องค์กรบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล

Cap & Corp Forum

สิทธิในการได้รับการคุ้มครองข้อมูลส่วนบุคคล (right to information privacy) เป็นสิทธิที่มีความสำคัญมากขึ้นเรื่อย ๆ ในยุคเศรษฐกิจดิจิทัล เนื่องจากสถานะของตัวข้อมูลที่มีความสำคัญอย่างมากต่อการดำเนินธุรกิจ และในหลาย ๆ ธุรกิจข้อมูลที่เกี่ยวเนื่องกับพฤติกรรมการบริโภคของลูกค้าถือเป็นสินทรัพย์สำคัญหรือสินทรัพย์หลักของธุรกิจเลยทีเดียว หลาย ๆ ประเทศจึงมีการตรากฎหมายเฉพาะว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลขึ้น และกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ได้ชื่อว่าก้าวหน้าที่สุดและเป็นแม่แบบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของหลาย ๆ ประเทศในปัจจุบันคือ GDPR ของสหภาพยุโรป

นอกจาก GDPR จะกำหนดหลักเกณฑ์ในทางสารบัญญัติจำนวนมากว่าด้วยสิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคล หน้าที่และความรับผิดของผู้ควบคุมและผู้ประมวลผลข้อมูลส่วนบุคคลแล้ว ส่วนที่สำคัญที่สุดของการบังคับใช้ GDPR หรือกฎหมายหลาย ๆ ฉบับของสหภาพยุโรปอย่างมีประสิทธิภาพในการคุ้มครองสิทธิของปัจเจกชนคือ “การมีองค์กรบังคับใช้กฎหมายที่มีประสิทธิภาพ” เนื่องจากสหภาพยุโรปมีลักษณะเฉพาะประการสำคัญคือให้ความสำคัญกับการบังคับใช้กฎหมายโดยองค์กรของรัฐเพราะถือว่ารัฐมีหน้าที่ต้องปกป้องสิทธิของปัจเจกบุคคล ซึ่งแนวคิดนี้ตรงข้ามกับประเทศสหรัฐอเมริกาที่สิทธิของบุคคลได้รับการคุ้มครองผ่านกระบวนการใช้สิทธิเยียวยาทางศาลเป็นหลัก (private rights of action) โดยระบบการพิจารณาแบบกล่าวหา (adversarial legal system)

GDPR กำหนดเงื่อนไขสำคัญขององค์กรบังคับใช้กฎหมายในรัฐสมาชิกไว้หลายประการเพื่อเป็นหลักประกันของการบังคับใช้กฎหมายอย่างมีประสิทธิภาพ (มาตรา 51-55) โดยเฉพาะการมีคณะกรรมการที่เป็นอิสระและไม่อยู่ภายใต้การครอบงำของบุคคลใด ๆ (remain free from external influence) มีอำนาจหน้าที่ในการไต่สวนและหาข้อเท็จจริงต่าง ๆ เพื่อบังคับให้เป็นไปตามกฎหมาย และต้องไม่กระทำการใด ๆ ที่ขัดหรือแย้งต่อหน้าที่ในการบังคับใช้กฎหมายด้วย และการจะให้กรรมการพ้นจากตำแหน่งได้จะต้องเกิดจากพฤติกรรรมที่ไม่เหมาะสมอย่างร้ายแรง (serious misconduct) หรือมีคุณสมบัติไม่เป็นไปตามเงื่อนไขของกฎหมายเท่านั้น

เมื่อพิจารณา “โครงสร้างองค์กรบังคับใช้กฎหมาย” ตามตารางประกอบกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะพบว่ากฎหมายกำหนดโครงสร้างการบังคับใช้กฎหมายโดยองค์กรของรัฐไว้ค่อนข้างซับซ้อน โดยประกอบด้วยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจำนวน 17 คน ทำหน้าที่ในเชิงนโยบายและกำหนดหลักเกณฑ์ที่สำคัญในการบังคับใช้กฎหมาย และมีคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอีกจำนวน 10 คน ทำหน้าที่กำกับดูแลด้านการบริหารงานบุคคลของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยมีปลัดกระทรวงดิจิทัลฯ และเลขาธิการสำนักงานฯ เป็นกรรมการโดยตำแหน่งในทั้งสองชุด

ในส่วนของกรรมการผู้ทรงคุณวุฒิของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และกรรมการในคณะกรรมการผู้เชี่ยวชาญนั้น ไม่มีข้อกฎหมายกำหนดห้ามมิให้เป็นข้าราชการหรือเจ้าหน้าที่ในหน่วยงานของรัฐอื่น หรือลูกจ้าง พนักงาน หรือผู้บริหารของรัฐวิสาหกิจหรือองค์กรเอกชนเป็นกรรมการ อีกทั้งตามกฎหมายยังมิใช่การปฏิบัติงานเต็มเวลา โดยให้ได้รับเบี้ยประชุมและประโยชน์ตอบแทนอื่นตามที่กำหนดเท่านั้น

ดังนั้น ตามโครงสร้างของกฎหมาย กรรมการผู้ทรงคุณวุฒิหรือกรรมการในคณะกรรมการผู้เชี่ยวชาญจึงอาจเป็นข้าราชการประจำหรือตัวแทนของภาคเอกชนก็ได้ ซึ่งเมื่อเปรียบเทียบกับ GDPR จึงอาจจะขัดหรือแย้งกับหลักการของ GDPR โดยสภาพ ข้อสังเกตประการสำคัญคือกรรมการเหล่านี้จะไม่มีเวลาในการทำงานในหน้าที่ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลอย่างเต็มที่

องค์กรบังคับใช้กฎหมายถือเป็นสถาบันทางกฎหมายที่สำคัญ ในการนำต้นแบบของ GDPR มาตราเพื่อบังคับใช้เป็นกฎหมายในประเทศไทยนั้น ส่วนหนึ่งที่อาจไม่ได้รับการพิจารณามากนักคือ การกำหนดโครงสร้างขององค์กรบังคับใช้กฎหมายที่เหมาะสม อาจจะเนื่องจากเหตุผลว่าด้วยระบบกฎหมายของการจัดองค์กรของภาครัฐในประเทศไทย หรืออาจจะด้วยไม่ได้ให้ความสำคัญกับโครงสร้างขององค์กรบังคับใช้กฎหมายที่เป็นอิสระมากนัก ความน่ากังวลของการมีกฎหมายบัญญัติรับรองสิทธิแต่ปราศจากหน่วยงานการบังคับใช้หรือกลไกที่มีประสิทธิภาพ ย่อมทำให้กฎหมายไม่สามารถเป็นเครื่องมือในการคุ้มครองสิทธิของปัจเจกบุคคลโดยทั่วไปได้อย่างทั่วถึงและมีประสิทธิภาพ

จะหวังให้ประชาชนทั่วไปพึ่งกระบวนการทางศาลเพื่อบังคับสิทธิย่อมเป็นการยากและมีต้นทุนที่สูงมากในระบบกฎหมายไทย

…

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Fulbright Hubert H. Humphrey Fellowship

American University Washington College of Law