พระราชกฤษฎีกา Data Sharing หน่วยงานรัฐกับหน่วยงานรัฐ พ.ศ. 2569 : เปิดประตูข้อมูล แต่ไม่ปิด PDPA

ดร.อุดมธิปก ไพรเกษตร
นายกสมาคมผู้ตรวจสอบและให้คำปรึกษาการคุ้มครองข้อมูลส่วนบุคคลไทย
ผู้ก่อตั้งสื่อ PDPA Thailand

ผมอยากชวนทุกคน “หยุดคิดสักครู่” ก่อนจะรีแอคทันทีว่า พระราชกฤษฎีกาการเปิดเผยข้อมูลข่าวสารส่วนบุคคลที่อยู่ในความควบคุมดูแลของหน่วยงานของรัฐต่อหน่วยงานของรัฐแห่งอื่น พ.ศ. 2569 คือกฎหมายที่เปิดทางให้รัฐ “เข้าถึงข้อมูลเราโดยไม่ต้องเคารพ PDPA” หรือทำให้เจ้าหน้าที่หน่วยงานรัฐ รู้สึกว่าต่อไปขอหรือใช้ข้อมูลส่วนบุคคลแบบไหนอย่างไรก็ได้

ซึ่งเมื่ออ่านให้ครบ และพิจารณาตาม พรบ.ข้อมูลข่าวสารราชการ พ.ศ.2540 (OIA) กับ พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) จะเห็นภาพที่ชัดเจนอย่างมีนัยสำคัญ เพราะพระราชกฤษฎีกาฉบับนี้ไม่ใช่การยกเลิก PDPA แต่เป็นการแก้ปัญหาที่เกิดขึ้นจริงในช่วง 4–5 ปีที่ผ่านมา คือ “หน่วยงานรัฐไม่ให้ข้อมูลกันเอง โดยอ้าง PDPA” จนงานบริการประชาชนและนโยบายสาธารณะสะดุด

“พระราชกฤษฎีกานี้คืออะไร”

พระราชกฤษฎีกาการเปิดเผยข้อมูลข่าวสารส่วนบุคคลที่อยู่ในความควบคุมดูแลของหน่วยงานของรัฐต่อหน่วยงานของรัฐแห่งอื่น พ.ศ. 2569 ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 29 มิถุนายน 2569 และมีผลใช้ตั้งแต่วันนี้ (30 มิถุนายน 2569) อ่านละเอียดได้ที่ https://ratchakitcha.soc.go.th/documents/114551.pdf

ตัวกฤษฎีกามีเพียง 4 มาตรา แต่หัวใจจริงอยู่ที่มาตรา 3 ซึ่งวางหลักว่า หน่วยงานของรัฐที่มีข้อมูลข่าวสารส่วนบุคคลอยู่ในความควบคุมดูแลของตน “มีหน้าที่” เปิดเผยข้อมูลดังกล่าวให้หน่วยงานของรัฐแห่งอื่น เมื่อมีการร้องขอ เพื่อให้เกิดการเชื่อมโยงข้อมูลสำหรับจัดทำและให้บริการภาครัฐแก่ประชาชนโดยวิธีการทางอิเล็กทรอนิกส์

พูดง่าย ๆ นี่คือการยอมรับข้อเท็จจริงว่า หากยังปล่อยให้ข้อมูลแต่ละกระทรวง แต่ละกรม แยกกันอยู่ในพื้นที่ของตนเอง รัฐก็จะไม่มีวันใช้ข้อมูลเพื่อบริการประชาชนแบบมุ่งเป้า ทำสวัสดิการอย่างแม่นยำ หรือบังคับใช้กฎหมายอย่างมีประสิทธิภาพได้เลย

“เปิดให้ทำ” อะไร และ “ไม่เปิดให้ทำ” อะไร

สิ่งที่พระราชกฤษฎีกานี้ “เปิดให้ทำ” คือการแลกเปลี่ยนหรือเชื่อมโยงข้อมูลข่าวสารส่วนบุคคล “ระหว่างหน่วยงานของรัฐ” เท่านั้น เพื่อประโยชน์ในการให้บริการภาครัฐ การจัดสวัสดิการ การช่วยเหลือประชาชน การจัดทำนโยบาย และการบังคับใช้กฎหมายตามที่ระบุไว้ในหมายเหตุท้ายพระราชกฤษฎีกา

แต่สิ่งที่พระราชกฤษฎีกานี้ “ไม่ได้เปิดให้ทำแบบเสรี” มีอยู่หลายชั้น และต้องอ่านให้ครบ

  • ไม่ได้พูดถึงการเปิดเผยต่อสาธารณะหรือเอกชนทั่วไป เป็นเพียงการเปิดช่องภายใน “วงการรัฐกับรัฐ” เท่านั้น
  • หน่วยงานผู้รับข้อมูลมีหน้าที่รักษาข้อมูล และถูก “ห้ามเปิดเผยต่อไปยังบุคคลภายนอก” ไม่ว่าบุคคลภายนอกนั้นจะเป็นหน่วยงานของรัฐหรือไม่ก็ตาม
  • การรักษาข้อมูลต้องเป็นไปตามหลักเกณฑ์และเงื่อนไขที่คณะกรรมการกำหนด และต้องสอดคล้องกับมาตรฐานความปลอดภัยทางไซเบอร์ ซึ่งเข้มข้นกว่าแค่การส่งเอกสารราชการธรรมดา

ดังนั้น การตีความว่ากฤษฎีกานี้ทำให้หน่วยงานรัฐ “ส่งต่อข้อมูลเราไปเรื่อย ๆ อย่างไร้ขอบเขต” จึงไม่ตรงกับตัวบทที่วางเงื่อนไขห้ามเปิดเผยต่อบุคคลภายนอกไว้อย่างชัดเจน

พระราชกฤษฎีกาฉบับนี้ มีความสัมพันธ์กับกฎหมายอื่นอย่างไร

เพื่อจะเข้าใจบทบาทของพระราชกฤษฎีกาฉบับนี้ เราต้องหยิบ พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540 ขึ้นมาดูคู่กัน โดยเฉพาะมาตรา 4 และมาตรา 24

พ.ร.บ.ข้อมูลข่าวสารฯ นิยาม “ข้อมูลข่าวสารส่วนบุคคล” กว้างกว่าคำว่า “ข้อมูลส่วนบุคคล” ใน PDPA เพราะรวมทั้งข้อมูลเกี่ยวกับผู้ที่ถึงแก่กรรมแล้วด้วย

ขณะที่หมวด 2 ข้อมูลข่าวสารที่ไม่ต้องเปิดเผย มาตรา 15 ของ พ.ร.บ.ข้อมูลข่าวสารฯ (4) การเปิดเผยจะก่อให้เกิดอันตรายต่อชีวิตหรือความปลอดภัยของบุคคลหนึ่งบุคคลใด (5) รายงานการแพทย์หรือข้อมูลข่าวสารส่วนบุคคลซึ่งการเปิดเผยจะเป็นการรุกล้ำสิทธิส่วนบุคคลโดยไม่สมควร และ (6) ข้อมูลข่าวสารของราชการที่มีกฎหมายคุ้มครองมิให้เปิดเผย หรือข้อมูลข่าวสารที่มีผู้ให้มาโดยไม่ประสงค์ให้ทางราชการนำไปเปิดเผยต่อผู้อื่น

ส่วนหมวด 3 ข้อมูลข่าวสารส่วนบุคคล มาตรา 24 ของ พ.ร.บ.ข้อมูลข่าวสารฯ วางหลักว่า หน่วยงานรัฐจะเปิดเผยข้อมูลข่าวสารส่วนบุคคลต่อหน่วยงานรัฐอื่นหรือบุคคลอื่น โดยไม่มีความยินยอมเป็นหนังสือจากเจ้าของข้อมูลไม่ได้ เว้นแต่เข้าข้อยกเว้น (1)–(9) โดยข้อ (9) ระบุว่า “กรณีอื่นตามที่กำหนดในพระราชกฤษฎีกา” และกำหนดว่าการเปิดเผยตาม (3)–(9) ต้องจัดทำบัญชีแสดงการเปิดเผยกำกับไว้กับข้อมูลข่าวสารนั้น

พระราชกฤษฎีกา พ.ศ. 2569 จึงเข้ามานั่งอยู่ตรงช่องว่างเล็ก ๆ แต่สำคัญมากนี้ คือทำหน้าที่เป็น “กรณีอื่น” ตามมาตรา 24(9) โดยเฉพาะ

ถ้าเปรียบเทียบเป็นภาพใหญ่ OIA คือ “ประตู” ที่กำหนดว่าเมื่อไรและอย่างไรที่รัฐจะเปิดเผยข้อมูลข่าวสารส่วนบุคคลได้ ส่วน PDPA คือ “กรอบกำกับการประมวลผล” ที่บอกว่าเมื่อข้อมูลถูกเก็บ ใช้ เปิดเผย หรือเชื่อมโยงแล้ว ต้องคุ้มครองสิทธิของเจ้าของข้อมูลอย่างไร

พระราชกฤษฎีกาไม่ได้ทำให้รัฐ “พ้น PDPA” แต่ทำให้ “อ้าง PDPA แล้วไม่ให้ข้อมูลกันเอง” ยากขึ้น

หนึ่งในปัญหาที่เกิดขึ้นจริงหลัง PDPA บังคับใช้คือ หลายหน่วยงานรัฐใช้ PDPA เป็น “เหตุผลอเนกประสงค์” ในการปฏิเสธการให้ข้อมูลแก่หน่วยงานรัฐอื่น ทั้งที่ภารกิจหลายเรื่องต้องอาศัยข้อมูลข้ามหน่วยงาน เช่น การจัดสวัสดิการ การยืนยันสิทธิ ลดภาระเอกสารประชาชน การแก้ปัญหาองค์กรอาชญากรรม หรือการทุจริตคอร์รัปชัน

พระราชกฤษฎีกาฉบับนี้เข้ามาเติมฐานกฎหมายเฉพาะให้ชัดว่า “การเปิดเผยข้อมูลข่าวสารส่วนบุคคลระหว่างหน่วยงานรัฐทำได้” เมื่ออยู่ในกรอบวัตถุประสงค์ของกฤษฎีกา และอยู่ภายใต้ พ.ร.บ.ข้อมูลข่าวสารฯ มาตรา 24(9)

แต่เมื่อหันกลับมาดู PDPA เราจะเห็นอย่างชัดเจนว่า ไม่มีข้อความใดในพระราชกฤษฎีกาที่บอกว่า “ยกเว้น PDPA” หรือ “ไม่ต้องทำตาม PDPA” ตรงกันข้าม PDPA มาตรา 3 กลับวางหลักว่า หากมีกฎหมายเฉพาะเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในเรื่องใด ให้ใช้กฎหมายเฉพาะนั้น แต่บทบัญญัติเกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผย สิทธิของเจ้าของข้อมูล และบทกำหนดโทษตาม PDPA ยังใช้ “เพิ่มเติม” ได้

แปลว่า

  • พระราชกฤษฎีกา = “เปิดประตูให้หน่วยงานรัฐเชื่อมโยงข้อมูลกันได้”
  • PDPA = “รั้ว กุญแจ และกล้องวงจรปิด” ที่กำกับว่าการเชื่อมโยงนั้นต้องจำเป็น ชอบด้วยกฎหมาย ได้สัดส่วน โปร่งใส และปลอดภัย

ประเด็นสำคัญ จาก “ให้ได้หรือไม่ได้” ไปสู่คำถามที่สำคัญกว่า “ได้มาแล้วใช้ต่ออย่างไร”

ข้อถกเถียงในวงราชการช่วงที่ผ่านมา มักติดอยู่ตรงคำถามว่า “ให้ข้อมูลกันได้หรือไม่ได้” ซึ่งพระราชกฤษฎีกานี้ช่วยตอบคำถามในชั้นแรกว่า “เปิดเผยให้กันได้” เมื่อมีวัตถุประสงค์ตามที่กำหนด และอยู่ในกรอบ พ.ร.บ.ข้อมูลข่าวสารฯ

แต่เมื่อเชื่อมกับ PDPA เราจำเป็นต้องย้ายไปสู่คำถามชั้นที่สอง คือ “ได้ข้อมูลมาแล้วใช้ต่ออย่างไรให้ชอบด้วยกฎหมายและได้สัดส่วน”

กรอบคิดที่ผมเสนอให้ตั้งคำถาม 2 ประเด็น

  1. ประเด็นแรก “เปิดเผยให้กันได้หรือไม่” เป็นหน่วยงานรัฐหรือไม่ ตาม OIA จะรวมรัฐวิสาหกิจด้วย? เหมาะสมหรือไม่ และ รวมถถึงส่วนราชการที่ไม่ใช่นิติบุคคลด้วย, ร้องขอเพื่อภารกิจภาครัฐหรือไม่, อยู่ในกรอบพระราชกฤษฎีกาหรือไม่, มีอำนาจหน้าที่รองรับหรือไม่
  2. ประเด็นถัดมา “ได้ข้อมูลมาแล้วใช้ได้อย่างไร” ใช้ตามวัตถุประสงค์หรือไม่, ใช้เท่าที่จำเป็นหรือไม่, มีมาตรการรองรับการใช้สิทธิหรือไม่ มีมาตรการรักษาความปลอดภัยข้อมูลดีเพียงพอหรือไม่ มีบันทึกการเปิดเผยข้อมูลให้หน่วยงานอื่น หรือบันทึกการรับข้อมูลจากหน่วยงานอื่นหรือไม่ มีการจัดทำบันทึกประมวลกิจกรรมข้อมูล (RoPA) หรือไม่ มีการเปิดเผยหรือห้ามส่งต่อหรือไม่

เพื่อตอบ 2 คำถามนี้ เราจะไม่หยุดอยู่แค่การตีความพระราชกฤษฎีกา แต่จะเชื่อมไปสู่การออกแบบ “Data Governance ของภาครัฐ” ที่ตอบโจทย์ PDPA ไปพร้อมกันด้วย

ฐานกฎหมายของการแชร์ข้อมูลภาครัฐ ภายใต้ PDPA ไม่ใช่ต้อง consent เสมอไป

อีกจุดที่สำคัญคือ การเลือกฐานกฎหมายตาม PDPA สำหรับการเปิดเผยและรับข้อมูลระหว่างหน่วยงานรัฐ ไม่จำเป็นต้องยึด “ความยินยอม” เป็นฐานหลักเสมอไป


สำหรับข้อมูลส่วนบุคคลทั่วไป ฐานกฎหมายที่เหมาะสม PDPA คือ

  • ภารกิจเพื่อประโยชน์สาธารณะหรือการใช้อำนาจรัฐ (Public Task / Official Authority) มาตรา 24(4) เมื่อการเชื่อมโยงข้อมูลจำเป็นต่อการให้บริการภาครัฐ สวัสดิการ การช่วยเหลือประชาชน หรือการบังคับใช้กฎหมาย
  • การปฏิบัติตามกฎหมาย (Legal Obligation) ตามมาตรา 24(5) เมื่อพระราชกฤษฎีกากำหนดหน้าที่ให้เปิดเผยข้อมูลตามคำขอที่อยู่ในกรอบกฎหมาย
  • กรณีกฎหมายอื่นบัญญัติให้ทำได้ เมื่อการใช้หรือเปิดเผยต่างจากวัตถุประสงค์เดิม แต่มีบทบัญญัติของ PDPA หรือกฎหมายอื่นรองรับ เช่น มาตรา 21 PDPA

ประเด็นสำคัญคือ ฐานกฎหมายของ “ผู้เปิดเผย” กับฐานกฎหมายของ “ผู้รับข้อมูล” อาจไม่ใช่เรื่องเดียวกันเสมอไป แต่ทั้งสองฝ่ายต้องตอบให้ได้ว่าตนเองมี Lawful Basis ที่ชัดเจน ไม่ใช่เพียงอ้างว่าคนอื่นส่งมาให้จึงใช้ต่อได้โดยอัตโนมัติ

Sensitive Data ในโลก PDPA กับข้อมูลข่าวสารส่วนบุคคลในโลก พ.ร.บ.ข้อมูลข่าวสารฯ

นิยาม “ข้อมูลข่าวสารส่วนบุคคล” ใน พ.ร.บ.ข้อมูลข่าวสารฯ กินความไปถึงข้อมูลสุขภาพ ประวัติอาชญากรรม ลายพิมพ์นิ้วมือ แผ่นเสียง รูปถ่าย และข้อมูลของผู้ถึงแก่กรรม

เมื่อเทียบกับ PDPA เราจะพบว่า ข้อมูลเหล่านี้บางส่วนกลายเป็น “ข้อมูลส่วนบุคคลอ่อนไหว” ตามมาตรา 26 เช่น ข้อมูลสุขภาพ ความพิการ ประวัติอาชญากรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นที่มีผลกระทบต่อเจ้าของข้อมูลอย่างมีนัยสำคัญ 

ขณะที่ตาม OIA ตามมาตรา 15 ข้อมูลข่าวสารของราชการที่มีลักษณะอย่างหนึ่งอย่างใดดังต่อไปนี้หน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐอาจมีคำสั่งมิให้เปิดเผยก็ได้ โดยคำนึงถึงการปฏิบัติหน้าที่ตามกฎหมายของหน่วยงานของรัฐ ประโยชน์สาธารณะ และประโยชน์ของเอกชนที่เกี่ยวข้องประกอบกัน ซึ่ง มาตรา15(5) รายงานการแพทย์หรือข้อมูลข่าวสารส่วนบุคคลซึ่งการเปิดเผยจะเป็นการรุกล้ำสิทธิส่วนบุคคลโดยไม่สมควร

ขณะที่มาตรา 7 พรบ.สุขภาพแห่งชาติ พ.ศ.2550 กำหนดว่า “ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยในประการที่น่าจะทำให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่ากรณีใดๆ ผู้ใดจะอาศัยอำนาจหรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้” 

ผลคือ พระราชกฤษฎีกานี้ไม่สามารถถูกใช้เป็น “ใบเบิกทางรวดเดียว” สำหรับข้อมูลทุกประเภทโดยไม่พิจารณามาตรฐานของ PDPA เพิ่มเติม โดยเฉพาะในกรณี sensitive data ที่ต้องผ่านเงื่อนไขเฉพาะของมาตรา 26 และมีมาตรการคุ้มครองที่เหมาะสม

กล่าวสั้น ๆ ว่า ข้อมูลบางชุดอาจผ่าน “ประตู” ของ พ.ร.บ.ข้อมูลข่าวสารฯ แต่ยังต้องผ่าน “เครื่องตรวจความเสี่ยง” ของ PDPA หรือ กฎหมายอื่นอีกชั้นหนึ่งก่อนจะใช้ต่อได้อย่างชอบด้วยกฎหมาย

Security และ Cybersecurity ไม่ใช่เรื่องเทคนิคอย่างเดียว แต่เป็นเรื่องความรับผิดชอบร่วม

พระราชกฤษฎีกานี้เขียนไว้ชัดว่า การรักษาข้อมูลข่าวสารส่วนบุคคลที่เปิดเผยระหว่างหน่วยงานรัฐต้องเป็นไปตามหลักเกณฑ์และเงื่อนไขที่คณะกรรมการกำหนด และต้องสอดคล้องกับมาตรฐานการรักษาความปลอดภัยทางไซเบอร์

ในขณะเดียวกัน PDPA มาตรา 37 วางหน้าที่ให้ผู้ควบคุมข้อมูลต้องมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทบทวนมาตรการเมื่อมีการเปลี่ยนแปลง และแจ้งเหตุละเมิดข้อมูลส่วนบุคคลต่อสำนักงานภายใน 72 ชั่วโมงเมื่อมีความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล ซึ่งเมื่อทั้งหน่วยงานรัฐที่เป็นผู้ให้และผู้รับต่างก็เป็นผู้ควบคุมข้อมูลส่วนบุคคล จึงจำเป็นต้องมีมาตรการรักษาความมั่นคงปลอดภัยข้อมูล

เมื่อเอาสองกฎหมายมาวางคู่กัน ความปลอดภัยของข้อมูลจึงไม่ใช่เรื่องของฝ่ายเทคนิคฝ่ายเดียว แต่เป็น “ความรับผิดชอบร่วม” ระหว่างผู้บริหาร ผู้กำกับนโยบาย และผู้ปฏิบัติ โดยอย่างน้อยควรมี

  • Access control ที่กำหนดสิทธิผู้เข้าถึงอย่างได้สัดส่วนกับหน้าที่
  • Data minimization ส่งเฉพาะฟิลด์ที่จำเป็น ไม่ส่งทั้งฐานข้อมูลเพราะ “สะดวก”
  • Encryption ระหว่างส่งและขณะจัดเก็บ
  • Logging & monitoring ที่บันทึกว่าใครเข้าถึงอะไร เมื่อไร เพื่ออะไร และตรวจจับการใช้งานผิดปกติ
  • Retention & deletion ที่กำหนดว่าใช้ข้อมูลไปนานเท่าไร และเมื่อไรต้องลบหรือทำลาย
  • Breach response ที่ชัดเจนเมื่อเกิดเหตุละเมิดข้อมูล

ถ้าไม่มีมาตรการเหล่านี้ การเปิดเผยอาจมีฐานกฎหมายรองรับจากพระราชกฤษฎีกา แต่ก็ยังเสี่ยงผิดหน้าที่ด้านความมั่นคงปลอดภัยตาม PDPA อยู่ดี

กิจกรรม ROPA , บัญชีแสดงการเปิดเผย และ Data Sharing Register ต้องทำให้ “ตรวจสอบได้” ไม่ใช่แค่ “ทำได้”

มาตรา 24 วรรคสองของ พ.ร.บ.ข้อมูลข่าวสารฯ กำหนดว่า การเปิดเผยข้อมูลข่าวสารส่วนบุคคลตามข้อ (3)–(9) ต้องจัดทำบัญชีแสดงการเปิดเผยกำกับไว้กับข้อมูลข่าวสารนั้น

ขณะที่ PDPA มาตรา 39 กำหนดให้ผู้ควบคุมข้อมูลต้องบันทึกรายการประมวลผล (ROPA) เพื่อให้เจ้าของข้อมูลและสำนักงานตรวจสอบได้ เช่น วัตถุประสงค์ ประเภทข้อมูล ฐานกฎหมาย ผู้รับข้อมูล ระยะเวลาเก็บ และมาตรการรักษาความมั่นคงปลอดภัย

เมื่อเชื่อมสองกฎหมายเข้าด้วยกัน การเชื่อมโยงข้อมูลภาครัฐตามพระราชกฤษฎีกานี้ควรมีอย่างน้อย

  • บัญชีแสดงการเปิดเผย ตาม พ.ร.บ.ข้อมูลข่าวสารฯ ระบุว่าข้อมูลชุดใดถูกเปิดเผยให้ใคร เมื่อใด และด้วยเหตุผลใด
  • ROPA หรือ Data Sharing Register ตาม PDPA ที่บันทึกวัตถุประสงค์ ฐานกฎหมาย ระยะเวลาเก็บรักษา ผู้มีสิทธิเข้าถึง และมาตรการความปลอดภัย
  • Data sharing log หรือ API log เพื่อให้ตรวจสอบย้อนหลังได้ว่าใครดึงข้อมูลอะไรจากระบบกลางเวลาใด

ทั้งหมดนี้ไม่ได้มีเป้าหมายเพื่อเพิ่มภาระเอกสารให้เจ้าหน้าที่ แต่เพื่อให้ตอบได้เมื่อประชาชนถามว่า “ข้อมูลของผมถูกเชื่อมโยงไปที่ไหนบ้าง” และเพื่อให้หน่วยงานรัฐพิสูจน์ได้ว่าการใช้ข้อมูลนั้นชอบด้วยกฎหมายและได้สัดส่วนจริง

ความจำเป็นที่หน่วยงานรัฐต้องมี DPO ตาม PDPA ทุกหน่วยงานรัฐและทุกส่วนราชการ และบทบาทที่ต้องเดินควบคู่กับพระราชกฤษฎีกา

ตาม PDPA มาตรา 41(1) หน่วยงานรัฐที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) แม้จะมีการตอบข้อหารือของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่ตอบให้กับสำนักงานปลัดกระทรวงกลาโหม ว่าการมี DPO ของหน่วยงานรัฐครอบคลุมถึง มาตรา 41(2) และ 41(3) ด้วย หากเข้าเงื่อนไข แม้หลาย ๆ หน่วยงานรัฐไม่ทราบ ประกอบกับการตีความหน่วยงานของรัฐที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องเป็นนิติบุคคล ทั้งให้หน่วยงานหลาย ๆ หน่วยงานที่ไม่เป็นนิติบุคคล เช่นกองทุน หรือส่วนราชการภูมิภาค ซึ่งเป็นประเด็นที่ต้องแก้ไขต่อไปสำหรับ ผู้ที่รับผิดชอบ PDPA

สำหรับบริบทของพระราชกฤษฎีกานี้ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ในหน่วยงานรัฐไม่ได้มีหน้าที่เพียงตอบคำถามประชาชนหรือจัดทำรายงานให้สำนักงานเท่านั้น แต่ควรเข้าไปอยู่ใน “กระบวนการตัดสินใจเชื่อมโยงข้อมูล” ตั้งแต่ต้น

บทบาทขั้นต่ำของ DPO ในโครงการเชื่อมโยงข้อมูลภาครัฐควรครอบคลุม

  • ตรวจฐานกฎหมายของการขอและการเปิดเผยข้อมูล
  • ตรวจความชัดเจนของวัตถุประสงค์และความจำเป็นของชุดข้อมูลที่ขอ
  • ตรวจ privacy notice หรือ public notice ว่าแจ้งประชาชนเพียงพอหรือไม่
  • ตรวจมาตรการการรักษาความมั่นคงปลอดภัยและ cyber control
  • ตรวจการบันทึกรายการและเงื่อนไขห้ามส่งต่อข้อมูล

เมื่อ DPO ถูกวางไว้ในจุดออกแบบนโยบายและกระบวนการ ไม่ใช่เพียงจุด “รับผิดชอบเวลามีปัญหา” ภาครัฐจะสามารถใช้พระราชกฤษฎีกาเป็นเครื่องมือเพื่อบริการประชาชนได้ โดยไม่ลดมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลลง

หลัก “เปิดเผยได้ แต่ต้องพิสูจน์ได้” คือจุดยืนของ TPDPA

จากการวิเคราะห์โดยอิงเฉพาะพระราชกฤษฎีกาฉบับนี้ พ.ร.บ.ข้อมูลข่าวสารของราชการฯ และ PDPA ผมขอสรุปจุดยืนเชิงนโยบายในนามสมาคมว่า

  1. เรา สนับสนุนและเห็นด้วยกับ พระราชกฤษฎีกานี้ เพราะช่วยแก้ปัญหาการที่หน่วยงานรัฐอ้าง PDPA เพื่อไม่ให้ข้อมูลกันเอง ทั้งที่หลายภารกิจจำเป็นต้องใช้ข้อมูลข้ามหน่วยงาน
  2. เรา ไม่เห็นด้วยอย่างยิ่ง หากมีการตีความว่าพระราชกฤษฎีกานี้เป็นการยกเว้น PDPA หรือทำให้หน่วยงานรัฐพ้นจากหน้าที่ตาม PDPA
  3. เราเสนอให้ใช้หลัก 5 ข้อในการตีความและนำไปใช้: Lawful, Necessary, Proportionate, Accountable, Secure – มีฐานกฎหมายชัดเจน จำเป็น ได้สัดส่วน ตรวจสอบได้ และปลอดภัย
  4. เราเห็นว่าประเด็นสำคัญที่ต้องกำกับต่อไปไม่ใช่แค่ “ให้ข้อมูลกันได้หรือไม่” แต่เป็น “เมื่อให้ข้อมูลกันแล้ว ประชาชนยังได้รับการคุ้มครองเพียงพอหรือไม่” ทั้งในแง่เสรีภาพ สิทธิในการเข้าถึงและแก้ไขข้อมูล ความโปร่งใสในการเชื่อมโยง และการจำกัดการใช้ไม่ให้เกินวัตถุประสงค์

ถ้าจะให้จำง่าย ๆ ผมอยากฝากไว้แบบนี้

พระราชกฤษฎีกาฉบับนี้ “เปิดประตูให้รัฐเชื่อมโยงข้อมูล” แต่ PDPA ยังคงเป็น “รั้ว กุญแจ และกล้องวงจรปิด” ที่กำกับว่า การเชื่อมโยงนั้นต้องทำอย่างจำเป็น โปร่งใส ปลอดภัย และตรวจสอบได้

ดร.อุดมธิปก ไพรเกษตร
นายกสมาคมผู้ตรวจสอบและให้คำปรึกษาการคุ้มครองข้อมูลส่วนบุคคลไทย
ผู้ก่อตั้งสื่อ PDPA Thailand