พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ประเทศไทยเริ่มมีกฎหมายด้านการคุ้มครองข้อมูลส่วนบุคคลเมื่อปี 2540 กล่าวคือ มีการตราพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 การตราพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 ต่อมาในปี 2550 รัฐธรรมนูญแห่งราชอาณาจักรไทย พุทธศักราช 2550 ได้มีการบัญญัติหลักการคุ้มครองสิทธิในข้อมูลส่วนตัวไว้ในมาตรา 4 และมาตรา 35 นอกจากนี้ ยังได้มีการตราพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 นอกจากกฎหมายในรูปแบบของพระราชบัญญัติแล้วยังมีการตรากฎหมายโดยอาศัยอำนาจของพระราชบัญญัติอีกด้วย เช่น ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. 2553 

อย่างไรก็ตาม แม้ได้มีการประกาศบังคับใช้กฎหมายที่เกี่ยวข้องดังกล่าว แต่ยังปรากฏมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมากจนสร้างความเดือดร้อน รำคาญ หรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวมข้อมูล ใช้หรือเปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว ทำได้โดยง่าย สะดวก และรวดเร็ว ก่อให้เกิดความเสียหายต่อเศรษฐกิจโดยรวม ต่อมารัฐธรรมนูญแห่งราชอาณาจักรไทย พุทธศักราช 2560 มีการบัญญัติเกี่ยวกับข้อมูลส่วนบุคคลไว้ในมาตรา 32 และคณะรัฐมนตรีโดยพลเอก ประยุทธ์  จันทร์โอชา เป็นนายกรัฐมนตรี จึงได้เสนอร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... เข้าสู่การพิจารณาของที่ประชุมสภานิติบัญญัติแห่งชาติ ในคราวประชุม ครั้งที่ 91/2561 เป็นพิเศษ วันศุกร์ที่ 28 ธันวาคม 2561 ที่ประชุมลงมติรับหลักการแห่งร่างพระราชบัญญัติดังกล่าว และตั้งคณะกรรมาธิการวิสามัญขึ้นคณะหนึ่งเพื่อพิจารณา ต่อมาในคราวประชุมสภานิติบัญญัติแห่งชาติ ครั้งที่ 18/2562 เป็นพิเศษ วันพุธที่ 27 กุมภาพันธ์ 2562 และครั้งที่ 19/2562 เป็นพิเศษ วันพฤหัสบดีที่ 28 กุมภาพันธ์ 2562 ที่ประชุมได้ลงมติเห็นชอบให้ประกาศใช้เป็นกฎหมาย 

เนื้อหาของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบด้วย 7 หมวด หมวด 1 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล หมวด 3 สิทธิของเจ้าของข้อมูลส่วนบุคคล หมวด 4 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หมวด 5 การร้องเรียน หมวด 6 ความรับผิดทางแพ่ง หมวด 7 บทกำหนดโทษ สาระสำคัญของพระราชบัญญัติ มีดังนี้

1. การปกป้องข้อมูลส่วนบุคคล โดยข้อมูลส่วนบุคคลคือ ข้อมูลที่เกี่ยวข้องกับบุคคลที่สามารถระบุถึงตัวบุคคลได้ในทางตรงหรือทางอ้อม ไม่ว่าจะเป็นชื่อ–นามสกุล เลขบัตรประจำตัวประชาชนเบอร์โทรศัพท์ รูปถ่าย ทั้งหมดนี้ถือเป็นข้อมูลส่วนบุคคล
2. การเก็บข้อมูลส่วนบุคคลต้องเป็นไปตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลกำหนดไว้ในกฎหมาย โดยการเก็บข้อมูลส่วนบุคคล การนำข้อมูลส่วนบุคคลไปใช้ จะต้องได้รับคำยินยอมจากเจ้าของข้อมูล การจัดเก็บข้อมูลจะต้องปลอดภัย ได้มาตรฐาน ไม่ให้ข้อมูลเกิดการรั่วไหล
3. ข้อมูลส่วนบุคคลที่บริษัทต่าง ๆ เก็บรวบรวมไว้ จะต้องตรวจสอบได้ว่า ได้มาอย่างไร ถูกต้องและตรงตามข้อกำหนดหรือไม่

ต่อมามีการประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 มีผลบังคับใช้นับตั้งแต่วันที่ประกาศในราชกิจจานุเบกษา เฉพาะในหมวด 1 และหมวด 4 กล่าวคือ หมวดที่ว่าด้วยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และหมวดที่ว่าด้วยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ส่วนหมวดอื่นให้มีผลบังคับใช้เมื่อพ้นกำหนดหนึ่งปีนับแต่วันประกาศในราชกิจจานุเบกษา ซึ่งจะมีผลใช้บังคับตั้งแต่วันที่ 27 พฤษภาคม 2563 แต่เนื่องจากเงื่อนไขในการคุ้มครองข้อมูลส่วนบุคคล ได้กำหนดหลักเกณฑ์ วิธีการ และเงื่อนไขในการคุ้มครองข้อมูลไว้อย่างละเอียด โดยผู้ควบคุมข้อมูลส่วนบุคคลทุกรายทั่วประเทศทั้งภาครัฐ และเอกชน มีหน้าที่ต้องดำเนินการตามหลักเกณฑ์ วิธีการ และเงื่อนไขดังกล่าวโดยเคร่งครัด ซึ่งเงื่อนไขตามที่กฎหมายกำหนดนั้นมีรายละเอียดมากและซับซ้อน กับต้องใช้เทคโนโลยีขั้นสูงเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพสมดังเจตนารมณ์ของกฎหมาย ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นหน่วยงานและกิจการต่าง ๆ ทั้งภาครัฐและเอกชนจำนวนมากยังไม่พร้อมที่จะปฏิบัติตามพระราชบัญญัติดังกล่าว รวมทั้งกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมอยู่ในระหว่างการดำเนินการเสนอรายชื่อประธานกรรมการและกรรมการผู้ทรงคุณวุฒิในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลต่อคณะรัฐมนตรี 

ทั้งนี้ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม จึงได้เสนอร่างพระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. .... เข้าสู่การพิจารณาของที่ประชุมคณะรัฐมนตรี ในคราวประชุม ครั้งที่ 21/2563 วันอังคารที่ 19 พฤษภาคม 2563 โดยที่ประชุมคณะรัฐมนตรีมีมติอนุมัติในหลักการร่างพระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. .... ที่สำนักงานคณะกรรมการกฤษฎีกาตรวจพิจารณาเสร็จแล้ว ตามที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเสนอ และให้ดำเนินการต่อไป รวมทั้งมอบหมายให้สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ทำหน้าที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เร่งรัดการดำเนินการเพื่อจัดทำกฎหมายลำดับรอง หลักเกณฑ์และแนวปฏิบัติต่าง ๆ ที่เกี่ยวข้อง โดยเฉพาะเรื่องที่จำเป็นเมื่อกฎหมายมีผลบังคับใช้ เป็นผลให้ขยายเวลาการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในหมวด 2 การคุ้มครองข้อมูลส่วนบุคคล หมวด 3 สิทธิเจ้าของข้อมูลส่วนบุคคล หมวด 5 การร้องเรียน หมวด 6 ความรับผิดทางแพ่ง หมวด 7 บทกำหนดโทษ และความในมาตรา 95 และมาตรา 96 ที่เดิมจะมีผลบังคับใช้ในวันที่ 27 พฤษภาคม 2563 ออกไปอีก 1 ปี

ปัจจุบันพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลจึงเป็นกลไกในการสร้างความเชื่อมั่นให้กับบุคคลที่เกี่ยวข้องทั้งภาครัฐ ภาคเอกชน และภาคประชาชน เพื่อเป็นการเตรียมการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย รวมทั้งเตรียมความพร้อมเพื่อรองรับผลกระทบด้านต่าง ๆ ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของต่างประเทศที่มีผลกระทบต่อประเทศไทยอย่างทันท่วงทีและมีประสิทธิภาพ