PDPA : สิทธิที่ต้องปกป้อง ความรับผิดชอบที่ทุกคนต้องร่วมแบกรับ
ในยุคดิจิทัลที่ข้อมูลคือสินทรัพย์ล้ำค่า ความปลอดภัยและความเป็นส่วนตัวของข้อมูลส่วนบุคคลจึงกลายเป็นประเด็นสำคัญระดับโลก จากเหตุการณ์ล่าสุดในไทยที่เอกสาร OPD ของผู้ป่วยโรคตับอักเสบบีหลุดออกจากโรงพยาบาลในอุบลราชธานี ไปสู่การนำมาพับเป็นถุงใส่ขนมจำหน่าย
เราจึงต้องหันมาตั้งคำถามว่า ข้อมูลส่วนตัวของเราจะปลอดภัยอยู่หรือไม่?
ใครบ้างที่มีหน้าที่ต้องรับผิดชอบเมื่อเกิดการรั่วไหลขึ้น?
กฎหมาย PDPA เกี่ยวข้องกับกรณีข้อมูลผู้ป่วยบนถุงโตเกียวอย่างไร
ข้อมูลผู้ป่วยที่ปรากฏบนถุงโตเกียว ซึ่งมีทั้งชื่อ ที่อยู่ ประวัติการรักษา ถือเป็นข้อมูลส่วนบุคคลที่ได้รับความคุ้มครองตาม PDPA โรงพยาบาลซึ่งเป็นผู้ควบคุมข้อมูล ไม่สามารถนำข้อมูลผู้ป่วยไปใช้เพื่อวัตถุประสงค์อื่นนอกเหนือจากการรักษา เว้นแต่ได้รับความยินยอมจากผู้ป่วย ดังนั้นการนำเอกสารผู้ป่วยไปใช้เป็นถุงขนมโดยไม่ได้รับอนุญาต จึงเป็นการละเมิดข้อมูลส่วนบุคคลตาม PDPA
แม้มิได้มีเจตนาเปิดเผยข้อมูล แต่การขาดมาตรการควบคุมที่รัดกุมจนทำให้ข้อมูลรั่วไหล ผู้ควบคุมข้อมูลก็ต้องรับผิดฐานประมาทเลินเล่อในการปฏิบัติหน้าที่ตามกฎหมายด้วย
ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โรงพยาบาลถือเป็น "ผู้ควบคุมข้อมูลส่วนบุคคล" (Data Controller) ซึ่งมีหน้าที่ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข เปิดเผยข้อมูลโดยปราศจากอำนาจหรือโดยมิชอบ ดังนั้นเมื่อเกิดการรั่วไหลของข้อมูลผู้ป่วย โรงพยาบาลจึงต้องรับผิดชอบในฐานะผู้ควบคุมข้อมูล ไม่ว่าจะโดยจงใจหรือประมาทเลินเล่อ
โทษตาม พ.ร.บ. PDPA นั้นครอบคลุมทั้งความรับผิดทางแพ่ง ซึ่งต้องชดใช้ค่าสินไหมทดแทน และศาลมีอำนาจสั่งให้ชดใช้ค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มขึ้นได้ไม่เกิน 2 เท่าของค่าสินไหมทดแทนที่แท้จริง
ย้อนรอย 'ข้อมูลหลุด'
เหตุการณ์ที่ข้อมูลผู้ป่วยถูกนำไปใช้อย่างไม่เหมาะสมนั้นไม่ใช่เรื่องใหม่ แต่เป็นปัญหาที่เกิดขึ้นซ้ำแล้วซ้ำอีก ย้อนกลับไปเมื่อปี 2565 เคยมีกรณีที่มีผู้ร้องเรียนว่า พบถุงใส่ขนมโตเกียวจากร้านค้าในจังหวัดชลบุรี มีข้อมูลส่วนตัวของผู้ป่วย ทั้งชื่อ ที่อยู่ หมายเลขประจำตัวประชาชน ไปจนถึงประวัติการเข้ารับการรักษา ซึ่งมีลักษณะคล้ายคลึงกับเหตุการณ์ล่าสุด
นอกจากนี้ ในอดีตก็เคยมีเรื่องราวของการนำข้อมูลผู้ป่วยไปพิมพ์บนซองจดหมายหรือถุงกระดาษ หรือมีการทิ้งเอกสารที่มีข้อมูลส่วนบุคคลของผู้ป่วยโดยขาดความระมัดระวัง เหตุการณ์เหล่านี้สะท้อนให้เห็นว่าการรั่วไหลและละเมิดข้อมูลส่วนบุคคลของผู้ป่วยนั้นเป็นปัญหาที่เรื้อรังและยังคงเกิดขึ้นอย่างต่อเนื่อง แม้จะมีความพยายามที่จะคุ้มครองข้อมูลส่วนบุคคลให้ดีขึ้นแล้วก็ตาม
ผลกระทบกับทุกคน: เมื่อข้อมูลไม่เป็นส่วนตัว
การที่ข้อมูลส่วนตัวตกไปอยู่ในมือผู้อื่น ย่อมนำไปสู่ความเสียหายในหลายด้าน อย่างเช่น หากมีผู้ล่วงรู้ข้อมูลสุขภาพของเรา อาจนำไปสู่การเลือกปฏิบัติในที่ทำงาน ผู้ที่เป็นโรคบางอย่างอาจเสี่ยงถูกปฏิเสธไม่ให้ร่วมงาน หรือถ้าข้อมูลการเงินรั่วไหล ก็เปิดช่องให้ถูกโจรกรรมทางออนไลน์ได้ง่าย ข้อมูลส่วนตัวจึงไม่ได้แค่กระทบความเป็นส่วนตัว แต่ยังลุกลามไปถึงการงาน การเงิน และความปลอดภัยในชีวิต
ในแง่ขององค์กร การรั่วไหลของข้อมูลของลูกค้าหรือผู้ใช้บริการจะส่งผลเสียหายต่อความน่าเชื่อถืออย่างร้ายแรง ยกตัวอย่างโรงพยาบาลที่ประวัติคนไข้หลุดออกไปบ่อยครั้ง ผู้คนจะกล้าไปใช้บริการอีกหรือไม่ หรือเว็บไซต์ที่ข้อมูลลูกค้ารั่วเป็นประจำจะมีใครกล้าซื้อของด้วยอีก ความเชื่อมั่นที่สูญเสียไปจึงส่งผลต่อชื่อเสียงและรายได้ขององค์กรนั้นๆ อย่างหลีกเลี่ยงไม่ได้
PDPA กับภารกิจปกป้องข้อมูลส่วนบุคคล
กฎหมาย PDPA คืออะไร
- PDPA เป็นกฎหมายที่มุ่งคุ้มครองข้อมูลส่วนบุคคลของประชาชน โดยข้อมูลส่วนบุคคล หมายถึง ข้อมูลใดๆ ที่ทำให้สามารถระบุตัวตนของบุคคลได้ ไม่ว่าทางตรงหรือทางอ้อม
- หลักการสำคัญของ PDPA คือ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน เว้นแต่มีข้อยกเว้นตามกฎหมาย และต้องกระทำตามวัตถุประสงค์ที่ระบุไว้เท่านั้น
- PDPA ให้สิทธิกับเจ้าของข้อมูลในการเข้าถึง แก้ไข คัดค้าน หรือขอให้ลบหรือทำลายข้อมูลของตน และกำหนดความรับผิดทั้งทางแพ่ง อาญา และปกครอง กับผู้ที่ละเมิดข้อมูลส่วนบุคคล
- PDPA มีผลบังคับใช้เต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 ซึ่งครอบคลุมการประมวลผลข้อมูลทั้งโดยภาครัฐ เอกชน และบุคคล ทั้งในและนอกประเทศ
ภายใต้ PDPA องค์กรหรือหน่วยงานที่ครอบครองข้อมูลของบุคคล มีหน้าที่ตามกฎหมายที่จะต้องจัดเก็บข้อมูลอย่างปลอดภัย และใช้งานภายในวัตถุประสงค์ที่ระบุไว้เท่านั้น การนำข้อมูลไปใช้เพื่อการอื่นหรือเปิดเผยแก่บุคคลที่ไม่เกี่ยวข้องโดยไม่ได้รับอนุญาต ถือเป็นความผิดที่จะต้องรับโทษทางกฎหมาย กรณีเอกสารโรงพยาบาลรั่วไหลจึงเป็นการฝ่าฝืน PDPA อย่างชัดเจน ทั้งโรงพยาบาลและผู้ที่นำเอกสารไปทำถุงขนมต่างมีความผิดตามกฎหมายนี้
แม้ PDPA จะมุ่งคุ้มครองข้อมูลส่วนบุคคล แต่การบังคับใช้กฎหมายเพียงอย่างเดียวคงไม่เพียงพอ องค์กรจำเป็นต้องสร้างวัฒนธรรมและจิตสำนึกในการรักษาข้อมูลให้แก่บุคลากรทุกระดับ โดยให้ทุกคนตระหนักว่าการปล่อยให้ข้อมูลรั่วไหล ไม่เพียงผิดกฎหมาย แต่ยังผิดจรรยาบรรณและศีลธรรมที่ดีงามด้วย
บทสรุป: สู่โลกที่ข้อมูลได้รับการปกป้อง
ในยุคที่ดิจิทัลเชื่อมโยงโลกเข้าด้วยกันอย่างใกล้ชิด การปกป้องข้อมูลส่วนบุคคลให้ปลอดภัยจึงเป็นความรับผิดชอบของทุกภาคส่วน องค์กรในฐานะผู้ครอบครองข้อมูลของผู้อื่น จำเป็นต้องมีมาตรการป้องกันการรั่วไหลที่เข้มงวดและรัดกุม ตามที่กฎหมายกำหนด ในขณะที่ปัจเจกบุคคลเองก็ต้องตื่นตัวและใส่ใจในการให้ข้อมูลส่วนตัวแก่องค์กรต่างๆ ต้องมั่นใจว่าข้อมูลของตนจะถูกจัดเก็บและใช้งานอย่างเหมาะสม
การทำงานร่วมกันของทุกฝ่ายเพื่อปกป้องข้อมูลให้ดีที่สุด ไม่เพียงแต่จะปฏิบัติตาม PDPA และกฎหมายต่างๆ ได้อย่างครบถ้วน แต่ยังเป็นการแสดงถึงการเคารพในสิทธิส่วนบุคคลซึ่งกันและกัน เพื่อให้ทุกคนสามารถใช้ชีวิตในยุคดิจิทัลได้อย่างมั่นใจ โดยรู้ว่าข้อมูลของตนจะไม่ถูกนำไปใช้ในทางที่ผิดอย่างแน่นอน
เรียบเรียง : ยศไกร รัตนบรรเทิง บรรณาธิการ TNN
แหล่งที่มา
- พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งเป็นกฎหมายหลักที่ใช้ในการอ้างอิงเนื้อหาส่วนใหญ่ในบทความ
- สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
- สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์