กฎต้นแบบว่าด้วยการจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

ชื่นสุมน  ณ นคร; ภูมิ   โชคเหมาะ; ศิวพร  เสาวคนธ์

ผู้แต่ง

ชื่นสุมน ณ นคร หลักสูตรนิติศาสตรดุษฎีบัณฑิต คณะนิติศาสตร์ มหาวิทยาลัยศรีปทุม
ภูมิ โชคเหมาะ หลักสูตรนิติศาสตรดุษฎีบัณฑิต คณะนิติศาสตร์ มหาวิทยาลัยศรีปทุม
ศิวพร เสาวคนธ์ หลักสูตรนิติศาสตรดุษฎีบัณฑิต คณะนิติศาสตร์ มหาวิทยาลัยศรีปทุม

คำสำคัญ:

กฎต้นแบบ, เจ้าหน้าที่คุ้มครอง, ข้อมูลส่วนบุคคล

บทคัดย่อ

บทความวิจัยนี้มีวัตถุประสงค์ 1) เพื่อศึกษาแนวคิด ทฤษฎีและหลักการเกี่ยวกับการจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล 2) เพื่อศึกษามาตรการทางกฎหมายเกี่ยวกับการจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลของระหว่างประเทศ ต่างประเทศและประเทศไทย 3) เพื่อศึกษาวิเคราะห์เกี่ยวกับการจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล และ 4) เพื่อศึกษาการจัดทำกฎต้นแบบ (Model Regulation) ว่าด้วย การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นการวิจัยเชิงคุณภาพจากการสังเคราะห์เอกสารการสัมภาษณ์เชิงลึก และการสนทนากลุ่ม ผลการวิจัยพบว่า 1) กฎหมายไทยยังไม่มีคำนิยาม “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)” ทำให้เกิดปัญหาในการตีความบทบาทและหน้าที่แม้กฎหมายต่างประเทศส่วนใหญ่ก็ไม่ได้กำหนดนิยามไว้ชัดเจนเช่นกัน ยกเว้นอินเดียที่มีการบัญญัติไว้โดยเฉพาะจึงควรปรับปรุงกฎหมายไทยให้มีนิยามที่ชัดเจน เพื่อเพิ่มประสิทธิภาพในการบังคับใช้และความชัดเจนทางกฎหมาย 2) กฎหมายไทยกำหนดให้ DPO มีเพียงบทบาทที่ปรึกษาโดยไม่มีอำนาจบังคับหรือกำกับดูแล ทำให้การคุ้มครองข้อมูลขาดประสิทธิภาพและองค์กรอาจเพิกเฉยได้อีกทั้งไม่มีอำนาจตรวจสอบเชิงลึกหรือรายงานต่อหน่วยงานกำกับ 3) กฎหมายไทยยังไม่รับรองความเป็นอิสระของ DPO อย่างชัดเจน ทำให้เสี่ยงต่อการถูกองค์กรกดดันหรือปกปิดการละเมิดข้อมูลส่งผลให้การตรวจสอบและรายงานขาดความโปร่งใส และอาจละเมิดสิทธิของเจ้าของข้อมูล 4) กฎหมายไทยยังไม่กำหนดคุณสมบัติของ DPO อย่างชัดเจน โดยมีเพียงหลักเกณฑ์กว้าง ๆ และบังคับใช้เฉพาะภาครัฐ ทำให้ไม่ครอบคลุมภาคธุรกิจขาดการระบุทักษะสำคัญ และ 5) กฎหมายไทยยังไม่กำหนดชัดเจนว่าองค์กรประเภทใดต้องแต่งตั้ง DPO ทำให้องค์กรบางแห่งหลีกเลี่ยงการปฏิบัติตามส่งผลให้การบังคับใช้กฎหมายขาดประสิทธิภาพและไม่มีมาตรฐานจึงควรกำหนดเกณฑ์ให้ชัดเจนเพื่อให้ครอบคลุมและบังคับใช้ได้จริง

เอกสารอ้างอิง

ฉัตรฑริกา นภาธนาพงศ์ และอัชราภรณ์ อริยสุนทร. (2566). ปัญหาการบังคับใช้ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 : ศึกษากรณีการคุ้มครองข้อมูลส่วนบุคคลของเด็ก. วารสารนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์, 52(3), 640-670. https://so05.tci-thaijo.org/index.php/tulawjournal/article/view/264929

วันพิชิต ชินตระกูลชัย. (2564). DPO (Data Protection Officer) มีหน้าที่อะไร และต้องรู้อะไรบ้าง. https://openpdpa.org/dpoduty/.

ศิริกร สีสดดี. (2568). ปัญหาการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในโรงพยาบาลของรัฐ. วารสารกฎหมายและสังคมรังสิต, 7(1), 16-34. https://so07.tci-thaijo.org/index.php/RJL/article/download/6256/4667

ศิริญญา ดุสิตนานนท์. (2565). ปัญหาและข้อเสนอแนะในการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562. วารสารสังคมศาสตร์ มหาวิทยาลัยศรีนครินทรวิโรฒ, 25(2), 154-174.

https://ejournals.swu.ac.th/index.php/JOS/article/download/14420/12256/50825

ปิติ เอี่ยมจำรูญลาภ. (2566). แนวทางการเปิดเผยข้อมูลข่าวสารของราชการตามพระราชบัญญัติข้อมูลข่าวสารราชการ พ.ศ. 2540 ที่มีข้อมูลส่วนบุคคลรวมอยู่ด้วย. วารสารกฎหมายนิติพัฒน์ นิด้า, 12(1), 66–83. https://so04.tci-thaijo.org/index.php/nitipat/article/view/263675

ณฐพร วิริยะลัพภะ และธเนศ สุจารีกุล. (2563). ปัญหาทางกฎหมายเกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 :ศึกษากรณีหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 39. การประชุมนำเสนอผลงานวิจัยระดับบัณฑิตศึกษาครั้งที่ ๑๕. จัดโดย บัณฑิตวิทยาลัย มหาวิทยาลัยรังสิต. 2195-2204.

https://rsujournals.rsu.ac.th/index.php/rgrc/article/download/1875/1462

Donnelly, J. (2013). Universal human rights in theory and practice (3rd ed.). Cornell University Press.

European Union. (2016). Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Official Journal of the European Union, L119, 1–88. https://eur-lex.europa.eu/eli/reg/2016/679/oj

Greenleaf, G. (2018). Global data privacy laws 2017: 120 national data privacy laws, including Indonesia and Turkey. Privacy Laws & Business International Report, 145, 10–13.

Office of the National Human Rights Commission of Thailand. (1999). National Human Rights Commission Act B.E. 2542 (1999). Bangkok, Thailand.

Office of the Personal Data Protection Committee. (2019). Personal Data Protection Act B.E. 2562 (2019). Bangkok, Thailand.

Solove, D. J. (2006). A taxonomy of privacy. University of Pennsylvania Law Review, 154(3), 477–564. https://zoo.cs.yale.edu/classes/cs457/fall13/SoloveTaxonomy.pdf?utm

United Nations. (1948). Universal Declaration of Human Rights. https://www.un.org/en/about-us/universal-declaration-of-human-rights

United Nations. (1966). International Covenant on Civil and Political Rights.

https://www.ohchr.org/en/instruments-mechanisms/instruments/international-covenant-civil-and-political-rights

United Nations. (1948). Universal declaration of human rights. https://www.un.org/en/about-us/universal-declaration-of-human-rights

Warren, S. D. and Brandeis, L. D. (1890). The right to privacy. Harvard Law Review, 4(5), 193–220. https://www.gutenberg.org/files/37368/37368-h/37368-h.htm