ความคิดเห็นต่อร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (2 ก.พ. 2561)

2018.02.02 20:16

ความคิดเห็นต่อร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. …
(รับฟังความคิดเห็นตั้งแต่วันที่ 22 มกราคม 2561 – 6 กุมภาพันธ์ 2561)

เครือข่ายพลเมืองเน็ต 2 กุมภาพันธ์ 2561

1. นิยาม “ข้อมูลส่วนบุคคล” ที่ใช้เป็นการทั่วไป

  • นิยามข้อมูลส่วนบุคคล ควรกำหนดไว้เป็นนิยามที่ใช้เป็นการทั่วไปข้อยกเว้นในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล
  • ส่วนบุคคลเฉพาะประเภท สามารถระบุไว้ในมาตราเฉพาะเรื่องนั้นๆ ได้

1.1 ชื่อและสกุล ต้องเป็นข้อมูลส่วนบุคคล

  • สารี อ๋องสมหวัง เลขาธิการมูลนิธิเพื่อผู้บริโภค ตั้งข้อสังเกตว่า แม้จะมีกรณีที่บุคคลมากกว่าหนึ่งคน มีชื่อและสกุลซ้ำกัน แต่เป็นกรณีที่ในบริบทของประเทศไทยเกิดขึ้นน้อยมาก ดังนั้นกฎหมายจึงไม่ควรให้ข้อยกเว้นแบบเหมารวมไปก่อน กรณีใดที่ชื่อและสกุลใช้ระบุตัวบุคคลได้ ก็ต้องนับเป็นข้อมูลส่วนบุคคลที่ได้รับการคุ้มครอง (ให้ข้อมูลทางโทรศัพท์ 2 ก.พ. 2561)
  • ชุมาพร แต่งเกลี้ยง กลุ่มโรงน้ำชา (Togetherness for Equality and Action – TEA) กลุ่มทำงานเพื่อสิทธิความหลากหลายทางเพศ แสดงความเป็นห่วงว่า ในบริบทที่มีความอ่อนไหว เพียงการใช้หรือเปิดเผยชื่อกับนามสกุลก็สามารถทำให้บุคคลตกอยู่ในความเสี่ยงหรือถูกเลือกปฏิบัติได้ แม้จะรัฐธรรมนูญและกฎหมายบางฉบับในปัจจุบันจะมีหลักการคุ้มครองเรื่องการถูกเลือกปฏิบัติอยู่ แต่กรณีเหล่านั้นจำเป็นจะต้องมีการละเมิดที่สามารถพิสูจน์ได้เกิดขึ้นก่อนและภาระในการพิสูจน์มักเป็นของผู้ได้รับความเสียหาย ซึ่งต่างจากหลักการคุ้มครองข้อมูลส่วนบุคคล ที่ไม่ให้มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล ซึ่งจะช่วยป้องกันไม่ให้มีการเลือกปฏิบัติได้ตั้งแต่แรก (สอบถามส่วนตัว 1 ก.พ. 2561)

1.2 ข้อมูลผู้เสียชีวิต ต้องได้รับคุ้มครอง

  • ข้อมูลของผู้ถึงแก่กรรมควรได้รับการคุ้มครองเช่นเดียวกับบุคคลที่ยังมีชีวิต
  • การเก็บรวบรวมข้อมูลของผู้ถึงแก่กรรมอาจทำได้เมื่อมีความจำเป็นเพื่อประโยชน์สาธารณะ ตามข้อยกเว้นที่ได้ระบุไว้ในร่างมาตรา 20, 21, และ 22
  • การใช้และการเปิดเผยข้อมูลของผู้ถึงแก่กรรมสามารถทำได้ตามที่เคยได้รับความยินยอมจากเจ้าของข้อมูลเมื่อตอนที่ยังมีชีวิต ตามที่ได้ระบุไว้ในร่างมาตรา 23
  • การส่งหรือโอนข้อมูลของผู้ถึงแก่กรรมไปยังต่างประเทศสามารถทำได้ ตามข้อยกเว้นที่ได้ระบุไว้ในร่างมาตรา 24
  • ข้อมูลที่บุคคลแสดงความประสงค์เมื่อตอนที่ยังมีชีวิตอยู่ว่าไม่ให้เปิดเผย ก็ควรไม่เปิดเผยต่อไปตามความประสงค์ของเจ้าของข้อมูล แม้เจ้าของข้อมูลจะถึงแก่กรรมแล้วก็ตาม
  • การเปิดเผยข้อมูลของผู้ถึงแก่กรรม อาจเปิดเผยถึงข้อมูลส่วนบุคคลของบุคคลอื่นที่ยังมีชีวิตอยู่ด้วย เช่น ญาติที่ยังมีชีวิตอยู่ แพทย์ผู้ทำการรักษา หรืออาจเปิดเผยถึงข้อมูลทั่วไปที่สามารถใช้ระบุบุคคลอื่น การพิจารณาเปิดเผยข้อมูลส่วนบุคคลของผู้ถึงแก่กรรมจึงจำเป็นต้องคำนึงถึงบุคคลที่ยังมีชีวิตอยู่ด้วย

1.3 ข้อมูลติดต่อทางธุรกิจ (business contact information)

  • “ข้อมูลติดต่อทางธุรกิจ” อาจถือเป็นข้อมูลสาธารณะ หรือข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคลที่อยู่ในความคุ้มครองของกฎหมายนี้
  • หน่วยงานอาจจำเป็นต้องเปิดเผยข้อมูลติดต่อทางธุรกิจ ซึ่งอาจรวมถึงชื่อของพนักงานของตน ให้กับประชาชนผู้ใช้บริการหรือองค์กรบังคับใช้กฎหมายได้รับทราบ
  • ข้อมูลติดต่อทางธุรกิจ เช่น ชื่อ ตำแหน่ง สถานที่ทำงาน หรือที่อยู่ทางธุรกิจ ที่บุคคลได้มอบให้กับองค์กรไว้เพื่อการติดต่อทางธุรกิจ และไม่ได้ให้ไว้เฉพาะเพื่อประโยชน์ส่วนบุคคลของบุคคลนั้นเพียงอย่างเดียว (รัฐบัญญัติคุ้มครองข้อมูลส่วนบุคคล 2012 ของสิงคโปร์ – Personal Data Protection Act 2012. Republic of Singapore. https://sso.agc.gov.sg/Act/PDPA2012)

1.4 ข้อเสนอแก้ไข

ร่าง 22 ม.ค. 2561 ระบุว่า

“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงการระบุเฉพาะชื่อ ตำแหน่ง สถานที่ทำงาน หรือที่อยู่ทางธุรกิจ และข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

เสนอแก้ไขเป็น

“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลติดต่อทางธุรกิจอันได้แก่ ชื่อบุคคล ตำแหน่งงาน สถานที่ทำงาน หรือที่อยู่ทางธุรกิจ ที่บุคคลได้มอบให้กับองค์กรไว้เพื่อการติดต่อทางธุรกิจกับองค์กรนั้นโดยเฉพาะและไม่ได้ให้ไว้เพื่อประโยชน์ส่วนบุคคลของบุคคลนั้นเพียงอย่างเดียว

สำหรับ “ข้อมูลของผู้ถึงแก่กรรม” ให้ดูข้อเสนอในข้อ 2

2. กิจการที่พระราชบัญญัตินี้จะไม่ใช้บังคับใช้ต้องมีเท่าที่จำเป็น และการยกเว้นต้องเป็นไปอย่างเฉพาะเจาะจง

  • ความจำเป็นในการตราพระราชบัญญัตินี้เนื่องจาก “ยังไม่มีหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป สมควรกำหนดให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไปขึ้น
  • ดังนั้นพระราชบัญญัตินี้จึงความมีความครอบคลุมถึงข้อมูลส่วนบุคคลในทุกกิจการให้เป็นการทั่วไปที่สุด
  • หลักการปฏิบัติและการคุ้มครองเพิ่มเติมที่เป็นการเฉพาะสำหรับกิจการที่มีกฎหมายโดยเฉพาะ อาจมีได้ ดังระบุไว้แล้วในมาตรา 3
  • ข้อยกเว้นในการเก็บรวบรวม ใช้ และเปิดเผย อาจมีได้เช่นกัน เป็นรายกรณีตามความจำเป็น หรือ แต่โดยหลักการข้อมูลส่วนบุคคลในทุกกิจการจะต้องอยู่ในบังคับกฎหมายฉบับนี้เสียก่อน

2.1 การยกเว้นไม่บังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้กับกิจการทั้งกิจการ

ร่าง 22 ม.ค. 2561 ระบุมาตรา 4 วรรค 1 ว่า

มาตรา 4 พระราชบัญญัตินี้ไม่ใช้บังคับแก่
(1) บุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนของบุคคลนั้นเท่านั้น โดยมิให้ผู้อื่นใช้ข้อมูลส่วนบุคคลนั้น หรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อผู้อื่น
(2) บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น
(3) สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลในการพิจารณาตามอำนาจหน้าที่ของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา หรือคณะกรรมาธิการ แล้วแต่กรณี
(4) การพิจารณาพิพากษาคดีของศาลและการดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี และการวางทรัพย์ รวมทั้งการดำเนินงานตามกระบวนการยุติธรรมทางอาญา
(5) การดำเนินกิจการทางศาสนาขององค์การทางศาสนา
(6) การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

การไม่ให้กฎหมายใช้บังคับกับข้อมูลส่วนบุคคลทั้งหมดในกิจการตามร่างมาตรา 4 ในทุกกรณี เป็นการยกเว้นที่เกินสัดส่วนและเกินจำเป็น

  • ข้อมูลส่วนบุคคลในกิจการต่างๆ ดังกล่าว สามารถอยู่ภายในบังคับกฎหมายฉบับนี้ได้ ไม่ต้องยกเว้นเหมารวมไปหมดทั้งกิจการ ทั้งนี้ยังสามารถกำหนดข้อยกเว้นให้มีการเก็บรวบรวม การใช้ หรือการเปิดเผยได้เป็นกรณี โดยพิจารณาจากความจำเป็นและประโยชน์สาธารณะ
  • “กิจการสื่อสารมวลชน” ในร่างมาตรา 4 (2) ไม่จำเป็นต้องได้รับการยกเว้นการบังคับใช้ทั้งกิจการ
    • สื่อสารมวลชนสามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้อยู่แล้ว ตามข้อยกเว้นในร่างมาตรา 20 ซึ่งระบุว่า “(1) เพื่อประโยชน์ที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งเป็นไปเพื่อประโยชน์สาธารณะและได้เก็บข้อมูลส่วนบุคคลเพื่อการนั้นไว้เป็นความลับ” และ “(4) เป็นการจำเป็นสำหรับการดำเนินภารกิจเพื่อประโยชน์สาธารณะ[…]เว้นแต่ประโยชน์ดังกล่าวด้อยกว่าประโยชน์หรือสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล”
    • สื่อสารมวลชนสามารถใช้และเปิดเผยข้อมูลส่วนบุคคลได้ตามข้อยกเว้นที่ระบุไว้ในร่างมาตรา 23
  • “สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว” ในร่างมาตรา 4 (3) ไม่จำเป็นต้องได้รับการยกเว้นการบังคับใช้ทั้งกิจการ
    • สภาฯ สามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้อยู่แล้ว ตามข้อยกเว้นในร่างมาตรา 20 ซึ่งระบุว่า “(4) เป็นการจำเป็นสำหรับการดำเนินภารกิจเพื่อประโยชน์สาธารณะหรือในการใช้อำนาจรัฐของผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวด้อยกว่าประโยชน์หรือสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล”, “(5) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายสำหรับผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลที่สาม เว้นแต่ประโยชน์ดังกล่าวด้อยกว่าประโยชน์หรือสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล”, และ “(6) เป็นการปฏิบัติตามกฎหมาย”
    • สภาฯ สามารถใช้และเปิดเผยข้อมูลส่วนบุคคลได้ตามข้อยกเว้นที่ระบุไว้ในร่างมาตรา 23
  • “การพิจารณาพิพากษาคดีของศาลฯ” ในร่างมาตรา 4 (4) ไม่จำเป็นต้องได้รับการยกเว้นการบังคับใช้ทั้งกิจการ
    • ศาลและเจ้าหน้าที่ในกระบวนการยุติธรรม สามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้อยู่แล้ว ตามข้อยกเว้นในร่างมาตรา 20 ซึ่งระบุว่า “(4) เป็นการจำเป็นสำหรับการดำเนินภารกิจเพื่อประโยชน์สาธารณะหรือในการใช้อำนาจรัฐของผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวด้อยกว่าประโยชน์หรือสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล”, “(5) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายสำหรับผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลที่สาม เว้นแต่ประโยชน์ดังกล่าวด้อยกว่าประโยชน์หรือสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล”, และ “(6) เป็นการปฏิบัติตามกฎหมาย”
    • ศาลและเจ้าหน้าที่ในกระบวนการยุติธรรม สามารถใช้และเปิดเผยข้อมูลส่วนบุคคลได้ตามข้อยกเว้นที่ระบุไว้ในร่างมาตรา 23
  • ในระหว่างการรับฟังความคิดเห็นช่วงปี 2560 ไม่พบคำอธิบายถึงเหตุผลที่ชัดเจนสำหรับการยกเว้นไม่ใช้กฎหมายบังคับกับ “การดำเนินกิจการทางศาสนาขององค์การทางศาสนา” ในร่างมาตรา 4 (5)
  • “การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมาย” ในร่างมาตรา 4 (6) ไม่จำเป็นต้องได้รับการยกเว้นการบังคับใช้ทั้งกิจการ
    • กิจการข้อมูลเครดิตสามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้อยู่แล้ว ตามข้อยกเว้นในร่างมาตรา 20 ซึ่งระบุว่า “(6) เป็นการปฏิบัติตามกฎหมาย”
    • กิจการข้อมูลเครดิตสามารถใช้และเปิดเผยข้อมูลส่วนบุคคลได้ตามข้อยกเว้นที่ระบุไว้ในร่างมาตรา 23

2.2 การตรากฎหมายเพื่อยกเว้นไม่ให้มีการคุ้มครองสิทธิ ต้องตราเป็นพระราชบัญญัติที่ผ่านการพิจารณาของรัฐสภาเท่านั้น

ร่าง 22 ม.ค. 2561 ระบุมาตรา 4 วรรค 2 ว่า

การยกเว้นไม่ให้นำบทบัญญัติแห่งพระราชบัญญัตินี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดทำนองเดียวกับผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง หรือเพื่อประโยชน์สาธารณะอื่นใด ให้ตราเป็นพระราชกฤษฎีกา

การคุ้มครองสิทธิในความเป็นอยู่ส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคลเป็นสิทธิและเสรีภาพที่ได้รับการรับรองตามรัฐธรรมนูญ

  • พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลตราขึ้นเพื่อกำหนดหลักเกณฑ์และวิธีการที่ชัดเจนในการใช้สิทธิและเสรีภาพตามเจตนารมณ์ของรัฐธรรมนูญ ซึ่งหมายความว่าสิทธิและเสรีภาพนั้นมีอยู่ก่อนแล้วและได้รับการคุ้มครองตามรัฐธรรมนูญแม้ยังไม่มีการตรากฎหมายขึ้นใช้บังคับเป็นการเฉพาะ
  • บทบัญญัติเกี่ยวกับสิทธิและเสรีภาพดังกล่าวเช่น
    • “บุคคลย่อมมีสิทธิและเสรีภาพในชีวิตและร่างกาย”
    • “บุคคลย่อมมีสิทธิในความเป็นอยู่ส่วนตัว เกียรติยศ ชื่อเสียง และครอบครัว การกระทำอันเป็นการละเมิดหรือกระทบต่อสิทธิในความเป็นอยู่ส่วนตัว หรือการนำข้อมูลส่วนบุคคลไปใช้ประโยชน์ไม่ว่าในทางใดๆ จะกระทำมิได้ เว้นแต่โดยอาศัยอำนาจตามบทบัญญัติแห่งกฎหมายที่ตราขึ้นเพียงเท่าที่จำเป็นเพื่อประโยชน์สาธารณะ”
    • “บุคคลย่อมมีเสรีภาพในการติดต่อสื่อสารถึงกันไม่ว่าในทางใดๆ การตรวจ การกัก หรือการเปิดเผยข้อมูลที่บุคคลสื่อสารถึงกัน รวมทั้งการกระทำด้วยประการใดๆ เพื่อให้ล่วงรู้หรือได้มาซึ่งข้อมูล”
    • “การเลือกปฏิบัติโดยไม่เป็นธรรมต่อบุคคล ไม่ว่าด้วยเหตุความแตกต่างในเรื่องถิ่นกำเนิด เชื้อชาติ ภาษา เพศ อายุ ความพิการ สภาพทางกายหรือสุขภาพ สถานะของบุคคล ฐานะทางเศรษฐกิจหรือสังคม ความเชื่อทางศาสนา การศึกษาอบรม หรือความคิดเห็นทางการเมือง จะกระทำมิได้”
  • การยกเว้นการคุ้มครองสิทธิและเสรีภาพตามที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เท่ากับเป็นการจำกัดมาตรการคุ้มครองสิทธิและเสรีภาพของบุคคล หากจำเป็นต้องบัญญัติการยกเว้นดังกล่าว ต้องตราเป็นกฎหมายที่มีลำดับศักดิ์เทียบเท่าหรือสูงกว่าพระราชบัญญัติที่ผ่านการรับรองโดยรัฐสภา

2.3 ข้อเสนอแก้ไข

จากการอภิปรายในข้อ 1.2, 2.1, และ 2.2 เสนอแก้ไขร่างมาตรา 4 เป็น

มาตรา 4 พระราชบัญญัตินี้ไม่ใช้บังคับแก่
(1) บุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนของบุคคลนั้นเท่านั้น โดยมิให้ผู้อื่นใช้ข้อมูลส่วนบุคคลนั้น หรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อผู้อื่น
(2) ข้อมูลส่วนบุคคลของผู้ถึงแก่กรรม เว้นแต่ในส่วนกฎหมายที่สัมพันธ์กับการเปิดเผยข้อมูลส่วนบุคคลและที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ให้ใช้บังคับกับข้อมูลส่วนบุคคลของบุคคลที่ตายไปแล้ว 10 ปีแล้วหรือน้อยกว่า

การยกเว้นไม่ให้นำบทบัญญัติแห่งพระราชบัญญัตินี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดทำนองเดียวกับผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง หรือเพื่อประโยชน์สาธารณะอื่นใด ให้ตราเป็นพระราชบัญญัติ

3. ความเป็นอิสระและทรัพยากรของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและสำนักงาน

  • ภาระงานของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและสำนักงานจะมีปริมาณมาก เนื่องจากครอบคลุมทุกกิจการและมีอำนาจหน้าที่จำนวนมาก ซึ่งรวมถึงการทำแผนยุทธศาสตร์ การออกประกาศ การเสนอแนะต่อคณะรัฐมนตรี และการวินิจฉัยชี้ขาดปัญหาที่เกิดจากการบังคับใช้กฎหมาย
  • หากทรัพยากรในการทำงานไม่เพียงพอ หรือมีขั้นตอนลำดับชั้นในการปฏิบัติงานที่ยุ่งยากเกินจำเป็น จะทำให้งานล่าช้าและยิ่งสะสม กระทบสิทธิผู้เกี่ยวข้องและเสียโอกาสทางธุรกิจได้

3.1 ต้องมีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่ทำงานเต็มเวลา

  • เพื่อให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลปฏิบัติงานได้อย่างมีประสิทธิภาพและทันการณ์ ควรพิจารณากำหนดให้กรรมการทุกคนต้องปฏิบัติหน้าที่เต็มเวลา
  • หากเห็นว่าจำเป็นอย่างยิ่งที่จะต้องมีกรรมการโดยตำแหน่งซึ่งไม่สามารถทำงานเต็มเวลาได้, อาจให้มีกรรมการโดยตำแหน่งที่ทำหน้าที่ไม่เต็มเวลาได้ โดยกรรมการที่เหลือต้องปฏิบัติหน้าที่เต็มเวลา ดังนี้
    • ประธานกรรมการ ปฏิบัติหน้าที่เต็มเวลา
    • รองประธานกรรมการ (โดยตำแหน่ง) ปฏิบัติหน้าที่ไม่เต็มเวลา
    • กรรมการโดยตำแหน่ง ปฏิบัติหน้าที่ไม่เต็มเวลา 3 คน
    • กรรมการผู้ทรงคุณวุฒิ ปฏิบัติหน้าที่เต็มเวลา 5 คนกรรมการ
    • และเลขานุการ (โดยตำแหน่ง) ปฏิบัติหน้าไม่เต็มเวลา

3.2 คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

  • ตั้งข้อสังเกตถึงความจำเป็นของคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ตามร่างมาตรา 39 แยกต่างหากออกมา
  • จะเพิ่มความทับซ้อนและซับซ้อนในการทำงานหรือไม่ อำนาจหน้าที่ตามร่างมาตรา 43 ควรเป็นอำนาจหน้าที่ของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือไม่
  • แผนการดำเนินงานของสำนักงาน ที่คณะกรรมการกำกับสำนักงานคุ้มครองข้อมูลส่วนบุคคลมีอำนาจหน้าที่กำหนดตามร่างมาตรา 43 จำเป็นต้องสอดคล้องกับแผนยุทธศาสตร์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีอำนาจหน้าที่กำหนดตามร่างมาตรา 13 หรือไม่ – หากไม่สอดคล้องกัน คณะกรรมการใดมีอำนาจมากกว่า
  • ควรให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีอำนาจหน้าที่พิจารณาดำเนินการเรื่องที่มีหลักปฏิบัติชัดเจนอยู่แล้วได้ด้วยตัวเอง โดยไม่ต้องผ่านคณะกรรมการชุดใด เพื่อประสิทธิภาพในการทำงาน

3.3 ความเป็นอิสระและทำงานได้จริงของกลไกคุ้มครองข้อมูลส่วนบุคคล

ร่าง 22 ม.ค. 2561 ระบุในมาตรา 59 ว่า

มาตรา 59 ให้รัฐมนตรีมีอำนาจกำกับดูแลโดยทั่วไปซึ่งกิจการของสำนักงานให้เป็นไปตามอำนาจหน้าที่และตามกฎหมาย นโยบายของรัฐบาล แผนยุทธศาสตร์ และมติคณะรัฐมนตรีที่เกี่ยวข้อง เพื่อการนี้ รัฐมนตรีมีอำนาจสั่งให้เลขาธิการชี้แจงข้อเท็จจริง แสดงความคิดเห็น หรือทำรายงานเสนอ และมีอำนาจสั่งยับยั้งการกระทำของสำนักงานที่ขัดต่ออำนาจหน้าที่ของสำนักงาน นโยบายของรัฐบาล แผนยุทธศาสตร์ หรือมติคณะรัฐมนตรีที่เกี่ยวข้อง ตลอดจนสั่งสอบสวนข้อเท็จจริงเกี่ยวกับการดำเนินการของสำนักงานได้

ในกรณีที่เลขาธิการฝ่าฝืนหรือไม่กระทำการตามคำสั่งของรัฐมนตรีตามวรรคหนึ่ง ให้รัฐมนตรีส่งเรื่องให้คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลพิจารณาดำเนินการตามอำนาจหน้าที่ต่อไป

  • หากสำนักงานกำลังดำเนินงานเรื่องที่พบว่ามาตรการหรือนโยบายของรัฐบาลอาจขัดกับเจตนารมณ์ในการคุ้มครองข้อมูลส่วนบุคคลตามรัฐธรรมนูญและตามพระราชบัญญัตินี้ รัฐมนตรีมีอำนาจสั่งยับยั้งหรือไม่?
  • หากรัฐมนตรีมีอำนาจในการยับยั้ง เท่ากับว่ากลไกการคุ้มครองข้อมูลส่วนบุคคลตามร่างพระราชบัญญัตินี้ไม่มีความอิสระ
  • ความเป็นอิสระในการปฏิบัติงานเพื่อคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานคุ้มครองข้อมูลส่วนบุคคล เป็นข้อสำคัญอันหนึ่งในการพิจารณาว่า ประเทศใดมีกลไกการคุ้มครองข้อมูลส่วนบุคคลได้มาตรฐานเพียงพอในการรับโอนข้อมูลส่วนบุคคลจากต่างประเทศ

3.4 ข้อเสนอแก้ไข

  • ควรพิจารณาให้มีกลไกการคุ้มครองข้อมูลส่วนบุคคลที่สามารถทำงานคุ้มครองได้อย่างเป็นอิสระและมีโครงสร้างไม่ซับซ้อน 
  • ให้หน่วยงานคุ้มครองส่วนบุคคลต้องมีทรัพยากรการดำเนินงานที่เพียงพอ โดยทุนการดำเนินงานส่วนหนึ่งอาจมาจากค่าธรรมเนียมจดทะเบียนผู้ควบคุมข้อมูล ทั้งนี้ค่าธรรมเนียมอาจแตกต่างตามขนาดของกิจการ 
  • พิจารณารวม “คณะกรรมการผู้เชี่ยวชาญ” ตามร่างมาตรา 60 กับ “สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” ตามร่างมาตรา 35 เข้าด้วยกัน ให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีอำนาจหน้าที่พิจารณาเรื่องร้องเรียนได้เองโดยทันทีสำหรับเรื่องที่มีหลักปฏิบัติชัดเจนอยู่แล้ว 
  • พิจารณารวม “คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” ตามร่างมาตรา 7 และ “คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” ตามร่างมาตรา 39 เข้าด้วยกัน 
  • เลขาธิการและกรรมการคุ้มครองข้อมูลส่วนบุคคล (ไม่ว่าในชื่อใด) ต้องทำงานเต็มเวลาและทำงานได้อย่างเป็นอิสระ

4. ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัตินี้มีผลใช้บังคับ

ร่าง 22 ม.ค. 2561 ระบุในมาตรา 81 ไว้ว่า

มาตรา 81 ข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัตินี้มีผลใช้บังคับ ให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิมที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคล และต้องดำเนินการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวให้เป็นไปตามพระราชบัญญัตินี้ ตามหลักเกณฑ์และระยะเวลาที่กำหนดในกฎกระทรวง ทั้งนี้ ระยะเวลาที่กำหนดไว้ในกฎกระทรวงต้องไม่เกินสามปีนับแต่วันที่พระราชบัญญัตินี้มีผลใช้บังคับ

เสนอแก้ไขเป็น

มาตรา 81 ข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัตินี้มีผลใช้บังคับ ให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิมที่เคยได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในวรรคหนึ่งนอกเหนือไปจากที่เคยได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ต้องดำเนินการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าวให้เป็นไปตามพระราชบัญญัตินี้ ตามหลักเกณฑ์และระยะเวลาที่กำหนดในกฎกระทรวง ทั้งนี้ กฎกระทรวงต้องออกภายใน 120 วันนับแต่วันที่พระราชบัญญัตินี้ประกาศในราชกิจจานุเบกษา และระยะเวลาที่กำหนดไว้ในกฎกระทรวงต้องไม่เกินสองปีนับแต่วันที่พระราชบัญญัตินี้มีผลใช้บังคับ

หน้าที่ในการแสดงให้เห็นว่าได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลในวรรคหนึ่งและวรรคสองเป็นหน้าที่ของผู้ควบคุมข้อมูล

เมื่อพ้นระยะเวลาที่กำหนดในกฎกระทรวงในวรรคสอง ผู้ควบคุมข้อมูลต้องทำลายข้อมูลส่วนบุคคลที่ไม่สามารถแสดงให้เห็นได้ว่าได้รับความยินยอมจากเจ้าของข้อมูลในการเก็บรวบรวมทิ้ง และแจ้งถึงขั้นตอนการทำลายให้สำนักงานได้ทราบ

ความคิดเห็นต่อร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. … (PDF)