หลักการและเหตุผล
ให้มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลเพราะปัจจุบันมีการล่วงละเมิดสิทธิส่วนบุคคลเป็นอย่างมากและมีการนำข้อมูลส่วนบุคคลไปเปิดเผย หรือใช้เพื่อแสวงหาประโยชน์โดยไม่รับการยินยอม และยังสร้างความเดือดร้อนให้กับเจ้าของข้อมูลส่วนบุคคล ทั้งนี้เพื่อควบคุมบุคคลหรือกลุ่มบุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลไม่ให้เกิดการละเมิดสิทธิส่วนบุคคล
สาระสำคัญของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
ข้อมูลอะไรที่จะถูกคุ้มครอง
ร่างกฎหมายนี้ให้ความคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวกับสิ่งเฉพาะตัวของบุคคล เช่น การศึกษา ฐานะการเงิน ประวัติสุขภาพ ประวัติอาชญากรรม ประวัติการทำงาน หรือประวัติกิจกรรม และเลขหมาย รหัส หรือสิ่งที่บอกลักษณะอื่นที่จะทำให้รู้ตัวบุคคลนั้นได้ เช่น ลายนิ้วมือแผ่นบันทึกลักษณะเสียงของคน รูปถ่าย ซึ่งคลอบคลุมไปถึงบุคคลที่ถึงแก่กรรมด้วย ทั้งนี้บุคคลที่ถึงแก่กรรมจะให้ทายาทหรือคู่สมรสของมีสิทธิเสมือนเจ้าของข้อมูลส่วนบุคคลนั้นๆ ได้
ซึ่ง “ผู้ควบคุมข้อมูลส่วนบุคคล” ที่มีหน้าที่รับผิดชอบในการเก็บรวบรวม ควบคุมการใช้และเปิดเผยข้อมูลส่วนบุคคล จะไม่สามารถรวบรวม ใช้ หรือเปิดเผยข้อมูลข้างต้นได้ หากไม่ได้รับการยินยอมหรือมีข้อยกเว้นตามที่กฎหมายกำหนด
กฎหมายนี้ไม่บังคับใช้กับใครบ้าง
หน่วยงานของรัฐที่อยู่ภายใต้กฎหมายว่าด้วยข้อมูลข่าวสารของราชการ หรือ บุคคลหรือนิติบุคคลที่ทำการเก็บรวบรวมข้อมูลไว้ใช้เป็นการเฉพาะภายในกลุ่ม หรือ บุคคลหรือนิติบุคคลที่ใช้หรือเปิดเผยข้อมูลเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมจะไม่ได้รับการคุ้มครอง เว้นแต่ รัฐวิสาหกิจตามกฎหมายว่าด้วยวิธีงบประมาณ หรือมีการตราเป็นพระราชกฤษฎีกาตามข้อเสนอของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่องดเว้นหน่วยงานนั้นๆ ขึ้นมา
ที่มา บทบาทและหน้าที่ของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ในร่างนี้ให้มี “คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” ทำหน้าที่เสนอความเห็นต่อนายกรัฐมนตรี และกำหนดหลักเกณฑ์การได้ใบรับรองเพื่อมีสิทธิใช้เครื่องหมายรับรองมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล กรรมการชุดนี้จะทำงานร่วมกับ “คณะกรรมการข้อมูลข่าวสารของราชการ” ซึ่งมีอำนาจหน้าที่จัดทำบัญชีรายชื่อ “ผู้ควบคุมข้อมูล”
โดยคณะกรรมการ ประกอบไปด้วย ปลัดสำนักนายกฯ ปลัดกระทรวงไอซีที เลขากฤษฎีกา อธิบดีกรมคุ้มครองสิทธิและเสรีภาพ ผู้ว่าธปท. ตัวแทนกก.คุ้มครองผู้บริโภค ตัวแทนหอการค้าไทย ตัวแทนสมาคมธนาคารไทยและกรรมการผู้ทรงคุณวุฒิที่นายกฯแต่งตั้งจากผู้เชี่ยวชาญด้านกฎหมายและเทคโนโลยี ดำรงตำแหน่งคราวละ 3 ปี ไม่เกิน 2 วาระ
หลักเกณฑ์การคุ้มครองข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูลจะทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของไม่ได้ให้ความยินยอม เว้นแต่จะมีบทบัญญัติใน พ.ร.บ.ฉบับนี้ หรือ กฎหมายอื่นบัญญัติไว้
กรณีที่ได้รับการยกเว้นว่าไม่ต้องขอการยินยอมจากเจ้าของข้อมูล (มาตรา 19) ที่สำคัญเช่น
(1) เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคลและการขอความยินยอมไม่สามารถดำเนินการได้ในเวลานั้น
(2) เพื่อประโยชน์ที่เกี่ยวกับชีวิต สุขภาพ หรือความปลอดภัยของเจ้าของข้อมูล
(3) เพื่อประโยชน์แก่การสอบสวนของพนักงานสอบสวนตามประมวลกฎหมาย ป.วิอาญา หรือ การพิพากษาคดีของศาล
(4) เพื่อประโยชน์ในการศึกษาวิจัยหรือสถิติและได้เก็บข้อมูลส่วนนั้นไว้เป็นการลับ
การเก็บรวบรวมข้อมูลส่วนบุคคล
1) ห้ามไม่ให้ผู้ควบคุมข้อมูลเก็บรวบรวมข้อมูลไม่ว่าจะจากเจ้าของข้อมูลเองหรือแหล่งอื่นโดยไม่ได้รับความยินยอม (มาตรา 22) เว้นแต่
(1) ได้รับการยกเว้นตามหลักเกณฑ์การคุ้มครองข้อมูลส่วนบุคคล (มาตรา 19)
(2) มาจากการสังเกตการณ์จากการแสดง การกีฬา หรือกิจกรรมอื่นๆที่คล้ายคลึงกัน เมื่อบุคคลที่ถูกเก็บข้อมูลนั้นได้ปรากฏตัวหรือเข้าร่วมในกิจกรรมนั้นด้วยความสมัครใจและกิจกรรมนั้นเป็นกิจกรรมที่เปิดเผยต่อสาธารณะ
(3) เป็นสิ่งจำเป็นเพื่อใช้ประกอบการพิจารณาการตัดสินความเหมาะสมของบุคคลในการที่จะได้รับรางวัลเกียรติยศ หรือผลประโยชน์ในลักษณะอื่น
(4) เป็นการปฏิบัติตามสัญญาที่ทำกับเจ้าของข้อมูลส่วนบุคคล หรือตามมาตรการที่เจ้าของข้อมูลส่วนบุคคลร้องขอเพื่อให้เป็นไปตามสัญญาที่จะทำขึ้น
2) ห้ามไม่ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมข้อมูลส่วนบุคคลอันมีลักษณะต้องห้ามดังต่อไปนี้ (มาตรา 23 วรรคหนึ่ง)
(1) ข้อมูลเกี่ยวกับพฤติกรรมทางเพศ ประวัติอาชญากรรม หรือการกระทำความผิดหรือได้รับโทษใดๆ ประวัติสุขภาพ แหล่งกำเนิดของเชื้อชาติหรือเผ่าพันธุ์ ความคิดทางการเมือง ความเชื่อในทางศาสนา หรืออื่นๆตามที่กำหนดในกฎกระทรวง
(2) ข้อมูลที่อาจเป็นผลร้าย หรือทำให้เสียชื่อเสียง หรืออาจก่อให้เกิดความรู้สึกเกี่ยวกับการเลือกการปฏิบัติโดยไม่เป็นธรรมหรือความไม่เท่าเทียมกันแก่บุคคลใด ตามที่กำหนดในกฎกระทรวง
ข้อยกเว้นในการเก็บข้อมูลต้องห้ามดังกล่าวในกรณี (มาตรา 23 วรรคสอง)
(1) ได้รับการยกเว้นตามหลักเกณฑ์การคุ้มครองข้อมูลส่วนบุคคล (มาตรา 19)
(2) เพื่อวัตถุประสงค์ในทางการแพทย์หรือการรักษาพยาบาลและเก็บข้อมูลเป็นความลับ
และการจะใช้ข้อมูลส่วนบุคคลจะกระทำไม่ได้หากไม่ได้รับการยินยอมเป็นหนังสือ เว้นแต่ เก็บรวบรวมได้ตาม มาตรา 22 (1) (2) (3) (4)
สิทธิของเจ้าของข้อมูลส่วนบุคคล การร้องเรียน ตรวจสอบ และอุทธรณ์
กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคล เช่น ขอตรวจข้อมูลที่เกี่ยวกับตน ขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลที่เกี่ยวกับตนกรณีที่เป็นข้อมูลซึ่งไม่ได้รับการยินยอมมาก่อน แต่หากได้รับความเสียหายมีสิทธิที่จะร้องเรียนต่อคณะกรรมการตรวจสอบข้อมูลส่วนบุคคลซึ่งแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยจะทำหน้าที่ตรวจสอบการกระทำใดๆ ที่ก่อให้เกิดความเสียแก่เจ้าของข้อมูล รวมถึงไกล่เกลี่ยข้อพิพาท และมีอำนาจสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการกระทำหรือแก้ไขการกระทำที่ก่อให้เกิดความเสียหายได้ และหากทั้งฝ่ายเจ้าของข้อมูลหรือผู้ควบคุมข้อมูลไม่พอใจสามารถอุทธรณ์ต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้
บทกำหนดโทษ แบ่งออกเป็น 3 ส่วน ได้แก่
(1) บททั่วไป เป็นบทกำหนดโทษกรณีนิติบุคคลเป็นผู้กระทำความผิด ซึ่งกรรมการผู้จัดการ และนิติบุคคลต้องรับโทษ เว้นแต่จะพิสูจน์ได้ว่าตนมิได้รู้เห็นหรือยินยอมในการกระทำความผิดของนิติบุคคลนั้น
(2) โทษปรับทางปกครอง ให้ผู้อำนวยการสำนักงานคณะกรรมการข้อมูลข่าวสารทางราชการเป็นผู้มีอำนาจลงโทษทางปกครอง ซึ่งบทลงโทษประเภทนี้จะใช้กับความผิดเล็กน้อยหรือความผิดที่ไม่ใช่หลักการสำคัญของ พ.ร.บ.นี้ เช่น
1) ความผิดฐานไม่มาให้ถ้อยคำ มีโทษปรับไม่เกินห้าหมื่นบาท
2) ความผิดฐานไม่ทำบัตรประจำตัวลูกจ้าง ความผิดฐานไม่แก้ไขข้อมูลส่วนบุคคล ความผิดฐานไม่แจ้งวัตถุประสงค์ในการขอความยินยอม มีโทษปรับไม่เกินหนึ่งแสนบาท
ซึ่งคณะกรรมการคุ้มครองข้อมูลจะประกาศกำหนดหลักเกณฑ์ในการพิจารณาโทษปรับทางปกครอง และหากผู้ถูกลงโทษไม่ยอมชำระค่าปรับจะถูกมาตรการบังคับทางปกครองตามกฎหมายว่าด้วยวิธีปฏิบัติราชการทางปกครอง
(3) โทษทางอาญา จะใช้กับความผิดสำคัญๆ เช่น
1) ความผิดฐานการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมหรือความผิดฐานไม่จัดให้มีระบบรักษาความมั่นคงปลอดภัยแก่ข้อมูลส่วนบุคคล มีโทษปรับไม่เกินหนึ่งห้าแสนบาท
2) มีโทษจำคุกไม่เกินสามปี ปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ
3) ความผิดฐานการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อเป็นการหาประโยชน์โดยไม่ชอบด้วยกฎหมาย หรือทำให้ผู้อื่นเกิดความเสียหายที่เป็นการเผยแพร่บนสื่อสิ่งพิมพ์ วิทยุกระจายเสียง วิทยุโทรทัศน์ และสื่ออิเล็กโทรนิกส์ มีโทษจำคุกไม่เกินสามปี ปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ
