โพลล์การเมืองและการคุ้มครองข้อมูลส่วนบุคคล
ในช่วงนี้ สิ่งที่ผู้คนในประเทศไทยให้ความสนใจที่สุด คงจะหนีไม่พ้นเรื่องของการเมือง ว่าบุคคลใดหรือพรรคใดจะขึ้นมาเป็นผู้นำประเทศ และในช่วงของการเลือกตั้งก็จะเห็นโพลล์การเมืองต่างๆ ที่เปิดเผยสู่สาธารณะ
ไม่ว่าจะเป็นผลสำรวจความนิยมด้านการเมืองของผู้คนในภูมิภาคใดภูมิภาคหนึ่ง หรือแม้กระทั่งในจังหวัดใดจังหวัดหนึ่ง จึงมีข้อสังเกตที่น่าสนใจว่าการสำรวจความคิดเห็นทางการเมือง ซึ่งจะถือเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือไม่
ประเด็นแรกที่ควรพิจารณา คือ ความคิดเห็นทางการเมือง เป็นข้อมูลส่วนบุคคลหรือไม่ เนื่องจาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จะใช้กับกรณีที่มีข้อมูลส่วนบุคคลเข้ามาเกี่ยวข้องเท่านั้น
ดังนั้น จึงเป็นเรื่องสำคัญในการพิจารณาว่าข้อมูลเกี่ยวกับความคิดเห็นทางการเมืองที่องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวม ใช้ และเปิดเผยนั้นสามารถจัดเป็น ข้อมูลส่วนบุคคล ได้หรือไม่
ตัวอย่างเช่น องค์กรหนึ่งทำการสำรวจเกี่ยวกับลักษณะที่เป็นไปได้ของประชาชนที่อาศัยอยู่ในเขตเลือกตั้งใดเขตหนึ่ง โดยรวมข้อมูลนี้เข้ากับชื่อและที่อยู่ของบุคคลในทะเบียนเลือกตั้ง
แล้วจัดประเภทบุคคลและให้คะแนนร้อยละที่แสดงถึงแนวโน้มที่จะสนับสนุนพรรคใดพรรคหนึ่ง กรณีนี้เป็นข้อมูลส่วนบุคคล เนื่องจากเป็นข้อมูลที่สามารถระบุตัวบุคคลได้โดยทางอ้อม
หากเป็นกรณีองค์กรทำการสำรวจเกี่ยวกับลักษณะที่เป็นไปได้ของประชาชนที่อาศัยอยู่ในเขตเลือกตั้งนั้นๆ โดยองค์กรจะได้รับข้อมูลสำหรับเขตโดยรวม ไม่มีการเก็บรวบรวมข้อมูลนี้กับชื่อหรือที่อยู่ของบุคคล
และแสดงผลการสำรวจแบบแบ่งเขต และให้คะแนนร้อยละที่แสดงถึงแนวโน้มที่จะสนับสนุนพรรคใดพรรคหนึ่ง กรณีนี้ไม่ใช่ข้อมูลส่วนบุคคล เนื่องจากไม่สามารถระบุตัวบุคคลได้ เป็นการแสดงผลแบบพื้นที่กว้างๆ
ดังนั้น ความคิดเห็นทางการเมือง จึงเป็นข้อมูลส่วนบุคคลและเป็นข้อมูลส่วนบุคคลตามมาตรา 26 ที่กฎหมายมุ่งคุ้มครองมากเป็นพิเศษ
ในขณะที่ข้อมูลอื่นๆ ที่เก็บรวบรวมก็มีโอกาสเป็นข้อมูลส่วนบุคคลทั้งสิ้น ไม่ว่าจะเป็น ข้อมูลเกี่ยวกับที่อยู่ ทัศนคติ เขตที่มีสิทธิเลือกตั้ง ฯลฯ แม้ว่าจะไม่มีการเก็บรวบรวมชื่อ-นามสกุลก็ตาม
เนื่องจากบทนิยามของคำว่า ข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เป็นบทนิยามปลายเปิดที่ต้องพิจารณาลักษณะและองค์ประกอบของข้อมูลนั้นๆ ว่าสามารถใช้ระบุตัวบุคคลได้หรือไม่ และไม่ว่าโดยทางตรงหรือทางอ้อม โดยการต้องนำไปรวมกับข้อมูลอื่นๆ
และไม่ว่าใครจะเป็นผู้ที่สามารถระบุตัวบุคคลได้ก็ตาม หน่วยงานหรือองค์กรก็มีหน้าที่ในการบริหารจัดการข้อมูลส่วนบุคคลนั้นตามเงื่อนไขที่กฎหมายกำหนด (เทียบเคียงจากแนวทางการตีความตาม GDPR และ CCPA ซึ่งให้ความหมายของคำว่าข้อมูลส่วนบุคคลในทำนองเดียวกับกฎหมายไทย)
เมื่อการทำโพลล์ต้องอยู่ภายใต้การดำเนินการตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ องค์กรที่จัดทำโพลล์จึงมีหน้าที่อย่างน้อยดังต่อไปนี้
(1) ต้องมีฐานทางกฎหมายตามมาตรา 24 หรือมาตรา 26 แล้วแต่กรณี หากเป็นการขอความยินยอมต้องเป็นไปตามเงื่อนไขของมาตรา 19 และหากเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ต้องเป็นไปตามเกณฑ์ตามมาตรา 20 ด้วย โดยเฉพาะกรณีที่มีการสอบถามจากบุคคลที่มีสิทธิเลือกตั้งครั้งแรก (New Voter) ทั้งหลาย
(2) การทำโพลล์ต้องมีวัตถุประสงค์ที่ชอบด้วยกฎหมาย และต้องเป็นวัตถุประสงค์ที่ได้แจ้งให้ผู้ตอบแบบสอบถามทราบแล้วตามมาตรา 21
(3) การทำโพลล์ต้องมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์ตามมาตรา 22
(4) การแจ้ง Privacy Notice แก่เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือในขณะเก็บรวบรวมตามมาตรา 23
(5) ผู้จัดทำโพลล์ต้องปฏิบัติหน้าที่ตามกฎหมาย ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล อาทิ การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล เป็นต้น ตามมาตรา 37
(6) ผู้ตอบแบบสอบถามสามารถขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามมาตรา 30-36 ได้ และเมื่อมีการขอใช้สิทธิ เช่น ขอลบข้อมูลความเห็น (erasure request) หรือขอแก้ไขความเห็นที่ให้ไปในครั้งแรก (rectification request) จะสามารถทำได้หรือไม่ และจะต้องดำเนินการอย่างไร เป็นต้น
การที่กฎหมายกำหนดหน้าที่และความรับผิดชอบให้กับองค์กรที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลดังกล่าว เพื่อให้ทุกหน่วยงานมีความรับผิดชอบต่อการเก็บรวบรวมข้อมูลส่วนบุคคล และประเมินถึงผลกระทบและความเสียหายที่อาจจะเกิดกับเจ้าของข้อมูลส่วนบุคคล โดยเฉพาะเมื่อเกิดเหตุการละเมิดหรือข้อมูลรั่วไหลขึ้น
เมื่อนำข้อมูลที่ได้จากแบบสอบถามมาประมวลผลแล้ว และได้มีการนำเสนอเป็นข้อมูลเชิงสถิติแม้ว่าข้อมูลที่เปิดเผยส่วนนี้อาจจะไม่ใช่ข้อมูลส่วนบุคคล แต่ก็ไม่ได้ทำให้ข้อมูลที่เก็บมาไม่เป็นข้อมูลส่วนบุคคลแต่อย่างใด หน้าที่ขององค์กรที่ดำเนินการทำโพลล์จึงยังคงมีอยู่ต่อชุดข้อมูลที่เก็บรวบรวมมา
ทัศนะ Tech, Law and Security
ศุภวัชร์ มาลานนท์
GMI มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
ปัณฑารีย์ อวยจินดา
บริษัท ดีพีโอเอเอเอส จำกัด