จี้ดันกม.คุ้มครองข้อมูลหลังทรูรั่ว

กรุงเทพฯ * อัยการจี้ผลักดัน กม.ข้อมูลส่วนบุคคลคุ้มครองสิทธิประ ชาชน หลัง "ทรู" รั่ว แจงผู้ประกอบการต้องมีมาตรการรักษาความปลอดภัย ฝ่าฝืนจ่อคุกพร้อมชดใช้ค่าสินไหม เตือนรัฐเมินสะดุดค้ายุโรป
          เมื่อวันอาทิตย์ ดร.ธนกฤต วรธนัชชากุล อัยการจังหวัดประ จำสำนักงานอัยการสูงสุด (อสส.) ได้โพสต์เฟซบุ๊กถึงกรณีข้อมูลส่วนบุคคลของลูกค้าทรูมูฟเอชรั่วไหล กับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ว่า ภายใต้กฎหมายที่ใช้บังคับอยู่ในปัจจุบันนี้ หากผู้ให้บริการโครงข่ายสัญญาณโทรศัพท์มือถือฝ่าฝืนมาตรการคุ้มครองผู้ใช้บริการเกี่ยวกับข้อ มูลส่วนบุคคล โอกาสที่จะถูกลง โทษตามกฎหมายเป็นไปได้น้อยมาก เพราะหากยอมปฏิบัติตามคำสั่งของเลขาฯ กสทช.ก็ไม่ต้อง ถูกลงโทษปรับแต่อย่างใด กฎ หมายเหล่านี้ไม่ได้มีบทบัญญัติที่กำหนดให้ผู้ให้บริการโครงข่ายสัญญาณโทรศัพท์มือถือชดใช้ค่าเสียหายที่เกิดขึ้นอย่างชัดเจนด้วย
          ภายใต้ข้อจำกัดของการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายที่ใช้บังคับอยู่ ทำให้มีการเสนอร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....ซึ่งให้ความคุ้มครองข้อมูลส่วนบุคคลที่ดีกว่า เข้มงวดกว่า และมีบทลงโทษผู้ฝ่าฝืนที่รุนแรงกว่าเดิม และให้ความคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไปแก่ประ ชาชนทุกคนซึ่งได้ให้ข้อมูลส่วนบุคคลของตนแก่ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งหมายความว่าบุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล อันได้แก่ บรรดา ผู้ประกอบธุรกิจทั้งหลาย ซึ่งประชาชนผู้ใช้บริการได้ให้ข้อมูลส่วนบุคคลในการติดต่อและประกอบธุรกรรมต่างๆ เป็นต้น
          "ปัจจุบันนี้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมได้พิจารณาร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลดังกล่าวร่วมกับสำนักงานคณะกรรมการกฤษฎีกาเสร็จแล้ว และได้นำเสนอ ครม.เพื่อพิจารณาเมื่อวันที่  17 เม.ย.61 ก่อนเสนอ สนช.พิจารณาต่อไป โดยร่างกฎหมายฉบับล่าสุดนี้มีความสมบูรณ์ครบถ้วนมากกว่าร่างเดิม มีทั้งสิ้น 84 มาตรา ขณะที่ร่างเดิมกฤษฎีกาตรวจพิจารณาเสร็จแล้วเมื่อปี 2558 มีเนื้อหาเพียง 53 มาตรา" ดร.ธนกฤตระบุ
          เขากล่าวว่า ตามร่างล่าสุดนี้ข้อมูลส่วนบุคคลหมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงการระบุเฉพาะชื่อ ตำแหน่ง สถานที่ทำงาน หรือที่อยู่ทางธุรกิจ และข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ และร่างมาตรา 24 วรรคหนึ่ง บัญญัติห้ามไม่ให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หากฝ่าฝืนจนทำให้ผู้อื่นเสียหายต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน  5 แสนบาท หรือทั้งจำทั้งปรับตามมาตรา 65 หรือต้องระ วางโทษปรับทางปกครองไม่เกิน 3 แสนบาท  ตามมาตรา 70 และ ร่างมาตรา 29 บัญญัติให้ผู้ควบ คุมข้อมูลส่วนบุคคลมีหน้าที่ต้องประเมินผลกระทบต่อความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นประจำอย่างสม่ำเสมอ และต้องจัดให้มีมาตรการรักษาความปลอด ภัยที่เหมาะสม หากฝ่าฝืนต้องระวางโทษปรับทางปกครองไม่เกิน 3 แสนบาท ตามมาตรา 70
          "ดังนั้นหากผู้ควบคุมข้อมูลส่วนบุคคล เช่น ผู้ประกอบธุรกิจที่เป็นผู้ให้บริการได้ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อ มูลส่วนบุคคล หรือไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสมจนทำให้ข้อมูลส่วนบุคคลรั่วไหล ก็จะต้องถูกลงโทษตามกฎหมายโดยทันทีซึ่งมีทั้งโทษปรับและโทษจำคุก ซึ่งแตกต่างจากกฎหมายปัจจุบันดังกล่าวข้างต้นที่ให้โอกาสผู้ให้บริการที่ฝ่าฝืนกฎหมายไปปรับปรุงแก้ไขให้ถูกต้องเสียก่อน ถ้าไม่ทำตามถึงจะถูกลงโทษปรับ อย่างไรก็ตาม ความผิดที่มีอัตราโทษจำคุกตามร่างกฎหมายนี้ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีอำนาจเปรียบเทียบปรับได้และเมื่อเสียค่าปรับแล้วคดีเป็นอันเลิกกัน" อัยการระบุ
          นอกจากนี้ ร่างมาตรา 64 ยังบัญญัติความรับผิดทางแพ่งในการชดใช้ค่าเสียหายไว้ โดยกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลที่ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลจนทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลไม่ว่าจะจงใจหรือประมาทเลินเล่อ ต้องชดใช้ค่าสินไหมทด แทนแก่เจ้าของข้อมูลส่วนบุคคลด้วย ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล หรือลูกจ้าง หรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิ์ร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญตามกฎหมายได้ และกำหนดให้มีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีอำนาจหน้าที่สำคัญในการคุ้มครองข้อมูลส่วนบุคคล ส่งเสริมและสนับสนุนให้เกิดการพัฒนาด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศ
          ดร.ธนกฤตระบุต่อว่า ด้วยร่างฉบับนี้เป็นบทบัญญัติให้ความคุ้มครองข้อมูลส่วนบุคคลแก่ประ ชาชนเป็นการทั่วไป ไม่เจาะจงเฉพาะกรณีใดกรณีหนึ่ง ประ กอบกับปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมาก
          "จึงหวังว่าหน่วยงานที่เกี่ยว ข้องและสภานิติบัญญัติแห่งชาติจะเร่งรีบผลักดันให้กฎหมายฉบับนี้ออกมาใช้บังคับโดยเร็ว นอกจากนี้กฎเกณฑ์ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป  (General Data Protection Regulation (GDPR) (EU)) จะมีผลใช้บังคับในวันที่ 25 พฤษภาคม 2561 ซึ่งหากไทยไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีมาตรฐานเหมาะสม อาจจะส่งผลกระทบต่อการทำธุรกิจการค้ากับสหภาพยุโรปได้ด้วย" อัยการระบุ.