่วนบุคคลคนอื่นไม่ได้ ซึ่งการรับรู้ของบุคคลทั่วไปทั้งกรณีของการไปทำการละเมิดหรือการปกป้องสิทธิในฐานะเจ้าของข้อมูลสส่วนบุคคลไม่ให้มีใครมาละเมิด ผู้เขียนเชื่อว่า ยังอยู่ในระดับที่น้อยถึงน้อยมาก
มีกรณีที่เกิดขึ้นที่ผู้เขียนรับรู้จากข่าวและที่เกิดขึ้นกับบุคคลใกล้ตัวที่ผู้เขียนรู้จัก และอยากจะนำมาเล่าเป็นอุทธาหรณ์ ดังนี้
กรณีแรก พนักงานชายร้านสะดวกซื้อดังและลูกค้าสาว
เหตุเกิดเนื่องจากในช่วงที่ COVID-19 ที่หน่วยงานภาครัฐได้ขอให้ผู้เข้าใช้บริการในร้านค้าต่างๆต้องบันทึกการเข้าออกในรูปแบบการ Scan QR Code ไทยชนะ หรือ ใช้การแจ้งชื่อ เบอร์โทรศัพท์เพื่อให้มีสามารถติดต่อได้หากเกิดเหตุการระบาดของ COVID-19 ในพื้นที่บริเวณนั้น ซึ่งลูกค้าสาวรายหนึ่งได้ทำตามตามแนวทางของรัฐบาลอย่างเคร่งครัด โดยลงชื่อจริงและเบอร์มือถือของเธอในสมุดจดที่ร้าน
ผลที่ตามมาก็คือ หลังจากนั้นไม่กี่วัน ได้มีผู้ชายที่เธอทราบภายหลังว่าเป็นพนักงานของร้านสะดวกซื้อที่เธอเคยไปลงชื่อเอาไว้ทักมาทางไลน์ว่า “มีแฟนหรือยังครับ” ซึ่งคาดการณ์ได้ว่า น่าจะเป็นการนำเบอร์โทรศัพท์มือถือของเธอไป Search หาช่งอทางการติดต่อผ่านแอพพลิเคชั่นไลน์ แล้วทักเข้ามา
เท่าที่อ่านจากข่าวลูกค้าสาวท่านนี้มีการปรึกษาผู้รู้ ปรึกษาเพื่อน แต่ไม่มีข้อมูลว่าได้แจ้งความเพื่อดำเนินการทางกฎหมาย
กรณีที่สอง พนักงานรักษาความปลอดภัยประจำสวนสาธารณะและนักวิ่งสาว
เป็นกรณีที่เกิดกับน้องที่ทำงานปัจจุบัน น้องเป็นเด็กสาวหน้าตาดีชอบออกกำลังกายด้วยการวิ่ง และไปวิ่งเป็นประจำที่สวนสาธารณะแห่งหนึ่งของจังหวัดระยอง เป็นสวนที่ไม่ได้ใหญ่มากนัก และก็เช่นกับกรณีแรก ที่น้องก็ปฎิบัติตนเป็นพลเมืองที่ดี ที่พร้อมที่จะให้ความร่วมมือกับรัฐในการต่อสู้กับ COVID-19 ด้วยการกรอกข้อมูลก่อนเข้าไปวิ่งในสวนสาธารณะดังกล่าวทั้งชื่อจริงและเบอร์โทรศัพท์มือถือในสมุดที่วางไว้ที่ป้อมยาม มีพนักงานรักษาความปลอดภัยคอยดูแล
ผลที่ตามมาก็คือ น้องไม่ได้ไปวิ่งอีกหลายวัน แล้วจู่ๆก็มีผู้ชายทักมาทางไลน์ว่า “เป็นอะไรหรือเปล่าครับ ไม่เห็นมาวิ่งหลายวัน เป็นห่วงนะครับ” ซึ่งน้องทราบจากข้อมูลว่า เป็นพนักงานรักษาความปลอดภัยที่ประจำอยู่ในสวนที่เธอไปวิ่งเป็นประจำ และจากเรื่องที่น้องเจอทำให้น้องไม่กล้าไปวิ่งที่สวนสาธารณะแห่งนั้นอีกเลย
ผู้เขียนทราบเรื่องและได้ถามน้องว่า อยากจะดำเนินการทางกฎหมายหรือไม่ แต่น้องบอกว่า ไม่อยากเอาเรื่องเพราะห่วงความปลอภัย ซึ่งผู้เขียนก็เคารพการตัดสินใจของน้อง
สิ่งที่ได้เรียนรู้จากทั้งสองกรณี
ถึงแม้ว่า ทั้งสองกรณีจะไม่มีการแจ้งความดำเนินดคีทางกฎหมาย แต่ผู้เขียนมองว่าเป็นกรณีที่สังคมน่าจะได้เรียนรู้ในเรื่องที่เกี่ยวข้องดังนี้
1. การรักษาสิทธิของเจ้าของข้อมูลส่วนบุคคล
ต้องถือว่า การคุ้มครองข้อมูลสส่วนบุคคลในบ้านเราเป็นเรื่องใหม่ แม้แต่เจ้าของข้อมูลส่วนบุคคลเองก็ยังไม่เข้าใจหรือไม่ได้ตระหนักว่า ว่าข้อมูลส่วนบุคคลของตนเองนั้นมีความสำคัญมากแค่ไหน ทำให้เมื่อเกิดการละเมิดก็มักจะไม่แน่ใจ ไม่แน่ใจว่าตนเองจะทำอะไรได้มากน้อยแค่ไหน ซึ่งจากนี้ไป ภาครัฐเองจะต้องสื่อสารเรื่องนี้ให้มาก รวมทั้งหน่วยงานที่มีความพร้อมก็ควรสื่อสารให้กับคนในองค์กรเกิดการตระหนักเรื่องนี้ให้มาก
2. การให้ความยินยอมในการเก็บรวบรวมข้อมูลและการเก็บรวบรวมข้อมูลบุคคลด้วยฐานอื่น
โดยหลักการที่กฎหมายคุ้มครองในการเก็บรวบรวมข้อมูลจะต้องมีการขอความยินยอมและได้รับการยินยอมก่อน ยกเว้นกรณีที่เป็นการเก็บรวบรวมด้วย “ฐานอื่น” เช่น ด้วยการบังคับทางกฎหมายอย่างกรณี COVID-19 ก็จะมีกฎหมายสองฉบับคือ พรก.สถานการณ์ฉุกเฉินและพรบ.โรคติดต่อให้หน่วยงานสามารถเก็บข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
3. ความรับผิดในฐานะบุคคล
สิ่งที่ทั้งพนักงานร้านสะดวกซื้อและพนักงานรักษาความปลอดภัยได้ทำลงไป เป็นการกระทำที่ผิดต่อพรบ.คุ้มครองข้อมูลส่วนบุคคล เพราะเป็นการนำข้อมูลไปใช้ไม่ได้รับความยินยอมจากลูกค้าซึ่งเป็นเจ้าของข้อมูลก่อน เป็นการนำข้อมูลส่วนบุคคลของไปใช้โดยไม่ชอบ ผิดต่อวัตถุประสงค์ เพราะการให้ข้อมูลดังกล่าวเป็นการกระทำตามมาตราการของรัฐเพื่อป้องกันโรคระบาด COVID-19 เท่านั้น โดยการกระทำของบุคคลทั้งสองมีความผิด ผิดตามมาตรา 27 มีโทษทางอาญาคือ จำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาทหรือทั้งจำทั้งปรับ
4. ความรับผิดในฐานะองค์กร
เนื่องจากการรับผิดของหน่วยงานที่เป็นนายจ้างของพนักงานร้านสะดวกซื้อและนายจ้างของพนักงานรักษาความปลอดภัยในฐานะหน่วยงานที่ต้องบริหารจัดการถูกเลื่อนออกไปตามพระราชกฤษฎีกาที่กล่าวไปตอนต้น แต่ถ้าหากเหตุการณ์นี้เกิดขึ้นภายหลังวันที่ 1 มิถุนายน 2564 การรับผิดต่อการละเมิดจะไม่ได้จบลงแค่ตัวพนักงานสองคนนี้ แต่นายจ้างจะถูกตรวจสอบต่อว่า ได้มีการดำเนินการเก็บรวบรวม ใช้ เปิดเผย และลบทำลายได้ครบถ้วนถูกต้องตามที่กฎหมายไว้หรือไม่ ถ้าไม่ หน่วยงานต้นทั้งสองหน่วยงานนี้มีความเสี่ยงที่จะถูกดำเนินการทางฎหมายที่ทางแพ่งและทางอาญา หากว่าไม่สามารถต่อสู้เพื่อพิสูขน์ให้เห็นได้ว่า หน่วยงานได้มีการวางนโยบาย ระบบ หรือกระบวนการไว้อย่างเพียงพอ
สิ่งที่ผู้เขียนอยากขอทิ้งท้ายไว้คือ อย่าล้อเล่นกับ พรบ.คุ้มครองข้อมูลส่วนบุคคลเป็นอันขาด เพราะผลที่ตามมาจะหนักหนาเกินกว่าที่หลายคนคาดการณ์เอาไว้
留言