ชุดเอกสารแม่แบบ (template) สำหรับการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคลภาครัฐ (Version 2.0) ประกอบด้วยเอกสารทั้งหมด 16 รายการ เริ่มต้นจากเอกสารนำ คือ แนวปฏิบัติสำหรับการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งอธิบายหน้าที่สำคัญพื้นฐานของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) พร้อมคำอธิบายการทำงาน อิงตาม มาตรา 37 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล 2562 และเอกสารแม่แบบอีก 15 รายการ เพื่อให้หน่วยงานรัฐสามารถนำไปปรับใช้ตามกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลและภารกิจของตน นอกจากนี้ยังมีตัวอย่างการนำไปใช้ 1 รายการ เอกสารแม่แบบ 15 รายการ ประกอบด้วย เอกสารทั้ง 15 รายการจัดทำในรูปแบบลักษณะฟอร์มสำหรับกรอกข้อมูล ตัวอย่างการกรอก พร้อมคำอธิบายประกอบความเข้าใจ ซึ่ง สพร. หวังเป็นอย่างยิ่งว่าเอกสารชุดนี้จะเป็นประโยชน์ต่อการดำเนินงานภาครัฐ ลดระยะเวลาในการทำความเข้าใจกฎหมาย การจัดทำเอกสาร เอื้ออำนวยให้ภาครัฐสามารถขับเคลื่อนไปสู่รัฐบาลดิจิทัลได้อย่างมั่นคง รวดเร็ว และยั่งยืนต่อไป เรื่องสิทธิความเป็นส่วนตัวของเด็กได้รับความสนใจในโลกออนไลน์อยู่เป็นระยะ แต่ละครั้งได้นำมาสู่การวิพากษ์วิจารณ์ ถึงขอบเขตของสิทธิความเป็นส่วนตัวของเด็กกับการโพสต์ภาพ วิดีโอเด็ก ที่เป็นทั้งนักเรียนหรือลูกบนโซเชียลมีเดีย โดยเกิดการตั้งคำถามว่า การดำเนินกิจกรรมดังกล่าวในโซเชียลมีเดียเป็นความผิดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA หรือไม่ และกฎหมายฉบับนี้ได้ให้การคุ้มครองข้อมูลส่วนบุคคลของเด็กมากน้อย เพียงใด เหตุเพราะเด็กคือกลุ่มคนวัยเปราะบาง ที่ควรมีหลักเกณฑ์ที่ชัดเจนในการให้ความคุ้มครองทางสังคมทั้งสิทธิและความเป็นส่วนตัวแก่เด็ก เด็กที่เกิดและเติบโตในยุคนี้ คือ Gen Alpha และ Gen Z ที่เติบโตไปพร้อมกับสื่อสังคมออนไลน์ จากผลการสำรวจการใช้เทคโนโลยีสารสนเทศและการสื่อสารใน ครัวเรือน ปี 2563 พบว่า กลุ่มบุคคลอายุ 15-24 ปี มีจำนวนบุคคลที่ใช้อินเทอร์เน็ตสูงที่สุด ร้อยละ 98.4 และกลุ่มอายุ 6-14 ปี มีมากถึงร้อยละ 90.2 จึงมีโอกาสที่ข้อมูลส่วนบุคคลจะถูกไปใช้ประโยชน์โดยไม่ได้รับอนุญาต หรือถูกคุกคามได้โดยง่าย สำหรับประเทศไทย นอกจากมีพ.ร.บ.คุ้มครองเด็ก พ.ศ.2546 ที่เป็นหลักกฎหมายไว้ปกป้องคุ้มครองเด็กแล้ว แต่สำหรับการเก็บ ใช้ เปิดเผยภาพถ่าย วิดีโอ ข้อมูลของเด็กนั้นมีกฎหมายที่เกี่ยวข้องโดยตรงมากที่สุด คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ที่เพิ่งบังคับใช้ในปีนี้ แต่ยังคงเกิดการตั้งคำถามถึงแนวทางเฉพาะที่ชัดเจนและติดอยู่กับข้อกำหนดบางประการที่ไม่สอดคล้องกับสถานการณ์ปัจจุบัน การคุ้มครองข้อมูลส่วนบุคคลของเด็กใน PDPA ยึดโยงกับประมวลกฎหมายแพ่งและพาณิชย์ในเรื่องอายุ และคำว่า “ผู้เยาว์”โดยผู้เยาว์ที่อายุไม่ถึง 20 ปีบริบูรณ์สามารถให้ความยินยอมต่อการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลได้ด้วยตนเองได้ก็ต่อเมื่อเป็นกิจกรรมที่สามารถทำได้โดยลำพัง จำเป็นต่อการใช้ชีวิต และเป็นประโยชน์ต่อตัวเอง เช่น การรับทุนการศึกษา เป็นต้น พ่อแม่ที่ชอบด้วยกฎหมายจะเข้ามามีบทบาทในการให้ความยินยอมแทน ผู้เยาว์ได้ 2 กรณี ได้แก่ กรณีเป็นกิจกรรมที่ยังไม่จำเป็นต่อการดำรงชีวิต เช่น การทำธุรกรรมที่มีมูลค่าสูง และกรณีที่ผู้เยาว์อายุไม่เกิน 10 ปี PDPA ยังคงกำหนดขอบเขตของผู้ใช้อำนาจปกครองให้มีเพียงบิดาและมารดาที่ชอบด้วยกฎหมายเท่านั้น จึงอาจส่งผลให้ การขอความยินยอมจากผู้ใช้อำนาจปกครองอาจไม่สอดคล้องกับสภาพความเป็นจริงในปัจจุบัน ในกรณีที่ผู้เยาว์อาศัยอยู่กับบุคคลอื่นที่ไม่ใช่พ่อหรือแม่ที่แท้จริง สำหรับการแชร์ภาพถ่ายรูปเด็กลงโซเชียลมีเดีย หรือถ่ายภาพติดเด็กจะผิด PDPA หรือไม่ ตามที่หลายคนสงสัยนั้น ไม่ถือว่าผิด PDPA หากถ่ายเก็บไว้ภายในครอบครัวและประโยชน์ส่วนตัว ไม่ใช่เพื่อประโยชน์ทางการค้า รูปของเด็กเป็นข้อมูลส่วนบุคคลที่ได้รับการยกเว้น แต่กฎหมายไม่ได้กำหนดขอบเขต “การใช้เพื่อกิจกรรมในครอบครัวหรือประโยชน์ส่วนตัว” ไว้ชัดเจน เห็นได้ว่า PDPA เป็นกฎหมายที่มุ่งเน้น ให้สิทธิแก่เด็กและเยาวชนอย่างมีขอบเขต และให้สังคมได้ตระหนักรู้ถึงความสำคัญของการรักษาข้อมูลส่วนบุคคล ไม่ว่าเจ้าของข้อมูลส่วนบุคคลจะเป็นเพศหรือวัยใดก็ตาม โดยไม่ได้เป็นกฎหมายที่เน้นการบังคับใช้โทษทางกฎหมาย แต่ PDPA สำหรับการคุ้มครองข้อมูลส่วนบุคคลของเด็กยังมีช่องโหว่อย่างน้อย 3 เรื่อง คือ ขอบเขตของการใช้ข้อมูลเพื่อกิจกรรมในครอบครัวหรือประโยชน์ส่วนตัว ขอบเขตของผู้ปกครองที่ต้องเป็นบิดาและมารดาที่ชอบด้วยกฎหมายเท่านั้น นอกจากนี้ยังขาดแนวทางปฏิบัติในเรื่อง “การแจ้ง” ให้เจ้าของข้อมูลส่วนบุคคลที่เป็นเด็กทราบก่อนเก็บรวบรวมข้อมูลส่วนบุคคล ซึ่งเป็นโจทย์ที่แตกต่างจากบุคคลทั่วไป ในต่างประเทศมีแนวปฏิบัติที่น่าสนใจที่ไทยอาจพิจารณาเป็นแนวทาง เช่น สหรัฐ ให้ความคุ้มครองข้อมูลส่วนบุคคลของเด็กสำหรับระบบออนไลน์ไว้โดยเฉพาะ ภายใต้ Child Online Privacy Protection Act of 1998 หรือ COPPA หนึ่งในข้อบังคับสำคัญคือ ผู้ประกอบการมีหน้าที่ต้องติดประกาศนโยบายในการขอข้อมูลส่วนบุคคล (Privacy Policies) บนเว็บไซต์อย่างชัดเจน โดยต้องให้สิทธิผู้ปกครองของผู้เยาว์ในการเข้าไปตรวจสอบ แก้ไขข้อมูลเด็กได้ สหภาพยุโรป กำหนดยกเว้นการบังคับใช้กฎหมายกับการใช้ข้อมูลเพื่อวัตถุประสงค์ส่วนตัว หรือใช้งานภายในครอบครัวเช่นเดียวกับไทย แต่มีความชัดเจนกว่าที่มี แนวปฏิบัติของ European Data Protection Board กำหนดให้กิจกรรมภายในครอบครัวไม่รวมไปถึงการเผยแพร่ข้อมูลส่วนบุคคลลงในโซเชียลมีเดียที่บุคคลทั่วไปสามารถเข้าถึงได้ ไอร์แลนด์ มีคู่มือแนวปฏิบัติสำหรับการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ เอาไว้โดยเฉพาะ และมีรายละเอียดครอบคลุมทั้งในประเด็นของสิทธิของผู้เยาว์ภายใต้ GDPR (General Data Protection Regulation) ซึ่งเป็นแนวทางการแจ้ง และการขอความยินยอมที่เหมาะสมกับวัย รวมไปถึงแนวปฏิบัติสำหรับมาตรการคุ้มครองข้อมูลส่วนบุคคลของผู้เยาว์ในระดับที่เข้มข้นกว่าผู้ใหญ่ ภายใต้คู่มือฉบับนี้แนะนำให้มีการแจ้งไปยังผู้เยาว์ถึงการเก็บข้อมูลส่วนบุคคล ด้วยวิธีการที่รัดกุม โปร่งใส ใช้ภาษาที่ชัดเจน เข้าใจง่าย ยิ่งไปกว่านั้นแนวปฏิบัติฉบับนี้ยังได้ขยายขอบเขตของบุคคลผู้สามารถให้ความยินยอมแทนผู้เยาว์ได้นอกเหนือจากบิดามารดา (Parents) โดยให้รวมถึงผู้ปกครอง (Guardians) อีกด้วย ดังนั้น สำหรับประเทศไทย หากจะทำให้การคุ้มครองข้อมูลส่วนบุคคลของเด็ก ภายใต้ PDPA มีความชัดเจน รัดกุมและเป็น ประโยชน์ต่อเด็กมากที่สุด ตัวอย่างข้างต้นอาจสามารถนำมาเป็นแนวทางได้ โดยภาครัฐควรจัดทำแนวปฏิบัติหรือแนวทางเฉพาะสำหรับการเก็บ ใช้ประมวลผล เผยแพร่ข้อมูลของเด็กที่ชัดเจน ในประเด็นขอบเขต ของคำว่า การใช้เพื่อกิจกรรมในครอบครัวหรือประโยชน์ตัว |