ปัญหาการลบทำลายข้อมูลส่วนบุคคลบนระบบอิเล็กทรอนิกส์ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

Abstract

เอกัตศึกษาฉบับนี้มีวัตถุประสงค์เพื่อศึกษาเรื่องการลบทำลายข้อมูลส่วนบุคคลในทางปฎิติบัติบนระบบอิเล็กทรอนิกส์ ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยที่ปัจจุบันเทคโนโลยี มีความเจริญก้าวหน้าเป็นอย่างมากและได้ถูกนำมาใช้งานอย่างแพร่หลาย โดยมีเครือข่ายสื่อสารอินเตอร์เน็ตเป็นส่วนสำคัญในสังคมชีวิตประจำวันของมนุษย์ ทั้งนี้ไม่ว่าจะเพื่อใช้ในการติดต่อสื่อสาร การทำธุรกรรม การค้นคว้าหาข้อมูลหรือความรู้ การขายสินค้าหรือบริการหรือธุรกรรมในทางธุรกิจทั้งหลายบนโลกอินเตอร์เน็ตในปัจจุบัน มักจะมีการเก็บข้อมูลส่วนบุคคลของผู้ที่เข้าใช้งานโดยที่บุคคลผู้เข้าใช้งานไม่รู้ตัวซึ่งข้อมูลดังกล่าวอาจมีผลกระทบต่อสิทธิในความเป็นอยู่ส่วนตัวของเจ้าของข้อมูลได้ หรือในบางกรณีที่มีการจัดเก็บข้อมูลส่วนบุคคลในรูปแบบของข้อมูลอิเล็กทรอนิกส์ จึงทำให้ข้อมูลเหล่านี้สามารถถ่ายโอนกันได้โดยสะดวกรวดเร็ว และปัจจุบันพบว่ามีการล่วงละเมิดสิทธิของข้อมูลส่วนบุคคลเป็นจำนวนมากจนสร้างความเดือดร้อนรำคาญหรือเสียหายแก่เจ้าของข้อมูล จากการศึกษาแนวปฎิบัติของกฎหมายการลบทำลายข้อมูลส่วนบุคคลมาตรา 17 ของ General Data Protection Regulation : GDPR สิทธิของเจ้าของข้อมูลส่วนบุคคลได้เล็งเห็นข้อกำหนดกฎเกณฑ์ที่ชัดเจน เพื่อเป็นแนวทางในเชิงปฎิบัติของการลบและทำลายข้อมูลบนระบบอิเล็กทรอนิกส์ของประเทศไทยได้ เนื่องจากกฎหมายของประเทศไทยยังไม่มีการกำหนดหลักเกณฑ์ที่ชัดเจน ซึ่งส่งผลให้ผู้ควบคุมข้อมูลไม่อาจปฎิบัติตามได้ เช่น การลบทำลายข้อมูลบนระบบอิเล็กทรอนิกส์ แพลตฟอร์ม Digital Footprint ต่างๆ ในทางเทคนิคของระบบซอฟแวร์ ควรมีการกำหนดมาตราฐานในทางกฎหมายทางด้านการปฎิบัติและขอบเขต จากการศึกษาแนวปฎิบัติของกฎหมายการลบทำลายข้อมูลส่วนบุคคลของสหภาพยุโรปนั้น กล่าวคือการลบทำลายหรือทำให้ข้อมูลส่วนบุคคล กลายเป็นข้อมูลที่ไม่อาจระบุตัวตนได้ การบัญญัติกฎหมายในลักษณะดังกล่าวแตกต่างไปจากถ้อยคำที่ปรากฏ ของ GDPR ที่มีคำว่า “Right to be Forgotten” ควบคู่ไปกับ “Right to Erasure” ดังนั้น มาตรา 33 มาตรา 37 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นั้นบัญญัติของกฎหมายยังขาด แนวทางในทางปฎิบัติที่ชัดเจนในการลบทำลายข้อมูลส่วนบุคคลบนระบบอิเลกทรอนิกส์ การลบทำลายหรือทำให้ข้อมูลระบุตัวตนของเจ้าของข้อมูลส่วนบุคคล ซึ่งกฎหมายสหภาพยุโรป ได้กำหนดโครงสร้างและรายละเอียดการลบทำลายข้อมูลเพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลที่มีหน้าที่คุ้มครองข้อมูลส่วนบุคคลสามารถปฏิบัติตามได้ในทางกฎหมาย โดยแต่ละหน่วยงานหรือองค์กรต้องเตรียมระบบสนับสนุนระบบไม่ว่าจะเป็นระบบซอร์ฟแวร์ แอปพลิเคชั่น โปรแกรมเฉพาะเพื่อจัดดเก็บฐานข้อมูลและประมวลผลเพื่อให้ข้อมูลสามารถลบออกไปอย่างง่ายดาย โดยมีการดำเนินการโดยระบบไอที ฟังก์ชั่นต่างๆที่เตรียมพร้อมไว้ก่อนหน้า และองค์กรต้องมีโครงสร้างการกำกับดูแลเป็นกระบวนการเพื่อตอบกลับคำขอข้อมูลเพื่อให้แน่ใจว่าองค์กรครอบคลุมพื้นที่ทั้งหมดในระหว่างการลบ โดยปฎิบัตตามขั้นตอนที่ได้มีการวางแผนไว้ตามนโยบายของแต่ละองค์กร เพื่อให้เป็นที่เข้าใจตรงกันแก่พนักงานทุกคนและต้องการยืนยันตัวตนเจ้าของข้อมูล เกี่ยวกับขั้นตอนการจัดเก็บหรือลบ เป็นต้น โดยดำเนินการกรอบข้อมูลของเวลาที่กำหนด ในฐานะผู้ควบคุมข้อมูลต้องตอบกลับคําขอให้ลบข้อมูลโดยไม่ชักช้าและไม่เกินหนึ่งเดือนหลังจากได้รับคําขอ ดังนั้นเอกกัตศึกษานี้จึงขอเสนอให้มีการออกกฎหมายลำดับลองจาก มาตรา 33 และมาตรา 37(3) ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เนื่องจากกฎหมายที่ออกมาของประเทศนั้น “อาจประกาศกำหนดหลักเกณฑ์ในการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคล เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลตามวรรคหนึ่งก็ได้” นั้นไม่มีความชัดเจนทำให้เจ้าของข้อมูลและผู้ควบคุมข้อมมูลยังไม่สามารถปฎิบัติตามได้และยังไม่อาจทราบได้ว่าถูกกฎหมายหรือไม่ กฎหมายควรมีการบัญญัติรายละเอียดเกี่ยวกับการนำข้อมูลส่วนบุคคลออกจากการแสดงข้อมูลเพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นผู้ให้บริการระบบสืบค้นข้อมูลออนไลน์สามารถปฏิบัติตามกฎหมายได้โดยเพิ่มโครงสร้าง จากการศึกษามาตรา 17 GDPR ของกฎหมายสหภาพยุโรป โดยมีขั้นตอนในการลบทำลายข้อมูลส่วนบุคคลโดย (1) การเตรียมระบบสนันสนุนการลบข้อมูล (2) การสร้างโครงสร้างการกำกับดูแล (3) การวางนโยบายและขั้นตอนต่างๆ (4) การยืนยันตัวตนของเจ้าของข้อมูล (5) การกำหนดค่าใช้จ่าย และ (6) เรื่องของกรอบเวลาของการลบข้อมูล โดยให้กฎหมายลูกมีการกำหนดโครงสร้างต่างๆขึ้นมาแล้วในทางปฎิบัติ และกำหนดถึงหลักเกณฑ์และรายละเอียดในทางกฎหมายเกี่ยวกับการ “ลบ” “ทำลาย” หรือ “ทำให้ข้อมูลส่วนบุคคลกลายเป็นข้อมูลที่ไม่อาจระบุตัวตนได้” อีกด้วย