PDPA คนไทยต้องรู้ คุณครูต้องสอน สถานศึกษาต้องระวัง

PDPA คนไทยต้องรู้ คุณครูต้องสอน สถานศึกษาต้องระวัง 01

เพียง 6 เดือนเท่านั้น! ด้วยกำหนดบังคับใช้อย่างเต็มรูปแบบที่ใกล้เข้ามาทุกขณะ (1 มิถุนายน 2564) จึงทำให้ PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำลังกลายเป็นกระแสตื่นตัวอย่างมาก แม้แต่ในวงการ “การศึกษา” ไทยเอง ที่เริ่มหันมาตระหนักและสนใจ จึงเกิดเป็น …

LIVE ถาม-ตอบ เจาะลึก แบ่งปันความรู้เรื่อง “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่คนไทยต้องรู้ คุณครูต้องสอน และสถานศึกษาต้องระวังไม่ละเมิด” โดย ดร.อุดมธิปก ไพรเกษตร ผู้เชี่ยวชาญด้าน Business Model และ Digital Marketing ตำแหน่งกรรมการผู้จัดการ บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด และผู้อำนวยการ สถาบันพัฒนาและทดสอบทักษะดิจิทัล (DDTI) และ ดร.วิริยะ ฤาชัยพาณิชย์ ผู้ทรงคุณวุฒิด้านความคิดสร้างสรรค์ กระทรวงศึกษาธิการ ผ่านเฟซบุ๊กเพจสุจริตไทย เมื่อวันที่ 23 พฤศจิกายน 2563 เวลา 19.00-20.00 น.

[ติดตาม Live ถาม-ตอบ ฉบับเต็มได้ที่โพสต์นี้ >>> .ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่คนไทยต้องรู้ คุณครูต้องสอน และสถานศึกษาต้องระวังไม่ละเมิด]

PDPA คนไทยต้องรู้ คุณครูต้องสอน สถานศึกษาต้องระวัง 02

ภาพโปรโมทการพูดคุย ถาม-ตอบ ระหว่าง ดร.อุดมธิปก ไพรเกษตร และ ดร.วิริยะ ฤาชัยพาณิชย์ จากเพจสุจริตไทย

การพูดคุยออนไลน์ระหว่างผู้ทรงคุณวุฒิจาก 2 วงการ สามารถสรุปเป็นสาระสำคัญ ดังนี้

Personal Data สำคัญอย่างไร ทำไมต้องพูดคุยกัน?

PDPA เป็นกฎหมายใหม่และคนในวงการการศึกษายังคงตระหนักเกี่ยวกับเรื่องนี้น้อยมาก โดยอาจมองว่าไม่จำเป็น หรือไม่สำคัญ ตรงข้ามกับภาคธุรกิจที่ตื่นตัวและเริ่มเตรียมพร้อมดำเนินการตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลกันแล้ว

ยุคดิจิทัลเป็นยุคแห่งการเปลี่ยนแปลงด้านการเข้าถึงข้อมูลส่วนบุคคล จนผู้ประกอบการธุรกิจมองว่า

ข้อมูลส่วนบุคคล = น้ำมันดิบ (Crude Oil) / สินทรัพย์ (Asset)

เพราะเจ้าข้อมูลส่วนบุคคลนี่เองทำให้แพลตฟอร์มดิจิทัลต่าง ๆ เช่น Facebook, Lazada, Shopee สามารถขายสินค้าตามความชอบของผู้บริโภคได้ เมื่อข้อมูลส่วนบุคคลกลายเป็นสิ่งสำคัญและเป็นแหล่งที่มาของการสร้างรายได้ รัฐบาลทั่วโลกจึงมองว่าต้องมีการคุ้มครอง เพื่อป้องกันไม่ได้ข้อมูลส่วนบุคคลถูกเก็บไปละเมิด (อย่างเช่นเคสการเลือกตั้งสหรัฐอเมริกาเมื่อปี 2016 ที่มีบริษัทเก็บข้อมูลส่วนบุคคลของผู้มีสิทธิเลือกตั้งไป และนำไปใช้เปลี่ยนความคิดช่วยให้ทรัมป์ชนะการเลือกตั้ง ส่งผลให้เฟซบุ๊กถูกฟ้องเป็นมูลค่ามหาศาลเพื่อชดเชยกับความผิดนี้ในเวลาต่อมา)

ส่วนสหภาพยุโรป (EU) ตระหนักถึงเรื่องการคุ้มครองข้อมูลมากกว่าประเทศอื่น ๆ และผลักดันให้เกิด General Data Protection Regulation – GDPR กฎหมายที่คุ้มครองข้อมูลของประชากรประเทศสมาชิก EU ไม่ว่าพวกเขาจะไปที่ไหนในโลก จะต้องได้รับการคุ้มครองประหนึ่งว่าอยู่ในพื้นที่ของประเทศในสหภาพยุโรป ถ้ามีการละเมิดองค์กรจะโดนปรับ 2% ของรายได้ในปีนั้น ถ้าไม่ยอมให้โดนปรับก็ห้ามทำธุรกิจกับสหภาพยุโรปเลย

หากมองในแง่ของโรงเรียนครูอาจารย์ หากโรงเรียนหรือมหาวิทยาลัยของเราเป็นสถานศึกษานานาชาติ และมีนักเรียนมาจากสหภาพยุโรป ย่อมหมายความว่าผูกพันตามกฎหมาย GDPR ทันที ไม่ว่าจะเป็นหลักสูตรนานาชาติ หลักสูตรธรรมดาแต่มีเด็กต่างชาติ รวมทั้งการเอาครูต่างชาติเข้ามาสอนก็เข้าข่ายเช่นกัน

เพื่อตอบสนอง ประเทศต่าง ๆ จึงหันมาปรับปรุงกฎหมายให้ได้มาตรฐานเทียบเท่า GDPR เพื่อให้สามารถทำธุรกิจกับสหภาพยุโรปได้ โดยประเทศไทยก็บัญญัติ PDPA ขึ้นเช่นกัน แต่ปัจจุบันมีการออกกฎหมายเพิ่มเติมเพื่อยกเว้น ให้มีผลบังคับใช้อีกครั้ง 1 มิถุนายน 2564

สิทธิของเจ้าของข้อมูลมีอะไรบ้าง?

PDPA ระบุว่า เจ้าของข้อมูลส่วนบุคคลต้องได้รับการเคารพในสิทธิทั้งหมด 6 ด้านด้วยกัน (โดยมีบางด้านที่มีการถกเถียงกันอย่างละเอียดในมุมของสถานศึกษา) คือ

  • สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล ไม่ว่าใครจะเก็บข้อมูลของเราเอาไว้ เราจะต้องสามารถเข้าถึงได้ ขอดูได้ เพราะเป็นข้อมูลส่วนบุคคลของเรา เมื่อได้รับการร้องขอผู้ควบคุมข้อมูลไม่มีสิทธิปฏิเสธ เช่น เมื่อลูกสอบแล้วบอกผู้ปกครองว่าเอาผลสอบมาให้ดูไม่ได้ เพราะครูไม่ให้ดู ตามกฎหมายคุณครูจะต้องให้ข้อมูลผลสอบแก่เด็กผู้เป็นเจ้าของข้อมูลส่วนบุคคลนั้น แต่จะไม่สามารถขอดูข้อมูลของคนอื่นได้
  • สิทธิขอให้โอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลอื่น – เราสามารถบอกให้ผู้ควบคุมข้อมูลย้ายข้อมูลของเราจากที่หนึ่งไปยังอีกที่หนึ่งได้ เช่น อยู่โรงเรียน A แล้วย้ายไปเรียนที่โรงเรียน B สามารถขอย้ายข้อมูลของตนเองไปได้ และตัวอย่างเคสการย้ายโรงเรียนโดยยังไม่ได้จ่ายค่าเทอม โรงเรียนจึงไม่ยอมให้ย้ายข้อมูลจนกว่าจะจ่ายค่าเทอม ดร.อุดมธิปกมองว่าเป็นคนละเรื่องกัน เพราะอย่างไรก็ตามเจ้าของข้อมูลก็ต้องได้รับสิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โรงเรียนไม่สามารถปฏิเสธและต้องโอนข้อมูลที่มี แต่อาจมีสิทธิไม่รับรองข้อมูลคะแนนผลของเด็กนักเรียนว่าจบหลักสตรหรือผ่านเกณฑ์ได้
  • สิทธิคัดค้านการประมวลผลข้อมูล
  • สิทธิขอให้ลบหรือทำลาย หรือทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ – ยกตัวอย่างเช่น เด็กนักเรียนที่เคยมีความผิด และมีข้อมูลเก็บอยู่ในประวัติ เว็บไซต์ หรือเฟซบุ๊กของโรงเรียน อาจขอให้ลบข้อมูลได้ (เมื่อถึง Retention Period อันสมควร) บางคนกระทำความผิดตั้งแต่เป็นผู้เยาว์และจะตามหลอกหลอนไปอีกนาน ตลอดชีวิต โรงเรียนหรือมหาวิทยาลัยควรลบและป้องกันไม่ให้มีการเผยแพร่ข้อมูลประเภทนี้
  • สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
  • สิทธิขอให้ดำเนินการให้ข้อมูลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

[PDPC] PDPA คนไทยต้องรู้ คุณครูต้องสอน สถานศึกษาต้องระวัง 03

จากสิทธิของเจ้าของข้อมูลข้างต้น จะเห็นได้ว่า “ระเบียน” หรือฝ่ายข้อมูลของสถานศึกษาจะเรื่อย ๆ สบาย ๆ ไม่ได้แล้ว เพราะต่อจากนี้ไปกฎหมายจะมีผล จึงต้องมีมาตรการหรือนโยบายที่เคร่งครัดมารองรับ ผู้ปกครองจะมาขอดูข้อมูลของลูกของอีกคนหนึ่งไม่ได้แล้ว การนำกระดาษไปพับเป็นถุงกล้วยแขกก็ถือว่าประมาท มีข้อมูลแล้วไม่คุ้มครอง

ใครควรรู้เรื่อง PDPA บ้างในสถานศึกษา?

ประเด็นที่น่าสนใจอีกประเด็นหนึ่งก็คือ ใครในสถานศึกษาควรเรียนรู้เกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลบ้าง ซึ่งด้าน ดร.อุดมธิปก และ ดร.วิริยะ ได้ร่วมกันสนทนาและนิยามถึงบุคคลหลากหลายหน้าที่ในสถานศึกษาที่เกี่ยวข้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ได้แก่

  • ผู้ควบคุมข้อมูล = ผู้อำนวยการสถานศึกษา หรืออธิการบดีในกรณีของมหาวิทยาลัย คือคนที่รับบทหนักที่สุดในการดำเนินการคุ้มครองข้อมูลส่วนบุคคล โดยเวลารับโทษจาก PDPA ผู้ที่มีอำนาจสูงสุดในการสั่งการควบคุมข้อมูลของทั้งนักเรียน ผู้ปกครอง และบุคลากรในโรงเรียนจะโดนโทษก่อนคนอื่น ๆ
  • ผู้ประมวลผลข้อมูล = ครูอาจารย์ทุกคน ล้วนแล้วแต่เป็นผู้ประมวลผลข้อมูลทั้งหมด เพราะแต่ละคนต่างมีหน้าที่ประมวลผลคะแนนนักเรียน เช็กชื่อนักเรียนในห้องเรียน เช็กชื่อนักเรียนเพื่อทำกิจกรรม เป็นต้น นอกจากนั้นหากมีความรู้ด้านการคุ้มครองข้อมูล อาจเป็นโอกาสด้านวิทยฐานะและค่าตอบแทนที่เพิ่มสูงขึ้นของบรรดาครูอาจารย์อีกด้วย (หากสนใจสามารถสมัครหลักสูตร Personal Data Protection Certificate / วัดระดับความรู้ โดยเข้าไปที่ online.th หรือ inbox เพจ PDPA ICDL Thailand)
  • เจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer – DPO) = ตำแหน่งนี้ไม่ว่าใครในสถานศึกษาก็สามารถเป็นได้ ยังไม่มีเกณฑ์ที่ชัดเจนออกมา แต่ในเบื้องต้นองค์กรที่มีการประมวลผลข้อมูลส่วนบุคคลจำนวนมากจำเป็นต้องมี DPO ดังนั้น เชื่อว่าโรงเรียนหรือมหาวิทยาลัยขนาดใหญ่ต้องมีตำแหน่งนี้ หรือแม้แต่โรงเรียนเล็กก็ควรต้องมี DPO แต่อาจจะเป็นการแชร์ Resource ร่วมกันหลาย ๆ โรงเรียน

นักการภารโรง แม่ค้าในโรงเรียน หรือตัวผู้ปกครองเอง ก็ควรทราบเรื่อง PDPA และแนวทางการคุ้มครองข้อมูลเอาไว้ เพราะไม่ว่าใครก็มีโอกาสเห็นข้อมูลส่วนบุคคลของนักเรียนได้

PDPA คือเรื่องที่ทุกคนต้องรู้ สำคัญมาก ไม่ใช่เพราะว่ามีบทลงโทษ แต่ประเด็นคือ หากทุกคนตระหนักในสิทธิความเป็นส่วนตัวของตนเอง ก็จะมีสิทธิสำนึกที่จะไม่ไปละเมิดสิทธิของคนอื่นนั่นเอง

บทลงโทษของ PDPA รุนแรงขนาดไหน?

เมื่อเกิดการละเมิดที่เกี่ยวข้องกับสถานศึกษา (หรือวงการใด ๆ ก็ตาม) ผู้เสียหายจะต้องร้องเรียนไปที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยมีโทษแบ่งออกเป็น 3 ลักษณะคือ

  • ทางปกครอง ค่าปรับสูงสุด 5 ล้านบาท ผู้ถูกฟ้องละเมิดเป็นผู้จ่ายค่าปรับ สำนักงานเป็นผู้รับค่าปรับเพื่อนำไปจัดการเยียวยาความเสี่ยงที่อาจเกิดขึ้น
  • ทางอาญา ผู้ละเมิดอาจถูกจำคุกสูงสุด 1 ปี ปรับสูงสุด 1 ล้านบาท
  • ทางแพ่ง ผู้ละเมิดต้องชดเชยค่าสินไหมทดแทนเป็น 2 เท่าของความเสียหายจริง

ซึ่งเวลาจ่ายค่าปรับจากการละเมิด นิติบุคคลของโรงเรียนที่ถูกฟ้องร้องจะต้องเป็นผู้จ่ายก่อน (สถานศึกษาทุกแห่งมีสภาพเป็นนิติบุคคลอยู่แล้ว) แล้วหลังจากนั้นค่อยมาไล่บี้ฟ้องผู้ควบคุมข้อมูลในลำดับถัดไปให้จ่ายคืนแก่สถานศึกษาอีกที ส่วนเงินชดเชยให้ผู้เสียหายรับได้โดยตรงจากนิติบุคคลของโรงเรียนซึ่งเป็นผู้กระทำความผิดในที่นี้

PDPA คนไทยต้องรู้ คุณครูต้องสอน สถานศึกษาต้องระวัง 04

การคุ้มครองข้อมูลส่วนบุคคลในสถานศึกษา ซับซ้อนมากกว่าอย่างไร?

เคสของโรงเรียน (สถานศึกษาระดับประถมและมัธยม) มีความซับซ้อนมากกว่า เนื่องจากมีการประมวลผลข้อมูลอ่อนไหว (Sensitive Data) รวมอยู่ด้วย อย่างเช่นพวก เชื้อชาติ ชาติพันธุ์ ข้อมูลสุขภาพ ศาสนา พฤติกรรมทางเพศ ฯลฯ ซึ่งกฎหมายระบุว่าห้ามเก็บข้อมูลเหล่านี้ หากเก็บจะต้องมีเหตุผลจำเป็น และ “รักษายิ่งชีพ” ยกตัวอย่างเช่น

  • ข้อมูลทางศาสนา ยังคงเป็นข้อมูลที่โรงเรียนเก็บจากนักเรียน ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หากไม่มีเหตุผลที่สมควรมารองรับก็ไม่ควรเก็บ เช่น เพื่อการสร้างห้องละหมาด และเตรียมอาหารเฉพาะให้กับนักเรียนชาวมุสลิม เป็นต้น
  • การเมืองและการชุมนุมในปัจจุบันกำลังเป็นประเด็น โรงเรียนห้ามเก็บข้อมูลความคิดเห็นทางการเมือง หรือพฤติกรรมการออกไปชุมนมของเด็ก ๆ แบบระบุตัวตนได้เป็นอันขาด
  • การเก็บข้อมูลชีวภาพ รูปร่างหน้าตาของเด็กผ่านกล้องวงจรปิด มีเหตุผลรองรับที่เพียงพอและอ้างอิงฐานการประมวลผลตามกฎหมายที่ถูกต้องหรือไม่

ประเด็นสำคัญของการเก็บข้อมูลอ่อนไหวก็คือ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล จะต้องบอกให้ได้ว่าเอาไปทำอะไร และไม่สามารถนำไปใช้ผิดวัตถุประสงค์ที่ระบุไว้ได้

ยิ่งไปกว่านั้น ในโรงเรียน เจ้าของข้อมูลส่วนบุคคลที่ถูกเก็บข้อมูลส่วนใหญ่มีฐานะเป็น “ผู้เยาว์” การประมวลผลข้อมูลส่วนบุคคลจะมีความซับซ้อน กรณีของเด็กอายุต่ำกว่า 10 ขวบต้องให้ผู้ปกครองให้ความยินยอม ส่วนเด็กที่มีอายุ 10-19 ปี (ยังไม่บรรลุนิติภาวะ) จะต้องได้รับความยินยอมจากทั้งตัวนักเรียนเองและผู้ปกครอง

“เชื่อว่าทุกคนคงรู้แล้วว่า PDPA เกี่ยวข้องกับสถานศึกษาอย่างไร เกี่ยวอะไรกับครู อาจารย์ ผู้อำนวยการ การพูดคุยกันครั้งนี้ถือว่าเป็นความเข้าใจเบื้องต้น ครั้งหน้าหากมีโอกาสพูดคุนกันอีก ขอเน้นรายละเอียดมากกว่านี้” – ดร.วิริยะ ฤาชัยพาณิชย์

X