*บทความนี้ถูกเขียนในวันที่ 5 มิถุนายน 2563

บทนำ

หลายท่านอาจได้ยินเกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562, General Data Protection Regulation (GDPR) และ ISO 27701 ซึ่งล้วนแล้วแต่มีความเกี่ยวกับความเป็นส่วนตัว หรือ Privacy ที่ทุกท่านคงจะคุ้นเคยกัน “แล้วทั้ง 3 สิ่งมีความเกี่ยวข้องกันอย่างไร” หากทุกท่านลองเปิดดู พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แล้วนำมาตราของพ.ร.บ.เปรียบเทียบกับ Article (Art.) หรือส่วนข้อกำหนดของ GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (European Union; EU)  ท่านจะพบว่า 2 สิ่งมีความคล้ายคลึงเป็นอย่างมาก ไม่ว่าจะเป็นในเรื่องของหน้าที่ และความรับผิดชอบในการประมวลผลข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล ตัวอย่าง ฐานกฎหมายในการประมวลผลข้อมูลส่วนบุคคล เปรียบเทียบระหว่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กับ GDPR

จากตัวอย่างเรื่องฐานกฎหมาย จะพบว่าพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลมีฐานกฎหมายมากกว่า GDPR ซึ่งไม่มีฐานจดหมายเหตุ/วิจัย/สถิติ ทั้งนี้ฐานความยินยอมในผู้เยาว์จะมีความต่างกันในเรื่องของอายุผู้เยาว์ด้วยเช่นกัน

ตัวอย่าง เรื่องสิทธิของเจ้าของข้อมูลส่วนบุคคล เปรียบเทียบระหว่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ 2562 กับ GDPR

จากตัวอย่างข้างต้น จะสังเกตได้ว่า สิทธิที่เจ้าของข้อมูลส่วนบุคคลได้รับตามกฎหมายทั้งสองนั้นเหมือนกันทั้งหมด

นอกจากการส่ง หรือโอนข้อมูลไปยังต่างประเทศยังมีความคล้ายคลึงกัน โดยในพ.ร.บ. นั้น องค์กรจะสามารถทำส่ง หรือโอนข้อมูลส่วนบุคคลได้ เมื่อประเทศนั้น ๆ ได้รับการรับรองจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เว้นแต่เพื่อปฏิบัติตามกฎหมาย ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เป็นการกระทำภายใต้สัญญา เพื่อป้องกัน หรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ หรือเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะในทำนองเดียวกัน

GDPR หากจะทำการส่ง หรือโอนข้อมูลส่วนบุคคล สามารถทำได้ทันทีหากปลายทางเป็นประเทศภายใน EU หรือ European Economic Area (EEA) แต่หากอยู่นอก EU หรือ EEA ประเทศปลายทางต้อง ได้รับการรับรองจาก European Commission ซึ่งเหมือนกับพ.ร.บ. หรือมี Appropriate Safeguard เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เป็นการกระทำภายใต้กฎหมาย เพื่อป้องกัน หรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล ถึงอย่างนั้น GDPR ที่ได้เริ่มถูกบังคับใช้ไปแล้วก่อนหน้าก็มีความชัดเจนในเชิงปฏิบัติ รวมถึงมีกรณีศึกษาเกิดขึ้นมากมาย ซึ่งแตกต่างกับพ.ร.บ. หากท่านลองสังเกตในแต่ละมาตราจะยังคงต้องรอความชัดเจนจากประกาศของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งอาจประกาศให้มีการปฏิบัติตาม GDPR หรือเพิ่มเติมจาก GDPR ก็เป็นได้ ดังนั้นในอนาคต พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลของไทยอาจมีข้อกำหนดเพิ่มเติม หรือแนวปฏิบัติที่เหมือน หรือแตกต่างจาก GDPR ก็ได้ ทั้งนี้ องค์กรที่มีการแลกเปลี่ยนข้อมูลส่วนบุคคลกับ EU มีความจำเป็นต้องปฏิบัติตามข้อกำหนดของ GDPR เป็นอย่างน้อยในเรื่องการแลกเปลี่ยน และคุ้มครองข้อมูลส่วนบุคคล ในฐานะขององค์กรที่ตั้งอยู่ภายในประเทศไทย หรือมีการเก็บรวบ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของไทย ท่านจำเป็นต้องทำอะไรบ้าง? ท่านจะต้องดำเนินการให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขององค์กรนั้น สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และอาจรวมถึงกฎหมายคุ้มครองข้อมูลส่วนบุคคลอื่น ๆ ที่เกี่ยวข้อง โดยวิธีการที่ยืดหยุ่นที่สุดคือ การรวบรวมข้อมูลเกี่ยวกับกระบวนการที่เกี่ยวข้องกับข้อมูลส่วนบุคคลมาเทียบเคียงมาตรา หรือข้อกำหนดของกฎหมาย แล้ววางแผนเพื่อดำเนินการให้สอดคล้องกับข้อปฏิบัตินั้น ๆ อย่างไรก็ตามการดำเนินการด้วยวิธีดังกล่าวถือว่ามีความเสี่ยงสูงต่อองค์กร เพราะอาจดำเนินการไม่ครบถ้วน และ/หรือ ไม่ถูกต้องตามข้อกำหนดของกฎหมาย ในปัจจุบันมีมาตรฐาน ISO/IEC 27701:2019 Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines ซึ่งเป็นแนวทางการปฏิบัติเพิ่มเติมจาก ISO/IEC 27001:2013 เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ ISO/IEC 27701:2019 มีข้อกำหนดซึ่งมีความคล้ายคลึงกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล และ GDPR เป็นอย่างมาก และสามารถนำมาใช้เป็นแนวทางปฏิบัติ เพื่อให้องค์กรดำเนินการได้สอดคล้องกับกฎหมายทั้ง 2 ฉบับ และอาจรวมถึงกฎหมายคุ้มครองข้อมูลส่วนบุคคลอื่น ๆ ได้อย่างมีประสิทธิภาพมากขึ้น มาตรฐาน ISO/IEC 27701:2019 ประกอบด้วยมาตรการรักษาความมั่นคงปลอดภัยข้อมูล ซึ่งระบุอยู่ในส่วน annex  ของ ISO/IEC 27001:2013 และมาตรการเพิ่มเติมสำหรับการคุ้มครองข้อมูลส่วนบุคคลที่มีความสอดคล้องกับทั้ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลและ GDPR โดยส่วนที่เพิ่มเติมนั้นสามารถแบ่งได้ออกเป็น 2 ส่วน คือ จะเห็นว่ามาตรการส่วนที่เพิ่มเติมนั้น มีความสอดคล้องกับกฎหมายไม่ว่าจะ GDPR หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังนั้นหากท่านต้องการมั่นใจว่าการดำเนินงานและกระบวนการขององค์กรมีความสอดคล้องกับกฎหมายและเป็นไปอย่างมีประสิทธิภาพ องค์กรสามารถนำ ISO/IEC 27701:2019 มาใช้เพื่อเป็นแนวทางในการปฏิบัติได้ อย่างไรก็ตาม องค์กรควรติดตามประกาศที่เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ Super Authority อย่างสม่ำเสมอ เพื่อให้แน่ใจว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขององค์กรยังคงสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล