การกำกับดูแลข้อมูลส่วนบุคคลของประเทศไทยกำลังเข้าสู่ช่วงเปลี่ยนผ่านสำคัญ จากการวางรากฐานกฎหมาย ไปสู่การสร้างความชัดเจนและแนวปฏิบัติที่ใช้ได้จริงในภาคส่วนต่าง ๆ ล่าสุด สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ได้เผยแพร่สรุปการตอบข้อหารือตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เพิ่มเติมจำนวน 6 ฉบับ ซึ่งสะท้อนแนวโน้มการตีความกฎหมายในบริบทที่ซับซ้อนมากขึ้น ทั้งด้านการแพทย์ ความปลอดภัยสาธารณะ การให้บริการภาครัฐ และงานวิจัยเพื่อสาธารณะ ตลอดจนการเชื่อมโยงและแลกเปลี่ยนข้อมูลสุขภาพระหว่างหน่วยงานของรัฐเพื่อการดำเนินภารกิจตามกฎหมายอันเป็นประโยชน์สาธารณะในระบบบริการสาธารณสุข
การเผยแพร่สรุปการตอบข้อหารือครั้งนี้ไม่ได้เป็นเพียงคำอธิบายทางกฎหมายเท่านั้น แต่สะท้อนบทบาทของ PDPC ในฐานะ “Policy Interpreter” ที่ช่วยกำหนดทิศทางการใช้ข้อมูลของประเทศในยุคเศรษฐกิจดิจิทัล
พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กล่าวว่า แนวทางตอบข้อหารือดังกล่าวสะท้อนหลักการสำคัญของ PDPA ที่มุ่งสร้างสมดุลระหว่างการคุ้มครองสิทธิของประชาชนกับการใช้ข้อมูลส่วนบุคคลเพื่อประโยชน์สาธารณะและประโยชน์โดยชอบด้วยกฎหมายของผู้เกี่ยวข้อง
“PDPA ไม่ได้มีเป้าหมายเพื่อจำกัดการใช้ข้อมูล แต่เป็นการกำหนดกรอบให้การใช้ข้อมูลเป็นไปอย่างรับผิดชอบ โปร่งใส และเคารพสิทธิของเจ้าของข้อมูล การตอบข้อหารือจึงมีบทบาทสำคัญในการช่วยให้องค์กรต่าง ๆ โดยเฉพาะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลสามารถนำกฎหมายไปใช้ได้อย่างถูกต้องและเหมาะสมกับบริบทของแต่ละภาคส่วน” พ.ต.อ. สุรพงศ์ กล่าว
6 กรณีศึกษา สะท้อนโจทย์ใหม่ของการกำกับข้อมูลไทย
- ความโปร่งใสวิชาชีพแพทย์ กับสิทธิข้อมูลส่วนบุคคล
ข้อหารือกรณีแพทยสภาเกี่ยวกับการเปิดเผยข้อมูลการลงโทษผู้ประกอบวิชาชีพเวชกรรม สะท้อนโจทย์สำคัญของระบบวิชาชีพที่ต้องสร้างความโปร่งใสเพื่อคุ้มครองผู้รับบริการ ขณะเดียวกันต้องไม่ละเมิดสิทธิของบุคลากรทางการแพทย์เกินสมควร ทั้งยังมีหลักการที่สอดคล้องและเชื่อมโยงกันระหว่าง PDPA กับพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 สำหรับข้อมูลส่วนบุคคลที่อยู่ในความครอบครองหรือควบคุมดูแลของหน่วยงานของรัฐ
กรณีนี้สะท้อนแนวโน้มว่า การกำกับข้อมูลในอนาคตจะต้องพิจารณาความสมดุลระหว่าง “ความรับผิดชอบต่อสาธารณะ” กับ “สิทธิส่วนบุคคล” มากขึ้น โดยเฉพาะในวิชาชีพที่เกี่ยวข้องกับความปลอดภัยของประชาชน
- ภาครัฐกับโจทย์ Data Governance ยุคดิจิทัล
ข้อหารือของกรมการขนส่งทางบก สะท้อนความท้าทายของหน่วยงานของรัฐที่ต้องเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลในการให้บริการประชาชน ขณะเดียวกันต้องดำเนินการภายใต้กรอบ PDPA
แนวโน้มนี้ตอกย้ำความสำคัญของการขับเคลื่อนงานด้าน data governance ของหน่วยงานภาครัฐ ซึ่งต้องมีทั้งระบบกำกับดูแลข้อมูล การบริหารความเสี่ยง และการสร้างความโปร่งใสในการใช้ข้อมูลของประชาชน
- ความปลอดภัยสาธารณะกับการใช้ข้อมูลสุขภาพที่มีความอ่อนไหว
ข้อหารือของกรมสุขภาพจิตเกี่ยวกับการแลกเปลี่ยนข้อมูลผู้ป่วยจิตเวชที่มีความเสี่ยงต่อการก่อความรุนแรง ถือเป็นหนึ่งในกรณีที่มีความอ่อนไหว เนื่องจากเกี่ยวข้องกับข้อมูลสุขภาพ โดยเฉพาะสุขภาพจิต ซึ่งอาจกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลได้ค่อนข้างมาก
กรณีนี้สะท้อนแนวทางการกำกับดูแลข้อมูลที่ต้องพิจารณาชั่งน้ำหนักสิทธิส่วนบุคคลและประโยชน์สาธารณะ โดยเฉพาะในด้านความปลอดภัยสาธารณะ (public safety) อย่างรอบคอบ โดยต้องมีฐานกฎหมายที่ชัดเจน และมีมาตรการคุ้มครองข้อมูลที่เข้มงวด เพื่อป้องกันการใช้ข้อมูลเกินความจำเป็นหรือผิดวัตถุประสงค์ อันจะเป็นการละเมิดข้อมูลส่วนบุคคล
- งานวิจัยและข้อมูลนิรนาม กลไกสำคัญของนโยบายสาธารณะ
ข้อหารือของศูนย์วิจัยอุบัติเหตุแห่งประเทศไทย สถาบันเทคโนโลยีแห่งเอเชีย เกี่ยวกับการใช้ข้อมูลเพื่อวิเคราะห์และศึกษาวิจัยเกี่ยวกับสาเหตุของอุบัติเหตุจราจรและแนวทางการป้องกันแก้ไขปัญหานี้ สะท้อนความสำคัญของการใช้ข้อมูลเพื่อการศึกษาวิจัยหรือสถิติ ในการพัฒนาองค์ความรู้และนโยบายความปลอดภัยสาธารณะ
นอกจากนี้ สรุปการตอบข้อหารือดังกล่าวยังให้คำแนะนำเกี่ยวกับหลักการและเทคนิคในการใช้ข้อมูลนิรนาม (anonymization) ที่สอดคล้องกับ PDPA อันเป็นเครื่องมือสำคัญที่ช่วยให้สามารถใช้ข้อมูลเพื่อประโยชน์ของหน่วยงานและประโยชน์สาธารณะได้ โดยไม่กระทบต่อสิทธิของเจ้าของข้อมูลส่วนบุคคล
- ระบบสุขภาพดิจิทัลกับการแบ่งปันข้อมูลอ่อนไหว
ข้อหารือของสำนักงานปลัดกระทรวงสาธารณสุขเกี่ยวกับการจัดทำข้อตกลงการเปิดเผยข้อมูลส่วนบุคคล (Data Sharing Agreement) กับหน่วยงานของรัฐแห่งอื่น สะท้อนโจทย์สำคัญของการเชื่อมโยงข้อมูลสุขภาพในระบบบริการสาธารณสุขยุคดิจิทัล ซึ่งเกี่ยวข้องกับข้อมูลอ่อนไหวและต้องได้รับการคุ้มครองเป็นพิเศษ
กรณีนี้ตอกย้ำว่า “ข้อตกลงการแบ่งปันข้อมูล” เป็นหนึ่งในมาตรการเชิงองค์กรที่ช่วยกำหนดวัตถุประสงค์ เงื่อนไขการใช้ข้อมูล หน้าที่ความรับผิดชอบ และมาตรการรักษาความมั่นคงปลอดภัยให้ชัดเจน เพื่อให้การบูรณาการข้อมูลทำได้อย่างโปร่งใส ตรวจสอบได้ และสร้างความเชื่อมั่นต่อประชาชน
- การจัดทำข้อตกลงแบ่งปันข้อมูลระหว่างหน่วยงานรัฐ
ข้อหารือของสำนักงานหลักประกันสุขภาพแห่งชาติที่หารือเรื่องการจัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (Personal Data Sharing Agreement) ระหว่างสำนักงานปลัดกระทรวงสาธารณสุขกับสำนักงานหลักประกันสุขภาพแห่งชาติ สะท้อนความจำเป็นในการทำงานร่วมกันในภารกิจด้านการให้บริการสาธารณสุขและการบริหารจัดการกองทุนประกันสุขภาพที่จำเป็นต้องอาศัยข้อมูลการให้บริการ
กรณีนี้ชี้ว่า การจัดทำข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคล (data controller) ด้วยกัน เป็น “มาตรการทางเลือก” เพื่อให้วัตถุประสงค์ วิธีการ และความรับผิดชอบของแต่ละฝ่ายมีความชัดเจน แต่หากการจัดทำข้อตกลงเป็นอุปสรรคต่อการปฏิบัติภารกิจ หน่วยงานยังสามารถกำหนดมาตรการอื่นที่เหมาะสมและให้การคุ้มครองได้เช่นเดียวกัน โดยหัวใจยังคงอยู่ที่การจำกัดวัตถุประสงค์ในการใช้ข้อมูลส่วนบุคคล (purpose limitation) ตามความจำเป็น การรักษาความมั่นคงปลอดภัยของข้อมูล และการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลอย่างรอบคอบ
จาก Compliance สู่ Governance : ทิศทางใหม่ของ PDPA ไทย
การเผยแพร่ข้อหารือทั้ง 6 ฉบับ สะท้อนให้เห็นว่าการบังคับใช้ PDPA ของไทยกำลังพัฒนาเข้าสู่ระยะที่เน้น “Data Governance” มากขึ้น ไม่ใช่เพียงการปฏิบัติตามกฎหมายเท่านั้น แต่รวมถึงการสร้างระบบบริหารจัดการข้อมูลอย่างยั่งยืนในระดับองค์กรและระดับประเทศ
แนวโน้มดังกล่าวสอดคล้องกับทิศทางสากลที่ให้ความสำคัญกับการสร้างความเชื่อมั่นด้านข้อมูล หรือ Trust-based Digital Economy ซึ่งถือเป็นปัจจัยสำคัญในการพัฒนาเศรษฐกิจดิจิทัล
พ.ต.อ. สุรพงศ์ กล่าวว่า สคส. มุ่งผลักดันให้ประเทศไทยมีระบบคุ้มครองข้อมูลส่วนบุคคลที่ทันต่อการเปลี่ยนแปลงของเทคโนโลยี และสามารถรองรับการใช้ข้อมูลเพื่อขับเคลื่อนเศรษฐกิจและสังคมดิจิทัล
“การกำกับดูแลข้อมูลในปัจจุบันไม่ใช่เพียงเรื่องกฎหมาย แต่เป็นโครงสร้างพื้นฐานของเศรษฐกิจดิจิทัล การสร้างสมดุลระหว่างการคุ้มครองสิทธิและการใช้ข้อมูลอย่างมีความรับผิดชอบ จะเป็นหัวใจสำคัญในการสร้างความเชื่อมั่นของประเทศในระยะยาว” พ.ต.อ. สุรพงศ์ กล่าวปิดท้าย
ผู้ที่สนใจสามารถศึกษารายละเอียดสรุปการตอบข้อหารือเพิ่มเติมได้ที่ https://www.pdpc.or.th/consultation