หน่วยงานรัฐแชร์ข้อมูลกัน ผิด พรบ. คุ้มครองข้อมูลส่วนบุคคลหรือไม่?

Share

Loading

0

บทความโดย :
ดร. มนต์ศักดิ์ โซ่เจริญธรรม
15 กรกฎาคม 2563
https://www.facebook.com/monsaks

0

มีเจ้าหน้าที่รัฐขอคำปรึกษามาว่า…..กรม ก. เก็บข้อมูลส่วนบุคคล แล้วมี กรม ข. ค. และ ง. ขอข้อมูลมา

คำถาม

1. กรม ข. ค. และ ง. มีสิทธิขอข้อมูล (ส่วนบุคคล) หรือไม่?
2. กรม ก. มีสิทธิให้หรือไม่?
3. ถ้ามีการละเมิดเกิดขึ้น ใครรับผิดชอบ?

เลยอยากนำคำตอบและมุมมองมาแชร์ สำหรับคนทำงานภาครัฐ ดังนี้ครับ (ภาคเอกชนก็น่าจะได้ความรู้ความเข้าใจเพิ่มขึ้นด้วย)

คำตอบ

1. กรม ข. ค. และ ง. มีสิทธิขอและนำไปใช้งานภายใต้บทบาทหน้าที่ที่หน่วยงานตนมี เช่น

กรมทางหลวง มีหน้าที่หนึ่งคือ ทำทางให้ปลอดภัยได้มาตรฐาน ดังนั้นการขอข้อมูลสถิติอุบัติเหตุ ณ ทางแยกทางร่วมต่าง ๆ ย่อมทำได้ ซึ่งก็ลงลึกได้ตามเหตุผลความจำเป็น

เช่น เพื่อวิเคราะห์อุบัติเหตุ จึงต้องการรู้จำนวน เพศ อายุ รูปแบบอุบัติเหตุ เวลา ตำแหน่ง ประเภทรถ  แต่คงไม่จำเป็นต้องทราบชื่อว่า นาย A นาย B มาประสบอุบัติเหตุ ณ จุดนั้น ๆ

เช่นนี้ กรมทางหลวงมีสิทธิ (และหน้าที่) เต็มที่ที่จะเข้าถึงข้อมูลตามเจตนารมณ์ของกฎหมายฉบับต่างๆ ซึ่งกล่าวไปในแนวทางเดียวกันหมด ดังนี้

1.1 พรบ. การบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562 มาตรา 16

1.2 พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 24 อนุญาต ให้ผู้ควบคุมข้อมูลส่วนบุคคลกระทำการเก็บและประมวลผลข้อมูลส่วนบุคคลได้ โดยอ้างฐานกฎหมาย ในวงเล็บ 4  บอกว่าการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุม หรือ ในวงเล็บ 6 บอกว่า เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

1.3 พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 26 กรณีเป็นข้อมูลอ่อนไหว (sensitive information) เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็น ทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ก็ให้ทำได้ตามจุดประสงค์ต่าง ๆ (ก. ถึง จ.) ในวงเล็บ 5

1.4 พรบ. ข้อมูลข่าวสารของทางราชการ พ.ศ. 2540 มาตรา 24 ก็ให้ทำได้ ตามจุดประสงค์ต่าง ๆ (อธิบายในวงเล็บ 1 ถึง 9)

=========================

2. กรม ก. (ผู้รวบรวมข้อมูล) ก็มีสิทธิแชร์ให้ได้ตามเจตนารมย์ของกฎหมายฉบับต่างๆ ซึ่งกล่าวแล้วในข้อ 1

3. ถ้ามีการละเมิด (ด้วยเหตุสุดวิสัย) เกิดขึ้น ผู้ที่ละเมิดถ้าทำนอกเหนือภารกิจของหน่วยงาน อันนี้มีกระบวนการหรือกฎหมายอื่นดูแลคุ้มครองอยู่แล้ว และในกรณี พรบ. คุ้มครองข้อมูลส่วนบุคคล ก็จะมีบทลงโทษด้วย

สรุป คือ ขอ เก็บ และ ใช้เท่าที่จำเป็นต่อการทำงานให้สำเร็จ ดูแลเรื่องความปลอดภัยข้อมูลไม่ให้รั่วไหล

============================

อย่างไรก็ตาม ในทางปฏิบัติก็ยังเป็นการยากอยู่ดี (เช่น ส่งข้อมูลช่องทางไหน เก็บรักษาอย่างไร เอาข้อมูลบางส่วนออกอย่างไร เข้ารหัสอย่างไร ติดตามประวัติการใช้ข้อมูลอย่างไร)

สำหรับเจ้าหน้าที่รัฐ (หรือ คนทำงาน) สิ่งเหล่านี้ยากและท้าทาย เพราะยังมีรายละเอียดเหล่านี้ ต้องอาศัยความรู้ อาศัยการวิเคราะห์ หรือ ใช้วิจารณญาณ และเมื่อต้องลงมือจริงก็จะขาดความมั่นใจ หรือ คิดได้ไม่รอบด้าน สังเกตว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นกฎหมายใหม่ และเกี่ยวพันถึงเทคโนโลยีดิจิทัลมากทีเดียว ย่อมเป็นการยากที่ผู้ปฏิบัติจะคิดวิเคราะห์หาการปฏิบัติ

ไว้บทความหน้า จะมาเขียนเทคนิคการปฏิบัติเพื่อป้องกันการละเมิด และลดความเสี่ยงในการแชร์และเปิดเผยแพร่ข้อมูลส่วนบุคคล ที่น่าจะช่วยให้เห็นภาพในระดับการปฏิบัติเลยครับ

ขอขอบคุณแหล่งที่มา :

Facebook : ดร.มนต์ศักดิ์ โซ่เจริญธรรม