IPPS in last year
Contact us
Site Map 		Homepage
หน้าแรกHomepageAbout IPPSAbout IPPSPublicationPublicationArticleDemocracy MonitoringDemocracy MonitoringSocial ReformActivities
 
บทความ (Thai)
ข้อแนะนำเชิงนโนบายด้านข้อมูลส่วนบุคคล (Data Privacy Guideline) (ตอนที่ 2)

นคร เสรีรักษ์

3. การคุ้มครองข้อมูลส่วนบุคคลในกฎหมายและข้อตกลงระหว่างประเทศ
สำหรับเศรษฐกิจ ซึ่งในปัจจุบันนี้การติดต่อสัมพันธ์ทางเศรษฐกิจไม่ได้จำกัดอยู่เฉพาะในประเทศของตนและกลายเป็นความสัมพันธ์ระหว่างประเทศ ทุกประเทศในโลกไม่สามารถจะหลีกเลี่ยงการทำการค้ากับต่างประเทศ หรือประเทศเนื่องจากข้อมูลเป็นพื้นฐานในการพัฒนาเศรษฐกิจ การได้มาซึ่งข้อมูลโดยเสรีเป็นปัจจัยสำคัญในภูมิภาคเดียวกัน การมีกฎหมายที่สอดคล้องกันเพื่อไม่ให้เป็นอุปสรรคในการดำเนินการทางการค้าระหว่างประเทศเป็นเรื่องที่มีความจำเป็นมาก เช่น การไหลเวียนของข้อมูลโดยการส่งสัญญาณดาวเทียม และเครือข่ายการสื่อสารแบบไร้สาย ซึ่งอยู่นอกเหนือข้อจำกัดทางเขตแดนของประเทศ แต่รัฐสามารถระงับการติดต่อสื่อสารที่มีการใช้ข้อมูลข่าวสารเกี่ยวกับบุคคลไปใช้ในทางที่ผิดได้

3.1 การคุ้มครองข้อมูลส่วนบุคคลตามแนวทางขององค์การเพื่อความร่วมมือทางเศรษฐกิจและการพัฒนา (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)

องค์กรเพื่อความร่วมมือทางเศรษฐกิจและการพัฒนา (OECD) ได้ออกแนวทางปฏิบัติเกี่ยวกับข้อมูลส่วนบุคคล โดยมีวัตถุประสงค์เพื่อการดูแลการส่งผ่านข้อมูลระหว่างประเทศ (Transborder flow) การคุ้มครองข้อมูลส่วนบุคคล (personal data) และการคุ้มครองสิทธิความเป็นส่วนตัว (privacy) ซึ่งเริ่มต้นมาจากปัญหาความไม่เท่าเทียมกันในบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลในแต่ละประเทศ ซึ่งอาจเป็นการขัดขวางการไหลเวียนของข้อมูลข่าวสารระหว่างประเทศ วัตถุประสงค์หลักของแนวทางนี้ก็เพื่อเป็นเครื่องมือในการสร้างความเป็นอันหนึ่งอันเดียวกันของประเทศสมาชิก OECD ทั้งนี้ เพื่อก่อให้เกิดความเชื่อมั่นแก่ภาคเอกชนและผู้ประกอบธุรกิจทั้งหลายในการติดต่อสัมพันธ์ทางการค้า

กฎเกณฑ์ของแนวทางฉบับนี้ เป็นแนวปฏิบัติขั้นต่ำของหลักการเพื่อให้ประเทศสมาชิกได้นำไปปฏิบัติภายในแต่ละประเทศ แนวปฏิบัติฉบับนี้ไม่ได้แยกระหว่างหน่วยงานของรัฐและหน่วยงานเอกชน และไม่ได้แยกว่าเป็นการประมวลผลข้อมูลเกี่ยวกับบุคคลโดยวิธีการอัตโนมัติหรือโดยวิธีการประมวลผลด้วยมือ

ขอบเขตความหมายของข้อมูลส่วนบุคคล (Personal data) หมายถึง ข้อมูลใดๆ ที่เกี่ยวข้องเฉพาะตัวบุคคล หรือสามารถชี้ให้เห็นลักษณะเฉพาะตัวบุคคลเจ้าของข้อมูลได้ ซึ่งโดยภาพรวมของการคุ้มครองข้อมูลส่วนบุคคลมีหลักการดังนี้

1. หลักข้อจำกัดในการเก็บรวบรวมข้อมูล ข้อมูลส่วนบุคคลที่จัดเก็บจะต้องได้มาโดยวิธีการที่ถูกต้องและชอบด้วยกฎหมาย โดยต้องให้บุคคลผู้เป็นเจ้าของข้อมูลรับทราบและยินยอมในการจัดเก็บข้อมูล

2. หลักคุณภาพของข้อมูล ข้อมูลส่วนบุคคลที่จัดเก็บต้องเป็นข้อมูลที่มีความเกี่ยวข้องกับวัตถุประสงค์ในการใช้ และต้องเป็นข้อมูลที่ถูกต้อง สมบูรณ์และถูกต้องตรงตามความเป็นจริงอยู่เสมอ

3. หลักการกำหนดวัตถุประสงค์ ต้องมีการกาหนดวัตถุประสงค์ในการจัดเก็บข้อมูลส่วนบุคคลก่อนที่จะมีการจัดเก็บข้อมูลส่วนบุคคลนั้น

4. หลักการจำกัดการใช้ข้อมูล การใช้ข้อมูลจะกระทำได้โดยขัดต่อวัตถุประสงค์ในการจัดเก็บมิได้เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูล หรือได้รับอนุญาตตามเงื่อนไขที่กฎหมายกำหนด

5. หลักการรักษาความปลอดภัย ต้องจัดให้มีมาตรการรักษาความปลอดภัยในการจัดเก็บข้อมูลเพื่อป้องกันความเสื่อมเสีย การเข้าถึง การทำลาย การใช้ การเปลี่ยนแปลงแก้ไข หรือการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต

6. หลักการเปิดเผยข้อมูล ต้องกำหนดวิธีการทั่วไปในการเปิดเผยข้อมูล รูปแบบของการเปิดเผย หลักเกณฑ์ในการขอให้มีการเปิดเผยข้อมูล ซึ่งต้องไม่เป็นการกระทบต่อความเป็นอยู่ส่วนตัวของเจ้าของข้อมูล

7. หลักการมีส่วนร่วมของปัจเจกบุคคล กำหนดให้ปัจเจกชนมีสิทธิต่างๆ ดังต่อไปนี้
  • มีสิทธิได้รับการแจ้งว่ามีข้อมูลของตนจัดเก็บอยู่
  • มีสิทธิตรวจสอบข้อมูลของตนที่มีผู้จัดเก็บ
  • มีสิทธิขอให้แก้ไขข้อมูลที่ไม่ถูกต้อง
  • มีสิทธิปฏิเสธไม่ให้มีการจัดเก็บข้อมูลของตน

8. หลักความรับผิดชอบ กำหนดความรับผิดในกรณีมีการละเมิดข้อมูลส่วนบุคคลของตน

ในส่วนของการไหลเวียนของข้อมูลระหว่างประเทศ ได้กำหนดหลักการให้ประเทศสมาชิกรับรองการไหลเวียนข้อมูลส่วนบุคคล ซึ่งรวมถึงการส่งข้อมูลทั้งหมดในประเทศสมาชิกอย่างต่อเนื่องและปลอดภัย และให้ประเทศสมาชิกงดเว้นจากการจำกัดการไหลเวียนของข้อมูลระหว่างประเทศ เว้นแต่ประเทศที่มีวัตถุประสงค์ที่จะไม่ปฏิบัติตามแนวทาง หรือเมื่อมีการส่งออกไปใหม่ของข้อมูลที่อาจถูกจำกัดโดยกฎหมายคุ้มครองข้อมูล หรือในกรณีข้อมูลส่วนบุคคลบางชนิด หรือในกรณีประเทศอื่นที่มีบทบัญญัติในการคุ้มครองข้อมูลที่ไม่เท่าเทียมกันหรือไม่เป็นไปตามมาตรฐานที่ยอมรับได้

3.2 การคุ้มครองข้อมูลส่วนบุคคลตามข้อบังคับสหภาพยุโรป (European Union Directive 95/46/EC)

การคุ้มครองข้อมูลส่วนบุคคลภายใต้ข้อบังคับสหภาพยุโรป 95/46 เริ่มต้นขึ้นในปี 1995 นับเป็นบทบัญญัติที่มีผลบังคับระหว่างประเทศฉบับแรกที่ให้ความคุ้มครองข้อมูลส่วนบุคคล ที่ถูกสร้างขึ้นโดยประเทศสมาชิกสหภาพยุโรป ข้อบังคับฉบับนี้ให้การคุ้มครองข้อมูลส่วนบุคคล และเสรีภาพในการเคลื่อนไหวของข้อมูล ทั้งยังให้การรับรองว่าข้อมูลจะได้รับการคุ้มครองอย่างเท่าเทียมกันตลอดทั้งตลาดร่วมยุโรป โดยมีขอบเขตการบังคับใช้ คือ ในมาตรา 2 ได้ให้คำจำกัดความของข้อมูลส่วนบุคคล (personal data) ว่าหมายถึงข้อมูลข่าวสาร (information) ใดๆ ที่ชี้เฉพาะตัวบุคคล หรือสามารถบ่งชี้ลักษณะเฉพาะที่เกี่ยวข้องกับตัวบุคคล ซึ่งหมายถึงบุคคลธรรมดา (natural person) ที่เป็นเจ้าของข้อมูล (data subject) การชี้เฉพาะตัวบุคคลอาจเป็นไปโดยตรงหรือโดยอ้อม การอ้างอิงถึงข้อมูลส่วนบุคคล เช่น หมายเลขประจำตัว ลักษณะสาคัญทางกาย สรีระ จิตใจ สถานะทางการเงิน สังคม วัฒนธรรม ซึ่งเป็นข้อมูลที่สามารถชี้เฉพาะตัวบุคคลได้ และในขอบเขตของการบังคับใช้ทั้งในการประมวลข้อมูลโดยวิธีการปกติ (manual) และการประมวลผลข้อมูลโดยวิธีการทางอิเล็กทรอนิกส์ หรือวิธีการอัตโนมัติ (electronic or automatic) ดังนั้น ประชาชนทุกคนในสหภาพยุโรป ทุกหน่วยงานราชการ และในทุกบริษัทห้างร้าน และองค์กรธุรกิจเอกชนทุกแห่งต้องสามารถให้ความมั่นใจได้ว่าได้มีการนำกฎเกณฑ์การคุ้มครองไปปฏิบัติจริงในมาตรฐานเดียวกันทั่วทั้งสหภาพยุโรป โดยมีวัตถุประสงค์หลัก 2 ประการ คือเพื่อให้ประเทศสมาชิกของสหภาพยุโรป มีแนวทางการบัญญัติกฎหมายคุ้มครองข้อมูลที่สอดคล้องกัน และเพื่อให้มีมาตรฐานในการปฏิบัติในการส่งข้อมูลส่วนบุคคลภายในประเทศสมาชิก

ข้อบังคับฉบับนี้ได้เรียกร้องให้มีการบัญญัติกฎหมายคุ้มครองข้อมูลในแต่ละประเทศ เพื่อให้การคุ้มครองประชาชนมากขึ้น สำหรับการคุ้มครองข้อมูลส่วนบุคคลในส่วนที่เกี่ยวกับภาคเอกชน โดยเฉพาะในบริษัทเอกชนที่ประกอบธุรกิจการค้า ต้องยึดหลักการที่เป็นสาระสำคัญดังนี้
  1. การรักษาคุณภาพของข้อมูล
  2. มาตรการของการประมวลผลข้อมูลที่ชอบด้วยกฎหมาย
  3. ข้อกำหนดในการประมวลผลข้อมูลชนิดพิเศษ เช่น ข้อมูลส่วนตัวโดยเฉพาะ (sensitive data)
  4. สิทธิในการได้รับแจ้งการเก็บข้อมูลต่างๆ ของเจ้าของข้อมูล
  5. สิทธิในการเข้าถึงข้อมูลของเจ้าของข้อมูล
  6. สิทธิในการคัดค้านการประมวลผลของเจ้าของข้อมูล
  7. การรักษาความปลอดภัยในการประมวลผลข้อมูล
  8. การส่งผ่านข้อมูลส่วนบุคคลไปยังประเทศที่สาม

นอกจากการควบคุมการส่งข้อมูลภายในประเทศสมาชิกแล้ว สำหรับประเทศที่ไม่ได้เป็นสมาชิกสหภาพยุโรป หากจะทำการติดต่อรับ-ส่งข้อมูลกับประเทศสมาชิกสหภาพยุโรป ก็ต้องมีมาตรการการคุ้มครองข้อมูลข่าวสารที่เหมาะสมเป็นที่พอใจแก่สหภาพยุโรปด้วยเช่นกัน ซึ่งมาตรการที่เหมาะสมที่สหภาพยุโรปได้ตั้งไว้ แม้กระทั่งประเทศสหรัฐอเมริกา ที่มีการค้าและการลงทุนกับประเทศสมาชิกสหภาพยุโรปมากที่สุด และมีการเคลื่อนไหวของข้อมูลข่าวสารมากที่สุด ก็ยังมีรูปแบบการคุ้มครองไม่เหมือนกับสหภาพยุโรป ทั้งนี้ สหรัฐอเมริกาใช้ระบบควบคุมตนเอง (self-regulation) โดยภาคเอกชนกำหนดการควบคุมข้อมูลขึ้นมาด้วยตนเอง ซึ่งทั้งสองฝ่ายมีการพยายามหาวิธีการที่ประนีประนอมเพื่อเป็นทางออกและแก้ไขปัญหาความขัดแย้งของทั้งสองฝ่ายนี้

3.3 การคุ้มครองข้อมูลส่วนบุคคลตามข้อตกลง (Convention) ของรัฐสภาแห่งยุโรป (Council of Europe)

ข้อตกลงของรัฐสภาแห่งยุโรป ประกาศใช้ในปี 1981 มีบทบัญญัติว่าด้วยเรื่องการคุ้มครองสิทธิในความเป็นอยู่ส่วนตัวและในการคุ้มครองข้อมูลส่วนบุคคล ในการประมวลผลโดยวิธีอัตโนมัติ และเปิดเสรีในการไหลเวียนข้อมูลระหว่างประเทศ โดยมีหลักการดังนี้
  1. หลักการเก็บรวบรวมข้อมูล การประมวลผลข้อมูลต้องดำเนินการโดยถูกต้อง และการเปิดเผยต้องทำด้วยเจตนาที่สุจริต
  2. การกำหนดระยะเวลาในการใช้ข้อมูล เมื่อสิ้นสุดความจำเป็นในการใช้ข้อมูลต้องยกเลิกการจัดเก็บทันที
  3. การจัดเก็บและการประมวลผลต้องทำภายใต้วัตถุประสงค์ และเพียงเท่าที่จำเป็น
  4. ความถูกต้องของข้อมูล ต้องมีคุณภาพ และมีการปรับปรุงให้ทันสมัยอยู่เสมอ
  5. การรักษาความปลอดภัยของข้อมูล มาตรการการคุ้มครองข้อมูลตามกฎหมายและให้ความคุ้มครองในทางเทคนิค

และเพื่อควบคุมการคุ้มครองให้เป็นไปตามกฎหมาย จึงกำหนดให้มีองค์กรคือ The Council of European’s Committee ทำหน้าที่คอยดูแลการละเมิดสิทธิในความเป็นอยู่ส่วนตัวอันเกิดจากการละเมิดข้อมูลส่วนบุคคล

3.4 กรอบการคุ้มครองข้อมูลส่วนบุคคลตามของ UN

สหประชาชาติก็ได้กำหนดหลักเกณฑ์เกี่ยวกับข้อมูลส่วนบุคคลไว้ใน “แนวทางการควบ คุมข้อมูลส่วนบุคคลที่จัดเก็บด้วยคอมพิวเตอร์” (Guidelines for the Regulation of Computerized Personal Data Files) ซึ่งมีสาระสำคัญดังนี้
  1. หลักความชอบด้วยกฎหมายและความเป็นธรรม (Principle of lawfulness and fairness) ข้อมูล ส่วนบุคคลจะต้องไม่ถูกเก็บรวบรวมหรือประมวลผลด้วยวิธีการที่ไม่เป็นธรรมหรือ ไม่ชอบด้วยกฎหมายและการใช้ข้อมูลส่วนบุคคลจะต้องไม่ขัดกับวัตถุประสงค์และ หลักการของกฎบัตรสหประชาชาติ
  2. หลักความถูกต้อง (Principle of accuracy)
    ในการเก็บรวบรวมข้อมูลส่วนบุคคลจะต้องมีการตรวจสอบอย่างสม่าเสมอว่ากระทาด้วยความถูกต้อง ข้อมูลมีความสมบูรณ์ ทันสมัยอยู่เสมอ และเก็บได้ภายในระยะเวลาเท่าที่จะมีการประมวลผลหรือใช้ข้อมูลเหล่านั้น 7
  3. หลักการระบุวัตถุประสงค์โดยเฉพาะเจาะจง (Principle of the purpose-specification) จะต้องมีการระบุวัตถุประสงค์ในการจัดเก็บและเงื่อนไขของการใช้ประโยชน์ข้อมูลที่เก็บตามวัตถุประสงค์ซึ่งชอบด้วยกฎหมายโดย
    1. เก็บรวบรวมเพียงเท่าที่เกี่ยวข้อง และเหมาะสมกับวัตถุประสงค์ที่ระบุไว้
    2. ข้อมูลส่วนบุคคลจะต้องไม่ถูกใช้หรือเปิดเผย เว้นแต่ได้รับความยินยอมจากบุคคลที่เกี่ยวข้อง
    3. ระยะเวลาที่จัดเก็บข้อมูลส่วนบุคคลจะต้องไม่เกินกว่าระยะเวลาที่การดำเนินการตามวัตถุประสงค์ที่ระบุไว้ได้สาเร็จลง
  4. หลักการเข้าถึงข้อมูล (Principle of interested-person access) เจ้าของข้อมูลมีสิทธิที่จะได้รู้ว่ามีการประมวลผลข้อมูลข่าวสารที่เกี่ยวกับตน โดยได้รับข้อมูลในรูปแบบที่เข้าใจได้ในเวลาอันสมควรและปราศจากค่าใช้จ่าย และสามารถขอให้แก้ไขหรือลบในกรณีมีการเก็บข้อมูลโดยไม่ชอบด้วยกฎหมาย ไม่จาเป็น หรือมีการเก็บข้อมูลโดยไม่ถูกต้อง ข้อกำหนดแห่งหลักการนี้ให้บังคับใช้กับบุคคลทุกคนโดยไม่คำนึงถึงสัญชาติหรือ ถิ่นที่อยู่
  5. หลักการไม่เลือกปฏิบัติ (Principle of non-discrimination) ห้ามเก็บรวบรวมข้อมูลซึ่งอาจทาให้เกิดการเลือกปฏิบัติที่ขัดต่อกฎหมาย เช่น ข้อมูลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ สีผิว พฤติกรรมทางเพศ ความคิดเห็นทางการเมือง การนับถือศาสนา ความเชื่อทางปรัชญาหรือความเชื่ออื่นๆ รวมทั้งข้อมูลการเป็นสมาชิกสหภาพ หรือสมาคมทางการค้า
  6. การกำหนดข้อยกเว้น (Power to make exceptions) ข้อยกเว้นจากหลักการข้อที่ ๑-๔ อาจกำหนดได้ในกรณีจำเป็นเพื่อรักษาความมั่นคงของชาติ ระเบียบสังคม สาธารณสุข หลักคุณธรรม และสิทธิและเสรีภาพของบุคคลอื่น ข้อยกเว้นจากหลักการข้อที่ ๕ อาจเป็นกรณีเพื่อการป้องกันการเลือกปฏิบัติ ภายใต้ข้อบัญญัติของปฏิญญาสากลว่าด้วยสิทธิมนุษยชนหรือกลไกของกฎหมายอื่นๆ ที่เกี่ยวกับการคุ้มครองสิทธิมนุษยชนและการป้องกันการเลือกปฏิบัติ
  7. หลักการรักษาความปลอดภัย (Principle of security) จะต้องมีการรักษาความปลอดภัยข้อมูลที่จัดเก็บ เพื่อป้องกันอันตรายทั้งจากภัยธรรมชาติ การสูญหายหรือเสียหาย การทำลายโดยบุคคล การเข้าถึงโดยปราศจากอานาจ การใช้ในทางที่ผิด หรือการทาลายโดยไวรัสคอมพิวเตอร์
  8. การกำกับดูแล (Supervision and sanctions) กฎหมายของประเทศต่างๆ จะต้องระบุหน่วยงานที่รับผิดชอบในการ ควบคุมดูแลและให้คาแนะนาเกี่ยวกับการปฏิบัติตามหลักการนี้
  9. การส่งข้อมูลข้ามพรมแดน (Transborder data flows) การส่งข้อมูลระหว่างประเทศจะสามารถกระทำได้ในกรณีที่ประเทศสองประเทศหรือ มากกว่าสองประเทศ มีกลไกในการคุ้มครองสิทธิความเป็นส่วนตัวในระดับเดียวกัน
  10. ขอบเขตการใช้ข้อปฏิบัติ (Field of application) หลักปฏิบัติดังกล่าวควรได้มีการปฏิบัติใช้สาหรับข้อมูลในภาครัฐและเอกชนที่จัด เก็บด้วยคอมพิวเตอร์ (Computerized Files) เช่นเดียวกับการจัดเก็บด้วยวิธีการอื่นๆ ที่มีการปรับปรุงให้เหมาะสมกับเอกสารที่จัดเก็บด้วยมือ (Manual Files)


3.5 กรอบการคุ้มครองข้อมูลส่วนบุคคลของ APEC
กลุ่มความร่วมมือทางเศรษฐกิจเอเชีย-แปซิฟิก หรือ เอเปค ซึ่งไทยเป็นสมาชิกอยู่ ได้กาหนดหลักเกณฑ์เกี่ยวกับข้อมูลส่วนบุคคล (APEC Information Privacy Principles) ซึ่งมีสาระสำคัญดังนี้
  1. เพื่อเป็นการรักษาผลประโยชน์ของบุคคลในเรื่องสิทธิความเป็นส่วนตัว จึงต้องมีการกาหนดมาตรการการคุ้มครองข้อมูลส่วนบุคคล เพื่อป้องกันการใช้ข้อมูลโดยมิชอบ และป้องกันความเสียหายที่จะเกิดจากการใช้โดยมิชอบ ไม่ว่าจะเป็นการเก็บ การใช้ และการส่งต่อ
  2. ต้องแจ้งเจ้าของข้อมูลอย่างชัดเจนว่าจะมีการ เก็บข้อมูลส่วนบุคคล วัตถุประสงค์การเก็บ ประเภทบุคคลหรือองค์กรที่ข้อมูลส่วนบุคคลอาจได้รับการเปิดเผย ต้องแจ้งสิทธิของเจ้าของข้อมูลและมาตรการที่จะใช้ในการจากัดการใช้ การเปิดเผย การเข้าถึง และการแก้ไข ทั้งนี้ต้องแจ้งก่อนหรือในขณะที่เก็บ หรือเร็วที่สุดหลังการจัดเก็บ
  3. ต้องมีการจัดเก็บอย่างจากัดเท่าที่เป็นไปตามวัตถุประสงค์ของการเก็บ การเก็บต้องทาโดยวิธีที่ถูกกฎหมาย และวิธีที่เป็นธรรมและเหมาะสม โดยได้แจ้งต่อและได้ขอคายินยอมจากเจ้าของข้อมูลแล้ว
  4. ข้อมูลที่เก็บไว้จะเอาไปใช้ได้เฉพาะตามวัตถุประสงค์ของการเก็บเท่านั้น เว้นแต่ได้รับคายินยอมจากเจ้าของข้อมูลหรือเป็นไปตามข้อยกเว้นตามที่กฎหมาย กาหนด
  5. เจ้าของข้อมูลมีสิทธิเลือกว่าจะยินยอมให้มีการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลของตน
  6. ข้อมูลที่จัดเก็บต้องมีความถูกต้อง สมบูรณ์ เป็นปัจจุบัน ตามความจาเป็นและตามวัตถุประสงค์การเก็บ
  7. ต้องมีมาตรการคุ้มครองข้อมูลอย่างเหมาะสมเพื่อป้องกันอันตรายที่อาจเกิดขึ้น ไม่ว่าจะเป็นการสูญหาย-เสียหาย-การเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การทาลายโดยไม่ได้รับอนุญาต การใช้-ปรับเปลี่ยนแก้ไข-เปิดเผยโดยมิชอบ
  8. เจ้าของข้อมูลมีสิทธิรับรู้ว่ามีการเก็บข้อมูลส่วนบุคคลของตนหรือไม่ และมีสิทธิเข้าถึงข้อมูลของตนเอง และมีสิทธิขอให้ตรวจสอบความถูกต้องและขอให้ปรับปรุง แก้ไข เพิ่มเติม หรือทาลายข้อมูลของตน
  9. ผู้เก็บข้อมูลจะต้องรับผิดชอบการจัดมาตรการต่างๆ ให้เป็นไปตามหลักเกณฑ์ดังกล่าว การส่งข้อมูลส่วนบุคคลไปยังบุคคลหรือองค์การอื่นๆ ไม่ว่าภายในประเทศหรือส่งไปยังต่างประเทศ จะต้องได้รับคำยินยอมจากเจ้าของข้อมูล และจะต้องมีมาตรการที่เหมาะสมที่ประกันได้ว่าบุคคลหรือองค์กรที่ได้รับข้อมูลไปแล้ว จะเก็บรักษาข้อมูลให้เป็นไปตามหลักเกณฑ์นี้

กล่าวโดยสรุป การคุ้มครองข้อมูลส่วนบุคคลในกฎหมายระหว่างประเทศและข้อตกลงระหว่างประเทศ โดยบทบัญญัติที่มีผลบังคับใช้ ได้แก่ สนธิสัญญาฉบับต่างๆ ไม่ว่าจะเป็นแนวทางของ OECD ข้อบังคับสหภาพยุโรป 95/46 หรือข้อตกลงของรัฐสภาแห่งยุโรป ล้วนเป็นกรอบที่ใช้บังคับเกี่ยวกับการส่งและรับข้อมูลข่าวสารระหว่างประเทศ หลักสำคัญประการหนึ่งที่ปรากฏอยู่ในกฎหมายนี้ คือบทบัญญัติว่าด้วยเรื่องการส่งข้อมูลส่วนบุคคลระหว่างประเทศ (International data transfers or Transborder data flows) ซึ่งกำหนดว่าการแลกเปลี่ยนข้อมูลจะดำเนินการได้เฉพาะระหว่างประเทศที่มีกฎหมายหรือมีมาตรการในการให้ความคุ้มครองข้อมูลส่วนบุคคลที่มีมาตรฐานเพียงพอ กฎเกณฑ์ดังกล่าวเป็นผลมาจากการส่งข้อมูลในบางกรณีที่ต้องอยู่ภายใต้บทบัญญัติระหว่างประเทศ เช่น การส่งข้อมูลไปยังประเทศสมาชิกสหภาพยุโรป ซึ่งต้องปฏิบัติตามข้อบังคับสหภาพยุโรป ที่กาหนดมาตรการเพื่อการคุ้มครองข้อมูล โดยได้กาหนดห้ามส่งและรับข้อมูลข่าวสารกับประเทศที่ไม่มีมาตรการที่มีมาตรฐานในการคุ้มครองความเป็นส่วนตัวในข้อมูลส่วนบุคคลและมาตรการรักษาความปลอดภัยของข้อมูลข่าวสารอย่างเพียงพอ

(อ่านต่อฉบับหน้า)
---------------------------------------------------------------------------------------
1 ศิริกุล ภู่พันธ์ และ นคร เสรีรักษ์, “กฎหมายระหว่างประเทศที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล,” กลุ่มงานนโยบาย สำนักงานคณะกรรมการข้อมูลข่าวสารของราชการ, 2544. 		 


Print Version