พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลกับงานห้องสมุด

เมื่อวันที่ 17 มิถุนายน 2563 ได้รับฟังการบรรยายเรื่อง “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลกับงานห้องสมุด” โดย อาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ในรูปแบบออนไลน์ผ่านโปรแกรม MS Teams สรุปได้ ดังนี้

 การคุ้มครองข้อมูลส่วนบุคคล

กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป General Data Protection Regulation (GDPR) เป็นกฎหมายของสหภาพยุโรปว่าด้วยมาตรการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล มีผลบังคับใช้วันที่  25 พฤษภาคม พ.ศ. 2561 อาจส่งผลกระทบต่อ หน่วยงานต่าง ๆ ทั้งภาครัฐ ภาคเอกชน หรือ ภาคธุรกิจ และมีผลกระทบต่อประเทศที่ต้องติดต่อคบค้าสมาคมกันด้วย ในประเทศไทยเตรียมบังคับใช้กฎหมายเกี่ยวกับคุ้มครองข้อมูลส่วนบุคคล ภายในเดือนมิถุนายน ปี พ.ศ. 2564 ดังนั้นห้องสมุดจะต้องเริ่มดำเนินการให้ความรู้ในเรื่องนี้ เนื่องจากมีหลายส่วนงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

 PDPA for Library พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลกับงานห้องสมุด

ข้อมูลของห้องสมุดส่วนใหญ่ก็จะเป็นข้อมูลที่ได้มาจาก ฝ่ายบุคคล ฝ่ายทะเบียน และนำมาใช้ในการทำ ระบบสมาชิก มีการเก็บข้อมูลเพื่อใช้รองรับการให้บริการ ยืมคืน การเข้าออกห้องสมุด การเข้าร่วมกิจกรรมต่างๆ ที่ห้องสมุดจัดขึ้น ข้อมูลส่วนบุคคลที่ต้องได้รับการคุ้มครองหลักๆ ได้แก่ ที่อยู่ เบอร์โทรศัพท์ อีเมล หมายเลขบัตรประชาชน เป็นต้น

 หลักการคุ้มครองข้อมูลส่วนบุคคล

1.จะต้องคำนึงถึงหลักความจำเป็น

2. ต้องมีฐานในการประมวลผลข้อมูลส่วนบุคคล

3. หลักความโปร่งใสและความเป็นธรรม

4. ต้องแจ้งให้เจ้าของข้อมูลทราบว่ามีการประมวลผลข้อมูลและมีการบันทึกไว้

 ฐานในการประมวลผลที่ห้องสมุดควรต้องนำมาใช้

  1. ฐานสัญญา มาตรา ม.24(3) เช่น ห้องสมุดจะต้องเก็บข้อมุลผู้ใช้บริการห้องสมุด และให้ทำได้ตามขอบเขตจำเป็นของสัญญา
  2. ฐานปฏิบัติตามกฎหมาย มาตรา ม.24(6) เช่น การจัดเก็บข้อมูลจราจรของผู้ใช้งานคอมพิวเตอร์ในห้องสมุด ให้ทำได้ตามขอบเขตความจำเป็นที่ต้องปฏิบัติตามกฎหมาย
  3. ฐานความยินยอม มาตรา ม. 24 เช่น การส่งข้อมูลเกี่ยวกับกิจกรรมของห้องสมุดให้กับผู้อ่านอย่างเฉพาะเจาะจง ให้ขอความยินยอมให้ชัดเจน และสามารถเพิกถอนข้อมูลได้
  4. ฐานประโยชน์โดยชอบ มาตรา ม. 24(5) เช่น การขึ้น blacklist กลุ่มบุคคลที่ไม่คืนหนังสือ ทั้งนี้ต้องคำนึงถึงผลที่จะกระทบสิทธิเสรีภาพของผู้ใช้ จะก่อให้เกิดความเสี่ยงต่อเจ้าของข้อมูลหรือไม่

 การเก็บข้อมูลส่วนบุคคล ต้องระบุให้เจ้าของข้อมูลส่วนตัวนั้นๆ ทราบว่า

  1. ประโยชน์ของการเก็บข้อมูลส่วนบุคคลนี้ คืออะไร
  2. ผู้เก็บข้อมูล มีการคำนึงถึงผลกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลหรือไม่
  3. ผู้ถูกเก็บข้อมูล พอจะคาดหมายได้หรือไม่ว่า จะต้องถูกเก็บข้อมูลหรือไม่ (expectation)
  4. เก็บข้อมูลส่วนบุคคลอะไรของผู้ใช้บ้าง
  5. ใช้ข้อมูลส่วนบุคคลของผู้ใช้อย่างไร
  6. สามารถเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้ให้กับใครได้บ้าง
  7. มีการจัดเก็บข้อมูลส่วนบุคคลของผู้ใช้ไว้ที่ไหน มีความปลอดภัยหรือไม่

 ห้องสมุดจะต้องสร้างความไว้วางใจ (Trust) แก่ผู้ใช้บริการ โดยมีแจ้งให้ทราบถึงนโยบายการจัดการข้อมูลผู้ใช้

มีฐานการประมวลผลข้อมูลผู้ใช้ถูกต้องพิจารณาตามความสัมพันธ์กับเจ้าของข้อมูล ประมวลผลเมื่อจำเป็น และผู้ใช้ให้ความยินยอมโดยสมัครใจ มีความโปร่งใสและอัปเดตข้อมูลทันสมัยตลอดเวลา มีวัตถุประสงค์ที่ชัดเจน กำหนดระยะเวลาในการเก็บข้อมูล และเปิดเผยข้อมูลถูกต้องสมบูรณ์ มีความปลอดภัยและยืดหยุ่น มีการจัดระบบข้อมูล รวมทั้งการเข้าถึงการดูแลที่มีมาตรฐาน และต้องเคารพสิทธิเจ้าของข้อมูล

ในช่วงท้ายผู้บรรยายได้ให้แนวคิดในการใช้ชีวิตในยุคดิจิทัล ดังนี้

1. เทคโนโลยีจัดเก็บข้อมูลพัฒนาและเจริญมากขึ้นเท่าใด ข้อมูลส่วนบุคคล ย่อมมีความเสี่ยงมากขึ้นที่จะถูกละเมิดสิทธิ

2. Data Protection เป็นเรื่องของทุกคนที่ต้องรู้เท่าทันเทคโนโลยี เพื่อป้องกันตนเองจากการถูกจัดเก็บข้อมูลและถูกละเมิดสิทธิ

3. มีความโปร่งใส คำนึงถึงความปลอดภัยของข้อมูลส่วนบุคคล และทำทุกอย่างให้น่าไว้วางใจ

4. ความเป็นส่วนตัวของแต่ละคนไม่เหมือนกัน บางคนไม่ชอบที่ถูกเปิดเผยข้อมูลส่วนตัวสู่สาธารณะ