การประมวลผลข้อมูลส่วนบุคคลโดยหน่วยงานของรัฐและการมีส่วนร่วมของเอกชน

สิทธิของเจ้าของข้อมูลส่วนบุคคลที่ถูกประมวลผลโดยผู้ควบคุมข้อมูลส่วนบุคคลที่อาศัยฐานภารกิจของรัฐนั้น จะมีความต่างจากการประมวลผลโดยผู้ควบคุมข้อมูลส่วนบุคคลที่อาศัยฐานความชอบด้วยกฎหมายอื่น

Cap & Corp Forum

ผู้ประกอบการหลายรายโดยเฉพาะอย่างยิ่งผู้ให้บริการในด้านซอฟต์แวร์ (Software-as-a-Service, SaaS) ที่ให้บริการหรือรับดำเนินโครงการต่าง ๆ ให้กับหน่วยงานของรัฐที่มีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล (“การประมวลผลข้อมูลส่วนบุคคล”) อาจมีคำถามที่เกิดขึ้นตามมาว่าการประมวลผลข้อมูลส่วนบุคคลของตนในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลที่ดำเนินการในนามของรัฐนั้น จะอยู่ภายใต้บังคับของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือไม่ และหากการประมวลผลข้อมูลส่วนบุคคลดังกล่าวตกอยู่ภายใต้บังคับของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ผู้ประกอบการที่มีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล จะต้องเตรียมพร้อม ดำเนินการ และมีหน้าที่อย่างไรบ้างตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

ก่อนที่จะพิจารณาถึงหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้นั้น จำต้องพิจารณาก่อนว่าการประมวลผลข้อมูลส่วนบุคคลของหน่วยงานรัฐที่ผู้ประกอบการเข้าไปให้บริการหรือจัดทำโครงการให้นั้น ได้รับการยกเว้นให้ไม่ต้องอยู่ภายใต้บังคับของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ หรือไม่ อย่างไร

หลัก “การประมวลผลข้อมูลส่วนบุคคลต้องมีฐานทางกฎหมายในการดำเนินการ” (the principle of lawful processing) ถือเป็นหลักการพื้นฐานที่สำคัญที่สุดประการหนึ่งในกฎหมายคุ้มครองข้อมูลส่วนบุคคล และอาจถือเป็นจุดเริ่มต้นของการดำเนินการใด ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ที่ผู้เข้าไปเกี่ยวข้องกับข้อมูลส่วนบุคคลต้องถามตนเองก่อนเสมอว่า “ฉันมีอำนาจอะไรไปยุ่งกับข้อมูลส่วนบุคคลของคนอื่น ?”

หากเป็นกรณีของหน่วยงานรัฐ มาตรา 4(2)(4)(5) และ (6) กำหนดให้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ไม่ใช้บังคับแก่การดำเนินการของหน่วยงานของรัฐในกรณีดังต่อไปนี้

  1. ด้านการรักษาความมั่นคงของรัฐ
  2. ด้านการรักษาความมั่นคงทางการคลังของรัฐ
  3. ด้านการรักษาความปลอดภัยของประชาชน
  4. ด้านการป้องกันและปราบปรามการฟอกเงิน
  5. ด้านนิติวิทยาศาสตร์
  6. ด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์
  7. การดำเนินงานของสภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว เฉพาะในการพิจารณาตามหน้าที่และอำนาจของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา หรือคณะกรรมาธิการแล้วแต่กรณี
  8. การพิจารณาพิพากษาคดีของศาลและการดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดีและการวางทรัพย์
  9. การดำเนินงานตามกระบวนการยุติธรรมทางอาญา

ดังนั้นโครงการหรือกิจกรรมต่าง ๆ ที่แม้จะเป็นการดำเนินการในนามของหน่วยงานของรัฐ แต่หากไม่ได้เป็นกิจการตามที่กล่าวมาข้างต้น การประมวลผลข้อมูลส่วนบุคคลในกิจการนั้น ๆ ย่อมต้องอยู่ภายใต้บังคับของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ และผู้เขียนตั้งเป็นข้อสังเกตว่ากฎหมายคุ้มครองในลักษณะของกิจกรรมไม่ใช้ยกเว้นในเชิงองค์กรเสียทีเดียว จึงอาจกล่าวได้ว่า หากเป็นการดำเนินงานขององค์กรในกระบวนการยุติธรรม หน่วยงานด้านความมั่นคง หรือองค์กรนิติบัญญัติ ฯลฯ ที่ไม่เกี่ยวข้องกับกิจกรรมที่กฎหมายยกเว้น อาทิการจัดการด้านการบริหารงานบุคคลหรือมาตรการเฝ้าระวังต่าง ๆ ในหน่วยงานเป็นต้น กรณีเหล่านี้ก็อาจไม่เข้าข้อยกเว้นตามมาตรา 4 และหน่วยงานของรัฐเหล่านั้นยังมีหน้าที่ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ที่ต้องปฏิบัติตามที่กฎหมายกำหนด เว้นแต่จะมีพระราชกฤษฎีกาออกมายกเว้นการใช้บังคับตามมาตรา 4 วรรคสอง

การประมวลผลข้อมูลส่วนบุคคลใด ๆ ของหน่วยงานรัฐในกิจกรรมที่ไม่ได้รับยกเว้นตามมาตรา 4 ข้างต้น จึงต้องดำเนินการโดยอาศัยฐานกฎหมายตามที่พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดเสมอ และหากมีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้วก็ตาม มาตรา 3(1) ก็ได้กำหนดให้บังคับใช้กฎหมายไปควบคู่กันทั้งกฎหมายเฉพาะนั้น ๆ และพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ โดยเฉพาะอย่างยิ่งบทบัญญัติเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล บทบัญญัติเกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมทั้งบทกำหนดโทษที่เกี่ยวข้องให้บังคับตามบทบัญญัติแห่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เป็นการเพิ่มเติม ไม่ว่าจะซ้ำกับบทบัญญัติแห่งกฎหมายว่าด้วยการนั้นหรือไม่ก็ตาม

เมื่อเป็นกิจกรรมที่ไม่ได้รับยกเว้นตามกฎหมายแล้ว หน่วยงานของรัฐก็จะต้องมาทบทวนดูว่าหน่วยงานของตนเองมีอำนาจใดหรือมีกฎหมายใดก่อตั้งสิทธิและให้สิทธิในการประมวลผลข้อมูลส่วนบุคคลบ้าง ซึ่งหากพิจารณาตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ก็อาจมีได้ดังนี้

1) ฐานความยินยอม ซึ่งต้องมีการขอความยินยอมโดยชอบด้วยกฎหมาย และผู้ให้ความยินยอมมีสิทธิถอนความยินยอมได้เสมอ

2) ฐานภารกิจของรัฐ หากเป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 24(4)

3) ฐานประโยชน์โดยชอบด้วยกฎหมาย ตามตามมาตรา 24(5) การใช้ฐานนี้ในการประมวลผลข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลยังต้องคำนึงถึงหลักความจำเป็นและความได้สัดส่วนของการดำเนินการด้วย เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

การประมวลผลข้อมูลส่วนบุคคลโดยอาศัยฐานภารกิจของรัฐนี้น่าจะถือเป็นส่วนที่ออกแบบมาเพื่อการดำเนินพันธกิจของหน่วยงานรัฐโดยตรง แต่มีข้อน่าสังเกตว่าหากเป็น “หน่วยงานเอกชน” ที่ได้รับมอบหมายจากรัฐหรือเข้ามาเป็นคู่สัญญากับรัฐ จะอ้างฐานความชอบด้วยกฎหมายนี้ได้หรือไม่ และหากเป็นการดำเนินกิจกรรมในเชิงพาณิชย์จะสามารถอ้างประโยชน์สาธารณะตามฐานภารกิจของรัฐได้หรือไม่

ซึ่งกรณีข้างต้นหากเทียบเคียงกับ GDPR ในสหภาพยุโรปก็ยังคงมีข้อถกเถียงกันอยู่ว่าในการประมวลผลข้อมูลส่วนบุคคลนี้อาจจะไม่สามารถอ้างฐานภารกิจของรัฐได้ แต่อาจต้องอ้างฐานประโยชน์โดยชอบด้วยกฎหมาย ซึ่งก็มีข้อจำกัดมากกว่าการประมวลผลข้อมูลส่วนบุคคลโดยการอ้างฐานภารกิจของรัฐ เนื่องจากต้องมีการชั่งประโยชน์สาธารณะและสิทธิขั้นพื้นฐานอื่น ๆ ประกอบด้วย

ประเด็นที่ต้องพิจารณาต่อไปก็คือหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่ดำเนินการประมวลผลข้อมูลส่วนบุคคลโดยอาศัยฐานภารกิจของรัฐ รวมถึงสิทธิของเจ้าของข้อมูลส่วนบุคคล (data subjects’ rights) ว่ามีความเหมือนหรือแตกต่างจากการประมวลผลข้อมูลส่วนบุคคลในฐานความชอบด้วยกฎหมายอื่น ๆ หรือไม่อย่างไร

การประมวลผลข้อมูลส่วนบุคคลโดยอาศัยฐานภารกิจของรัฐนั้นผู้ควบคุมข้อมูลส่วนบุคคลยังคงมีหน้าที่ต้องปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เช่นเดียวกับการประมวลผลข้อมูลส่วนบุคคล โดยอาศัยฐานความชอบด้วยกฎหมายอื่น ๆ กล่าวคือก่อนหรือในขณะเก็บรวบรวมข้อมูลฯ ต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงรายละเอียดการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล (มาตรา 23) การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม การลบหรือทำลายข้อมูล การแจ้งเหตุข้อมูลรั่ว (มาตรา 37)

รวมถึงการจัดทำบันทึกรายการเกี่ยวกับการประมวลผลข้อมูลฯ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ (มาตรา 39) ส่วนผู้ประมวลผลข้อมูลส่วนบุคคลยังคงมีหน้าที่ตามมาตรา 40 ในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม แจ้งให้ผู้ควบคุมข้อมูลทราบถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคล จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล เป็นต้น

อย่างไรก็ตาม สิทธิของเจ้าของข้อมูลส่วนบุคคลที่ถูกประมวลผลโดยผู้ควบคุมข้อมูลส่วนบุคคลที่อาศัยฐานภารกิจของรัฐนั้น จะมีความต่างจากการประมวลผลโดยผู้ควบคุมข้อมูลส่วนบุคคลที่อาศัยฐานความชอบด้วยกฎหมายอื่น กล่าวคือ เจ้าของข้อมูลส่วนบุคคลจะมีสิทธิเพียงการคัดค้านการประมวลผลข้อมูลส่วนบุคคลของตน (มาตรา 32) แต่เจ้าของข้อมูลไม่สามารถใช้สิทธิในการขอลบ และโอนย้ายข้อมูลส่วนบุคคลของตนต่อผู้ควบคุมข้อมูลส่วนบุคคลได้

ด้วยเหตุนี้ เอกชนที่เข้าไปร่วมกับหน่วยงานรัฐในฐานะผู้ควบคุมข้อมูลส่วนบุคคลร่วมหรือผู้ประมวลผลข้อมูลส่วนบุคคลจึงมีหน้าที่ต้องตรวจสอบและสอบทานฐานความชอบด้วยกฎหมายในการประมวลผลข้อมูลส่วนบุคคลของตนเองเสมอ ว่ามีฐานโดยชอบด้วยกฎหมายหรือไม่ และฐานนั้น ๆ มีข้อจำกัดและเงื่อนไขอย่างไร และที่เชื่อว่าหน่วยงานของรัฐมีอำนาจตามกฎหมายทำอะไรก็ได้นั้น ประสบการณ์การบังคับใช้กฎหมายในต่างประเทศบอกให้รู้ว่า “ไม่จริงครับ”

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Max Planck InstituteLuxembourg

ชิโนภาส อุดมผล

Optimum Solution Defined (OSDCo., Ltd.)