- เพราะการคุ้มครองส่วนบุคคล คือ เรื่องใกล้ตัว เกี่ยวข้องกับทุกคน และแน่นอน เกี่ยวข้องกับครอบครัว รวมถึงเด็ก ๆ
- แต่เมื่อ PDPA ประกาศใช้เมื่อเดือนมิถุนายน 2565 ที่ผ่านมา ทำตัวไม่ถูกและไม่มั่นใจว่า กิจกรรมในครอบครัวจะถูกมองเป็นการละเมิดสิทธิตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) หรือไม่
- mappa ชวนทนายความความด้านกฎหมายธุรกิจและเทคโนโลยี กางกฎหมาย PDPA ตอบข้อสงสัยทุกฝ่าย ตั้งแต่ความหมายไปจนถึงการสอนลูกเรื่อง PDPA
1 มิถุนายน 2565 คือ วันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) มีผลบังคับใช้เต็มรูปแบบเป็นวันแรก
หลายคนยังไม่รู้จัก PDPA แล้วกังวลว่า ขอบเขตของความเป็นส่วนตัวอยู่ตรงไหน? เราสามารถโพสต์รูปและใช้โซเชียลอย่างอิสระเหมือนแต่ก่อนไหม?
“เราโพสต์รูปลูกลงโซเชียลได้อยู่ไหม ต้องขอความยินยอมจากลูกหรือเปล่า”
“ไม่ขอความยินยอมจากลูกแบบนี้ผิด PDPA ไหมนะ”
“ได้ยินว่า PDPA โทษสูงมาก แบบนี้เราจะโดนไหมเนี่ย”
“พาลูกไปสมัครเรียนกวดวิชา โรงเรียนยื่นแบบฟอร์มขอความยินยอมมาให้เซ็น มันคืออะไร ต้องเซ็นไหม ไม่เซ็นได้ไหมนะ” “เอาน่า เซ็น ๆ ไปเถอะ”
เหล่านี้เป็นเพียงคำถามบางส่วนจากพ่อ ๆ แม่ ๆ ที่เรารวบรวมมา และเชื่อว่าพ่อ ๆ แม่ ๆ คงยังมีคำถามคาใจเกี่ยวกับกฎหมายตัวนี้อีกมาก
mappa ชวน ‘ศุภดิตถ์’ พลังเทพินทร์ ทนายความด้านกฎหมายธุรกิจ การควบรวมกิจการ (M&A) และกฎหมายเทคโนโลยี กางกฎหมาย PDPA ตอบข้อสงสัยทุกฝ่าย ตั้งแต่ความหมาย ไปจนถึงการสอนลูกเรื่อง PDPA
“เพราะการคุ้มครองส่วนบุคคล คือ เรื่องใกล้ตัว เกี่ยวข้องกับทุกคน และแน่นอน เกี่ยวข้องกับครอบครัว รวมถึงเด็ก ๆ ด้วย”
“พ่อแม่เป็นบุคคลที่กฎหมายไว้ใจ และกำหนดให้มีส่วนร่วมในการตัดสินใจและเป็นตัวกลางเกี่ยวกับข้อมูลส่วนบุคคลของลูก ๆ ข้อมูลส่วนบุคคลของลูก ๆ จะถูกใช้หรือจัดการอย่างไร สิทธิของลูกจะถูกใช้หรือปกป้องอย่างไร กฎหมายฝากไว้ในมือพ่อ ๆ แม่ ๆ”
“การทำให้เด็ก ๆ เข้าใจเกี่ยวกับ ‘การคุ้มครองข้อมูลส่วนบุคคล’ อาจไม่ใช่เรื่องง่าย แต่ถ้าทำได้ อย่างน้อยเด็ก ๆ จะได้ตระหนักรู้ว่า หนึ่ง เขามีสิทธิอะไร สอง จะปกป้องสิทธิตัวเองอย่างไร และ สาม เรียนรู้ว่าจะปฏิบัติตัวและอยู่ร่วมกับคนอื่นอย่างไร เรื่องเล็ก ๆ ที่ไม่ง่ายนี้ เริ่มต้นปลูกฝังได้ตั้งแต่จากครอบครัว โรงเรียน และถ้าทำได้ อาจส่งผลที่ยิ่งใหญ่ต่อสังคมในระยะยาว”
PDPA คืออะไร
PDPA ชื่อเต็ม ๆ คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
จะเห็นว่า ในชื่อกฎหมายมีสองคำสำคัญ คือ คุ้มครอง และ ข้อมูลส่วนบุคคล
คำแรก “คุ้มครอง” หัวใจกฎหมายของฉบับนี้มีอยู่สามส่วน หนึ่ง คือ มุ่งคุ้มครองและรับรองสิทธิของเจ้าของข้อมูลส่วนบุคคล สอง คือ กำหนดหน้าที่ของคนที่เข้ามามายุ่งกับข้อมูลของเจ้าของข้อมูลส่วนบุคคล และสุดท้าย กำหนดบทลงโทษ สำหรับการไม่ปฏิบัติตาม
คำที่สอง “ข้อมูลส่วนบุคคล” ตาม PDPA มีความหมายค่อนข้างกว้าง จะเป็นข้อมูลส่วนบุคคลได้ ต้องมีสององค์ประกอบหลัก องค์ประกอบแรก คือ ข้อมูลของคนที่เป็นคนธรรมดาจริง ๆ ไม่รวมถึงข้อมูลของคนที่ตายไปแล้ว หรือข้อมูลของนิติบุคคล เช่น บริษัท องค์กรต่าง ๆ
หมายถึงเป็นข้อมูล (อะไรก็ได้) ที่สามารถ “ระบุไปถึงตัวบุคคล” ไม่ว่าทางตรงหรือทางอ้อม ซึ่งหมายความว่า “ไม่ว่าจะด้วยวิธีไหน” จะด้วยตัวมันเอง อ่านแล้วเข้าใจได้ทันทีว่าหมายถึงใคร หรือตัวมันเองอาจไม่เข้าใจทันที แต่เมื่อรวมกับข้อมูลอื่น หรือทำด้วยวิธีการอะไรก็ตาม สุดท้ายจะโยงไปถึงตัวคนได้ ก็เป็นข้อมูลส่วนบุคคลทั้งสิ้น
ข้อมูลในที่นี้ ศุภดิตถ์อธิบายว่า คือข้อมูลอะไรก็ได้ ที่เราคุ้นเคย เช่น ชื่อ ข้อมูลส่วนตัว อายุ เพศ รูปถ่าย หมายเลขโทรศัพท์ โทรสาร เลขบัตรเครดิต ข้อมูลสุขภาพ ไปจนถึงระดับที่ซับซ้อนขึ้น เช่น ข้อมูลชีวมิติ เช่น ม่านตา ลายนิ้วมือ IP Address ประวัติการท่องเว็บ
โดยข้อมูลส่วนบุคคลนี้ รวมถึง “ข้อมูลอ่อนไหว” เช่น ข้อมูลสุขภาพ ความพิการ กรุ๊ปเลือด ข้อมูลชีวมิติ (เช่น ม่านตา ลายนิ้วมือ) พฤติกรรมทางเพศ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อ และศาสนา เป็นต้น ซึ่งเป็นข้อมูลที่กฎหมายให้ความดูแลเป็นพิเศษ (ทั้งในแง่หน้าที่ที่เข้มงวดมากกว่าและความรุนแรงของโทษหากฝ่าฝืน) เนื่องจากเป็นข้อมูลกลุ่มนี้อาจทำให้เจ้าของข้อมูลถูกตัดสินหรือถูกเลือกปฏิบัติ
“จะเก็บข้อมูลคนอื่น ต้องขอความยินยอมทุกครั้งจริงไหม”
คำตอบ คือ “ไม่จริง”
การเก็บ-ใช้-เปิดเผยข้อมูลตาม PDPA ให้ถูกกฎหมาย ไม่จำเป็นต้องขอความยินยอมทุกครั้ง หากมีเหตุผลทางกฎหมาย (ฐานทางกฎหมาย – lawful basis) อื่นรองรับ เช่น
- เก็บ/ใช้ข้อมูลเพื่อการทำสัญญา (เช่น เราจะขายของเล่นของลูกที่ไม่ใช้แล้วให้เพื่อน เลยขอที่อยู่จัดส่งของเพื่อน)
- เก็บ/ใช้เพราะกฎหมายบอกให้ทำได้ (เช่น กรอกข้อมูลของลูกลงแบบฟอร์มส่งกรมสรรพากรเพื่อประเมินภาษี)
- เก็บ/ใช้เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ (เช่น ส่งข้อมูลลูกที่หมดสติให้โรงพยาบาลเพื่อทำการรักษา)
- เก็บ/ใช้เพราะเป็นประโยชน์ที่กฎหมายเห็นว่าทำได้ (ภาษากฎหมายยาก ๆ เรียกว่า ประโยชน์โดยชอบด้วยกฎหมาย หรือ legitimate interest) ซึ่งตรงนี้เป็นนามธรรมและต้องพิจารณารายกรณีไป เป็นต้น
เปรียบเทียบง่าย ๆ ว่า เรามีถนนให้ไปหลายสาย ไปสายไหนก็ได้ ถึงจุดหมายเหมือนกัน
ศุภดิตถ์บอกว่า “ความยินยอม ของ่าย แต่ขอให้เป็นทางเลือกสุดท้าย” – ถนนเส้นนี้มักถูกใช้เวลานึกอะไรไม่ออก ไปง่าย ดูไม่มีอะไร แต่มีกับระเบิดซ่อนอยู่
หากมีเหตุผลหรือฐานทางกฎหมายอื่นรองรับอยู่แล้ว ก็ไม่ควรขอความยินยอม เพราะ หนึ่ง กฎหมายกำหนดเงื่อนไขในการขอความยินยอมไว้หลายข้อ (เช่น ต้องแยกส่วนจากข้อความอื่น ชัดเจน ไม่คลุมเครือ เข้าใจง่าย เข้าถึงง่าย ต้องทำเป็นลายลักษณ์อักษรหรือด้วยวิธีการอิเล็กทรอนิกส์ เจ้าของข้อมูลต้องไม่ถูกบังคับ) และ สอง ความยินยอมนี้เจ้าของข้อมูลสามารถเดินมาถอนได้ในภายหลัง
สุดท้ายหากขอความยินยอมโดยไม่ถูกต้อง หรือความยินยอมถูกถอนไปแล้ว การเข้าไปยุ่งกับข้อมูลอาจผิดกฎหมาย และตามมาด้วยโทษปรับที่สูง (สูงสุด 5 ล้านบาท)
ความยินยอมจึงควรเป็นถนนเส้นสุดท้ายที่ควรไป และการเลี่ยงไปใช้ถนนเส้นอื่นก่อน (ถ้ามีถนนเส้นอื่นเปิดทางให้เรา) จึงเป็นสิ่งที่ควรทำและจำเป็น (โดยเฉพาะสำหรับองค์กรใหญ่ ๆ ที่เกี่ยวข้องกับข้อมูลมาก) เพื่อลดความเสี่ยงที่จะตามมา
(เรื่องฐานทางกฎหมาย หากสนใจเพิ่มเติม โปรดดู PDPA มาตรา 24 สำหรับข้อมูลทั่วไป และมาตรา 26 สำหรับข้อมูลอ่อนไหว ซึ่งกฎหมายกำหนดฐานทางกฎหมายไว้เป็นเฉพาะ)
“เราโพสต์รูปลูกลงโซเชียลได้อยู่ไหม ต้องขอความยินยอมจากลูกหรือเปล่า”
“ไม่ขอความยินยอมจากลูกแบบนี้ผิด PDPA ไหม”
คำตอบของนักกฎหมาย คือ “ทำไมจะไม่ได้ล่ะครับ (ยิ้ม)”
การโพสต์รูปลูกสามารถทำได้ หากเป็นการกระทำไปเพื่อประโยชน์ส่วนตัว หรือเป็นกิจกรรมในครอบครัว PDPA กำหนดไว้ชัดเจนว่าจะไม่เข้าไปยุ่งกับกิจกรรมเหล่านี้ (หมายความว่า ไม่อยู่ภายใต้ขอบเขตของกฎหมาย PDPA เลย และแน่นอนว่า ไม่ต้องขอความยินยอม)
“พ่อแม่บางคนกังวลเรื่องโพสต์รูปลูกลงอินสตราแกรม หรือทำแอ็กเคานต์เป็นไดอารีเพื่อบันทึกการเติบโตของลูก ว่าจะโดน PDPA ไหม ถ้าไม่มี hidden agenda อื่น ๆ ก็อาจจะค่อนข้างชัดในตัวว่าเข้าข่ายเพื่อประโยชน์ส่วนตน เพื่อกิจกรรมในครอบครัวได้”
อย่างไรก็ตาม กฎหมายก็ไม่ได้ระบุว่า ขอบเขตของคำว่า “ใช้เพื่อส่วนตัวหรือเพื่อกิจกรรมในครอบครัว” อย่างชัดเจนว่า อยู่ตรงไหนและวัดได้จากอะไร ซึ่งตอนนี้ก็ยังไม่มีแนววินิจฉัยอย่างเป็นทางการที่ชัดเจน
ข้อควรระวัง คือ หากการโพสต์นั้นข้ามเส้นของคำว่า “เพื่อประโยชน์ส่วนตัวหรือเพื่อกิจกรรมในครอบครัว” ไปแล้ว PDPA ก็จะเอื้อมมือเข้ามาแตะทันที
“สมมติว่าโพสต์รูปลูกลงอินสตาแกรม แต่ในรูป ลูกถือสินค้าชิ้นหนึ่งอยู่เพื่อรีวิวหรือขายของ ก็อาจเกิดการตั้งคำถามว่า สิ่งที่เกิดขึ้นทำเพื่อเพื่อประโยชน์ส่วนตน เพื่อกิจกรรมในครอบครัว หรือเพื่อประโยชน์ของร้านค้าหรือคนที่จ้างเรา เป็นเรื่อง commercial ไปแล้วหรือเปล่า ซึ่งถ้าเป็นไปเพื่อเชิงพาณิชย์แล้ว กรณี PDPA จะเอื้อมมือเข้ามาแตะแล้ว และอาจต้องขอความยินยอม”
แต่ในทางปฏิบัติ การที่พ่อแม่จะขอความยินยอมจากลูก ด้วยการบอกลูกว่า “เดี๋ยวพ่อขอถ่ายรูปลูกไปโพสต์โปรโมทสินค้านะ ลูกเซ็นแบบฟอร์มขอความยินยอมให้พ่อหน่อย” ก็คงเป็นไปได้ยาก อีกทั้งกฎหมาย PDPA ก็กำหนดให้พ่อแม่เป็นคนให้ความยินยอมแทนหรือร่วมด้วยกับลูก ๆ
“กลายเป็นพ่อขอเอง ให้เอง แบบนี้ได้หรือ ซึ่งปัญหานี้ก็ยังคงเป็นปัญหาที่กฎหมายไม่ได้พูดถึงวิธีแก้ที่ชัดเจน”
อีกประเด็นสำคัญ พ่อแม่อาจทำผิด PDPA จริง แต่เมื่อผิดแล้ว จะดำเนินการอะไรต่อไปหรือไม่ ก็เป็นอีกเรื่องหนึ่ง การที่ลูกจะเดินไปแจ้งตำรวจ ฟ้องศาล หรือหน่วยงานกำกับดูแลจะมาคอยไล่จับพ่อแม่ ก็อาจจะไม่เห็นกันบ่อยนักในกรณีปกติ
คิดก่อนโพสต์
ศุภดิตถ์บอกว่า เหนือสิ่งอื่นใด ความเป็นส่วนตัวของลูกเป็นประเด็นที่คุณพ่อคุณแม่และคนในครอบครัวควรให้ความสำคัญ เพราะการกระทำของคุณพ่อคุณแม่ส่งผลกระทบโดยตรงกับข้อมูลส่วนบุคคลของลูก และสุดท้ายลูก ๆ อาจต้องเจอผลกระทบกับสิ่งที่ตัวเองไม่ได้เลือก
ลูกบางคนอาจยังไม่ถึงวัยที่จะเข้าใจผลกระทบของการเผยแพร่ข้อมูลส่วนบุคคลของตนเอง หรือกล้าบอกพ่อแม่ว่าเขารู้สึกอย่างไร เพราะฉะนั้น ระดับและขอบเขตของ content หรือสารที่จะสื่อออกไปให้คนอื่นรับรู้เกี่ยวกับตัวลูก และการทำความเข้าใจและคอยสอบถามลูก ๆ (หากถึงลูก ๆ สามารถเข้าใจได้แล้ว) จึงเป็นเรื่องสำคัญ
“พ่อแม่บางคน เลือกให้ลูกออกสื่อ เปิดเผยชีวิตส่วนตัวของลูกในโซเชียลมีเดีย หรือปั้นลูกให้เป็น influencer ซึ่งสังคมอาจมองว่าเป็นเรื่องปกติไม่เห็นเป็นอะไรเลย แต่ในอีกมุมหนึ่ง จริง ๆ แล้ว ลูกอาจต้องการพื้นที่ส่วนตัวอาจจะอยากเป็นแค่ no one ในสังคมก็ได้ ซึ่งเมื่อเวลาผ่านไปแล้ว หากลูก ๆ ของเราไม่ต้องการเช่นนั้น ก็ย้อนกลับไปแก้ไขอะไรไม่ได้แล้ว การคิดก่อนโพสต์ และการสื่อสารกับลูกเพื่อกำหนดขอบเขตร่วมกัน จึงเป็นเรื่องสำคัญ”
ถ่ายรูปลูก แต่ติดคนอื่นด้วย การเบลอหน้าช่วยได้ไหม?
“การเบลอหน้าเป็นการช่วยลดความเสี่ยงในแง่ของคนเข้าไปยุ่งกับข้อมูล และปกป้องสิทธิของคนที่ถูกถ่ายรูปด้วย – ได้ทั้งเขา ได้ทั้งเรา”
ศุภดิตถ์บอกว่า ประเด็นนี้อาจพบเจอบ่อยครั้ง และคงไม่มีใครมานั่งเบลอหน้าทุกภาพ แต่สิ่งที่ดูไม่ปกติสำหรับชีวิตประจำวันของเรานี้ แท้จริงแล้วมีประโยชน์ซ่อนอยู่
สำหรับพ่อแม่แล้ว หากการถ่ายรูปนั้น เป็นไปเพื่อประโยชน์ส่วนตน (personal use) หรือใช้ในครอบครัว คำตอบก็จะเหมือนกับคำถามก่อน คือ กรณีนี้ PDPA ไม่ได้เข้ามายุ่ง การเบลอหน้าอาจไม่จำเป็น (แต่ถ้าทำได้ก็เป็น practice ที่ดี แม้จะไม่ practical)
หากย้อนกลับไปดูนิยามของ “ข้อมูลส่วนบุคคล” หัวใจสำคัญ คือ ข้อมูลนั้นต้องสามารถระบุตัวบุคคลได้ไม่ว่าจะทางตรงหรือทางอ้อม การเบลอหน้าอาจทำให้ความสามารถในการ track ไปถึงตัวคนยากขึ้น
ในมุมของคนที่เข้าไปยุ่งกับข้อมูล หากเบลอทั้งหน้าทั้งตัว จนไม่สามารถระบุว่าเป็นใครได้ ก็อาจหลุดจากนิยามคำว่าข้อมูลส่วนบุคคล หมายความว่า PDPA ก็จะไม่เข้ามายุ่งในส่วนนั้น ๆ (แปลว่าไม่ต้องทำตาม PDPA) แต่หากเบลอแล้วยังระบุไปถึงตัวคนได้ (เช่น เหลือแขน ขา รูปร่าง) แบบนี้ยังต้องทำตาม PDPA อยู่ เพราะยังเป็นข้อมูลส่วนบุคคล เพียงแต่อาจช่วยลดความเสี่ยงในการถูกดำเนินการตาม PDPA (หากมี)
อย่างไรก็ตาม การเบลอหน้าถือเป็น practice ที่ดี เพราะนอกจากจะช่วยลดความเสี่ยงให้แก่คนเก็บ-ใช้ข้อมูลแล้ว ยังเท่ากับเป็นการเคารพความเป็นส่วนตัวและสิทธิของคนที่ถูกถ่ายรูป และช่วยลดความเสี่ยงของคนที่ถูกถ่ายรูปอีกทางหนึ่งด้วย
ศุภดิตถ์เสริมว่า “ที่เล่ามานี้ บอกว่าเป็นเรื่องดี แต่ในทางปฏิบัติจะทำหรือไม่ ก็สุดแท้แต่จะพิจารณา”
การมีส่วนร่วมของพ่อ ๆ แม่ ๆ กับข้อมูลส่วนบุคคลของลูก
“พาลูกไปสมัครเรียนกวดวิชา โรงเรียนยื่นแบบฟอร์มขอความยินยอมมาให้เซ็น มันคืออะไร ต้องเซ็นไหม ไม่เซ็นได้ไหมนะ”
“เซ็น ๆ ไปเถอะ”
จากที่ศุภดิตถ์เล่าไว้ในช่วงต้นเรื่อง ‘ถนน’ มุมหนึ่ง เมื่อโรงเรียนจะเก็บหรือใช้ข้อมูลเด็ก ๆ เช่น ชื่อ สกุล น้ำหนัก ส่วนสูง ประวัติสุขภาพ ฯลฯ โรงเรียนอาจเลือกใช้ถนนความยินยอมก็ได้ เพื่อให้สามารถเข้าไปเก็บข้อมูลเด็ก ๆ ได้อย่างถูกต้องตามกฎหมาย นั่นจึงเป็นเหตุผลว่าทำไมโรงเรียนส่งจดหมายเวียน หรือยื่นแบบฟอร์มให้ความยินยอมมาให้คุณพ่อคุณแม่เซ็น
คำถาม คือ ยื่นให้พ่อแม่ทำไม?
ประเด็นนี้ เนื่องจากกฎหมายมองว่า โดยธรรมชาติของเด็ก ๆ เขาอาจจะยังไม่สามารถใช้วิจารณญาณคิดไตร่ตรองได้อย่างเต็มที่ ในสายตาของกฎหมาย กฎหมายจึงมองว่าจำเป็นต้องมีใครสักคนเข้ามาช่วยคิด ช่วยตัดสินใจในการให้ความยินยอม ภาษากฎหมายยาก ๆ เรียกว่า “ผู้ใช้อำนาจปกครอง” ซึ่งในกรณีปกติ ก็คือแม่ที่ให้กำเนิด และพ่อตามกฎหมายของลูก (พ่อที่จดทะเบียนสมรสกับแม่ หรือจดทะเบียนรับรองลูกว่าเป็นบุตร)
กรณีปกติแล้ว
- ต้องขอความยินยอมทั้งจากเด็ก และพ่อแม่ เว้นแต่จะเป็นเรื่องเล็ก ๆ น้อย ๆ บางเรื่องที่กฎหมายมองว่าเด็กให้ความยินยอมเองได้ (เช่น ลูกกดให้ความยินยอมในแอปพลิเคชั่นกดสั่งอาหารหรือเรียกรถโดยสาร)
- เว้นแต่กรณีเด็กอายุไม่เกิน 10 ปี กรณีนี้ให้ขอความยินยอมจากพ่อแม่อย่างเดียว
concept นี้ ยังใช้กับการถอนความยินยอม การแจ้งข้อมูลตามกฎหมายให้เจ้าของข้อมูลรับทราบ การใช้สิทธิและร้องเรียนตามกฎหมายด้วย
จะเห็นได้ว่า พ่อแม่เป็นบุคคลที่กฎหมายไว้ใจ กำหนดให้มีส่วนร่วมในการตัดสินใจและเป็นตัวกลางเกี่ยวกับข้อมูลส่วนบุคคลของลูก ๆ ข้อมูลของเขาจะถูกใช้หรือจัดการอย่างไร สิทธิของลูกจะถูกใช้หรือปกป้องอย่างไร กฎหมายฝากไว้ในมือพ่อแม่ การตัดสินใจของพ่อแม่จึงสำคัญ เพราะทุกการตัดสินใจ มีผลกับลูกโดยตรง
“ทำอย่างไรเมื่อได้รับแบบฟอร์มขอความยินยอมจากโรงเรียน?”
สิ่งที่ควรทำคือ หนึ่ง “อ่านก่อน”
สิ่งแรกที่หลายคนทำคือ พลิก ๆ แล้วเซ็นเลย แต่อยากขอร้องให้อ่านก่อน (แม้อาจจะยาวสักนิด) เพื่อจะได้เข้าใจว่าโรงเรียนจะเข้ามาข้องเกี่ยวกับข้อมูลส่วนบุคคลของลูก ๆ อย่างไร
สอง พิจารณาว่าจะให้ความยินยอมหรือไม่ กฎหมายฝากความไว้วางใจไว้ในมือพ่อแม่ หากเป็นเรื่องปกติ เช่น ขอเก็บข้อมูลสุขภาพของลูก เช่น ข้อมูลการแพ้อาหาร ข้อมูลโรคประจำตัวของลูก ก็คงไม่เป็นไร แต่หากจะเก็บข้อมูลของลูกไปใช้ในเชิงพาณิชย์ เช่น โรงเรียนเทควันโด ส่งต่อให้โรงเรียนโรงเรียนว่ายน้ำข้าง ๆ เพื่อทำการตลาด ก็อาจจะต้องพิจารณากันเป็นกรณีไป
สาม พึงทราบว่าความยินยอมนี้ โดยหลักแล้ว “จะให้หรือไม่ให้ก็ได้” และ “ถอนทีหลังได้” (เปลี่ยนใจทีหลังได้)
อีกส่วนสำคัญ คือ พ่อแม่อาจได้รับเป็นอีกเอกสารหนึ่ง มักเรียกว่า “แบบแจ้งเกี่ยวกับข้อมูลส่วนบุคคล/คำประกาศหรือนโยบายเกี่ยวกับข้อมูลส่วนบุคคล (privacy notice/ privacy policy)” ซึ่งเอกสารนี้จะบอกรายละเอียดและช่วยทำความเข้าใจเกี่ยวกับข้อมูลส่วนบุคคลของลูก ๆ ที่โรงเรียนจะเข้าไปยุ่งเกี่ยวมากยิ่งขึ้น ก็เป็นอีกเอกสารที่ควรศึกษาไว้
ข้อมูลเด็ก คือ เรื่องสำคัญ โรงเรียนต้องตระหนักและปรับตัว
โรงเรียน คือ สถานที่มอบความรู้ ขณะเดียวกันก็เป็นสถานที่ที่เต็มไปด้วยข้อมูลส่วนบุคคลของนักเรียน ทั้งข้อมูลทั่วไปและข้อมูลอ่อนไหว
ศุภดิตถ์บอกว่า โรงเรียนเป็นสถานที่ที่เต็มไปด้วยข้อมูลส่วนบุคคล ทั้งของเด็ก ผู้ปกครอง ครู ไปถึงบุคลากรในโรงเรียน ไม่ว่าจะเป็นข้อมูล ส่วนสูง น้ำหนัก ชื่อ เกรด พฤติกรรม ศาสนา เชื้อชาติ ผลสอบ คะแนน แม้แต่พฤติกรรมของนักเรียนในสมุดพก
PDPA จึงเป็นอีกกฎหมายหนึ่งที่โรงเรียนควรให้ความสำคัญและนำมาปฏิบัติตามให้ถูกต้อง ไม่ใช่แค่ช่วยให้โรงเรียนรอดจากบทลงโทษตาม PDPA แต่เพื่อประโยชน์ของเด็ก ๆ พ่อแม่ ผู้ปกครอง รวมถึงคนที่เกี่ยวข้องกับโรงเรียนซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลด้วย
“อย่างโรงเรียนเนี่ย แน่ ๆ เลย เป็นคนที่เก็บข้อมูลเอง และใช้เอง “เก็บเอง ใช้เอง” แบบนี้ ในทางกฎหมายเรียกว่า โรงเรียนเป็นผู้ควบคุมข้อมูลส่วนบุคคล (data controller) เมื่อสวมหมวกเป็น data controller แล้ว หน้าที่ตาม PDPA ก็ตามมา
data controller ตาม PDPA มีค่อนข้างเยอะจนอาจกล่าวไม่หมด ณ ที่นี้ แต่หน้าที่สำคัญมีอยู่ด้วยกันสองส่วน คือ การเข้าไปยุ่งกับข้อมูลให้ถูกกฎหมาย และความปลอดภัย
ส่วนแรก การเข้าไปยุ่งกับข้อมูล ที่สำคัญ คือ ต้อง “แจ้งก่อน” ก่อนเข้าไปยุ่งจะต้องแจ้งเจ้าของข้อมูลก่อน (ไม่ว่าจะเป็นนักเรียน ผู้ปกครอง ครู บุคลากรของโรงเรียน หรือบุคคลที่เกี่ยวข้องกับโรงเรียน) ว่าจะเก็บข้อมูลไปทำอะไร นานเท่าไร จะส่งต่อให้ใคร ตัวเองมีช่องทางติดต่ออะไรบ้าง รวมถึงสิทธิของเจ้าของข้อมูลตามกฎหมายมีอะไรบ้าง ซึ่งรายละเอียดตรงนี้มีกฎหมายกำหนดไว้
นอกจากนี้ การเข้าไปยุ่ง “ต้องมีเหตุผล” ตามกฎหมายรองรับ ซึ่งตรงนี้สำคัญ เพราะหากไม่มีเหตุผลรองรับ ก็เท่ากับทำผิดกฎหมาย (และตามมาด้วยโทษปรับที่สูง)
ส่วนนี้โรงเรียนต้องทำการบ้านว่าข้อมูลที่ผ่านมือจะถูกนำไปใช้ทำอะไร เกี่ยวข้องกับใครบ้าง เพื่อหาเหตุผลทางกฎหมายสำหรับแต่ละกิจกรรม และเพื่อดูว่ามีกิจกรรมใดที่จำเป็นและไ่ม่จำเป็นต้องใช้ความยินยอมบ้าง และดำเนินการขอความยินยอม (เฉพาะที่จำเป็น) ให้ถูกต้องตามกฎหมายต่อไป
ในส่วนนี้ก็มีเอกสารที่ควรเตรียมอยู่หลายตัว เช่น หนังสือแจ้งเกี่ยวกับข้อมูลส่วนบุคคล (privacy notice) แบบฟอร์มขอความยินยอม (consent form) หากจำเป็นต้องใช้ ตัวบันทึกรายการกิจกรรมเกี่ยวกับการประมวลผลข้อมูล (ROPA) ที่กฎหมายบอกให้ต้องเตรียม เป็นต้น
ในอีกด้าน “ความปลอดภัย” กฎหมายกำหนดให้ต้องมีมาตรการรักษาความมั่นคงปลอดภัยที่เป็นไปตามมาตรฐานของกฎหมาย ต้องทำระบบตรวจสอบเพื่อลบหรือทำลายข้อมูลเมื่อพ้นกำหนดการเก็บหรือเกินความจำเป็นหรือเมื่อถูกร้องขอ ต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงไปยังหน่วยงานกำกับดูแล (PDPC) ฯลฯ ซึ่งส่วนนี้เป็นเรื่องระบบงานหลังบ้านที่โรงเรียนควรต้องเตรียมไว้ด้วย
ความท้าทายของโรงเรียน
ศุภดิตถ์บอกว่า ความท้าทายของโรงเรียนในการเตรียมตัวเพื่อปฏิบัติตาม PDPA คือ เด็ก ๆ และผู้ปกครอง
นอกจากเด็กแล้ว ตัวกฎหมายยังกำหนดให้พ่อ ๆ แม่ ๆ เป็นตัวกลางและมีส่วนร่วมในการตัดสินใจเกี่ยวกับข้อมูลส่วนบุคคลของเด็ก ๆ ด้วย ความท้าทายจึงอยู่ที่ทำอย่างไรให้ทั้งพ่อแม่และเด็ก ๆ เข้าใจเรื่องการจัดการข้อมูลส่วนบุคคลของโรงเรียน โดยเฉพาะกับเด็ก ๆ
ซึ่งก็เป็นหน้าที่ของโรงเรียนและคุณครูที่ต้องวิธีสื่อสารกับเด็ก ๆ ย่อยเรื่องที่ฟังดูยาก ให้เข้าใจได้ง่าย จะดียิ่งขึ้นไปอีก หากใช้โอกาสนี้สอนให้เด็ก ๆ รู้จักและตระหนักรู้ถึงสิทธิในข้อมูลส่วนบุคคล และรู้จักสงวนรักษาสิทธิของตนเองด้วย
โทษตาม PDPA มีอะไรบ้าง?
โทษปรับตาม PDPA มีเพดานสูงสุดถึง 5 ล้านบาท ซึ่งถือว่าสูง เทียบกับกฎหมายอื่นในไทย
ความแรงของโทษตาม PDPA จึงเป็นประเด็นที่สังคมให้ความสนใจ และตั้งคำถาม
ความรับผิดตาม PDPA มีอยู่สามประเภทด้วยกัน ซึ่งตรงนี้มีความพิเศษกว่ากฎหมายตัวอื่น ๆ
อย่างแรก ทางแพ่ง ตรงนี้เป็นเรื่องการเรียกค่าเสียหาย โดยปกคิแล้ว หากใครทำให้เราเสียหาย เราสามารถเรียกค่าเสียหายได้ตามความเป็นจริง เสียหายเท่าใด เรียกได้เท่านั้น เรียกว่า “ค่าเสียหายตามจริง” แต่ตัว PDPA ยังแถม “ค่าสินไหมทดแทนเพื่อการลงโทษ” เพิ่มให้อีกไม่เกิน 2 เท่าจากค่าเสียหายตามจริง แล้วแต่ศาลกำหนด (ซึ่งเรื่องนี้มีเขียนอยู่ในกฎหมายน้อยฉบับ) ซึ่งหากจะดำเนินการตรงนี้ ผู้เสียหายต้องดำเนินการฟ้องศาล และศาลจะเป็นผู้พิจารณาจำนวนค่าเสียหายและมาตรการเยียวยาอื่น ๆ ให้
อย่างที่สอง ทางอาญา คือ โทษจำคุก และปรับ ซึ่งกฎหมายกำหนดไว้จำกัดเฉพาะบางกรณีเท่านั้น กล่าวคือ การเข้าไปยุ่งกับข้อมูลคนอื่น ในลักษณะที่จะทำให้เกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ซึ่งมีเพดานโทษขั้นสูง จำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท ซึ่งหากจะดำเนินการตรงนี้ ต้องดำเนินการผ่านศาล เช่นเดียวกัน
อย่างสุดท้าย ทางปกครอง เป็นโทษปรับ ซึ่งเป็นโทษสำหรับการฝ่าฝืนหน้าที่ตาม PDPA โดยส่วนใหญ่ (เช่น การเข้าไปยุ่งข้อมูลโดยไม่มีฐานทางกฎหมายรองรับ การไม่แจ้งข้อมูลตามกฎหมายให้เจ้าของข้อมูลทราบก่อน การเก็บข้อมูลเกินจำเป็น ฯลฯ) โทษปรับมีตั้งแต่ไม่เกิน 1 3 และ 5 ล้านบาท แล้วแต่ความร้ายแรงของกรณี
หากจะดำเนินการตรงนี้ ต้องดำเนินการผ่าน PDPC หรือสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยกฎหมายเปิดช่องให้ PDPC โดยคณะกรรมการผู้เชี่ยวชาญ เป็นผู้ออกคำสั่งลงโทษปรับและออกมาตรการลงโทษอื่น ๆ ได้เอง ซึ่งน่าจะเดินเรื่องได้รวดเร็วกว่า และไม่ต้องดำเนินการผ่านศาล
PDPA ไม่ใช่ครูใหญ่ที่มานั่งจับผิด แต่ต้องสร้างความเข้าใจ
เรื่องที่ทำผิดก็เรื่องหนึ่ง ที่ผิดก็ว่าไปตามผิด แต่เรื่องการเอาเรื่องหรือการบังคับใช้ เป็นอีกเรื่องหนึ่ง ซึ่งเรื่องนี้ อยู่ในเงื้อมมือของคนบังคับใช้กฎหมาย
โทษตาม PDPA กำหนดไว้ค่อนข้างสูง ส่วนหนึ่งก็อาจจะเป็นเพราะต้องการประสิทธิภาพในการบังคับใช้ ให้คนในสังคมต้องระแวดระวังและปฏิบัติตาม
“แต่ลองนึกภาพโรงเรียนที่นอกจากจะมีกฎที่เคร่งครัดแล้ว ยังมีครูใหญ่ดุ ๆ จ้องเอาแต่ถือไม้เรียวไล่เด็ก ๆ จับเด็ก ๆ มาตีประจานหน้าเสาธง เด็ก ๆ ก็ยิ่งระแวงว่าเราจะทำผิดไหม จะถูกครูตีไหม แบบนั้นเด็ก ๆ ก็คงไม่มีความสุข – สังคมของเราก็เช่นกัน”
ในระยะเริ่มต้น PDPC ในฐานะผู้บังคับใช้กฎหมาย ไม่ได้มีนโยบายในการที่จะจ้องจับผิดหรือลงโทษจริงจัง เว้นแต่เป็นกรณีที่ร้ายแรง แต่จะเน้นไปที่การทำความเข้าใจ และให้แก้ไขมากกว่า
ตรงนี้เห็นได้ชัดเจนจากประกาศของ PDPC ที่เพิ่งออกมาไม่นานมานี้ ในส่วนของการพิจารณาโทษปรับที่อาจสูงถึง 5 ล้านบาท ตัวประกาศก็ได้กำหนดแนวทางไว้ชัดเจนว่าหากเป็นกรณีที่ไม่เหนือบ่ากว่าแรง ก็จะตักเตือนหรือสั่งให้แก้ไขก่อนลงโทษปรับ และในการพิจารณาลงโทษปรับนี้ โดยหลักแล้วก็ต้องพิจารณาอย่างสมเหตุสมผล และได้สัดส่วนกับการกระทำผิดด้วย ไม่ใช่ว่าทำผิดนิดเดียว จะโดนปรับ 5 ล้านบาทเลย
“การบรรลุถึงเป้าหมายในการบังคับใช้กฎหมายอย่างมีประสิทธิผล ให้คนในสังคมปฏิบัติตาม การกำหนดโทษในกฎหมายไว้รุนแรงอาจไม่ใช่คำตอบสุดท้าย การสร้างความรับรู้ ความเข้าใจ ถึงเข้าใจเหตุผลของกฎหมาย เข้าใจว่าทำไมต้องปฏิบัติตาม อาจเป็นอีกเครื่องมือหนึ่ง ที่นำไปสู่จุดหมายได้เช่นเดียวกัน”
ศุภดิตถ์แสดงความเห็นต่อไปอีกว่า การมีการสื่อสารกับประชาชน ย่อยข้อมูลออกมาด้วยภาษาให้ที่เข้าใจง่าย มีภาพที่สื่อสารชัดเจนและเข้าถึงก็สามารถช่วยได้ส่วนหนึ่ง
ความตระหนักรู้เรื่องสิทธิความเป็นส่วนตัว ค่านิยมใหม่ สู่สังคมที่ดีขึ้น
ศุภดิตถ์ทิ้งท้ายว่า “ประเด็นเรื่องสิทธิความเป็นส่วนตัวเป็นเรื่องสำคัญ
“คิดง่าย ๆ ในภาพใหญ่ ถ้าเราอยู่ในสังคมที่คนไม่เคารพสิทธิความเป็นส่วนตัวกัน เจาะ ล้วง ขายข้อมูล ใช้ข้อมูลส่วนบุคคลเป็นเครื่องมือในการคุกคามกัน คนในสังคมก็รู้สึกว่าตัวเองอยู่ในสังคมที่ไม่มีความมั่นคงปลอดภัย อยู่ในสังคมที่ไม่สงบสุข”
ถือเป็นเรื่องดีที่เรื่องสิทธิความเป็นส่วนตัว เริ่มกลายเป็นคุณค่าระดับสากลที่ประชาคมโลกยอมรับและยึดถือปฏิบัติตาม แม้จะเป็นเรื่องที่สังคมไทยเพิ่งเริ่มตื่นตัวกันในช่วงหลัง ๆ แต่ก็เป็นสัญญาณที่ดี
และคงจะดีมาก ถ้าเราตระหนักรู้ถึงสิทธิความเป็นส่วนตัว และเข้าใจกฎหมายคุ้มครองข้อมูลส่วนบุคคลกันมากขึ้น ทำให้การเคารพและให้คุณค่ากับสิทธิความเป็นส่วนตัว เป็นเรื่องปกติ เป็นเรื่องพื้นฐาน และเป็นอีกหนึ่งคุณค่าหลักที่สังคมไทยยอมรับนับถือปฏิบัติ
ในประเด็นของเด็ก ศุภดิตถ์มองว่าครอบครัวและโรงเรียนเป็นจุดเริ่มต้นสำคัญในการผลิตคนสู่สังคม เรื่องสิทธิความเป็นส่วนตัวและข้อมูลส่วนบุคคลเป็นเรื่องที่เริ่มต้นคุยได้ตั้งแต่ในครอบครัวและในโรงเรียน
“การทำให้เด็ก ๆ เข้าใจเกี่ยวกับ “การคุ้มครองข้อมูลส่วนบุคคล” อาจไม่ใช่เรื่องง่าย แต่ถ้าทำได้ อย่างน้อยเด็ก ๆ จะได้ตระหนักรู้ว่า หนึ่ง เขามีสิทธิอะไร สอง จะปกป้องสิทธิตัวเองอย่างไร และ สาม เรียนรู้ว่าจะปฎิบัติตัวและอยู่ร่วมกับคนอื่นอย่างไร เรื่องเล็ก ๆ ที่ไม่ง่ายนี้ เริ่มต้นปลูกฝังได้ตั้งแต่จากครอบครัว โรงเรียน และถ้าทำได้ อาจส่งผลที่ยิ่งใหญ่ต่อสังคมในระยะยาว”
หมายเหตุ: บทสัมภาษณ์นี้เป็นเพียงความเห็นส่วนตัวของผู้ให้สัมภาษณ์ และไม่ได้มุ่งหมายให้นำไปใช้เพื่ออ้างอิงในทางกฎหมายหรือในทางใด ๆ ความเห็นของผู้ให้สัมภาษณ์ อาจแตกต่างจากความเห็นของศาล หน่วยงานกำกับดูแล หรือบุคคลอื่น ๆ ทั้งนี้ ขึ้นอยู่กับข้อเท็จจริงรายกรณีไป กฎหมาย แนวคำพิพากษาของศาล และแนวทางการตีความของหน่วยงานกำกับดูแล อาจเปลี่ยนแปลงได้ในอนาคต
ศุภดิตถ์ พลังเทพินทร์ ทนายความด้านกฎหมายธุรกิจ การควบรวมกิจการ (M&A) และเทคโนโลยี p.supadith@gmail.com |