บทวิเคราะห์ข้อมูลส่วนบุคคล-หลักการระบุตัวตนและหลักความถูกต้องของข้อมูลส่วนบุคคล - ข้อมูลส่วนบุคคลที่เป็น "เท็จ" ได้รับความคุ้มครองจาก PDPA หรือไม่?
- Wimolmas S.
- 25 ส.ค.
- ยาว 3 นาที
อัปเดตเมื่อ 26 ส.ค.
บทวิเคราะห์ข้อมูลส่วนบุคคล "ไม่ว่าข้อมูลส่วนบุคคลนั้นจะเป็นข้อมูลจริงหรือเท็จ"
: หลักการระบุตัวตนและหลักความถูกต้องของข้อมูลส่วนบุคคล
: ข้อมูลส่วนบุคคลที่เป็น "เท็จ" ได้รับความคุ้มครองจาก PDPA หรือไม่?
บทวิเคราะห์ความสัมพันธ์ระหว่างหลักการระบุตัวตนและหลักความถูกต้องของข้อมูล "ไม่ว่าข้อมูลส่วนบุคคลนั้นจะเป็นข้อมูลจริงหรือเท็จ" วลีดังกล่าวไม่ได้ปรากฏอยู่ในตัวบทกฎหมายของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ แต่อย่างใด ข้อมูลส่วนบุคคลที่เป็น "เท็จ" ได้รับความคุ้มครองจาก PDPA หรือไม่?
อย่างไรก็ตาม การที่ไม่มีวลีดังกล่าวปรากฏอยู่มิได้หมายความว่ากฎหมายฉบับนี้มีช่องว่างหรือไม่ได้ให้ความคุ้มครองข้อมูลส่วนบุคคลที่ไม่ถูกต้องหรือเป็นเท็จ ในทางตรงกันข้าม การไม่มีวลีดังกล่าวถือเป็นผลมาจากการออกแบบโครงสร้างทางกฎหมายอย่างรอบคอบและเป็นระบบ โดยเจตนารมณ์ของกฎหมายในการคุ้มครองบุคคลจากผลกระทบของข้อมูลที่ไม่ถูกต้องนั้น ไม่ได้อาศัยเพียงมาตราหรือวลีใดวลีหนึ่ง แต่ตั้งอยู่บนโครงสร้างที่แข็งแกร่งซึ่งประกอบด้วยเสาหลัก 3 ประการ ได้แก่:
คำนิยาม "ข้อมูลส่วนบุคคล" ที่กว้างขวางโดยยึดหลัก "ความสามารถในการระบุตัวตน" (Identifiability) เป็นเกณฑ์เดียว: กฎหมายให้ความสำคัญกับความสามารถของข้อมูลในการเชื่อมโยงไปถึงตัวบุคคล โดยไม่คำนึงถึงความถูกต้องหรือความจริงเท็จของข้อมูลนั้น
"หลักความถูกต้องของข้อมูล" (Principle of Accuracy) ที่เป็นหน้าที่เชิงรุกของผู้ควบคุมข้อมูลส่วนบุคคล: กฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่และความรับผิดชอบในการดูแลให้ข้อมูลที่ตนประมวลผลมีความถูกต้อง สมบูรณ์ และเป็นปัจจุบันอยู่เสมอ
"สิทธิในการขอให้แก้ไขข้อมูล" (Right to Rectification) ที่เป็นเครื่องมือเชิงรับของเจ้าของข้อมูลส่วนบุคคล: กฎหมายให้อำนาจแก่เจ้าของข้อมูลในการเข้าถึงและร้องขอให้มีการแก้ไขข้อมูลของตนที่ไม่ถูกต้องได้
การวิเคราะห์เสาหลักทั้งสามประการอย่างละเอียด เพื่อแสดงให้เห็นว่ากลไกทางกฎหมายของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ นั้น ให้ความคุ้มครองต่อข้อมูลส่วนบุคคลอย่างครอบคลุม โดยไม่ขึ้นอยู่กับสถานะความจริงหรือความเท็จของข้อมูลนั้น และสอดคล้องกับมาตรฐานสากลในการคุ้มครองข้อมูลส่วนบุคคล
คำนิยามทางกฎหมายของ "ข้อมูลส่วนบุคคล" ตามมาตรา ๖: ความสำคัญของหลักการระบุตัวตน
หัวใจสำคัญในการทำความเข้าใจขอบเขตการคุ้มครองของพระราชบัญญัติฯ อยู่ที่การตีความคำนิยามของ "ข้อมูลส่วนบุคคล" ซึ่งบัญญัติไว้ในมาตรา ๖ อย่างถ่องแท้
การวิเคราะห์ตัวบทมาตรา ๖
มาตรา ๖ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ได้ให้คำนิยามของ "ข้อมูลส่วนบุคคล" ไว้ดังนี้:
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
จากการพิจารณาตัวบทกฎหมายดังกล่าว จะเห็นได้ว่าเกณฑ์ทางกฎหมายเพียงประการเดียวที่ใช้ในการพิจารณาว่าข้อมูลใดเป็น "ข้อมูลส่วนบุคคล" หรือไม่ คือ ความสามารถในการระบุตัวบุคคลธรรมดาที่ยังมีชีวิตอยู่ได้ (Identifiability) โดยกฎหมายไม่ได้กำหนดเงื่อนไขเกี่ยวกับความถูกต้อง (Veracity) รูปแบบ (Format) หรือลักษณะ (Nature) ของข้อมูลไว้ในคำนิยามเลยแม้แต่น้อย
เกณฑ์การพิจารณาความสามารถในการระบุตัวตน
ความสามารถในการระบุตัวตนนี้สามารถแบ่งได้เป็นสองลักษณะหลักตามที่กฎหมายระบุไว้ คือ "ทางตรง" และ "ทางอ้อม"
ตัวระบุทางตรง (Direct Identifiers): คือข้อมูลที่สามารถระบุตัวตนของบุคคลได้ด้วยตัวของมันเองอย่างชัดเจน เช่น ชื่อ-นามสกุล, เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขที่บัญชีธนาคาร เป็นต้น
ตัวระบุทางอ้อม (Indirect Identifiers): คือข้อมูลที่อาจไม่สามารถระบุตัวตนได้โดยลำพัง แต่เมื่อนำไปประกอบกับข้อมูลอื่นแล้วจะสามารถระบุตัวบุคคลได้ ข้อมูลประเภทนี้มีขอบเขตที่กว้างขวางมาก ตัวอย่างเช่น ข้อมูลตำแหน่งที่ตั้ง (Location Data), ที่อยู่ไอพี (IP Address), คุกกี้ไอดี (Cookie ID), หรือแม้กระทั่งภาพวิดีโอที่เป็นเพียงเงาดำ แต่สามารถจดจำบุคลิกท่าทางที่เป็นเอกลักษณ์ของบุคคลนั้นได้ ก็ถือเป็นข้อมูลส่วนบุคคลเช่นกัน
ผลทางกฎหมายของคำนิยามที่ยึดหลักการระบุตัวตน
การที่กฎหมายกำหนดคำนิยามโดยไม่คำนึงถึงความจริงเท็จของข้อมูลนั้น ก่อให้เกิดผลทางกฎหมายที่สำคัญอย่างยิ่ง กล่าวคือ ข้อมูลใดๆ ก็ตาม ไม่ว่าจะเป็นข้อเท็จจริง ความคิดเห็น การคาดเดา หรือแม้แต่ข้อมูลที่เป็นเท็จโดยสิ้นเชิง หากข้อมูลนั้นสามารถเชื่อมโยงไปถึงตัวบุคคลที่ระบุตัวตนได้แล้ว ย่อมถือเป็น "ข้อมูลส่วนบุคคล" และอยู่ภายใต้การคุ้มครองของพระราชบัญญัติฯ ฉบับนี้อย่างสมบูรณ์
เจตนารมณ์เบื้องหลังการออกแบบคำนิยามในลักษณะนี้มีความชัดเจนและสมเหตุสมผลอย่างยิ่ง เพราะวัตถุประสงค์หลักของกฎหมายคือการคุ้มครองสิทธิและเสรีภาพของบุคคล ซึ่งความเสียหายที่อาจเกิดขึ้นกับเจ้าของข้อมูลนั้นสามารถเกิดจากข้อมูลที่เป็นเท็จได้รุนแรงไม่แพ้ข้อมูลที่เป็นจริง หรืออาจรุนแรงกว่าในบางกรณี ลองพิจารณาสถานการณ์สมมติ:
บริษัทข้อมูลเครดิตแห่งหนึ่งมีข้อมูลที่ "เป็นเท็จ" ว่าบุคคล ก. เคยผิดนัดชำระหนี้ ข้อมูลนี้สามารถระบุตัวตนของบุคคล ก. ได้อย่างชัดเจน เมื่อบุคคล ก. ยื่นขอสินเชื่อเพื่อที่อยู่อาศัยกับธนาคาร ธนาคารได้ตรวจสอบข้อมูลจากบริษัทข้อมูลเครดิตและปฏิเสธการให้สินเชื่อโดยอ้างอิงจากข้อมูลเท็จดังกล่าว จะเห็นได้ว่าความเสียหาย (การถูกปฏิเสธสินเชื่อ, ความเสียหายต่อชื่อเสียงทางการเงิน) ได้เกิดขึ้นจริงและส่งผล กระทบอย่างมีนัยสำคัญต่อบุคคล ก. แม้ว่าข้อมูลต้นเหตุจะเป็นเท็จก็ตาม
หากกฎหมายจำกัดคำนิยามของ "ข้อมูลส่วนบุคคล" ให้หมายถึงเฉพาะข้อมูลที่เป็นจริงเท่านั้น ก็จะเกิดช่องว่างทางกฎหมายขนาดใหญ่ที่ทำให้บุคคล ก. ในสถานการณ์ข้างต้นไม่ได้รับความคุ้มครอง บริษัทข้อมูลเครดิตสามารถโต้แย้งได้ว่าข้อมูลการผิดนัดชำระหนี้ที่เป็นเท็จนั้น "ไม่ใช่ข้อมูลส่วนบุคคล" ตามกฎหมาย จึงไม่อยู่ภายใต้บังคับของพระราชบัญญัติฯ ซึ่งจะขัดต่อเจตนารมณ์ของกฎหมายอย่างสิ้นเชิง ดังนั้น การออกแบบคำนิยามให้ยึดโยงกับความสามารถในการระบุตัวตนเพียงอย่างเดียว จึงเป็นกลไกที่จงใจสร้างขึ้นเพื่อขยายขอบเขตการคุ้มครองให้กว้างที่สุดเท่าที่จะเป็นไปได้ เพื่อให้แน่ใจว่าข้อมูลใดๆ ก็ตามที่ "เกี่ยวกับ" บุคคล จะต้องอยู่ภายใต้กรอบการกำกับดูแลของกฎหมายฉบับนี้
หลักความถูกต้องของข้อมูล: หน้าที่เชิงรุกของผู้ควบคุมข้อมูลส่วนบุคคล
แม้ว่าพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ จะไม่ได้มีการบัญญัติมาตราที่ระบุชื่อ "หลักความถูกต้องของข้อมูล" (Accuracy Principle) ไว้อย่างชัดเจนเหมือนในกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) แต่หลักการดังกล่าวได้ถูกสอดแทรกและบังคับใช้อย่างสมบูรณ์ผ่านบทบัญญัติที่กำหนดหน้าที่และความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
รากฐานทางกฎหมายและหน้าที่หลัก
หลักความถูกต้องของข้อมูลในบริบทของกฎหมายไทย คือภาระหน้าที่ที่กฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของตนนั้น มีความถูกต้อง (Accurate), เป็นปัจจุบัน (Up-to-date), สมบูรณ์ (Complete) และไม่ก่อให้เกิดความเข้าใจผิด (Not Misleading)
หน้าที่นี้ไม่ใช่หน้าที่ที่เกิดขึ้นเมื่อได้รับการร้องขอเท่านั้น แต่เป็น หน้าที่เชิงรุก (Proactive Duty) ที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติอย่างสม่ำเสมอตลอดวงจรชีวิตของข้อมูล (Data Lifecycle) ตั้งแต่การเก็บรวบรวม การใช้ การเก็บรักษา ไปจนถึงการทำลายข้อมูล
ผลในทางปฏิบัติสำหรับผู้ควบคุมข้อมูลส่วนบุคคล
หน้าที่เชิงรุกนี้หมายความว่าองค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการทั้งทางเทคนิคและทางองค์กรที่เหมาะสมเพื่อรักษาคุณภาพของข้อมูล เช่น:
การตรวจสอบความถูกต้อง ณ จุดเก็บรวบรวม: การนำเทคโนโลยีหรือกระบวนการมาใช้เพื่อตรวจสอบความถูกต้องของข้อมูลในขณะที่ทำการเก็บรวบรวม เช่น การใช้ระบบตรวจสอบความถูกต้องของที่อยู่ (Address Validation) หรือการส่งอีเมลยืนยันเพื่อตรวจสอบว่าที่อยู่อีเมลนั้นใช้งานได้จริง
การทบทวนและตรวจสอบข้อมูลเป็นระยะ: การจัดทำกระบวนการตรวจสอบชุดข้อมูลที่มีความสำคัญเป็นประจำ เพื่อระบุและแก้ไขข้อมูลที่ล้าสมัยหรือไม่ถูกต้อง
การสร้างช่องทางสำหรับการปรับปรุงข้อมูล: การมีกระบวนการที่ชัดเจนในการปรับปรุงข้อมูลให้เป็นปัจจุบันเมื่อได้รับข้อมูลใหม่จากเจ้าของข้อมูล เช่น การเปลี่ยนแปลงที่อยู่หรือเบอร์โทรศัพท์
ผลกระทบจากการประมวลผลข้อมูลที่ไม่ถูกต้อง
การละเลยต่อหลักความถูกต้องของข้อมูลนำมาซึ่งความเสี่ยงหลายประการ ไม่เพียงแต่ความเสี่ยงทางกฎหมายเท่านั้น แต่ยังรวมถึงความเสี่ยงทางธุรกิจด้วย การตัดสินใจทางธุรกิจที่อยู่บนพื้นฐานของข้อมูลที่ไม่ถูกต้องอาจนำไปสู่ข้อผิดพลาดที่มีต้นทุนสูง เช่น การส่งสินค้าไปยังที่อยู่เก่า การทำการตลาดที่ไม่มีประสิทธิภาพ หรือการประเมินความเสี่ยงด้านสินเชื่อที่ผิดพลาด นอกจากนี้ ยังก่อให้เกิดความเสียหายโดยตรงต่อเจ้าของข้อมูลและทำลายความน่าเชื่อถือและความไว้วางใจที่สาธารณชนมีต่อองค์กรอย่างร้ายแรง
หลักการนี้จึงทำหน้าที่เป็นกลไกป้องกันด่านแรกที่สำคัญในการป้องกันความเสียหายอันเกิดจากข้อมูลที่ไม่ถูกต้อง โดยเป็นการผลักภาระความรับผิดชอบในการดูแลคุณภาพของข้อมูลไปยังผู้ที่ได้รับประโยชน์จากการประมวลผลข้อมูลนั้น คือผู้ควบคุมข้อมูลส่วนบุคคล แทนที่จะปล่อยให้เป็นภาระของเจ้าของข้อมูลแต่เพียงฝ่ายเดียว กฎหมายไม่อนุญาตให้ผู้ควบคุมข้อมูลเพิกเฉยต่อข้อมูลที่ตนทราบว่าไม่ถูกต้อง แล้วรอให้เจ้าของข้อมูลมาร้องเรียนเพื่อแก้ไข แต่กำหนดให้ต้องมีมาตรฐานความรับผิดชอบในการจัดการข้อมูลเชิงรุก ซึ่งถือเป็นหัวใจสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีลักษณะป้องกันมากกว่าการเยียวยาเพียงอย่างเดียว
สิทธิในการขอให้แก้ไขข้อมูล: อำนาจของเจ้าของข้อมูลในการโต้ตอบ
หากหลักความถูกต้องของข้อมูลเป็นหน้าที่เชิงรุกของผู้ควบคุมข้อมูล "สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล" (Right to Rectification) ก็คือเครื่องมือเชิงรับที่ทรงพลังซึ่งกฎหมายมอบให้แก่เจ้าของข้อมูลส่วนบุคคล (Data Subject) เพื่อใช้ในการปกป้องตนเองจากข้อมูลที่ไม่ถูกต้อง
รากฐานทางกฎหมายและกลไกการทำงาน
สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคลเป็นหนึ่งในสิทธิขั้นพื้นฐานที่บัญญัติไว้ในพระราชบัญญัติฯ สิทธินี้ให้อำนาจแก่เจ้าของข้อมูลในการร้องขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการแก้ไขข้อมูลของตนที่ ไม่ถูกต้อง ไม่สมบูรณ์ หรือไม่เป็นปัจจุบัน ให้ถูกต้องได้
กระบวนการทำงานของสิทธินี้เริ่มต้นเมื่อเจ้าของข้อมูลตรวจพบว่าข้อมูลที่ผู้ควบคุมข้อมูลถือครองอยู่นั้นมีความคลาดเคลื่อน จากนั้นจึงยื่นคำร้องไปยังผู้ควบคุมข้อมูลเพื่อขอให้ดำเนินการแก้ไข สิทธินี้มักจะทำงานควบคู่ไปกับ "สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล" (Right of Access) เพราะเจ้าของข้อมูลจำเป็นต้องสามารถเข้าถึงข้อมูลของตนได้ก่อน จึงจะทราบว่าข้อมูลนั้นถูกต้องหรือไม่
หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลเมื่อได้รับคำร้อง
เมื่อได้รับคำร้องขอแก้ไขข้อมูล กฎหมายได้กำหนดหน้าที่ให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการดังนี้:
ตรวจสอบและยืนยันตัวตนของผู้ยื่นคำร้อง: เพื่อให้แน่ใจว่าผู้ที่ร้องขอเป็นเจ้าของข้อมูลตัวจริงหรือผู้มีอำนาจกระทำการแทน
พิจารณาความสมเหตุสมผลของคำร้อง: ประเมินว่าคำร้องขอนั้นมีมูลและข้อมูลที่ต้องการแก้ไขนั้นไม่ถูกต้องจริงหรือไม่
ดำเนินการโดยไม่ชักช้า: หากคำร้องขอมีเหตุผลอันสมควร ผู้ควบคุมข้อมูลต้องดำเนินการแก้ไขข้อมูลให้ถูกต้องโดยเร็วที่สุด
แจ้งเหตุผลกรณีปฏิเสธคำร้อง: ในกรณีที่ผู้ควบคุมข้อมูลพิจารณาแล้วเห็นว่าคำร้องขอนั้นไม่สมเหตุสมผล หรือการแก้ไขตามคำร้องจะทำให้ข้อมูลไม่ถูกต้อง สามารถปฏิเสธคำร้องได้ แต่ต้อง บันทึกการปฏิเสธคำร้องพร้อมด้วยเหตุผล ไว้เป็นหลักฐาน การบันทึกเหตุผลนี้มีความสำคัญอย่างยิ่ง เพราะเป็นกลไกที่สร้างความโปร่งใสและสามารถตรวจสอบได้โดยหน่วยงานกำกับดูแล
นัยสำคัญของสิทธิในการขอให้แก้ไขข้อมูล
การมีอยู่ของสิทธิในการขอให้แก้ไขข้อมูลในตัวบทกฎหมาย ถือเป็นเครื่องยืนยันที่ชัดเจนที่สุดว่าข้อมูลที่เป็นเท็จหรือข้อมูลที่ไม่ถูกต้องนั้นอยู่ภายใต้ขอบเขตของพระราชบัญญัติฯ การมีอยู่ของกลไกทางกฎหมายที่ระบุไว้โดยเฉพาะเพื่อ "แก้ไข" ข้อมูลที่ไม่ถูกต้อง ย่อมตั้งอยู่บนสมมติฐานที่ว่าข้อมูลที่ไม่ถูกต้องนั้นเป็น "ข้อมูลส่วนบุคคล" ที่กฎหมายให้ความคุ้มครองตั้งแต่แรก
การวิเคราะห์เปรียบเทียบ: หลักความถูกต้องของข้อมูลใน PDPA และ GDPR
เพื่อทำความเข้าใจแนวทางของกฎหมายไทยในบริบทสากล การเปรียบเทียบกับกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคในสหภาพยุโรป หรือ GDPR (General Data Protection Regulation) ซึ่งเป็นต้นแบบและมาตรฐานทองคำระดับโลกในด้านการคุ้มครองข้อมูลส่วนบุคคล จะช่วยให้เห็นภาพที่ชัดเจนยิ่งขึ้น
หลักความถูกต้องของข้อมูลใน GDPR
GDPR ได้บัญญัติ "หลักความถูกต้องของข้อมูล" (Accuracy) ไว้อย่างชัดเจนใน Article 5(1)(d) ว่าข้อมูลส่วนบุคคลจะต้อง:
"ถูกต้อง และหากจำเป็น ต้องทำให้เป็นปัจจุบันอยู่เสมอ; ต้องดำเนินการตามขั้นตอนที่สมเหตุสมผลทุกประการเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลที่ไม่ถูกต้อง โดยคำนึงถึงวัตถุประสงค์ของการประมวลผล จะถูกลบหรือแก้ไขโดยไม่ชักช้า"
จะเห็นได้ว่า GDPR กำหนดหลักการนี้ไว้อย่างชัดเจนและเป็นหนึ่งในหลักการพื้นฐานของการประมวลผลข้อมูล
ตารางเปรียบเทียบบทบัญญัติด้านความถูกต้องของข้อมูล (PDPA vs. GDPR)
แม้ว่าวิธีการร่างกฎหมายจะแตกต่างกัน แต่เมื่อพิจารณาในเชิงเนื้อหาและผลบังคับใช้แล้ว จะพบว่ากฎหมายทั้งสองฉบับมีความสอดคล้องกันอย่างมีนัยสำคัญ ดังตารางเปรียบเทียบต่อไปนี้
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ | EU GDPR | |
หลักการสำคัญ | เป็นหลักการโดยนัยที่บังคับใช้ผ่านหน้าที่ของผู้ควบคุมข้อมูลฯ ที่ต้องดูแลให้ข้อมูลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด | บัญญัติไว้อย่างชัดแจ้งใน Article 5(1)(d) ว่าข้อมูลส่วนบุคคลต้อง "ถูกต้อง และหากจำเป็น ต้องทำให้เป็นปัจจุบันอยู่เสมอ" |
สิทธิของเจ้าของข้อมูล | "สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล" | "สิทธิในการแก้ไขข้อมูล" (Right to Rectification) ตาม Article 16 |
หน้าที่ของผู้ควบคุมข้อมูล | มีหน้าที่เชิงรุกในการรักษาความถูกต้อง และหน้าที่เชิงรับในการตอบสนองต่อคำร้องขอแก้ไข รวมถึงการให้เหตุผลกรณีปฏิเสธ | กำหนดให้ต้อง "ดำเนินการตามขั้นตอนที่สมเหตุสมผลทุกประการ" เพื่อให้แน่ใจว่าข้อมูลที่ไม่ถูกต้องจะถูกลบหรือแก้ไขโดยไม่ชักช้า |
ขอบเขตของคำนิยาม | คำนิยามในมาตรา ๖ เน้น "ความสามารถในการระบุตัวบุคคลได้ ไม่ว่าทางตรง หรือทางอ้อม" ซึ่งครอบคลุมข้อมูลเท็จโดยปริยาย เนื่องจากยังคงเชื่อมโยงและสร้างความเสียหายแก่บุคคลได้ | คำนิยามใน Article 4(1) เน้น "ข้อมูลใดๆ ที่เกี่ยวข้องกับบุคคลธรรมดาที่ระบุตัวตนได้" ซึ่งครอบคลุมข้อมูลเท็จโดยปริยายด้วยเหตุผลเดียวกัน |
ปรัชญาทางกฎหมาย | บรรลุเป้าหมายด้านความถูกต้องของข้อมูลผ่านการผสมผสานระหว่างหน้าที่ทั่วไปของผู้ควบคุมข้อมูลฯ และสิทธิโดยเฉพาะของเจ้าของข้อมูล | บรรลุเป้าหมายด้านความถูกต้องของข้อมูลผ่านหลักการที่ชัดเจนและครอบคลุม ซึ่งเป็นแนวทางให้กับการประมวลผลข้อมูลทุกกิจกรรม |
บทสรุปจากการวิเคราะห์เปรียบเทียบ
ตารางข้างต้นแสดงให้เห็นว่า แม้ PDPA ของไทยจะไม่ได้ใช้ถ้อยคำที่บัญญัติ "หลักความถูกต้องของข้อมูล" ไว้เป็นหลักการแยกต่างหากเหมือน GDPR แต่ผลลัพธ์ในทางปฏิบัติกลับไม่แตกต่างกัน ปรัชญาทางกฎหมายของทั้งสองฉบับต่างยอมรับถึงความสำคัญอย่างยิ่งยวดของความถูกต้องของข้อมูล โดยกำหนดให้ผู้ควบคุมข้อมูลเป็นผู้รับผิดชอบหลัก และให้อำนาจแก่เจ้าของข้อมูลในการตรวจสอบและแก้ไขข้อผิดพลาด ซึ่งเป็นการยืนยันว่าโครงสร้างของกฎหมายไทยนั้นสอดคล้องกับมาตรฐานสากลและมีประสิทธิภาพในการคุ้มครองสิทธิของเจ้าของข้อมูลอย่างแท้จริง
ผลกระทบทางกฎหมายและข้อเสนอแนะเชิงกลยุทธ์สำหรับผู้ควบคุมข้อมูลส่วนบุคคล
การทำความเข้าใจว่าข้อมูลที่ไม่ถูกต้องอยู่ภายใต้การคุ้มครองของ PDPA นำไปสู่ผลกระทบทางกฎหมายที่สำคัญ และจำเป็นอย่างยิ่งที่องค์กรต่างๆ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจะต้องมีมาตรการเชิงรุกเพื่อปฏิบัติตามกฎหมายและบริหารจัดการความเสี่ยง
สรุปความเสี่ยงทางกฎหมาย
การไม่ปฏิบัติตามหลักความถูกต้องของข้อมูลและการละเมิดสิทธิในการขอให้แก้ไขข้อมูลของเจ้าของข้อมูล อาจนำไปสู่บทลงโทษหลายประการ:
โทษปรับทางปกครอง: พระราชบัญญัติฯ กำหนดโทษปรับทางปกครองสำหรับการฝ่าฝืนหน้าที่ที่เกี่ยวข้องกับสิทธิของเจ้าของข้อมูล ซึ่งอาจมีอัตราโทษปรับสูงสุดถึง 1,000,000 บาท และในกรณีการฝ่าฝืนอื่นๆ ที่ร้ายแรงกว่า อาจมีโทษปรับสูงสุดถึง 5,000,000 บาท
ความรับผิดทางแพ่ง: ผู้ควบคุมข้อมูลต้องรับผิดชดใช้ค่าสินไหมทดแทนสำหรับความเสียหายที่เกิดขึ้นจริงต่อเจ้าของข้อมูลอันเนื่องมาจากการใช้ข้อมูลที่ไม่ถูกต้อง นอกจากนี้ ศาลอาจกำหนดค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมได้อีกไม่เกินสองเท่าของค่าสินไหมทดแทนที่แท้จริง
ความเสียหายต่อชื่อเสียง: นอกเหนือจากความเสี่ยงทางกฎหมาย ความเสี่ยงที่สำคัญที่สุดอาจเป็นความเสียหายต่อชื่อเสียงและความไว้วางใจของลูกค้า การที่องค์กรถูกมองว่าไม่ใส่ใจต่อความถูกต้องของข้อมูลส่วนบุคคลสามารถทำลายความเชื่อมั่นที่สั่งสมมาเป็นเวลานานได้ในระยะเวลาอันสั้น
ข้อเสนอแนะเชิงปฏิบัติ (กรอบการปฏิบัติตามกฎหมาย)
เพื่อบริหารจัดการความเสี่ยงและสร้างความเชื่อมั่นว่าองค์กรได้ปฏิบัติตามข้อกำหนดด้านความถูกต้องของข้อมูลอย่างครบถ้วน ควรมีการนำกรอบการดำเนินงานดังต่อไปนี้มาปรับใช้:
จัดทำนโยบายการกำกับดูแลข้อมูล (Data Governance Policy): กำหนดนโยบายภายในองค์กรที่ระบุถึงหลักการความถูกต้องของข้อมูลอย่างชัดเจน มอบหมายผู้รับผิดชอบ และกำหนดมาตรฐานคุณภาพของข้อมูลที่ต้องรักษาไว้
ใช้มาตรการตรวจสอบ ณ จุดเก็บรวบรวม: นำกระบวนการและเทคโนโลยีมาใช้เพื่อตรวจสอบและยืนยันความถูกต้องของข้อมูลตั้งแต่ขั้นตอนแรกที่เก็บรวบรวมข้อมูลจากเจ้าของข้อมูล
สร้างช่องทางการใช้สิทธิของเจ้าของข้อมูล (Data Subject Rights Portal): จัดทำช่องทางที่เข้าถึงและใช้งานได้ง่ายสำหรับเจ้าของข้อมูลในการยื่นคำร้องขอเข้าถึงและขอแก้ไขข้อมูลส่วนบุคคลของตนเอง ซึ่งเป็นข้อกำหนดที่สำคัญของกฎหมาย
กำหนดขั้นตอนการจัดการคำร้องภายใน: พัฒนาและจัดทำเอกสารขั้นตอนการทำงาน (Workflow) สำหรับการรับคำร้อง, การตรวจสอบ, การประเมิน และการตอบกลับคำร้องขอแก้ไขข้อมูลภายในระยะเวลาที่กฎหมายกำหนด พร้อมทั้งจัดการอบรมพนักงานที่เกี่ยวข้องให้เข้าใจกระบวนการดังกล่าว
ดำเนินการตรวจสอบข้อมูลเป็นระยะ (Periodic Data Audits): กำหนดให้มีการตรวจสอบฐานข้อมูลส่วนบุคคลที่สำคัญอย่างสม่ำเสมอ เพื่อค้นหาและแก้ไขข้อมูลที่ไม่ถูกต้อง, ไม่สมบูรณ์ หรือล้าสมัยในเชิงรุก
จัดทำบันทึกการดำเนินการ (Record-Keeping): เก็บบันทึกคำร้องขอแก้ไขข้อมูลทั้งหมด, การดำเนินการที่ได้ตอบสนอง, และเหตุผลประกอบการปฏิเสธคำร้อง (หากมี) อย่างเป็นระบบ การมีบันทึกที่ครบถ้วนเป็นข้อกำหนดทางกฎหมายและเป็นหลักฐานสำคัญในการป้องกันตนเองหากมีการตรวจสอบจากหน่วยงานกำกับดูแล
สรุป
แม้ว่าวลี "ไม่ว่าข้อมูลนั้นจะเป็นข้อมูลจริงหรือเท็จ" จะไม่ได้ปรากฏอยู่ในตัวบทของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ แต่จากการวิเคราะห์โครงสร้างและบทบัญญัติที่เกี่ยวข้องอย่างเป็นระบบ สามารถสรุปได้อย่างชัดเจนว่ากฎหมายฉบับนี้ให้ความคุ้มครองข้อมูลส่วนบุคคลอย่างครอบคลุมโดยไม่ขึ้นอยู่กับความถูกต้องของข้อมูลนั้น กรอบการทำงานของกฎหมายที่ตั้งอยู่บนเสาหลักสามประการ คือ
(1) คำนิยาม "ข้อมูลส่วนบุคคล" ที่ยึดหลักการระบุตัวตนเป็นสำคัญ
(2) หลักความถูกต้องของข้อมูลที่เป็นหน้าที่เชิงรุกของผู้ควบคุมข้อมูลส่วนบุคคล
(3) สิทธิในการขอให้แก้ไขข้อมูลที่เป็นเครื่องมือเชิงรับของเจ้าของข้อมูล
ได้สร้างระบบการคุ้มครองที่สมบูรณ์และมีประสิทธิภาพในการจัดการกับความเสี่ยงและความเสียหายที่อาจเกิดจากข้อมูลที่ไม่ถูกต้อง
ดังนั้น ความเห็นทางกฎหมายจึงสรุปได้ว่า ข้อมูลใดๆ ก็ตามที่สามารถใช้ระบุตัวตนของบุคคลธรรมดาที่ยังมีชีวิตอยู่ได้ ไม่ว่าข้อมูลนั้นจะมีความถูกต้องหรือไม่ก็ตาม ย่อมถือเป็น "ข้อมูลส่วนบุคคล" ภายใต้กฎหมายไทย ด้วยเหตุนี้ ผู้ควบคุมข้อมูลส่วนบุคคลจึงมีภาระหน้าที่ตามกฎหมายอย่างชัดเจนในการดูแลรักษาความถูกต้องของข้อมูลดังกล่าว และอาจต้องเผชิญกับบทลงโทษที่รุนแรงหากละเลยต่อหน้าที่นี้ โครงสร้างทางกฎหมายของไทยในประเด็นนี้ไม่เพียงแต่มีประสิทธิภาพ แต่ยังสอดคล้องกับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เป็นที่ยอมรับในระดับสากลอีกด้วย.
#PDPA #ข้อมูลส่วนบุคคล #พรบคุ้มครองข้อมูลส่วนบุคคล #กฎหมายคุ้มครองข้อมูลส่วนบุคคล #PersonalDataProtectionAct
#ข้อมูลส่วนบุคคลเท็จPDPA #PDPAข้อมูลไม่ถูกต้อง #นิยามข้อมูลส่วนบุคคลมาตรา6 #หลักความถูกต้องของข้อมูลPDPA #หลักการระบุตัวตน PDPA #สิทธิแก้ไขข้อมูลส่วนบุคคล #หน้าที่ผู้ควบคุมข้อมูลส่วนบุคคล #โทษปรับ PDPA
#ข้อมูลเท็จเป็นข้อมูลส่วนบุคคลหรือไม่ #PDPAคุ้มครองข้อมูลที่เป็นเท็จไหม #ถ้าข้อมูลผิดกฎหมาย PDPAคุ้มครองหรือไม่ #วิธีแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้องตามกฎหมาย #บริษัทเก็บข้อมูลผิดฟ้องได้ไหม #โทษปรับกรณีข้อมูลลูกค้าไม่ถูกต้อง #การตีความPDPAมาตรา6 #สิทธิในการขอให้แก้ไขข้อมูลคืออะไร
#PDPAvsGDPR #เปรียบเทียบPDPAกับGDPR #ความแตกต่างPDPAกับGDPR #หลักความถูกต้องของข้อมูลPDPAกับGDPR
#แนวปฏิบัติPDPA #การจัดการข้อมูลส่วนบุคคล #ความเสี่ยงทางกฎหมายPDPA #กรอบการปฏิบัติตามPDPA #Right to Rectification Thailand #PrincipleOfAccuracyPDPA #DataControllerResponsibilitiesThailand
ความคิดเห็น