• การศึกษาทางไกล

สิทธิส่วนบุคคลกับการบริหารจัดการงานห้องสมุดและจดหมายเหตุ

การจัดงานเสวนาออนไลน์ เรื่อง “สิทธิส่วนบุคคลกับการบริหารจัดการงานห้องสมุดและจดหมายเหตุ” เมื่อวันที่ 18 สิงหาคม 2564 โดยสำนักบรรณสารสนเทศ มหาวิทยาลัยสุโขทัยธรรมาธิราช ผ่านทาง Microsoft Teams และ Facebook Live : STOU e-Library ผู้ช่วยศาสตราจารย์ ดร.นคร เสรีรักษ์ อาจารย์ประจำวิทยาลัยการปกครองท้องถิ่น มหาวิทยาลัยขอนแก่น วิทยากรภายในงานได้มีการถ่ายทอดความรู้เกี่ยวกับแนวคิดความเป็นส่วนตัว การคุ้มครองข้อมูลส่วนบุคคลในกฎหมายไทย มีประเด็นที่สำคัญ ดังนี้

แนวคิดความเป็นส่วนตัว

เป็นเรื่องพื้นฐานที่เกี่ยวข้องโดยตรงกับมนุษย์มาอย่างยาวนาน โดยมี 4 มิติ คือ

มิติที่ 1 ความเป็นส่วนตัวในชีวิตร่างกาย (Bodily Privacy)
มิติที่ 2 ความเป็นส่วนตัวในที่อยู่อาศัย บ้านเรือน เคหะสถาน (Territorial Privacy)
มิติที่ 3 ความเป็นส่วนตัวในการติดต่อสื่อสาร (Communications Privacy)
มิติที่ 4 ความเป็นส่วนตัวในเชิงข้อมูลส่วนบุคคล (Data Privacy)

ข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคล (Personal Data) หมายถึง ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าจะเป็นทางตรงหรือทางอ้อม อาทิ ชื่อ นามสกุล วันเกิด น้ำหนัก ส่วนสูง เลขประจำตัวประชาชน ที่อยู่ ประวัติการศึกษา ข้อมูลอุปกรณ์มือถือ ลายพิมพ์นิ้วมือ และทะเบียนรถยนต์ เป็นต้น แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม และไม่รวมข้อมูลของนิติบุคคล

ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) ข้อมูลที่ต้องระมัดระวังเป็นพิเศษในการเก็บรวบรวม หรือประมวลผล เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม เป็นต้น ทั้งนี้ กฎหมายให้การคุ้มครองข้อมูลส่วนบุคคลที่มีความอ่อนไหวจะเข้มงวดกว่าข้อมูลส่วนบุคคลธรรมดา

สำหรับความเป็นส่วนตัวในเชิงข้อมูลส่วนบุคคล ถือเป็นเรื่องที่มีความสำคัญและมีคุณค่าทั้งเป็นทรัพย์สิน เป็นสมบัติส่วนตัว มีคุณค่าในด้านความเป็นมนุษย์ที่มีศักดิ์ศรี มีสิทธิเท่าเทียมกัน และมีสิทธิเสรีภาพในการตัดสินใจที่จะดำรงชีวิต

กฎหมายที่มีการคุ้มครองมีข้อมูลส่วนบุคคลในประเทศไทย มีอยู่ใน 3 กฎหมาย คือ

1. รัฐธรรมนูญแห่งราชอาณาจักรไทย พ.ศ. 2560
มาตรา 32 บุคคลย่อมมีสิทธิในความเป็นอยู่ส่วนตัว เกียรติยศ ชื่อเสียง และครอบครัว การกระทำอันเป็นการละเมิด หรือ กระทบต่อสิทธิของบุคคลตามวรรคหนึ่ง หรือการนำข้อมูลส่วนบุคคลไปใช้ประโยชน์ไม่ว่าในทางใด ๆ จะกระทำมิได้ เว้นแต่โดยอาศัยอำนาจตามบทบัญญัติแห่งกฎหมายที่ตราขึ้นเพียงเท่าที่จำเป็นเพื่อประโยชน์สาธารณะ

2.พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540
เป็นกฎหมายที่บัญญัติขึ้นเพื่อรองรับและคุ้มครองสิทธิของประชาชนให้ได้รับรู้ข้อมูลข่าวสารเกี่ยวกับการดำเนินงานต่างๆ และสนับสนุนให้ประชาชนได้แสดงความคิดเห็นตรวจสอบกระบวนการทำงานของหน่วยงานของรัฐ สาระสำคัญของกฎหมาย ต้องมีความโปร่งใสและประชาชนมีสิทธิเข้าถึงข้อมูลของทางราชการได้ เพื่อส่งเสริมให้รัฐบาลมีการบริหารที่มีประสิทธิภาพมากยิ่งขึ้น ดังนั้น หน่วยงานของรัฐจะต้องมีหน้าที่ในการเปิดเผยข้อมูลให้ประชาชนรับรู้ โดยมิต้องร้องขอ ซึ่งมี 3 วิธีสำคัญ คือ

พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 มีบทบัญญัติในส่วนที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งมีหลักการ ดังนี้

  • จัดเก็บข้อมูลเท่าที่จำเป็น ต้องยกเลิกเมื่อหมดความจำเป็น
  • Update ข้อมูลอยู่เสมอ และรักษาความปลอดภัย (มาตรา 23)
  • เก็บข้อมูลโดยตรงจากเจ้าของข้อมูล (มาตรา 23)
  • ประกาศในราชกิจจานุเบกษา (มาตรา 23)
  • เปิดเผยข้อมูลโดยปราศจากความยินยอมไม่ได้ (มาตรา 24)
  • ยอมให้เจ้าของข้อมูลดูข้อมูลเกี่ยวกับตนเองได้ (มาตรา 25)
  • แก้ไขข้อมูลให้ตรงความจริงตามที่เจ้าของร้องขอ (มาตรา 25)

3.พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act B.E. 2019)
พระราชบัญญัติฉบับนี้ถือเป็นกฎหมายที่มาอุดช่องว่างของพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 โดยกฎหมายฉบับนี้ดูแลคุ้มครองข้อมูลส่วนบุคคลครอบคลุมทั้งภาครัฐและเอกชน ซึ่งในส่วนท้ายของ พ.ร.บ ได้มีการระบุไว้ว่า “เหตุผลในการประกาศใช้พระราชบัญญัติฉบับนี้ คือ เนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมากจนสร้างความเดือดร้อนรำคาญหรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว ทำได้โดยง่าย สะดวก และรวดเร็ว ก่อให้เกิดความเสียหายต่อเศรษฐกิจโดยรวม สมควรกำหนดให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไปขึ้น เพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป จึงจำเป็นต้องตราพระราชบัญญัตินี้”

โครงสร้างของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีทั้งหมด 7 หมวด 92 มาตรา ได้แก่
หมวด 1 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 8–18)
หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล (มาตรา 19–29)
หมวด 3 สิทธิของเจ้าของข้อมูลส่วนบุคคล (มาตรา 30–42)
หมวด 4 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 43–70)
หมวด 5 การร้องเรียน (มาตรา 71–76)
หมวด 6 ความรับผิดทางแพ่ง (มาตรา 77–78)
หมวด 7 บทกำหนดโทษ (มาตรา 79–90)
บทเฉพาะกาล (มาตรา 91–96)

อ่านฉบับเต็มได้ที่:
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

กรอบเวลาการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

บุคคลที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล

  1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง บุคคลที่ข้อมูลส่วนบุคคลระบุไปถึง
  2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เป็นบุคคล/นิติบุคคล ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) เป็นบุคคล/นิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล

หลักการสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

  1. หลักการขอความยินยอม ตามมาตรา 19
    • ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ก็ต่อเมื่อเจ้าของข้อมูลส่วนบุคคลให้ความยินยอมไว้ก่อน หรือในขณะนั้น เว้นแต่บทบัญญัติแห่ง พ.ร.บ. นี้หรือกฎหมายอื่นบัญญัติให้กระทำได้
      • การขอความยินยอมต้องทำโดยชัดแจ้งเป็นหนังสือ หรือทำผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยอมได้
      • ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งการขอความยินยอม ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน เข้าถึงได้ง่าย ใช้ภาษาที่อ่านง่าย
    • การประมวลผลข้อมูลต้องเป็นไปตามวัตถุประสงค์ มาตรา 21
      • ผู้ควบคุมข้อมูลส่วนบุคคลต้องทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อน หรือในขณะที่เก็บรวบรวม
    • การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่แตกต่างจากวัตถุประสงค์ที่แจ้งไว้ จะกระทำไม่ได้ เว้นแต่
      • ได้แจ้งวัตถุประสงค์ใหม่ และได้รับความยินยอมแล้ว
      • กฎหมายนี้หรือกฎหมายอื่นให้กระทำได้
  2. การประมวลผลข้อมูลทำได้เท่าที่จำเป็น ตามมาตรา 22
    • การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จำเป็น ภายใต้วัตถุประสงค์อันชอบ ด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

สิทธิของเจ้าของข้อมูลส่วนบุคคล

  1. สิทธิที่ได้รับการแจ้งก่อนหรือในขณะการเก็บข้อมูล (มาตรา 23) ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลทราบ อาทิ วัตถุประสงค์ ระยะเวลา สถานที่ วิธีการติดต่อผู้ควบคุม เป็นต้น
  2. สิทธิในการถอนความยินยอม (มาตรา 19) ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอม
  3. สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล (มาตรา 30) ทั้งการขอเข้าถึง ขอรับสำเนาข้อมูล หรือขอให้เปิดเผยถึงการได้มา
  4. สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (มาตรา 28, 31) ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งสิทธิก่อนโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
  5. สิทธิในการคัดค้าน การเก็บ การใช้ การเปิดเผยข้อมูลส่วนบุคคล (มาตรา 32) โดยมีสิทธิจะคัดค้านเมื่อใดก็ได้
  6. สิทธิในการขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล (มาตรา 33) เพื่อทำให้ข้อมูลไม่สามารถระบุตัวบุคคลได้
  7. สิทธิในการขอระงับการใช้ข้อมูลส่วนบุคคล (มาตรา 34)
  8. สิทธิในการขอแก้ไขข้อมูลส่วนบุคคล (มาตรา 35) ผู้ควบคุมข้อมูลต้องดำเนินการให้ข้อมูลส่วนบุคคลให้ถูกต้องเป็นปัจจุบันและสมบูรณ์

ความรับผิดและบทกำหนดโทษ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

แนวทางการเตรียมความพร้อมของหน่วยงาน สำหรับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่จะมีการบังคับใช้อย่างเต็มรูปแบบ ในวันที่ 1 มิถุนายน 2565

  1. สำรวจ/จัดทำรายการข้อมูลส่วนบุคคลที่จำเป็นต้องการใช้ เหตุผลในการใช้ รวมถึงวิธีการที่สามารถใช้ได้
  2. จัดอบรม/สร้างความตระหนักรู้/ความเข้าใจ เรื่องความปลอดภัยของข้อมูลส่วนบุคคล
  3. จัดเตรียมการแจ้งเตือนบุคคลที่เคยถูกเก็บข้อมูลมาแล้ว และเตรียมวิธีที่เหมาะสมในการขอความยินยอมในการเก็บข้อมูลในอนาคต ซึ่งอาจเป็นหน้าขอความยินยอมบนเว็บไซต์ หรือเอกสารให้ผู้ใช้บริการลงนามยินยอม
  4. ความเข้าใจในกฎหมาย/ความตระหนักรู้/ความสำคัญ ของการรักษาความปลอดภัยของข้อมูลในองค์กร
  5. แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer)
  6. ศึกษาผลของการละเลย PDPA ว่าจะสร้างผลกระทบกับองค์กรอย่างไรได้บ้าง เช่น ความเสี่ยงทางกฎหมาย จนถึงความเสี่ยงที่จะเสียโอกาสทางธุรกิจในอนาคต หรือถูกนำไปใช้อะไรบ้าง
  7. จัดทำแผนที่ข้อมูล (Data mapping) วิเคราะห์ว่าข้อมูลต่าง ๆ ถูกจัดเก็บไว้อย่างไร หรือถูกนำไปใช้อะไรบ้าง
  8. จัดทำนโยบายความเป็นส่วนตัว และข้อมูลส่วนบุคคล (Privacy policy)
  9. จัดเตรียมเอกสารทางกฎหมาย เช่น เอกสารขอคำยินยอม เอกสารแจ้งสิทธิของเจ้าของข้อมูล
  10. จัดทำการประเมินผลกระทบต่อข้อมูลส่วนบุคคล (DPIA) เพื่อค้นหา และลดความเสี่ยงในดูแลความปลอดภัยของข้อมูล
  11. จัดทำระบบแจ้งเตือนข้อมูลรั่วไหล (Breach notification)
  12. จัดหา/ประยุกต์ใช้เทคโนโลยีเพื่อเสริมประสิทธิภาพในการคุ้มครองข้อมูล

ด้านผู้ช่วยศาสตราจารย์ ดร.ทรงพันธ์ เจิมประยงค์ หัวหน้าภาควิชาบรรณารักษศาสตร์ คณะอักษรศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย บรรยายในหัวข้อ “ความเป็นส่วนตัวกับงานห้องสมุดและจดหมายเหตุ” ด้านมิติความเป็นส่วนตัวกับการบริหารจัดการทรัพยากร การจัดเก็บและบริหารข้อมูลส่วนบุคคลในการให้บริการ โดยมีสาระสำคัญ ดังนี้

องค์ประกอบในงานห้องสมุดและจดหมายเหตุที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ได้แก่

  1. ข้อมูลส่วนบุคคลในทรัพยากรที่จัดเก็บและให้บริการ
  2. การจัดเก็บและบริหารข้อมูลส่วนบุคคลในการให้บริการ

การบริหารจัดการ การจัดเก็บและให้บริการในห้องสมุดและงานจดหมายเหตุที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

มีประเด็นมิติความเป็นส่วนตัวด้านต่างๆ ที่หน่วยงานหรือผู้ปฏิบัติงานห้องสมุดและงานจดหมายเหตุ ต้องตระหนักและให้ความสำคัญ ได้แก่

วิธีการจัดการข้อมูลส่วนบุคคลในงานห้องสมุดและจดหมายเหตุ ควรพิจารณาประเด็นต่างๆ ดังต่อไปนี้

  1. ข้อตกลงการใช้บริการ
  2. การจัดทำข้ออนุญาตยินยอม โดยพิจารณาวัตถุประสงค์ในการใช้งานและระยะเวลา
  3. การแจ้งให้ทราบ เช่น การติดตั้งกล้องวงจรปิดในห้องสมุด เป็นต้น
  4. จัดเก็บเฉพาะเท่าที่จำเป็น
  5. การดัดแปลงข้อมูลก่อนการจัดเก็บ
  6. การรักษาความปลอดภัย

แนวปฏิบัติของผู้ปฎิบัติงานห้องสมุดและจดหมายเหตุเกี่ยวกับข้อมูลส่วนบุคคล มีดังนี้

  1. การเตรียมความพร้อมในการจัดเก็บและบริหารข้อมูลส่วนบุคคล อาจจะต้องเริ่มต้นจากการคัดเลือกจัดเก็บเฉพาะข้อมูลเท่าที่จำเป็นต้องนำไปใช้งานจริง ๆ เท่านั้น เช่น ชื่อ-นามสกุล เบอร์โทรศัพท์ และอีเมล์ของสมาชิกห้องสมุดที่จำเป็นต้องมี เพื่อการติดต่อประสานกับสมาชิกที่เกี่ยวข้องกับกิจกรรมของห้องสมุด หากข้อมูลส่วนที่ไม่จำเป็นต้องใช้ประโยชน์หรือใช้งานเสร็จสิ้นตามกระบวนงานแล้ว ควรจะทิ้งหรือทำลาย
  2. ผู้ที่ควบคุมหรือดูแลข้อมูลควรเป็นบุคคลที่มีหน้าที่เกี่ยวข้องเท่านั้น
  3. การจัดเก็บข้อมูลส่วนบุคคลควรจัดทำแบบให้ความยินยอมจากเจ้าของข้อมูลเพื่อให้รับทราบความจำเป็นในการจัดเก็บและการนำข้อมูลไปใช้ประโยชน์
  4. การจัดเก็บข้อมูลส่วนบุคคลบนคลาวด์ (Cloud computing) เช่น ข้อมูลใน Google Form ผู้ดูแลข้อมูลควรระมัดระวังเรื่องความปลอดภัยของข้อมูล และไม่ควรเปิดเผยข้อมูลหรือแชร์ข้อมูลให้เป็นสาธารณะ

สำหรับการปฏิบัติงานในห้องสมุดและจดหมายเหตุ ทั้งในด้านการเก็บรวบรวม การใช้ข้อมูล การเข้าถึงข้อมูล การให้บริการ การรักษาความปลอดภัย และการเปิดเผยข้อมูลส่วนบุคคล ซึ่งผู้ปฏิบัติงานล้วนต้องเกี่ยวข้องกับข้อมูลส่วนบุคคลตามพระราชบัญญัติ ดังนั้นบุคลากรในองค์กรจึงจำเป็นจะต้องศึกษาทำความเข้าใจ และมีการจัดทำนโยบายในการบริหารข้อมูลส่วนบุคคลให้ชัดเจนและรัดกุมยิ่งขึ้น เพื่อให้เกิดแนวปฏิบัติที่ดี ไม่ละเมิดสิทธิส่วนบุคคล รวมถึงสามารถคุ้มครองข้อมูลส่วนบุคคลได้อย่างถูกต้องตามกฎหมายและมีประสิทธิภาพ

ศึกษาค้นคว้ารายละเอียดเพิ่มเติมได้ที่:

  1. การคุ้มครองข้อมูลส่วนบุคคล : ข้อเสนอสำหรับประเทศไทย / นคร เสรีรักษ์ (JC596 น62 2558)
  2. แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
  3. Facebook: Privacy Thailand
  4. เอกสารประกอบการบรรยาย โดยผู้ช่วยศาสตราจารย์ ดร.นคร เสรีรักษ์ อาจารย์ประจำวิทยาลัยการปกครองท้องถิ่น มหาวิทยาลัยขอนแก่น
  5. เอกสารประกอบการบรรยาย โดยผู้ช่วยศาสตราจารย์ ดร.ทรงพันธ์ เจิมประยงค์ หัวหน้าภาควิชาบรรณารักษศาสตร์ คณะอักษรศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย

สอบถามรายละเอียดเพิ่มเติม:

หน่วยจดหมายเหตุมหาวิทยาลัย ฝ่ายบริการสนเทศ
02-504-7467-68
libinfoservice@stou.ac.th