ปฏิรูปการเมือง
กรอบการคุ้มครองข้อมูลส่วนบุคคลของเอเปค

ดร.นคร เสรีรักษ์
ผู้เชี่ยวชาญด้านข้อมูลข่าวสาร


เรื่องของ “ข้อมูลส่วนบุคคล” ดูจะเป็นเรื่องใหม่ที่คนไทยไม่คุ้นเคย แต่จริงๆ แล้ว ข้อมูลส่วนบุคคลของคนไทยถือว่าได้รับการคุ้มครองอย่างจริงจังตั้งแต่ปี 2540 โดยบทบัญญัติของ พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540 และรัฐธรรมนูญ 2540 และยังคงความสำคัญอยู่ในรัฐธรรมนูญฉบับปัจจุบัน


สำหรับในทางสากล การคุ้มครองข้อมูลส่วนบุคคลปรากฏอยู่ในกฎหมายหรือข้อตกลงระหว่างประเทศหลายแห่ง ไม่ว่าจะเป็นแนวทางปฏิบัติขององค์การเพื่อความร่วมมือทางเศรษฐกิจและการพัฒนา (OECD) รัฐสภาแห่งยุโรป (Council of Europe) สหภาพยุโรป (EU) สหประชาชาติ และล่าสุดที่เกี่ยวพันใกล้ชิดกับประเทศไทยโดยตรงคือ กลุ่มความร่วมมือทางเศรษฐกิจเอเชีย-แปซิฟิก หรือ เอเปค ซึ่งไทยเป็นสมาชิกอยู่

เอเปคได้กำหนดหลักเกณฑ์เกี่ยวกับข้อมูลส่วนบุคคล (APEC Information Privacy Principles) ซึ่งมีสาระสำคัญดังนี้
  1. เพื่อเป็นการรักษาผลประโยชน์ของบุคคลในเรื่องสิทธิความเป็นส่วนตัว จึงต้องมีการกำหนดมาตรการการคุ้มครองข้อมูลส่วนบุคคล เพื่อป้องกันการใช้ข้อมูลโดยมิชอบ และป้องกันความเสียหายที่จะเกิดจากการใช้โดยมิชอบ ไม่ว่าจะเป็นการเก็บ การใช้ และการส่งต่อ
  2. ต้องแจ้งเจ้าของข้อมูลอย่างชัดเจนว่าจะมีการเก็บข้อมูลส่วนบุคคล วัตถุประสงค์การเก็บ ประเภทบุคคลหรือองค์กรที่ข้อมูลส่วนบุคคลอาจได้รับการเปิดเผย ต้องแจ้งสิทธิของเจ้าของข้อมูลและมาตรการที่จะใช้ในการจำกัดการใช้ การเปิดเผย การเข้าถึง และการแก้ไข ทั้งนี้ต้องแจ้งก่อนหรือในขณะที่เก็บ หรือเร็วที่สุดหลังการจัดเก็บ
  3. ต้องมีการจัดเก็บอย่างจำกัดเท่าที่เป็นไปตามวัตถุประสงค์ของการเก็บ การเก็บต้องทำโดยวิธีที่ถูกกฎหมาย และวิธีที่เป็นธรรมและเหมาะสม โดยได้แจ้งต่อและได้ขอคำยินยอมจากเจ้าของข้อมูลแล้ว
  4. ข้อมูลที่เก็บไว้จะเอาไปใช้ได้เฉพาะตามวัตถุประสงค์ของการเก็บเท่านั้น เว้นแต่ได้รับคำยินยอมจากเจ้าของข้อมูลหรือเป็นไปตามข้อยกเว้นตามที่กฎหมายกำหนด
  5. เจ้าของข้อมูลมีสิทธิเลือกว่าจะยินยอมให้มีการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลของตน
  6. ข้อมูลที่จัดเก็บต้องมีความถูกต้อง สมบูรณ์ เป็นปัจจุบัน ตามความจำเป็นและตามวัตถุประสงค์การเก็บ
  7. ต้องมีมาตรการคุ้มครองข้อมูลอย่างเหมาะสมเพื่อป้องกันอันตรายที่อาจเกิด ไม่ว่าจะเป็นการสูญหาย-เสียหาย-การเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การทำลายโดยไม่ได้รับอนุญาต การใช้-ปรับเปลี่ยนแก้ไข-เปิดเผยโดยมิชอบ
  8. เจ้าของข้อมูลมีสิทธิรับรู้ว่ามีการเก็บข้อมูลส่วนบุคคลของตนหรือไม่ และมีสิทธิเข้าถึงข้อมูลของตนเอง และมีสิทธิขอให้ตรวจสอบความถูกต้องและขอให้ปรับปรุง แก้ไข เพิ่มเติม หรือทำลาย ข้อมูลของตน
  9. ผู้เก็บข้อมูลจะต้องรับผิดชอบการจัดมาตรการต่างๆ ให้เป็นไปตามหลักเกณฑ์ดังกล่าว การส่งข้อมูลส่วนบุคคลไปยังบุคคลหรือองค์การอื่นๆ ไม่ว่าภายในประเทศหรือส่งไปยังต่างประเทศ จะต้องได้รับคำยินยอมจากเจ้าของข้อมูล และจะต้องมีมาตรการที่เหมาะสมที่ประกันได้ว่าบุคคลหรือองค์กรที่ได้รับข้อมูลไปแล้วจะเก็บรักษาข้อมูลให้เป็นไปตามหลักเกณฑ์นี้

เอเปคนำเสนอโครงการนำร่องฯ เพื่อชักชวนและสนับสนุนให้สมาชิกพิจารณาปรับปรุงแนวทางการดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลภายในเขตเศรษฐกิจของตนเอง ให้สอดคล้องกับกรอบเอเปคดังกล่าว ทั้งนี้โดยเป็นการดำเนินการโดยสมัครใจ ซึ่งกรอบการดำเนินการดังกล่าวได้รับการรับรองในที่ประชุมระดับรัฐมนตรีและการประชุมผู้นำเศรษฐกิจเอเปค ตั้งแต่เมื่อเดือนกันยายน 2550

ถึงแม้จะไม่มีข้อบังคับให้สมาชิกเอเปคต้องปฏิบัติตามกรอบดังกล่าว แต่การเรียนรู้เพื่อเตรียมความพร้อมสำหรับทุกฝ่าย ไม่ว่าจะเป็นภาครัฐ ภาคธุรกิจเอกชน รวมทั้งภาคประชาชน ก็เป็นเรื่องจำเป็น

เพราะไม่แน่ว่าในอนาคต อาจเป็นเรื่องที่ต้องหยิบยกมาพูดคุยในเวทีรองลงมาในระดับภูมิภาค เช่นในอาเซียนก็เป็นไปได้

From : http://www.fpps.or.th