ขยายเวลาบังคับใช้ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่องมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
คู่มือแนวทางดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล สวทช. 1.0
บทนำและคำนิยาม
บทนำ
คู่มือแนวทางดำเนินการนี้เป็นเครื่องมือสำคัญประการหนึ่งที่ช่วยให้การดำเนินการตามกฎหมายหรือหลักการใด ๆ ที่กำหนดขึ้นเป็นไปในอย่างสมเหตุสมผลในทางปฏิบัติ เพราะในความจริงแล้วการบัญญัติกฎหมายหรือกำหนดหลักการ “อะไร” ขึ้นมาประการหนึ่งและกำหนด “ให้ทำ” (prescriptive) “ไม่ให้ทำ” (proscriptive) หรือ “อธิบาย” (descriptive) สิ่งนั้น ย่อมตามมาซึ่งคำถามเกี่ยวกับวิธีการปฏิบัติว่าควรทำ “อย่างไร” โดยเฉพาะอย่างยิ่งกับกฎหมายที่โดยทั่วไปแล้วสามารถกำหนดได้เพียงในระดับที่กำหนด “ห้าม” เป็นหลักการไว้เท่านั้น แต่ในขั้นตอนปฏิบัติย่อมไม่สามารถลงรายละเอียดวิธีการหรือกรณีเฉพาะทั้งปวงได้ เพราะจะทำให้กฎหมายนั้นมีความเคร่งครัดมากเสียจนไม่อาจนำไปใช้ได้จริง
ในกรณีของ “การคุ้มครองข้อมูลส่วนบุคคล” ก็เช่นเดียวกัน เนื่องจากกฎหมายไม่สามารถกำหนดวิธีปฏิบัติในรายละเอียดลงไปโดยสมบูรณ์ได้ จึงมีคำถามเกี่ยวกับวิธีการปฏิบัติว่าควรทำ “อย่างไร” มีข้อสังเกตว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลมีเป้าหมายระบุโดยตรงไปที่ “ข้อมูลส่วนบุคคล” (Personal Data) ไม่ใช่ “ตัวบุคคล” (Person) โดยตรง ซึ่งการคุ้มครองข้อมูลส่วนบุคคลนั้นจะมีผลเป็นการปกป้อง “บุคคล” จากผลร้ายที่อาจเกิดขึ้นจากการประมวลผล “ข้อมูลส่วนบุคคล” อีกชั้นหนึ่ง
การคุ้มครองข้อมูลส่วนบุคคล มีผลชัดเจนเมื่อสหภาพยุโรปได้ออกกฎหมายฉบับใหม่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลหรือที่เรียกกันว่า “GDPR” (EU General Data Protection Regulation) ซึ่งเป็นการปรับปรุงกฎหมายเดิม (EU Data Protection Directive 95/46/EC) ซึ่งใช้บังคับมานานมากว่า 20 ปี ทำให้เกิดการเปลี่ยนแปลงหลักการที่สำคัญ เช่น
-
กำหนดการใช้อำนาจนอกอาณาเขต (extraterritorial jurisdiction) กล่าวคือ ข้อมูลส่วนบุคคลของสหภาพยุโรปอยู่ภายใต้ความคุ้มครองไม่ว่าจะอยู่ในที่ใดในโลก
-
กำหนดบทลงโทษสูงขึ้น โดยองค์กรที่กระทำผิดอาจต้องจ่ายค่าปรับสูงถึงอัตราร้อยละ 4 ของผลประกอบการรายได้ทั่วโลก
-
กำหนดให้การขอความยินยอมจากเจ้าของข้อมูลต้องชัดเจนและชัดแจ้ง (clear and affirmative consent)
-
กำหนดการแจ้งเตือนเมื่อเกิดเหตุข้อมูลรั่วไหล หน่วยงานผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลต้องแจ้งให้หน่วยงานกำกับดูแล และประชาชนทราบภายใน 72 ชั่วโมง
-
กำหนดขอบเขตสิทธิของเจ้าของข้อมูล ให้ผู้ควบคุมข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบว่าข้อมูลจะถูกใช้อย่างไร เพื่อวัตถุประสงค์ใด และต้องจัดทำสำเนาข้อมูลให้กับเจ้าของข้อมูลในรูปแบบอิเล็กทรอนิกส์ โดยห้ามเก็บค่าใช้จ่ายเพิ่ม
-
กำหนดรับรองสิทธิในการโอนข้อมูลไปยังผู้ประกอบการอื่น (Right to data portability)
-
กำหนดรับรองสิทธิที่จะถูกลืม (Right to be forgotten) เจ้าของข้อมูลสามารถขอให้หน่วยงานควบคุมข้อมูลลบข้อมูลของตัวเองออกได้
GDPR มีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2561 ที่ผ่านมา ซึ่งนอกจากการมีผลบังคับใช้แก่การส่งข้อมูลภายในประเทศสมาชิกสหภาพยุโรปแล้ว สวทช. ควรดำเนินการเตรียมพร้อมมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมเช่นเดียวกัน
คู่มือแนวทางดำเนินการนี้มีเจตนาที่จะแนะนำวิธีการว่าควรทำ “อย่างไร” ซึ่งหมายความว่าคู่มือแนวทางดำเนินการนี้เป็นเพียงคำอธิบายของวิธีการเพื่อการคุ้มครองข้อมูลส่วนบุคคลซึ่งจำเป็นต้องพัฒนาอย่างต่อเนื่องต่อไป การดำเนินการคุ้มครองข้อมูลส่วนบุคคลตามคู่มือแนวทางดำเนินการนี้จึงไม่ใช่การปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือมาตรฐาน GDPR ที่ครบถ้วน แต่เป็นเพียงข้อแนะนำที่ควรจะต้องปฏิบัติและพัฒนาปรับปรุงต่อเนื่องต่อไป
การคุ้มครองข้อมูลส่วนบุคคลกับการดำเนินงานของ สวทช.
กฎหมายการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยมีการอ้างอิงกับกฎหมายของสหภาพยุโรป ที่เรียกกันว่า “GDPR” (EU General Data Protection Regulation) ซึ่งเป็นเวลากว่า 20 ปี ที่ได้มีการพยายามผลักดันให้มีกฎหมายการคุ้มครองข้อมูลส่วนบุคคล จนประสบความสำเร็จและประกาศพระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม พ.ศ. 2562 และมีผลบังคับใช้อย่างสมบูรณ์ ตั้งแต่วันที่ 28 พฤษภาคม 2563 เป็นต้นไป โดยการประกาศใช้พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นี้ เป็นไปเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ
วัตถุประสงค์และเป้าหมาย
คู่มือแนวทางดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติฉบับนี้ มีวัตถุประสงค์เพื่อให้มั่นใจว่า สวทช. เข้าใจถึงการคุ้มครองข้อมูลส่วนบุคคล และเพื่อเป็นแนวทางในการคุ้มครองข้อมูลส่วนบุคคลและปฏิบัติให้ถูกต้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยหน่วยงานภายใน สวทช. ที่มีกิจกรรมหรือการดำเนินงานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล สามารถนำคู่มือแนวทางดำเนินการนี้ไปเป็นแนวทางในการดำเนินการเพื่อคุ้มครองข้อมูลส่วนบุคคล
มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563
ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค (technical safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (access control)
นโยบายการคุ้มครองข้อมูลส่วนบุคคลของ สวทช.
โดยที่มีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลบังคับใช้เมื่อวันที่ 28 พฤษภาคม 2562 ประกอบกับสำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติให้ความสำคัญอย่างยิ่งต่อการคุ้มครองข้อมูลส่วนบุคคลและการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และเพื่อให้เจ้าของข้อมูลส่วนบุคคลเชื่อมั่นว่าสำนักงานจะดูแลรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลและจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม สำนักงานจึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลของสำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ ดังนี้
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมากจนสร้างความเดือดร้อนรำคาญหรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว ทำได้โดยง่าย สะดวก และรวดเร็ว ก่อให้เกิดความเสียหายต่อเศรษฐกิจโดยรวม สมควรกำหนดให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เป็นการทั่วไปขึ้น เพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป