สรุปการบรรยายเรื่อง PDPA for Library พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลกับงานห้องสมุด

การบรรยายเรื่อง “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลกับงานห้องสมุด” โดย อาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ วันพุธที่ 17 มิถุนายน 2563 เวลา 14.00 – 16.00 น. รูปแบบออนไลน์ผ่านโปรแกรม MS Teams และสตรีมถ่ายทอดสดผ่าน Facebook ของหอสมุดฯ โดยไม่มีค่าใช้จ่ายในการลงทะเบียน

 

ความจำเป็นของการคุ้มครองข้อมูลส่วนบุคคล

กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป General Data Protection Regulation (GDPR) เป็นกฎหมายของสหภาพยุโรปว่าด้วยมาตรการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล ซึ่งมีผลบังคับใช้วันที่ 25 พฤษภาคม พ.ศ. 2561 ที่ผ่านมา จึงอาจส่งผลกระทบต่อหลายฝ่าย โดยเฉพาะอย่างยิ่ง หน่วยงานต่าง ๆ ไม่ว่าภาครัฐ ภาคเอกชน หรือ ภาคธุรกิจ มีผลกระทบต่อประเทศที่ต้องติดต่อคบค้าสมาคมกับด้วย อย่างหลีกเลี่ยงไม่ได้ ในประเทศไทยเตรียมบังคับใช้กฎหมายเกี่ยวกับคุ้มครองข้อมูลส่วนบุคคล ภายในเดือนมิถุนายน ปี พ.ศ. 2564 ดังนั้นห้องสมุดจะต้องเริ่มดำเนินการให้ความรู้ในเรื่องนี้ เนื่องจากมีหลายส่วนงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

PDPA for Library พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลกับงานห้องสมุด

ข้อมูลของห้องสมุดส่วนใหญ่ก็จะเป็นข้อมูลที่ได้มาจาก ฝ่ายบุคคล ฝ่ายทะเบียน และนำมาใช้ในการทำ ระบบสมาชิก มีการเก็บข้อมูลเพื่อใช้รองกรับการให้บริการ ยืมคืน การเข้าออกห้องสมุด การเข้าร่วมกิจกรรมต่างๆ ที่ห้องสมุดจัดขึ้น ข้อมูลที่ถือเป็นข้อมูลส่วนบุคคลที่ต้องได้รับการคุ้มครองหลักๆ ได้แก่ ที่อยู่ เบอร์โทร อีเมล์ เลขบัตรประชาชน เป็นต้น หลักการคุ้มครองข้อมูลส่วนบุคคล จะต้องคำนึงถึงหลักความจำเป็น และต้องแจ้ง หรือประกาศให้ผู้ใช้ทราบอย่างชัดเจน ถ้าหากผู้ใช้ถามจะต้องระบุให้ทราบได้ว่าเก็บด้วยฐานอะไร หรือมาตรฐานอะไร ในกรณีคือ  มาตรฐานของ ยุโรป (GDPR)  หรือ PDPA พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (ของประเทศไทยที่จะประกาศใช้ในเดือนมิถุนายนปีหน้า) ซึ่งโดยทั่วไปที่ทำกันอยู่ในทุกวันนี้ก็ขอให้มีการ consent ให้ความยินยอม จากผู้ใช้บริการเสียก่อน ถึงจะเข้าใช้บริการได้ แม้ว่าการยินยอมจะยังไม่ใช่ฐานที่จะใช้ในการประเมินผลการคุ้มครอง แต่ผู้ให้บริการห้องสมุดหรือมหาวิทยาลัย จะต้องคำถึงถึงฐานดังต่อไปนี้

1. ฐานสัญญา มาตรา ม.24(3) เช่น ต้องให้ที่อยู่กับร้านค้าเพื่อส่งของมาที่บ้านได้ ไม่อยู่ในเงื่อนไขการคุ้มครอง ถือเป็นข้อมูลแห่งการยินยอมให้บริการอยู่แล้ว ทีนี้เมื่อให้ที่อยู่ไปแล้ว แล้วร้านค้าอยากส่งจดหมายข่าวให้กับเจ้าของข้อมูล อันนี้คือ เกินกว่าขอบเขตความคุ้มครองตามฐานสัญญาแล้ว จะต้องขออนุญาตใหม่ ดังนั้น ห้องสมุดจะต้องเก็บข้อมุลผู้ใช้บริการห้องสมุด และให้ทำได้ตามขอบเขตจำเป็นของสัญญา

2. ฐานปฏิบัติตามกฎหมาย มาตรา ม.24(6) เช่น การจัดเก็บข้อมุลจราจรของผู้ใช้งานคอมพิวเตอร์ในห้องสมุด ให้ทำได้ตามขอบเขตจำเป็นที่ต้องปฏิบัติตามกฎหมาย

3. ฐานความยินยอม มาตรา ม. 24 เช่น การส่งข้อมูลเกี่ยวกับกิจกรรมของห้องสมุดให้กับผู้อ่านอย่างเฉพาะเจาะจง ให้ขอความยินยอมให้ชัดเจน และให้มีการเพิกถอนข้อมูลได้ด้วย

4. ฐานประโยชน์โดยชอบ มาตรา ม. 24(5) เช่น การขึ้น backlist กลุ่มบุคคลที่ไม่คืนหนังสือ ซึ่งไม่อาจให้มีการยินยอมข้อมูลได้ เช่น กล้องวงจรปิด ซึ่งถือเป็นประโยชน์แห่งการรักษาความปลอดภัยของตัวอาคาร และความปลอดภัยของผู้ที่เข้ามาใช้งานอื่นๆ หรือการถ่ายภาพในงานกิจกรรมต่างๆ ที่ไม่อาจขออนุญาตได้ ต้องแจ้งให้ผู้เข้าร่วมงานทราบ และติดป้ายห้ามถ่ายรูป เพื่อที่จะไปลบออกทีหลัง

การจะเก็บข้อมูลส่วนบุคคลใดๆ ก็ตาม จะต้องระบุให้บุคคลเจ้าของข้อมูลส่วนตัวนั้นๆ ได้ทราบว่า

  1. ประโยชน์ของการเก็บข้อมูลส่วนบุคคลนี้ คืออะไร
  2. ผู้เก็บข้อมูล มีการคำนึงถึงผลกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลหรือไม่
  3. ผู้ถูกเก็บข้อมูล พอจะคาดหมายได้หรือไม่ว่า จะต้องถูกเก็บข้อมูลหรือไม่ (expectation)
  4. ก่อความเสี่ยงต่อเจ้าของข้อมูลไหม (risk)
  5. มาตรการช่วยลดความเสี่ยงข้อมูลรั่วไหลหรือไม่ (safeguard)

รูปแบบที่ต้องห้องสมุดจะต้องทำคือ

  1. ต้องแจ้งให้ผู้ใช้ทราบถึงลักษณะของความยินยอม (GDPR) ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ม.19
  2. จะต้องเป็นไปด้วยความสมัครใจ และต้องมีช่องทางให้ยืนยันว่าไม่ยินยอมที่จะให้ข้อมูล ให้เห็นได้อย่างชัดเจนเสียก่อน

สิทธิของเจ้าของข้อมูล ได้แก่

  1. สิทธิในการเข้าถึง
  2. สิทธิในการแก้ไข
  3. สิทธิในการลบ
  4. สิทธิในการคัดค้าน
  5. สิทธิในการย้ายข้อมูล (data portablilty) เช่น ภาพใน facebook สามารถย้ายรูปของตนเองไปเก็บไว้ที่เจ้าอื่นได้ เช่น ย้ายไป Google Photo
  6. สิทธิในการจำกัดการประมวลผลข้อมูล

เจ้าของข้อมูลจะต้องทราบว่าตนเองมีอำนาจในการใช้สิทธิเหล่านี้ ได้แก่

  1. สิทธิในการรับแจ้งจากทางห้องสมุด
  2. เจ้าของข้อมูลมีสิทธิที่จะทราบว่าข้อมูลนี้ไปอยู่ที่ไหนได้บ้าง มหาวิทยาลัยจะต้องแจ้งให้นักศึกษาทราบ เช่นสำนักทะเบียนต้องแจ้งให้นักศึกษาทราบว่าได้ส่งข้อมูลนี้ไปประมาลผลหรือแชร์ให้กับหน่วยงานอื่นๆ อย่างใด แจ้ง
  3. เจ้าของข้อมูลต้องได้รับแจ้งให้ทราบว่าท่านจะถูกบันทึกภาพ ถูกเก็บข้อมูล

ผู้ควบคุมข้อมูลต้องปรับตัวอย่างไร?

ข้อมูลที่เป็นข้อมูลส่วนบุคคลที่เห็นได้ชัดเจนมากที่สุด 4 อย่าง คือ 1.ชื่อ 2.ที่อยู่ 3.อีเมล 4.เบอร์โทร ผู้ที่ทำหน้าที่รับผิดชอบในการจัดเก็บเกี่ยวข้องกับข้อมูลเหล่านี้ต้องมีหน้าที่

  1. เข้าใจข้อมูล
  2. ประเมินความเสี่ยง
  3. อุดช่องว่าง วางมาตรการ

ประเมินการใช้ข้อมูลขององค์กร ที่เกิดขึ้นจากการ collect เก็บรวบรวม, use ใช้, share เปิดเผย,  และ store เก็บ ได้แก่ 

  1. เราจำเป็นต้องประมวลผลข้อมูลนี้จริงหรือไม่
  2. ข้อมูลเป็นประเภทไหน อ่อนไหวมั้ย Sensitive Data เช่น สุขภาพ ศาสนา ความคิดเห็นทางการเมือง รสนิยม เพศ เพราะมันอาจถูกนำไปใช้ในการเลือกปฏิบัติกับบุคคล เช่น แบบฟอร์มเก็บข้อมูล ว่านับถือศาสนาอะไร ซึ่งมันเป็นข้อมูลที่อ่อนไหว
  3. เก็บข้อมูลนี่จากใคร
  4. อธิบายเกี่ยวกับวัตถุประสงค์ชัดเจนหรือไม่
  5. มีเครื่องมือที่ช่วยคุ้มครองข้อมูลหรือไม่
  6. มีความเสี่ยงในการประมวลผลข้อมูลนี้หรือไม่
  7. ผู้ประมวลผลข้อมูล Data processor มีความน่าเชื่อถือหรือไม่

ห้องสมุดจะต้องสร้างความไว้วางใจ (Trust) แก่ผู้ใช้บริการ โดยต้องแสดงออกให้เห็นถึง

  1. ความถูกต้องชอบธรรม
  2. มีความโปร่งใสและการอัปเดต
  3. ปลอดภัยและยืดหยุ่น

สรุปส่งท้าย “วิธีคิดสำหรับการใช้ชีวิตอยู่ในยุคดิจิทัล”

  1. เทคโนโลยีจัดเก็บข้อมูลพัมนาและเจริญมากขึ้นเท่าใด อำนาจในการหยั่งรู้ข้อมูลเหล่านั้นก็มีมากขึ้น และข้อมูลส่วนบุคคลที่อ่อนไหว ย่อมมีความเสี่ยงมากขึ้นที่จะถูกละเมิดได้ง่ายขึ้น
  2. Dataprotection เป็นเรื่องของทุกคนที่ต้องตระหนักรู้เท่าทันเทคโนโลยี เพื่อป้องกันตนเองจากการถูกจัดเก็บข้อมูล
  3. ต้องตั้งตนอยู่ในความโปร่งใส คำนึงถึงความปลอดภัยของข้อมูลส่วนบุคคล และทำทุกอย่างให้น่าไว้วางใจ
  4. Privacy ของแต่ละคนไม่เหมือนกัน ทุกคนชอบไม่เหมือนกัน ไม่ชอบที่ถูกเผยแพร่โดยคนอื่น ดังนั้นควรระมัดระวัง อย่าไปคิดเอาเองว่าคนอื่นจะคิดเหมือนๆ กันหมด

สรุปคำถามจากผู้เข้าร่วมสัมนา

คำถาม เกี่ยวกับเว็บไซต์ที่มีการเก็บคุ๊กกี้ หรือก็บข้อมูลการใช้งานของผู้ใช้งานเว็บไซต์ จะต้องให้ข้อมูลผู้ใช้ขึ้น pop up แสดงให้เจ้าของทราบว่ายินยอม ตัวเว็บไซต์จะต้องมีข้อมูลยืนยัน นโยบายความเป็นส่วนตัว เช่น เก็บอะไรบ้าง ใช้ทำอะไรเปิดเผยให้ใคร เก็บไว้ที่ไหนบ้างเป็นต้น

คำถาม กรณีที่ข้อมูลจากสำนักทะเบียน ส่งมาเข้าฐานข้อมูลของห้องสมุด ถือเป็นฐานสัญญา ไม่ต้องขออนุญาต เพราะว่าเขาเป็นนักศึกษาของมหาวิทยาลัย แต่สิ่งที่ต้องทำคือ ห้องสมุดจะต้องแจ้งให้นักศึกษาทราบว่าที่นี่มีการใช้ฐานข้อมูลของนักศึกษาให้รับทราบด้วย ผู้แจ้งเรื่องนี้ควรจะเป็นฝ่ายทะเบียน โดยทำป้ายเตือนเกี่ยวกับ นโยบายการคุ้มครองข้อมูลส่วนบุคคลบนเว็บไซต์ หรือให้เห็นได้ชัดเจน ก่อนที่ผู้ให้ข้อมูลส่วนตัวจะกรอกข้อมูลอะไรลงไป

คำถาม การนำชื่อผู้อ่านหนังสือดีเด่นมากล่าวชื่นชม เพื่อเผยแพร่ในห้องสมุด จะต้องขออนุญาตก่อน

คำถาม หากนักศึกษาพบว่ามีรูปภาพของตน อยู่ในระบบเว็บไซต์ หรือป้ายประชาสัมพันธ์ของห้องสมุด สามารถใช้สิทธิส่วนบุคคล แจ้งลบ เบลอได้

คำถาม ชื่อบุคคล ข้อมูลบุคคล ที่ปรากฎบนรายงานการวิจัย บทความ หรืองานให้บริการบนเว็บไซต์ โดยข้อมูลสำคัญเช่น เลขที่อยู่ เลขบัตรประชาชน ไม่ควรปรากฎบนงานวิจัยต่าง ๆ อย่างมากสุดก็คือ อีเมล ถ้าทางห้องสมุดอยากช่วยคุ้มครองก็อาจต้องปิดบัง เบลอข้อมูลเหล่านั้นให้

คำถาม ผู้ควบคุมข้อมูลในห้องสมุดคือใคร ห้องสมุดเป็นส่วนหนึ่งของการทำงานในมหาวิทยาลัย ผู้รับผิดชอบก็คือ อธิการบดี

คำถาม กิจกรรมภายในองค์กร การประกาศชื่อพนักงานดีเด่น จะสามารถทำได้หรือไม่ ก็ต้องดูตามขอบเขตของสัญญาจ้างแรงงาน อยู่ที่สัญญายินยอมของทั้่งสองฝ่ายตกลงกัน แต่ความยินยอมตามพ.ร.บ.คุ้มครอง นั้น จะต้องแจ้งให้เขาทราบก่อนได้รับความยินยอมของเจ้าของชื่อนั้นก่อน ตามฐานผลประโยชน์โดยชอบด้วยกฎหมาย (legitimate interest)

คำถาม เก็บข้อมูลบน Cloud ได้มั้ย ก็ต้องดูว่า การเก็บข้อมูลนั้น มันปกติมีความปลอดภัย มีระบบป้องกันการถูกเจาะหรือไม่  ซึ่งเว็บไซต์ที่ให้บริการรายใหญ่ๆ ก็จะมีข้อตกลง Processin Agreement ที่ใช้มาตรฐาน GDPR อยู่แล้วไม่น่ามีปัญหาอะไร

คำถาม เคยเซ็นยินยอมให้เปิดเผยข้อมูล เช่น ธนาคาร จะทำอย่างไร กรณีแบบนี้จะต้องไปดูรายละเอียดที่เขียนไว้ว่าครอบคลุมแค่ไหน แต่ส่วนมากเจ้าของข้อมูลผู้ให้อนุญาต มักไม่ได้อ่านสัญญาให้ละเอียด

คำถาม การเปิดเผยข้อมูลของหน่วยงานรัฐ จะต้องพิจารณาอะไร คือ พิจารณาว่าข้อมูลนั้นอยู่ในฐานอะไรที่จะนำไปเผยแพร่ต่อได้ เช่น อยู่ในฐานการใช้อำนาจรัฐ หน่วยงานอาจขอข้อมูลเหล่านี้ได้ หรืออาจใช้ฐานมูลเหตุแห่ง ข้อมูลโดยชอบด้วยผลประโยชน์ ซึ่งจะต้องไม่ระบุตัวตน ก็สามารถทำได้

คำถาม เจ้าหน้าที่ หรือผู้บริหาร ใครจะต้องรับผิดทางกฎหมายหากมีการละเมิดข้อมูล  ก็ให้ดูว่า เจ้าหน้าที่ได้ทำงานให้องค์กร ดังนั้นองค์กรต้องรับผิดชอบ แล้วองค์กรไปไล่เบี้ยเอาเอง หากองค์กรนั้นๆ มีการพยายามป้องกันการละเมิดข้อมูลแล้ว ก็มีโอกาสที่ความผิดที่ต้องรับโทษอาจจะลดลงได้

คำถาม ห้องสมุดมีการเก็บข้อมูล bio-matrix ตรงทางเข้าประตู (*เช่น ลายนิ้วมือ โครงหน้า ถือเป็นข้อมูลอ่อนไหว หลุดไปจะแก้ไขอะไรไม่ได้เลยต้องเลิกใช้นิ้วเลิกใช้หัวนั้นไปเลย) ของผู้ใช้ หรือบนเว็บไซต์ เช่น การใช้ facebok access เข้าสู่ระบบ ถ้าเจ้าตัวไม่ให้ ก็คือจะไม่สามารถเข้าใช้บริการห้องสมุดได้  ดังนั้นทางออกคือ ต้องให้ทางเลือก (*รูปถ่ายธรรมดาไม่ถือ เป็นข้อมูล biomatrix )

คำถาม ห้องสมุดเก็บข้อมูลการดาวน์โหลดหนังสือได้หรือไม่ ก็ต้องถือว่าเป็นข้อมูลที่จำเป็นต่อการให้บริการ เพียงแต่ต้องระวังตรงที่ ต้องให้เจ้าหน้าที่เฉพาะที่เกี่ยวข้องกับข้อมูลนี้เท่านั้น

คำถาม ห้องสมุดประชาชน ต้องใช้ข้อมูลบัตรประชาชน ในการเข้ามาอ่านหนังสือ ถามว่ามีความจำเป็นอะไรที่จะต้องเก็บบัตร ก็ต้องนึกถึงความจำเป็น หากต้อง Research ต้องมีการจอง การเข้าใช้หนังสือสำคัญ ๆ ที่มีมูลค่าสูง ก็สามารถตอบได้ว่ามันจำเป็นที่ต้องเก็บข้อมูลบัตรประชากรก่อน หรือบางทีทางออกอาจให้ใช้วิธี ดูบัตรแล้วลงชื่อไว้เฉยๆ ก็ได้

สรุปการบรรยายเรื่อง PDPA for Library พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลกับงานห้องสมุด