ปัญหาการให้ความคุ้มครองและใช้บังคับสิทธิที่จะถูกลืมตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในมหาวิทยาลัยไทย
เขตไท ลังการ์พินธุ์*
คณะนิติศาสตร์ มหาวิทยาลัยพายัพ
เขตแม่คาว, ถนนซุปเปอร์ไฮเวย์เชียงใหม่-ลาปาง อาเภอเมืองเชียงใหม่ จังหวัดเชียงใหม่ 50000
Khettai Langkarpint**
Faculty of Law, Payap University,
Super Highway Chiang Mai-Lampang Road Muang Chiang Mai District,
Chiang Mai Province, 50000
Email: Khettai@hotmail.com
Received: August 18, 2022
Revised: November 3, 2022
Accepted: November 14, 2022
บทคัดย่อ
บทความวิชาการนี้มุ่งศึกษาหลักการคุ้มครองสิทธิที่จะถูกลืม แนวทางในการให้ความคุ้มครองสิทธิที่จะถูกลืม และวิเคราะห์แนวทางการให้ความคุ้มครองสิทธิที่จะถูกลืมตามกฎหมายไทยศึกษากรณีในมหาวิทยาลัยประเทศไทย เนื่องจากสิทธิที่จะถูกลืมนั้นเป็นสิทธิที่เกิดขึ้นใหม่ที่ปรากฏตัวในกฎหมายไทยเป็นครั้งแรกในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยกาหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลในการขอให้ผู้ควบคุมข้อมูลส่วนบุคคลลบข้อมูลส่วนบุคคลซึ่งมีลักษณะเป็นสิทธิที่จะถูกลืม สิทธิดังกล่าวจึงยังคงมีความไม่ชัดเจนเกี่ยวกับลักษณะของสิทธิและขอบเขตการใช้บังคับสิทธิ พบว่า ปัญหาในการให้ความคุ้มครองและใช้บังคับสิทธิที่จะถูกลืมดังกล่าวในมหาวิทยาลัยไทย ได้แก่ การเก็บข้อมูลของนักศึกษาที่ได้รับคัดเลือกเข้าเรียนของมหาวิทยาลัย การเก็บข้อมูลของนักศึกษาที่มาสมัครคัดเลือกเข้าเรียนหรือบุคคลภายนอกที่มาสมัครทางานกับมหาวิทยาลัย บุคลากรของมหาวิทยาลัยใช้สิทธิที่จะถูกลืมในการปฏิบัติตามสัญญาจ้างแรงงาน การไม่มีกาหนดคานิยามของข้อมูลติดต่อทาง ธุรกิจ และการขาดหลักเกณฑ์เกี่ยวกับการลบ หรือทาลายข้อมูลส่วนบุคคล หรือทาให้ข้อมูล ส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล
คำสาคัญ: สิทธิที่จะถูกลืม, พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562, มหาวิทยาลัยไทย
Abstract
This article aims to study problems of the protection and enforcing the rights to be forgotten, the guidelines on the protection of the rights to be forgotten and the analysis of the guidelines on the protection of the rights to be forgotten under Thai law. As the rights to be forgotten is recently recognized for the first time in the Personal Data Protection Act B. E. 2562, specifying the rights of the data subject to request the data controller to delete his/her personal data which is considered as the rights to be forgotten. Therefore, the characteristics and the scope of such rights are still unclear under Thai law. As a result, there remains ambiguity about the nature of the rights and the extent to which they are enforced. It found difficulties in providing protection and enforcing such forgotten rights on university campuses. These problems include; data collection of students recruited to the university, data collection issues of students applying for admission or third parties applying to work at the university, university personnel exercising their rights to be forgotten in the performance of labor contracts, lacking of guidelines regarding the deletion or destruction of personal information or the making of personal information is inaccessible to the person who owns the personal data.
Keywords: Rights to be forgotten, The Personal Data Protection Act B.E. 2562,Thai Universities
1.บทนา
สิทธิที่จะถูกลืม หมายถึง สิทธิของปัจเจกบุคคลที่จะขอร้องให้อีกฝ่ายที่เป็นปัจเจกบุคคล หรือองค์กรที่มีข้อมูลส่วนบุคคลของเขาไว้ในครอบครองทาการลบข้อมูลส่วนบุคคลของเขาออก เนื่องจากไม่ยินยอมให้มีการใช้ข้อมูลของเขาอีกต่อไป เป็นสิทธิที่เกี่ยวข้องกับความเป็นส่วนตัว เกี่ยวข้องกับศักดิ์ศรีความเป็นมนุษย์ที่ครอบคลุมตัวคนมากกว่าคุ้มครององค์กรหรือนิติบุคคล ดังนั้นจึงเป็นสิทธิสาหรับบุคคลธรรมดาเท่านั้น นอกจากนี้ยังรวมถึงสิทธิที่จะอยู่โดยลาพัง หรือไม่ถูกจับจ้องโดยสังคมด้วย1 ปัญหาเกี่ยวกับสิทธิที่จะถูกลืมในโลกดิจิทัลทุกวันนี้ก็คือ ระบบ เทคโนโลยีสารสนเทศทาให้ข้อมูลเชื่อมโยงถึงกันมากขึ้น โดยทุกคนสามารถเข้าถึงข้อมูลที่ อาจจะเก่าหรือกระจัดกระจายตามที่ต่าง ๆ ได้มากขึ้นโดยเฉพาะการค้นหาข้อมูลเก่า ๆ ในอดีต ได้ แสดงว่าเวลาที่ผ่านไปเรื่องราวในอดีตของบุคคลนั้นสังคมโซเชียลมีเดียไม่ได้ลืมไปเลย ดังนั้น จึงอาจกระทบต่อความเข้าใจเดิม ๆ ที่คิดว่าบุคคลนั้นน่าจะมีโอกาสได้แก้ตัวได้ นอกจากนี้สิทธิ ที่จะถูกลืม (Right to be forgotten)เกี่ยวข้องกับสิทธิที่จะได้รับการให้อภัยจากสังคม (Right to be forgiven) โดยเฉพาะตัวอย่างเช่น นักศึกษาที่เข้ามาเรียนในมหาวิทยาลัย ปกติ มหาวิทยาลัยก็ต้องเก็บข้อมูลนักศึกษาเอาไว้ ในทางกฎหมายเรียกว่ามหาวิทยาลัยเป็นผู้ควบคุม ข้อมูล คือมีข้อมูลอยู่ในมือแล้วควบคุมหรือตัดสินใจว่าจะเอาข้อมูลนี้มาใช้อย่างไร ในทาง กฎหมายมีแนวคิดว่า ผู้ควบคุมข้อมูลจะเก็บข้อมูลจะใช้ข้อมูลเอาข้อมูลมาประมวลผลได้ต่อเมื่อ มีความจาเป็นเท่านั้น จึงมีประเด็นคือ ถ้านักศึกษาไม่ได้เป็นนักศึกษาของมหาวิทยาลัยนี้แล้ว ข้อมูลนี้ยังจาเป็นต้องเก็บไว้หรือไม่ ถ้าไม่จาเป็นนักศึกษาอาจจะมีสิทธิขอให้มหาวิทยาลัยลบ ข้อมูลตรงนี้ออกไปจากสารบบได้แต่มหาวิทยาลัยอาจต้องเก็บเป็นข้อมูลเชิงสถิติอยู่ มีประเด็น อยู่ว่าข้อมูลบางอย่างที่เจ้าของข้อมูลมองว่าไม่จาเป็นต้องเก็บและอาจจะมาขอลบได้ ดังนั้นจะ เห็นได้ว่าเป็นความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลกับเจ้าของข้อมูลไม่เกี่ยวอะไรกับความทรงจา สาธารณะ ในปัจจุบันประเทศไทยยังไม่มีกฎหมายว่าด้วยสิทธิที่จะถูกลืม หรือแนวปฏิบัติหรือ กฎเกณฑ์รวมทั้งรายละเอียดต่าง ๆ โดยเฉพาะที่เกี่ยวข้องกับมหาวิทยาลัยของไทย
ส่วนตัวในการติดต่อสื่อสารของบุคคลและสิทธิในความเป็นส่วนตัวในข้อมูลส่วนบุคคล2 ส่วน สิทธิที่จะถูกลืมนั้นเกิดขึ้นจากแนวความคิดในการให้ความคุ้มครองสิทธิในความเป็นส่วนตัว ซึ่ง เดิมทีความเป็นส่วนตัวหมายถึง การดาเนินชีวิตของมนุษย์รสนิยม การสร้างครอบครัว การ ทางาน การมีความสัมพันธ์กับบุคคลอื่น หรือการนับถือศาสนา แต่เมื่อเกิดการพัฒนาของ เทคโนโลยีต่าง ๆ รวมถึงการเกิดขึ้นของเครือข่ายอินเทอร์เน็ต ทาให้การดาเนินชีวิตของมนุษย์ เปลี่ยนแปลงไป โดยการปรากฏตัวของอินเทอร์เน็ตนั้นทาให้เกิดการเชื่อมโยงถึงกันได้ทั่วโลก ไม่ว่าจะเป็นด้านการติดต่อสื่อสาร การถ่ายโอนหรือแลกเปลี่ยนข้อมูลข่าวสาร ซึ่งบุคคลทุกคนที่ สามารถเข้าถึงอินเทอร์เน็ตได้จะสามารถสืบค้นข้อมูลต่าง ๆ ได้จากทั่วทุกมุมโลก และสามารถ นาข้อมูลที่ได้มาไปเผยแพร่ต่อได้อันจะนามาซึ่งความเสี่ยงในการถูกล่วงละเมิดสิทธิในความเป็น ส่วนตัวรูปแบบใหม่ ลักษณะของการให้ความคุ้มครองสิทธิในความเป็นส่วนตัวจึงเปลี่ยนแปลง ไป โดยจะต้องครอบคลุมถึงความเป็นส่วนตัวเกี่ยวกับข้อมูลส่วนบุคคลที่อยู่บนอินเทอร์เน็ต ด้วย3 ดังนั้นสิทธิที่จะถูกลืมจึงเป็นสิทธิของบุคคลที่จะร้องขอให้ผู้มีข้อมูลส่วนบุคคลของเขาไว้ ในความครอบครองทาการลบข้อมูลส่วนบุคคลออกเนื่องจากไม่ยินยอมให้มีการใช้ข้อมูลนั้นอีก ต่อไป แนวคิดสิทธิที่จะถูกลืมเป็นแนวคิดที่ถูกกล่าวถึงในยุโรปตั้งแต่การพัฒนาเทคโนโลยี สารสนเทศมีความเจริญก้าวหน้าและมีข้อมูลข่าวสารจานวนมากถูกรวบรวมจัดเก็บและ ประมวลผลบนอินเทอร์เน็ต ซึ่งทาให้สามารถถูกสืบค้นข้อมูลได้โดยง่ายและในบางกรณีข้อมูลที่ อาจถูกผู้อื่นสืบค้นได้ง่ายนี้ก็เป็นผลเสียต่อเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ สิทธิที่จะถูกลืมเริ่ม ได้รับการรับรองอย่างชัดเจนในยุโรปเป็นครั้งแรกว่าเป็นส่วนหนึ่งของการคุ้มครองข้อมูลส่วน บุคคล ในรูปแบบของการวางหลักเกณฑ์เบื้องต้นจากคาวินิจฉัยของศาล (Preliminary Ruling) ผ่านการตีความของศาลยุติธรรมสหภาพยุโรป (Court of Justice of European Union: CJEU) ว่าเจ้าของข้อมูลส่วนบุคคลมีสิทธิเรียกร้องให้ผู้ให้บริการโปรแกรมสืบค้นข้อมูลทาการ ลบลิงก์ (Link) เชื่อมต่อแสดงผลการค้นหาชื่อนามสกุลของตนไปยังหน้าอื่น ๆ ได้ และท้ายที่สุด สิทธิที่จะถูกลืมก็ถูกบัญญัติรับรองในกฎระเบียบว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของ กฎระเบียบสหภาพยุโรป (General Data Protection Regulation: GDPR)4 ส่วนประเด็น เกี่ยวกับสิทธิที่จะถูกลืมในระบบกฎหมายไทยนั้นปรากฏอยู่ที่รัฐธรรมนูญแห่งราชอาณาจักรไทย พ.ศ. 2534 พ.ศ. 2550 และ พ.ศ. 2560 และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทั้งนี้กฎหมายของประเทศไทยยังมิได้บัญญัติถึงสิทธิที่จะถูกลืมโดยเฉพาะเกี่ยวกับกรณี มหาวิทยาลัยของไทย โดยมิได้บัญญัติเอาไว้โดยชัดแจ้ง และบทบัญญัติดังกล่าวก็ยังขาดความ ครอบคลุมในบางกรณี อีกทั้งยังขาดหลักเกณฑ์ที่ชัดเจนเกี่ยวกับการบังคับใช้บทบัญญัติแห่งกฎหมายเพื่อคุ้มครองสิทธิที่จะถูกลืมของเจ้าของข้อมูลส่วนบุคคลในมหาวิทยาลัยของไทย ดังกล่าวด้วย ด้วยเหตุนี้จึงมีความจาเป็นที่จะต้องศึกษาแนวคิดที่เกี่ยวข้องกับสิทธิที่จะถูกลืม และกรณีศึกษาต่างประเทศที่เกี่ยวข้องกับการบัญญัติกฎหมายและหลักเกณฑ์เกี่ยวกับประเด็น ดังกล่าว ตลอดจนคาพิพากษาของศาลที่น่าสนใจในต่างประเทศซึ่งสะท้อนให้เห็นการตีความ และการบังคับใช้กฎหมายที่เกี่ยวกับการคุ้มครองสิทธิที่จะถูกลืมต่าง ๆ
2.หลักการและประเภทของสิทธิที่ถูกลืม มีดังต่อไปนี้
2.1 หลักการของสิทธิที่ถูกลืม
ปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมาก สร้างความเดือดร้อนราคาญ หรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับ ความก้าวหน้าทางเทคโนโลยีทาให้การเก็บรวบรวม ใช่หรือเปิดเผยข้อมูลส่วนบุคคล อันเป็นการ ล่วงละเมิดดังกล่าวสามารถกระทาได้โดยง่ายสะดวก และรวดเร็ว ก่อให้เกิดความเสียหายต่อ เศรษฐกิจโดยรวมของหลาย ๆ ประเทศ เพื่อกาหนดให้มีหลักเกณฑ์ กลไก หรือมาตรการกากับ ดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป จึงได้เกิดมีกฎหมาย คุ้มครองข้อมูลส่วนบุคคลขึ้น และการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection) ถือเป็นสิทธิมนุษยชนขั้นพื้นฐานประเภทหนึ่งที่นานาประเทศให้ความสาคัญ โดยการคุ้มครอง ข้อมูลส่วนบุคคลนั้น ถือเป็นส่วนหนึ่งของการคุ้มครองสิทธิความเป็นส่วนตัว ( Rights of Privacy) เนื่องจากความเป็นอยู่ส่วนตัวนั้นย่อมหมายความรวมถึง ความเป็นส่วนตัวเกี่ยวกับ ข้อมูล (Information Privacy) ความเป็นส่วนตัวในชีวิตร่างกาย (Bodily Privacy) ความเป็น ส่วนตัวในการติดต่อสื่อสาร (Communication Privacy) และความเป็นส่วนตัวในเคหสถาน (Territorial Privacy)5 ในบรรดาสิทธิความเป็นส่วนตัวนั้นหนึ่งในนั้น คือ “สิทธิที่จะถูกลืม (Rights to be forgotten)” โดยเมื่อคนเราย่อมต้องการโอกาสที่จะเริ่มต้นใหม่ หรืออย่างน้อย ก็ขอให้คนอื่น ๆ ลืมเรื่องราวที่เกิดขึ้น สิทธิที่จะถูกลืมจึงเริ่มมีการพูดถึงมากขึ้นในฐานะ เครื่องมือที่จะช่วยให้บุคคลนั้นได้มีโอกาสเริ่มต้นชีวิตใหม่ สิทธิที่จะถูกลืม หมายถึง สิทธิของ ปัจเจกบุคคลที่จะขอร้องให้อีกฝ่ายที่เป็นปัจเจกบุคคลหรือองค์กรที่มีข้อมูลส่วนบุคคลของเขาไว้ ในครอบครองทาการลบข้อมูลส่วนบุคคลของเขาออก เนื่องจากไม่ยินยอมให้มีการใช้ข้อมูลของ เขาอีกต่อไป สิทธิที่จะถูกลืมเป็นสิทธิที่เกี่ยวข้องกับความเป็นส่วนตัวเกี่ยวข้องกับศักดิ์ศรีความ เป็นมนุษย์ที่ครอบคลุมตัวคนมากกว่าคุ้มครององค์กรหรือนิติบุคคล6 ดังนั้นจึงเป็นสิทธิสาหรับ บุคคลธรรมดาเท่านั้นนอกจากนี้ ยังรวมถึงสิทธิที่จะอยู่โดยลาพังหรือไม่ถูกจับตามองโดยสังคมด้วย และจากการเก็บข้อมูลในคลังข้อมูลอย่างโกดังหรือห้องสมุดในยุคที่ยังไม่มีอินเทอร์เน็ตปัจจุบันนี้ อินเทอร์เน็ตกลายเป็นคลังข้อมูลที่ไร้ขีดจากัดและไม่ปล่อยให้ใครถูกลืมได้ง่าย ๆ ซึ่งสุดท้ายก็ กระทบต่อความเป็นส่วนตัวของบุคคลในที่สุด
2.2 ประเภทสิทธิที่จะถูกลืม
สิทธิที่จะถูกลืมตามความเข้าใจในทางกฎหมาย สามารถแบ่งได้เป็น 2 ประเภท ดังนี้
1) สิทธิที่จะถูกลืมจากความทรงจาของสาธารณะ (Rights to be Forgotten in Public) สิทธิที่จะถูกลืมจากความทรงจาของสาธารณะ หมายถึง การถูกลืมจากความทรง จาของคนอื่น ทุกคนลืมว่าเราเป็นใครและทาอะไรมา เป็นสิทธิที่จะถูกลืมในส่วนที่เกี่ยวข้องกับ สาธารณะ และสิทธิที่จะขอลบข้อมูล (Rights to erasure) ซึ่งมีความซับซ้อนกว่า คือ การที่ ผู้ควบคุมข้อมูล (Data controller) ได้แก่ องค์กรต่าง ๆ ที่ทาการเก็บข้อมูลส่วนบุคคลที่ระบุ ตัวตนของประชาชน เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รวมไปถึงข้อมูลพฤติกรรมเพื่อนาไปใช้ ประมวลผลในโอกาสต่าง ๆ ทั้งนี้บุคคลทั่วไปจะเป็นเจ้าของข้อมูล (Data subject) และมีสิทธิที่ จะขอลบข้อมูลเหล่านี้ได้ ทั้งนี้สิทธิที่จะถูกลืมจากความทรงจาของสาธารณะกับสิทธิที่จะขอลบ ข้อมูลกลับอาจมีความเกี่ยวข้องกันได้ เมื่อผู้ควบคุมข้อมูลกับผู้ที่นาเสนอข่าวสารต่อสาธารณะ กลายเป็นคนเดียวกัน เช่น สื่อมวลชนประเภทโซเชียลมีเดียต่าง ๆ Search Engine หรือบริษัท เทคโนโลยีอย่าง Google หรือ Facebook, Tik-tok ฯลฯ แต่การที่จะขอลบข้อมูลออกจากองค์กร ผู้ควบคุมข้อมูลไม่สามารถทาได้ทันที เนื่องจากอาจจะกระทบต่อการให้บริการของผู้ควบคุม ข้อมูล ขณะเดียวกันในแง่ของความทรงจาสาธารณะการจะขอลบข้อมูลก็ต้องคานึงว่าข้อมูล ดังกล่าวเป็นข้อมูลที่สาธารณะจาเป็นต้องรับรู้หรือไม่ หรือเป็นข้อมูลเชิงประวัติศาสตร์ซึ่ง หาก หายไปแล้วจะส่งผลกระทบต่อความเข้าใจต่อประวัติศาสตร์หรือไม่ รวมทั้งยังเป็นการปิดกั้น ไม่ให้คนรุ่นใหม่สามารถเข้าถึงข้อมูลบางอย่างหรือไม่ด้วย7
2) สิทธิที่จะถูกลืมส่วนบุคคลทั่วไป (Rights to be Forgotten in General)
สิทธิที่จะถูกลืมส่วนบุคคลทั่วไป หมายถึง สิทธิของปัจเจกบุคคลในการลบหรือ ร้องขอให้ลบข้อมูลส่วนบุคคลที่ไม่มีความสาคัญ หรือไม่มีประโยชน์ไม่ว่าข้อมูลดังกล่าวจะ เผยแพร่ไปโดยเจ้าของข้อมูลเองหรือบุคคลที่สาม และแม้การเผยแพร่จะกระทาไปโดยชอบด้วย กฎหมาย บุคคลผู้เป็นเจ้าของข้อมูลก็ยังคงมีสิทธิเช่นว่านั้น โดยสิทธิที่จะถูกลืมนั้นเป็นสิทธิของ เจ้าของข้อมูลส่วนบุคคลในการควบคุมข้อมูลส่วนบุคคลของตนเอง เจ้าของข้อมูลส่วนบุคคล สามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลลบข้อมูลส่วนบุคคลที่เกี่ยวกับตัวเจ้าของข้อมูลส่วน บุคคลได้เมื่อข้อมูลส่วนบุคคลนั้นไม่มีความจาเป็นหรือไม่มีความสาคัญต่อผู้ควบคุมข้อมูลส่วน บุคคลแล้ว เช่น ผู้ควบคุมข้อมูลส่วนบุคคลได้ใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อปฏิบัติการตามสัญญาเสร็จแล้วและไม่มีความจาเป็นที่จะต้องเก็บข้อมูลส่วนบุคคลนั้นไว้ ต่อไป หรือข้อมูลส่วนบุคคลนั้นเป็นข้อมูล ที่ล้าสมัย เช่น ข้อมูลส่วนบุคคลของผู้กระทาความผิด เกี่ยวการกระทาความผิดทางอาญาในอดีต ซึ่งในภายหลังผู้กระทาความผิดได้รับโทษและ พ้นโทษแล้ว8
3.สิทธิที่จะถูกลืมในสหภาพยุโรป
ในต่างประเทศนั้นแนวคิดเรื่องสิทธิที่จะถูกลืมเป็นแนวคิดที่ถูกพัฒนาขึ้นในสหภาพยุโรป จากความตระหนักถึงความสาคัญของระบบเทคโนโลยีสารสนเทศที่พัฒนาขึ้นอย่างรวดเร็วใน ปัจจุบันเน้นมาตรการเพิ่มศักยภาพให้แก่ประชาชนในการที่จะควบคุมข้อมูลส่วนบุคคลของ ตนเอง สิทธิที่จะถูกลืมในสหภาพยุโรปนี้มีกฎหมายหรือคาพิพากษาของศาลในสหภาพยุโรปที่ เกี่ยวข้องที่อาจแบ่งเป็น 3 กรณีดังนี้
3.1 การคุ้มครองข้อมูลส่วนบุคคลตามข้อบังคับสหภาพยุโรป
การคุ้มครองข้อมูลส่วนบุคคลตามข้อบังคับสหภาพยุโรป (European Union Directive 95/46/EC) สิทธิที่เจ้าของข้อมูลจะลบข้อมูลของตนเองจากสังคมออนไลน์ หรือที่ รู้จักกันว่า สิทธิที่จะถูกลืม (the right to be forgotten) เป็นแนวคิดที่ปรากฏมาตั้งแต่เมื่อ ข้อบังคับสหภาพยุโรปที่ 95/96 (European Union Data Protection Directive 95/46/EC) (DPD) ใช้บังคับตั้งแต่วันที่ 13 ธันวาคม 25389 โดยมาตรา 12 (2) ได้กาหนดว่าเจ้าของข้อมูลมี สิทธิได้รับสิทธิจากผู้ควบคุมข้อมูลในการที่จะลบข้อมูลของตนเองได้ ถ้าข้อมูลนั้นถูกประมวลผล โดยวิธีการที่ไม่เป็นไปตามหลักเกณฑ์ที่ DPD กาหนดไว้โดยเฉพาะในกรณีที่ข้อมูลมีความไม่ สมบูรณ์และไม่ถูกต้อง10 การคุ้มครองข้อมูลส่วนบุคคลภายใต้ข้อบังคับสหภาพยุโรป 95/46/EC นี้นับเป็นบทบัญญัติที่มีผลบังคับระหว่างประเทศฉบับแรกที่ให้ความคุ้มครองข้อมูลส่วนบุคคลที่ ถูกสร้างขึ้นโดยประเทศสมาชิกสหภาพยุโรป ข้อบังคับฉบับนี้ให้การคุ้มครองข้อมูลส่วนบุคคล และเสรีภาพในการเคลื่อนไหวของข้อมูล ทั้งยังให้การรับรองว่าข้อมูลจะได้รับการคุ้มครองอย่าง เท่าเทียมกันตลอดทั้งตลาดร่วมยุโรป11 สาหรับขอบเขตการบังคับใช้ตามมาตรา 212 ได้ให้ คาจากัดความของ ข้อมูลส่วนบุคคล (personal data) ว่าหมายถึงข้อมูลข่าวสาร (information) ใดที่ชี้เฉพาะตัวบุคคลหรือสามารถบ่งชี้ลักษณะเฉพาะที่เกี่ยวข้องกับตัวบุคคล ซึ่งหมายถึง บุคคลธรรมดา (natural person) ที่เป็นเจ้าของข้อมูล (data subject) ทั้งนี้ข้อบังคับสหภาพ ยุโรป 95/46/EC มีหลักการที่เป็นสาระสาคัญดังนี้ การรักษาคุณภาพของข้อมูล13 มาตรการ ของการประมวลผลข้อมูลที่ชอบด้วยกฎหมาย14 ข้อกาหนดในการประมวลผลข้อมูลพิเศษ/ ข้อมูลที่อ่อนไหว (sensitive data)15 สิทธิในการได้รับแจ้งการเก็บข้อมูลต่าง ๆ16 สิทธิในการ เข้าถึงข้อมูล17 สิทธิในการคัดค้านการประมวลผล18 การรักษาความปลอดภัยในการประมวลผล ข้อมูล19 และการส่งผ่านข้อมูลส่วนบุคคลไปยังประเทศที่สาม20
3.2 คาพิพากษาของศาลยุติธรรมแห่งสหภาพยุโรป
คำพิพากษาของศาลยุติธรรมแห่งสหภาพยุโรปในคดี C-131/12 (Google Spain SL, Google Inc.v.Agencia Española da Protección de Datos (AEPD), Mario Costeja González)21 ข้อเท็จจริงของคดีนี้ คือ นายโกสเตฮากอนซาเลส (Costeja González) ชาว สเปนซึ่งมีที่พานักอยู่ในสเปนร่วมกับหน่วยงานคุมครองขอมูลสเปน (Agencia Española da Protección de Datos (AEPD) ยื่นฟ้องผู้ประกอบการหนังสือพิมพ์รายวัน ลา วังกาเดีย เอดิซิ โอเน เอสเซเอเล่ (La Vanguardia Ediciones SL) ร่วมกับกูเกิล สเปน (Google Spain) และ กูเกิล อิงค์ (Google Inc) โดยมีข้อหาว่าเมื่อใดก็ตามที่ผู้ใช้บริการอินเทอร์เน็ตใส่ชื่อของนายโกส เตฮาฯ ในการสืบค้นข้อมูลบนอินเทอร์เน็ตในกลุ่มองกูเกิลเสิร์ช (Google Search) ก็จะได้รับผล เป็นหน้าเว็บของหนังสือพิมพ์ ลาวังกาเดียฯ ฉบับวันที่ 19 มกราคม และ 9 มีนาคม 1998 ตามลาดับ ซึ่งเป็นประกาศที่ระบุชื่อของนายโกสเตฮาฯ ปรากฏในการขายทอดตลาดทรัพย์สิน เพื่อชาระหนี้ประกันสังคม และขอให้หนังสือพิมพ์ลาวังกาเดียฯ จัดให้มีการลบหรือแก้ไขหน้า เว็บไม่ให้ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับนายโกสเตฮาฯ ถูกแสดงอยู่อีกต่อไป หรือจัดให้มีการใช้ เครื่องมือที่เหมาะสมสาหรับบริการสืบค้นข้อมูลบนอินเทอร์เน็ตเพื่อจะปกป้องข้อมูลดังกล่าว และยังขอให้กูเกิลสเปนและกูเกิลอิงค์ ดาเนินการลบหรือปกปิดข้อมูลส่วนบุคคลที่เกี่ยวข้องกับ นายโกสเตฮาฯ เพื่อให้ไม่ปรากฏรวมอยู่ในการให้บริการสืบค้นข้อมูลและไม่ปรากฏลิงก์ไปยัง หนังสือพิมพ์ดังกล่าว คดีนี้ศาลได้ยืนยันสิทธิในการเข้าถึง (Right of Access) และสิทธิในการ โต้แย้งของเจ้าของข้อมูล (The Data Subject’s Right to Object) ที่ปรากฏในกฎระเบียบ 95/46/EC ขอ 12 (b) และ ข้อ 14 (a) ตามลาดับ22 โดยศาลตัดสินว่าเป็นสิทธิที่จะถูกลืมของ เจ้าของข้อมูลที่จะขอให้ผู้ประกอบการบริการสืบค้นข้อมูลทางอินเทอร์เน็ตลบรายการแสดงผล ซึ่งแสดงโดยการค้นหาจากชื่อของเจ้าของข้อมูล ซึ่งเชื่อมโยงไปยังหน้าเว็บที่ได้เผยแพร่โดยชอบ ด้วยกฎหมายอยู่ก่อนแล้วโดยบุคคลที่สาม แม้ว่าข้อมูลที่ถูกเผยแพร่นั้นจะเป็นความจริง 23 สรุปการที่นายมาริโอ คอสเตกา กอนซาเลส เรียกร้องสิทธินี้ต่อบริษัท Google ทั้งสองใน ประเทศสเปน เนื่องจากต้องการให้ทาง บริษัท Google ทั้งสองทาการลบข้อมูลการเป็นหนี้ ล้มละลายของเขาออกเมื่อเขาพ้นสถานะล้มละลายไปแล้ว โดยใจความสาคัญของคาพิพากษาคดี Google ประเทศสเปน คือ การสร้างสมดุลระหว่างสิทธิความเป็นส่วนตัว หรือสิทธิของผู้ที่ อยากจะถูกลืม กับสิทธิของสาธารณะที่จะรับรู้ข้อมูล ทั้งยังไม่ขัดกับธรรมชาติของข้อมูลในยุค ดิจิทัลด้วย คดีนี้แสดงให้เห็นความตระหนักและให้ความสาคัญถึงสิทธิที่จะถูกลืม และ ผลกระทบต่อสิทธิของเจ้าของข้อมูลจากพัฒนาการของการให้บริการสืบค้นข้อมูลบน อินเทอร์เน็ต (Search Engine) ก่อให้เกิดพัฒนาการของสิทธิในรูปแบบดังกล่าวผ่านความ ตื่นตัวในบทบาทของระบบอินเทอร์เน็ตที่มีต่อชีวิตของประชาชนขึ้นในวงกว้าง24
3.3 การคุ้มครองข้อมูลส่วนบุคคลตาม General Data Protection Regulation (GDPR)
การคุ้มครองข้อมูลส่วนบุคคลนี้เป็นสิ่งที่นับเป็นการปักหมุดที่สาคัญของยุโรป เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลก็คือ กฎหมายใหม่ที่เรียกว่า “General Data Protection Regulation” หรือ GDPR หรือกฎระเบียบสหภาพยุโรปฯ เป็นกฎหมายของ สหภาพยุโรปที่มีวัตถุประสงค์เพื่อให้องค์กรหรือบริษัทที่ดาเนินธุรกิจที่จัดเก็บและจัดการข้อมูล ส่วนบุคคล จะต้องเพิ่มมาตรการการคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคล ทั้งนี้สิทธิใน การลบนั้นบัญญัติไว้ตาม GDPR ดังนี้ เจ้าของข้อมูลส่วนบุคคลมีสิทธิต่อผู้ควบคุมในอันที่จะลบ ข้อมูลส่วนบุคคล25 เจ้าของข้อมูลมีสิทธิต่อผู้ควบคุมในอันที่ลบข้อมูลส่วนบุคคลซึ่งเกี่ยวข้องกับ ตนและงดการเผยแพร่ข้อมูลเช่นว่านั้นต่อไป และมีสิทธิต่อบุคคลที่สามในอันที่จะให้ลบลิงค์ หรือสาเนาหรือการทาซ้าซึ่งข้อมูลดังกล่าว26 หากปรากฏกรณีใดกรณีหนึ่งดังต่อไปนี้ ข้อมูลนั้น ไม่มีความจาเป็นกับวัตถุประสงค์ที่ข้อมูลถูกเก็บหรือถูกประมวลขึ้นอีกต่อไป27 เจ้าของข้อมูล ถอนความยินยอมการประมวลผลข้อมูลหรือเมื่อระยะเวลาเก็บรวบรวมข้อมูล ซึ่งได้รับความ ยินยอมนั้นสิ้นสุดลง และไม่ปรากฏเหตุอื่นตามกฎหมายที่จะประมวลผลข้อมูลนั้นอยู่ต่อไป28 เจ้าของข้อมูลคัดค้านต่อกระบวนการประมวลผลข้อมูลและผู้ควบคุมไม่อาจแสดงอานาจตาม กฎหมายในการประมวลผลข้อมูลที่เหนือกว่าสิทธิขั้นพื้นฐานของเจ้าของข้อมูลได้หรือเมื่อมีคา พิพากษาของศาลหรือองค์กรที่มีอานาจตามกฎระเบียบในสหภาพได้พิพากษาถึงที่สุดและ เด็ดขาดว่าข้อมูลจะต้องถูกลบ29 และกระบวนการประมวลผลข้อมูลไม่ชอบด้วยกฎหมาย ทั้งนี้ผู้ ควบคุมต้องดาเนินการลบข้อมูลโดยไม่รอช้า30 โดยมีข้อยกเว้น ดังนี้ การคงไว้ซึ่งข้อมูลส่วน บุคคลนั้นเป็นการจาเป็นในกรณีของการใช้สิทธิแห่งเสรีภาพในการแสดงออก31 เพื่อประโยชน์ ของสาธารณะด้านการสาธารณสุข32 เพื่อประโยชนทางประวัติศาสตร์ หรือสถิติและการวิจัย ทางวิทยาศาสตร์33 เพื่อปฏิบัติตามหน้าที่ตามกฎหมายในการคงไว้ซึ่งข้อมูลส่วนบุคคลของ สหภาพ34 รัฐสมาชิกซึ่งผู้ควบคุมอยู่ในบังคับอันเป็นกฎหมายซึ่งมีวัตถุประสงค์ เพื่อประโยชน์ สาธารณะและความเคารพในสาระสาคัญของสิทธิที่ในการคุ้มครองข้อมูลส่วนบุคคลรวมทั้งเป็น การได้สัดส่วนกับวัตถุประสงค์ของกฎหมายด้วย35 และกรณีที่ผู้ควบคุมอาจหยุดการประมวลผล ข้อมูลแทนการลบข้อมูล36 ผู้ควบคุมอาจหยุดการประมวลผลข้อมูลแทนที่การลบข้อมูลได้ดัง กรณีดังต่อไปนี้ เจ้าของข้อมูลโต้แย้งความถูกต้องของข้อมูล ผู้ควบคุมอาจหยุดการประมวลผล ในระหว่างตรวจสอบความถูกต้องของข้อมูล37 ผู้ควบคุมไม่จาเป็นต้องใช้ข้อมูลเพื่อให้บรรลุ เป้าประสงค์อีกต่อไป แต่จาต้องเก็บข้อมูลดังกล่าวไว้เพื่อเป็นหลักฐาน38 เจ้าของข้อมูลปฏิเสธ การลบข้อมูลหากแต่ให้ระงับการใช้ข้อมูลนั้นแทนในกรณีที่กระบวนการประมวลผลข้อมูลนั้นไม่ ชอบด้วยกฎหมาย39 และเจ้าของข้อมูลขอให้ย้ายข้อมูลส่วนบุคคลไปยังระบบปฏิบัติการ ประมวลผลข้อมูลอัตโนมัติอื่น40 การประมวลผลข้อมูลส่วนบุคคลนอกจากนี้ในการเก็บรักษา ข้อมูลแล้วข้อมูลส่วนบุคคลดังกล่าวจะถูกประมวลผลได้ก็เฉพาะแต่เพื่อประโยชน์ในด้านพยาน หลักฐาน หรือด้วยความยินยอมของเจ้าของข้อมูล หรือเพื่อรักษาสิทธิของบุคคลธรรมดาหรือ นิติบุคคลอื่นหรือเพื่อประโยชน์สาธารณะ41 และในกรณีที่การประมวลผลข้อมูลดังกล่าวไม่อาจ ดาเนินการได้ผู้ควบคุมต้องแจ้งให้เจ้าของข้อมูลทราบก่อนการหยุดประมวลผลข้อมูลนั้น42 ส่วน ข้อยกเว้นและสภาพบังคับของสิทธิที่จะถูกลืม คือ รัฐสมาชิกสามารถออกกฎหมายยกเว้นสิทธิ ของเจ้าของข้อมูลซึ่งรวมถึงสิทธิที่จะถูกลืมได้ การประมวลผลข้อมูลส่วนบุคคลที่ทาลงโดยมี วัตถุประสงค์เฉพาะเพื่อการประกอบกิจการหนังสือพิมพ์ หรือเพื่อวัตถุประสงค์ทางศิลปะหรือ วรรณคดีเพื่อความสอดคล้องของสิทธิในการคุ้มครองข้อมูลส่วนบุคคลและด้านเสรีภาพในการ แสดงออกซึ่งข้อมูลข่าวสาร43 โดยมีสภาพบังคับคือในกรณีที่มีการฝ่าฝืนไม่ปฏิบัติตามสิทธิที่จะ ถูกลืมหรือสิทธิในการลบตามข้อบังคับนี้ ผู้ฝ่าฝืนจะได้รับสภาพบังคับ ดังนี้ 1) ได้รับการ ตักเตือนเป็นหนังสือในกรณีที่เป็นการฝ่าฝืนครั้งแรกและการฝ่าฝืนเป็นไปโดยไม่จงใจ 2) ได้รับ การตรวจสอบถึงการคุ้มครองข้อมูลเป็นระยะ 3) ต้องรับโทษปรับทางปกครองไม่เกิน 20 ล้านยูโร หรือไม่เกินร้อยละ4 ของผลประกอบการรวมรายปีทั่วโลกของผู้ควบคุมข้อมูลรายนั้นตามแต่ จานวนใดจะสูงกว่า44
วิเคราะห์เมื่อพิจารณาจากบทบัญญัติของกฎระเบียบสหภาพยุโรปฯ จะพบว่า กฎหมายได้กาหนดให้สิทธิที่จะถูกลืมไม่ใช่สิทธิเด็ดขาดโดยในการใช้สิทธิที่จะถูกลืมนั้นต้องมี การพิจารณาปัจจัยแวดล้อมอื่น ๆ ในสังคมด้วย เช่น บริบทของสังคม ประโยชน์สาธารณะ หรือ สิทธิขั้นพื้นฐานต่าง ๆ ของบุคคลอื่น เช่น สิทธิในความเป็นส่วนตัว สิทธิในการแสดงออกและ แสดงความคิดเห็นโดยเสรี สิทธิในการเข้าถึงข้อมูล ซึ่งในขณะนี้ยังไม่มีแนวปฏิบัติเกี่ยวกับการ บังคับใช้สิทธิที่จะถูกลืมตามกฎระเบียบสหภาพยุโรปฯที่ชัดเจน ดังนั้นแนวปฏิบัติของรัฐ ศาล หรือบุคคลที่เกี่ยวข้องในภายหลังจะเป็นส่วนสาคัญที่ส่งผลให้แนวทางการใช้และให้ความ คุ้มครองสิทธิดังกล่าวมีความชัดเจนและเป็นรูปธรรมมากยิ่งขึ้น45
4.สิทธิที่จะถูกลืมของประเทศไทย
ประเทศไทยได้คุ้มครองสิทธิที่จะถูกลืมโดยออกพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีเหตุผลในการประกาศใช้พระราชบัญญัติฉบับนี้ คือ เนื่องจากปัจจุบันมีการ ล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจานวนมากจนสร้างความเดือดร้อน ราคาญหรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของ เทคโนโลยีทาให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิด ดังกล่าว ทำได้โดยง่าย สะดวก และรวดเร็ว ก่อให้เกิดความเสียหายต่อเศรษฐกิจโดยรวม สมควรกาหนดให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไปขึ้น เพื่อกาหนด หลักเกณฑ์ กลไก หรือมาตรการกากับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็น หลักการทั่วไป
4.1 ความเป็นมาการคุ้มครองสิทธิส่วนบุคคล : สิทธิที่ถูกลืม
ในประเทศไทยสิทธิในความเป็นส่วนตัวโดยเฉพาะสิทธิที่จะถูกลืม ได้รับการรับรอง ไวในรัฐธรรมนูญแห่งราชอาณาจักรไทย พ.ศ. 254046 และ พ.ศ. 255047 และ พ.ศ. 256048 และต่อมาประเทศไทยได้ออกพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีผล บังคับเป็นทางการเมื่อวันที่ 1 มิถุนายน พ.ศ. 256549 จะเห็นได้ว่า สิทธิที่จะถูกลืมที่ได้รับการ รับรองไวในรัฐธรรมนูญแหงราชอาณาจักรไทยนั้นมีการเปลี่ยนแปลง กล่าวคือ รัฐธรรมนูญแห่ง ราชอาณาจักรไทย พ.ศ. 2540 และ พ.ศ. 2550 บัญญัติไว้มีข้อความเหมือนกันคือ “สิทธิของ บุคคลในครอบครัว เกียรติยศ ชื่อเสียง ตลอดจนความเป็นอยู่ส่วนตัวย่อมได้รับความคุ้มครอง” แต่รัฐธรรมนูญแหงราชอาณาจักรไทย พ.ศ. 2560 บัญญัติว่า “บุคคลย่อมมีสิทธิในความเป็นอยู่ ส่วนตัว เกียรติยศ ชื่อเสียง และครอบครัว การกระทาอันเป็นการละเมิดหรือกระทบต่อสิทธิ ของบุคคลตามวรรคหนึ่ง หรือการนาข้อมูลส่วนบุคคลไปใช้ประโยชน์ไม่ว่าในทางใด ๆ จะ กระทามิได้ เว้นแต่โดยอาศัยอานาจตามบทบัญญัติแห่งกฎหมายที่ตราขึ้นเพียงเท่าที่จาเป็นเพื่อ ประโยชน์สาธารณะ” จะเห็นได้ว่าเน้นเรื่อง ห้ามละเมิดหรือกระทบต่อสิทธิของบุคคล คือ สิทธิ ในความเป็นอยู่ส่วนตัว เกียรติยศ ชื่อเสียง และครอบครัว ทั้งนี้ห้ามนาข้อมูลส่วนบุคคลไปใช้ ประโยชน์ไม่ว่าในทางใด ๆ ไม่ได้ยกเว้นมีกฎหมายเพื่อประโยชน์สาธารณะเท่านั้น ซึ่งสอดคล้อง กับกฎระเบียบสหภาพยุโรปฯ (GDPR) ในบางประเด็น ประเทศไทยได้กาหนดรับรองสิทธิใน ความเป็นส่วนตัวไว้ในรัฐธรรมนูญซึ่งรวมถึงสิทธิในข้อมูลส่วนบุคคลด้วย แต่ไม่มีกฎหมายที่ให้ ความคุ้มครองแก่ข้อมูลส่วนบุคคลเป็นการทั่วไป มีเพียงแต่กฎหมายที่ให้ความคุ้มครองข้อมูล ส่วนบุคคลเฉพาะตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กาหนดขึ้นเพื่อ สร้างหลักเกณฑ์ กลไก หรือมาตรการกากับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหลักการทั่วไปที่ให้การคุ้มครองข้อมูลส่วนบุคคลที่อย่างมีประสิทธิภาพ และเพื่อให้มี มาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลโดยมี ประสิทธิภาพตามกฎหมายดังกล่าวได้บัญญัติกาหนดให้คณะกรรมการคุ้มครองข้อมูลส่วน บุคคลมีหน้าที่และอานาจกาหนดมาตรการหรือแนวทางการดาเนินการเกี่ยวกับการคุ้มครอง ข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามกฎหมายนี้ และมีอานาจในการออกประกาศกาหนดข้อ ปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลเป็นแนวทางให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ ประมวลผลข้อมูลส่วนบุคคลปฏิบัติ ซึ่งหลังจากมีการจัดตั้งสานักงานคณะกรรมการคุ้มครอง ข้อมูลส่วนบุคคล และมีการแต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแล้ว คาดว่า คณะกรรมการจะได้ดาเนินการออกประกาศกาหนดหรือคาแนะนาต่าง ๆ ออกมาต่อไปซึ่งน่าจะ ใช้เวลาอีกระยะหนึ่ง
4.2 สิทธิที่จะถูกลืมตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
สิทธิที่จะถูกลืมในระบบกฎหมายไทยตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีการกาหนดดังต่อไปนี้
4.2.1. สิทธิของเจ้าของข้อมูลส่วนบุคคลในการขอให้ลบข้อมูล
สิทธิที่จะถูกลืมในระบบกฎหมายไทยตามพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 โดยมีการกาหนดดังนี้ สิทธิของเจ้าของข้อมูลส่วนบุคคลในการขอให้ลบ ข้อมูล50 ได้แก่ ข้อมูลส่วนบุคคลที่หมดความจาเป็นในการเก็บรวบรวมไว้ตามวัตถุประสงค์ หรือ เมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน บุคคล51 หรือเมื่อเจ้าของข้อมูลส่วนบุคคลคัดค้านการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วน บุคคลและผู้ควบคุมข้อมูลส่วนบุคคลไม่อาจปฏิเสธคาขอได้52 หรือเป็นการคัดค้าน53 โดยมี ข้อยกเว้น คือมาใช้บังคับกับการเก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดง ความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์54 การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตาม กฎหมาย การปฏิบัติตาม หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิ เรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย55 อย่างไรก็ตาม มาตรา 33 ของ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มิได้บัญญัติถึงสิทธิที่จะถูกลืมเอาไว้โดย ชัดแจ้ง บทบัญญัติดังกล่าวก็ยังขาดความครอบคลุมในบางกรณี อีกทั้งยังขาดหลักเกณฑ์ที่ ชัดเจนเกี่ยวกับการบังคับใช้บทบัญญัติแห่งกฎหมายเพื่อคุ้มครองสิทธิที่จะถูกลืมของเจ้าของ ข้อมูลส่วนบุคคลดังกล่าวด้วยส่วนเจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วน บุคคลระงับการใช้ข้อมูลส่วนบุคคลได้ เมื่อเป็นข้อมูลส่วนบุคคลที่ต้องลบหรือทาลายตามมาตรา 33 (4)56 แต่เจ้าของข้อมูลส่วนบุคคลขอให้ระงับการใช้แทน57 ในกรณีที่ผู้ควบคุมข้อมูลส่วน บุคคลได้ทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่เปิดเผยต่อสาธารณะ และผู้ควบคุมข้อมูลส่วนบุคคล ถูกขอให้ลบหรือทาลายหรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็น เจ้าของข้อมูลส่วนบุคคลได้นั้น ผู้ควบคุมข้อมูลส่วนบุคคลต้องเป็นผู้รับผิดชอบดาเนินการทั้ง ในทางเทคโนโลยีและค่าใช้จ่ายเพื่อให้เป็นไปตามคาขอนั้นโดยแจ้งผู้ควบคุมข้อมูลส่วนบุคคลอื่น ๆ เพื่อให้ได้รับคาตอบในการดาเนินการให้เป็นไปตามคาขอ58 และในกรณีผู้ควบคุมข้อมูลส่วน บุคคลไม่ดาเนินการตาม เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคล ดาเนินการลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็น เจ้าของข้อมูลส่วนบุคคลได้ หรือในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทาให้ข้อมูลส่วนบุคคล เป็นข้อมูลที่เปิดเผยต่อสาธารณะ เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วน บุคคลดาเนินการลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัว บุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ เจ้าของข้อมูลส่วนบุคคล มีสิทธิร้องเรียนต่อ คณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลดาเนินการได้59 คณะกรรมการ อาจประกาศกาหนดหลักเกณฑ์ในการลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคล เป็นข้อมูลที่ ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลตามได้60แต่ปัจจุบันยังไม่มีประกาศหรือ กฎกระทรวงออกมากาหนดหลักเกณฑ์นี้
4.2.2. สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล มีดังต่อไปนี้
1) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการ ใช้ข้อมูลส่วนบุคคลได้61 ทั้งนี้เจ้าของข้อมูลมีสิทธิร้องขอ ดังนี้ (1) เมื่อผู้ควบคุมข้อมูลส่วนบุคคล อยู่ในระหว่างการตรวจสอบตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอให้ดาเนินการ62 (2) เมื่อเป็น ข้อมูลส่วนบุคคลที่ต้องลบหรือทาลายตาม63 แต่เจ้าของข้อมูลส่วนบุคคลขอให้ระงับการใช้แทน (3) เมื่อข้อมูลส่วนบุคคลหมดความจาเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บ รวบรวมข้อมูลส่วนบุคคล แต่เจ้าของข้อมูลส่วนบุคคลมีความจาเป็นต้องขอให้เก็บรักษาไว้เพื่อ ใช้ในการก่อตั้ง สิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตาม กฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย (4) เมื่อผู้ควบคุมข้อมูลส่วนบุคคลอยู่ ในระหว่างการพิสูจน์64 หรือตรวจสอบ65 เพื่อปฏิเสธการคัดค้านของเจ้าของข้อมูลส่วนบุคคล กรณีผู้ควบคุมข้อมูลส่วนบุคคลไม่ดาเนินการตามเบื้องต้นนี้ เจ้าของข้อมูลส่วนบุคคลมีสิทธิ ร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลดาเนินการได้66 และ คณะกรรมการฯ อาจประกาศกาหนดหลักเกณฑ์ในการระงับการใช้ก็ได้67
2) ในกรณีที่เจ้าของข้อมูลส่วนบุคคลร้องขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดาเนินการ หากผู้ควบคุมข้อมูลส่วนบุคคลไม่ดาเนินการตามคาร้องขอ ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึก คาร้องขอของเจ้าของข้อมูลส่วนบุคคลพร้อมด้วยเหตุผลไว้ในรายการ68
3) ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ จัดให้มีระบบการตรวจสอบเพื่อดาเนินการลบ หรือทาลายข้อมูลส่วนบุคคลเมื่อพ้นกาหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้อง หรือ เกินความจาเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของ ข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่เก็บรักษาไว้ เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็นการเก็บรักษาไว้เพื่อวัตถุประสงค์69 การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตาม กฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมายหรือเพื่อการปฏิบัติตามกฎหมาย ทั้งนี้ คณะกรรมการอาจประกาศกาหนดหลักเกณฑ์ในการลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคล เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลการลบหรือทาลายข้อมูล ส่วนบุคคล70
5.ปัญหาการคุ้มครองสิทธิที่จะถูกลืมในมหาวิทยาลัยไทย
จากการคุ้มครองข้อมูลส่วนบุคคลตาม GDPR หรือกฎระเบียบสหภาพยุโรปฯ มี วัตถุประสงค์เพื่อให้องค์กรหรือบริษัทที่ดาเนินธุรกิจที่จัดเก็บและจัดการข้อมูลส่วนบุคคล จะต้องเพิ่มมาตรการการคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคล โดยสิทธิในการลบนั้น บัญญัติไว้ตาม GDPR คือเจ้าของข้อมูลส่วนบุคคลมีสิทธิต่อผู้ควบคุมในอันที่จะลบข้อมูลส่วน บุคคล และสิทธิต่อผู้ควบคุมในอันที่ลบข้อมูลส่วนบุคคลซึ่งเกี่ยวข้องกับตนและงดการเผยแพร่ ข้อมูลเช่นว่านั้นต่อไป และมีสิทธิต่อบุคคลที่สามในอันที่จะให้ลบลิงค์หรือสาเนาหรือการทาซ้า ซึ่งข้อมูลดังกล่าวโดยมีกฎหมายระบุขั้นตอนต่าง ๆ อย่างชัดเจนและมีรายละเอียดตามกฎหมาย สาหรับมหาวิทยาลัยต่าง ๆ ในประเทศไทยเริ่มมีการคุ้มครองข้อมูลส่วนบุคคล ตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แล้ว เช่น ประเด็นที่นักศึกษาและ บุคลากรของมหาวิทยาลัยเป็นเจ้าของข้อมูลส่วนบุคคล (Data Owner) ซึ่งได้รับการคุ้มครอง ตามกฎหมายนี้ และ มหาวิทยาลัยให้ความสาคัญในการคุ้มครองข้อมูลส่วนบุคคลและมีความ รับผิดชอบในฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ซึ่งตามกฎหมายนี้ มหาวิทยาลัยต้องประมวลผลข้อมูลส่วนบุคคลของนักศึกษาและบุคลากรเท่าที่จาเป็น เพื่อ นาไปใช้ดาเนินการตามหน้าที่ของมหาวิทยาลัยและระเบียนประวัติต่าง ๆ กรณีที่มีแบบสารวจ หรือการขอข้อมูลอื่นที่นอกเหนือจากนั้น คณะ/หน่วยงานของมหาวิทยาลัยจะดาเนินการขอ ความยินยอมอย่างชัดเจนต่อไปได้ดาเนินการเตรียมความพร้อมเพื่อรองรับตั้งแต่มีการ ประกาศใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นี้ และมหาวิทยาลัยได้ใช้ข้อมูลตามที่ จาเป็นเท่านั้น และมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม และมหาวิทยาลัยได้จัดทา ประกาศมหาวิทยาลัยเรื่องนโยบายการคุ้มครองส่วนบุคคล (Data Protection Policy) พร้อม กับจัดทาประกาศข้อมูลส่วนตัวของนักศึกษาและบุคลากร (Private Policy) แล้วตามกฎหมาย แต่ยังไม่มีกฎหมายหรือหลักเกณฑ์เกี่ยวกับการลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็น ข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้นเหมือนกับ GDPR หรือ กฎระเบียบสหภาพยุโรปฯ ดังนั้นสิทธิจะถูกลืมในมหาวิทยาลัยไทยอาจมีปัญหาตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังต่อไปนี้
5.1 ปัญหาการเก็บข้อมูลของนักศึกษาที่ได้รับคัดเลือกเข้าเรียนของมหาวิทยาลัย
เมื่อนักศึกษาเข้ามาเรียนในมหาวิทยาลัย ต้องมีการลงทะเบียนกรอกข้อมูลส่วนตัว ของนักศึกษากับฝ่ายทะเบียนและวัดผลของมหาวิทยาลัย มหาวิทยาลัยก็ต้องเก็บข้อมูล นักศึกษาเอาไว้ โดยมหาวิทยาลัยเป็นผู้ควบคุมข้อมูล (Data Controller) คือ มีข้อมูลส่วนตัว ของนักศึกษาแล้วควบคุมหรือตัดสินใจว่าจะเอาข้อมูลนี้มาใช้อย่างไร ในทางกฎหมายผู้ควบคุม ข้อมูลจะเก็บข้อมูล จะใช้ข้อมูล เอาข้อมูลมาประมวลผลได้ต่อเมื่อมีความจาเป็นเท่านั้น แล้วถ้า นักศึกษาไม่ได้เป็นนักศึกษาของมหาวิทยาลัยนี้แล้ว เช่น สาเร็จการศึกษา ข้อมูลนี้ยังจาเป็นต้อง เก็บไว้หรือไม่ ถ้าไม่จาเป็นนักศึกษาอาจจะมีสิทธิขอให้มหาวิทยาลัยลบข้อมูลตรงนี้ออกไปจาก สารบบได้แต่มหาวิทยาลัยอาจจะบอกว่าเราต้องเก็บเป็นข้อมูลเชิงสถิติอยู่ ก็จะมีประเด็นอยู่ว่า ข้อมูลบางอย่างที่เจ้าของข้อมูลมองว่าไม่จาเป็นต้องเก็บ นักศึกษาก็อาจจะมาขอลบได้ จะเห็น ได้ว่ามันเป็นความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลกับเจ้าของข้อมูล ไม่เกี่ยวอะไรกับความทรงจา สาธารณะ อย่างไรก็ตามการจะขอลบข้อมูลออกจากมหาวิทยาลัย องค์กร ผู้ควบคุมข้อมูลก็ ไม่ใช่ว่าสามารถทาได้ทันที เนื่องจากอาจจะกระทบต่อการให้บริการของผู้ควบคุมข้อมูล ขณะเดียวกัน ในแง่ของความทรงจาสาธารณะการจะขอลบข้อมูล ก็ต้องคานึงว่าข้อมูลดังกล่าว เป็นข้อมูลที่สาธารณะจาเป็นต้องรับรู้หรือไม่ หรือเป็นข้อมูลเชิงประวัติศาสตร์ที่หากหายไปแล้ว จะส่งผลกระทบต่อความเข้าใจต่อประวัติศาสตร์หรือไม่รวมทั้งยังเป็นการปิดกั้นไม่ให้คนรุ่นใหม่ สามารถเข้าถึงข้อมูลบางอย่างหรือไม่ด้วย
วิเคราะห์กรณีที่ 1 มาตรา 37 (3) มหาวิทยาลัยในฐานะผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่จัดให้มีระบบการตรวจสอบเพื่อดาเนินการลบหรือทาลายข้อมูลส่วนบุคคลเมื่อพ้น กาหนด ระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้อง หรือเกินความจาเป็นตามวัตถุประสงค์ใน การเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของ ข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่เก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพใน การแสดงความคิดเห็น จะเห็นได้ว่ายังไม่ชัดเจนในประเด็นมหาวิทยาลัยต้องเก็บเป็นข้อมูลเชิง สถิติอยู่ ดังนั้นมีความจาเป็นเพียงใดที่มหาวิทยาลัยที่ต้องเก็บข้อมูลนี้ไว้ และปัจจุบันยังไม่มี ประกาศหรือกฎกระทรวงออกมากาหนดหลักเกณฑ์นี้อาจต้องนากฎหมายสหภาพยุโรปมาเป็น ต้นแบบเรื่องนี้
5.2 ปัญหาการเก็บข้อมูลของนักศึกษาที่มาสมัครคัดเลือกเข้าเรียนหรือบุคคลภายนอกที่มาสมัครทางานกับมหาวิทยาลัย
การเก็บข้อมูลของนักศึกษาที่มาสมัครคัดเลือกเข้าเรียนหรือบุคคลภายนอกที่มา สมัครทางานกับมหาวิทยาลัย ทั้ง 2 กรณีนี้ หากไม่ได้มาเป็นนักศึกษาหรือบุคลากรของ มหาวิทยาลัย ทั้ง 2 กรณีนี้จะขอใช้สิทธิลบข้อมูลส่วนตัวของตนเองที่มหาวิทยาลัยเก็บไว้ได้ หรือไม่ มหาวิทยาลัยจะลบข้อมูลตรงนี้ออกไปจากสารบบของมหาวิทยาลัยได้เลยหรือไม่เพราะ ไม่มีความจาเป็นแล้ว หรืออ้างว่ามีเหตุผลทางสถิติในการเก็บเป็นข้อมูลเชิงประวัติศาสตร์ได้ หรือไม่ และการลบข้อมูลนี้มีขั้นตอนหรือรายละเอียดอย่างไรบ้าง
วิเคราะห์กรณีที่ 2 ทั้ง 2 กรณีนี้นักศึกษาที่มาสมัครคัดเลือกเข้าเรียนหรือ บุคคลภายนอกที่มาสมัครทางานถือว่า มาตรา 33 (1) ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้ มีการกาหนดเงื่อนไขในการใช้สิทธิที่จะถูกลืม เช่น เมื่อข้อมูลส่วนบุคคลหมดความจาเป็นในการ เก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล หรือเมื่อ เจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคล คือ นักศึกษาหรือบุคคลภายนอกมีสิทธิ ขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดาเนินการลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูล ที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ มหาวิทยาลัยจึงอาจไม่มีอานาจ ตามกฎหมายที่จะเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลทั้ง 2 กรณีนั้นได้อีกต่อไป แต่ ประกาศกาหนดหลักเกณฑ์ในการลบหรือทาลายหรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่ สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลปัจจุบันยังไม่มีหลักเกณฑ์นี้อาจต้องนา กฎหมายสหภาพยุโรปมาเป็นต้นแบบเรื่องนี้
5.3 ปัญหาบุคลากรของมหาวิทยาลัยใช้สิทธิที่จะถูกลืมในการปฏิบัติตามสัญญาจ้างแรงงาน
ในประเด็นของการปฏิบัติตามสัญญาจ้างแรงงานของมหาวิทยาลัยในฐานะนายจ้าง เนื่องจากมหาวิทยาลัย (นายจ้าง) และบุคลากร (ลูกจ้าง) นั้นผูกพันกันตามสัญญาจ้างแรงงาน ซึ่งเป็นความสัมพันธ์พิเศษที่มหาวิทยาลัยมีอานาจบังคับบัญชาเหนือบุคลากร ซึ่งหากพิจารณา บทบัญญัติของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะเห็นว่ากฎหมายไม่ได้ กาหนดบทบัญญัติพิเศษเกี่ยวกับการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลระหว่างนายจ้าง และลูกจ้างไว้ ทาให้ลูกจ้างสามารถใช้สิทธิที่จะถูกลืมได้โดยสามารถขอให้นายจ้างลบข้อมูลส่วน บุคคล หรือทาให้ข้อมูลส่วนบุคคลนั้นไม่สามารถระบุตัวลูกจ้างได้ ซึ่งอาจทาให้นายจ้างไม่อาจ ให้สิทธิประโยชน์แก่ลูกจ้างได้อย่างเพียงพอเกี่ยวกับการบริหารองค์กรหรือการบริหารจัดการ ทรัพยากรบุคคล71
วิเคราะห์กรณีที่ 3 กรณีนี้ กฎหมายได้กาหนดข้อยกเว้นของการใช้สิทธิที่จะถูกลืม ของลูกจ้าง 2 กรณี คือ กรณีที่เป็นการจาเป็นเพื่อการปฏิบัติตามกฎหมายเพื่อให้บรรลุ วัตถุประสงค์เกี่ยวกับการประเมินความสามารถในการทางานของลูกจ้าง ตามมาตรา 26 (5) (ก) ซึ่งในกรณีนี้จะใช้บังคับเฉพาะกับข้อมูลส่วนบุคคลที่กฎหมายกาหนดเท่านั้น กับกรณีที่นายจ้าง ต้องใช้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายตามมาตรา 33 วรรค 2 แต่การกาหนด ข้อยกเว้นทั้ง 2 กรณีข้างต้นดังกล่าวยังไม่ครอบคลุมทุกกรณี กล่าวคือ ข้อยกเว้นดังกล่าวยังไม่ ครอบคลุมถึงกรณีดังต่อไปนี้ คือ
ประเด็นที่ 1 กรณีที่นายจ้างจะต้องจัดเก็บและใช้ข้อมูลส่วนบุคคลตามมาตรา 26 ของลูกจ้างเพื่อการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองแรงงาน ซึ่งนายจ้าง อาจอ้างเหตุได้ ว่าจาเป็นต้องใช้ข้อมูลส่วนบุคคลของลูกจ้างเพื่อการปฏิบัติตามกฎหมายตามมาตรา 33 วรรค 2 แต่หากนายจ้างจาเป็นต้องจัดเก็บและใช้ข้อมูลส่วนบุคคลตามมาตรา 26 เพื่อการให้สิทธิ ประโยชน์อื่น ๆ แก่ลูกจ้าง ที่ไม่ได้กาหนดไว้ในกฎหมาย หรือเพื่อการบริหารจัดการเกี่ยวกับ ทรัพยากรบุคคล เช่น การเก็บข้อมูลส่วนบุคคลเกี่ยวกับสุขภาพของลูกจ้างเพื่อการจัดกิจกรรม ดูแลรักษาสุขภาพของลูกจ้าง หรือการเก็บข้อมูลศาสนาของลูกจ้าง เพื่อการสร้างสถานที่ในการ ทากิจกรรมทางศาสนา ซึ่งอาจทาให้นายจ้างไม่อาจให้สิทธิประโยชน์แก่ลูกจ้างได้อย่างเพียงพอ และเหมาะสม เนื่องจากลูกจ้างสามารถใช้สิทธิที่จะถูกลืมขอให้นายจ้างลบข้อมูลส่วนบุคคลนั้นได้
ประเด็นที่ 2 กรณีที่นายจ้างต้องใช้ข้อมูลส่วนบุคคลอื่นนอกเหนือจากที่กาหนดไว้ ตามมาตรา 26 นายจ้างจะสามารถอ้างเหตุยกเว้นให้สามารถจัดเก็บและใช้ข้อมูลส่วนบุคคลของ ลูกจ้างได้เพียงเพื่อการปฏิบัติตามกฎหมายตามที่กาหนดใน มาตรา 33 วรรค 2 เท่านั้น แต่หาก เป็นการจัดเก็บและใช้ข้อมูลส่วนบุคคลของลูกจ้างเพื่อการให้สิทธิประโยชน์อื่น ๆ แก่ลูกจ้างที่ ไม่ได้กาหนดไว้ในกฎหมาย หรือเพื่อการบริหารจัดการเกี่ยวกับทรัพยากรบุคคล เช่น การเก็บ ข้อมูลส่วนบุคคลเกี่ยวกับที่อยู่อาศัยของลูกจ้างเพื่อการจ่ายเงินค่าเดินทางเพิ่มเติม ซึ่งไม่มีการ กาหนดไว้ในกฎหมาย หรือการเก็บข้อมูลส่วนบุคคลเกี่ยวกับการประกอบธุรกิจส่วนตัวของ ลูกจ้างที่อยู่ในตาแหน่งระดับสูง เพื่อป้องกันการมีผลประโยชน์ขัดกันกับบริษัท ซึ่งอาจทาให้ นายจ้างไม่อาจให้ สิทธิประโยชน์แก่ลูกจ้างได้อย่างเพียงพอ หรืออาจทาให้ไม่สามารถ ดาเนินการเกี่ยวกับการบริหารองค์กร หรือการบริหารจัดการทรัพยากรบุคคลได้อย่างเหมาะสม เนื่องจากลูกจ้างสามารถใช้สิทธิที่จะถูกลืมขอให้นายจ้างลบข้อมูลส่วนบุคคลนั้นได้
5.4 ปัญหาการขาดหลักเกณฑ์เกี่ยวกับการลบหรือทาลายข้อมูลส่วนบุคคลหรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล
ประเด็นปัญหานี้ ในส่วนที่เกี่ยวข้องกับมหาวิทยาลัยคือ กรณีผู้มาสมัครงานกับ มหาวิทยาลัยแล้วไม่ได้รับคัดเลือกเข้าทางานหรือกรณีนักศึกษาสาเร็จการศึกษาแล้วและบางคน ต้องการขอข้อมูลส่วนบุคคลกลับคืน ดังนี้ เมื่อข้อมูลส่วนบุคคลหมดความจาเป็นในการเก็บรักษาไว้ ตามวัตถุประสงค์ในการเก็บ รวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล หรือเมื่อเจ้าของข้อมูล ส่วนบุคคล เช่น ผู้สมัครงานหรือนักศึกษาที่จบการศึกษาถอนความยินยอมในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และผู้ควบคุมข้อมูลส่วนบุคคล (มหาวิทยาลัย) ไม่มีอานาจตามกฎหมาย ที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ต่อไป และการกาหนดข้อยกเว้นของ การใช้สิทธิที่จะถูกลืมไว้ เช่น เป็นข้อมูลส่วนบุคคลที่เก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้ เสรีภาพในการแสดงความคิดเห็น หรือเป็นข้อมูลส่วนบุคคลที่เก็บรักษาไว้ด้วยความจาเป็นเพื่อ การปฏิบัติหน้าที่ในการดาเนินการภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งการกาหนดเงื่อนไข และข้อยกเว้นในการใช้สิทธิที่จะถูกลืมดังกล่าวข้างต้นนั้น เป็นการกาหนด ขอบเขตการใช้สิทธิที่จะถูกลืมเพื่อไม่ให้เจ้าของข้อมูลส่วนบุคคลใช้สิทธินั้นในทางที่จะก่อความ เสียหายแก่บุคคลอื่น แต่เนื่องจากประเทศไทยไม่เคยมีการกาหนดกฎหมายที่ให้ความคุ้มครองข้อมูล ส่วนบุคคลเป็นการเฉพาะกับมหาวิทยาลัยและไม่เคยมีการทาเข้าใจกับแนวความคิดของสิทธิที่ จะถูกลืม ทาให้ไม่เข้าใจถึงแนวความคิดและสิ่งที่สิทธิที่จะถูกลืมตามความมุ่งหมายจะคุ้มครอง ดังกล่าวประกอบกับในปัจจุบันยังไม่มีการกาหนดหลักเกณฑ์หรือขั้นตอนในการใช้สิทธิที่จะถูก ลืมไว้อย่างชัดเจน จึงอาจส่งผลให้เกิดการกาหนดและตีความเงื่อนไขและข้อยกเว้นการใช้สิทธิที่ จะถูกลืมที่ผิดไปจากเจตนารมณ์ของกฎหมายที่มุ่งจะคุ้มครองสิทธิในข้อมูลส่วนบุคคลของ ประชาชนจนอาจทาให้สิทธิที่จะถูกลืมตามกฎหมายฉบับนี้ไม่มีผลใช้บังคับได้ในความเป็นจริง
วิเคราะห์กรณีที่ 4 ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ให้ อานาจแก่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (“คณะกรรมการฯ”)72 ในการกาหนด หลักเกณฑ์เพิ่มเติมเกี่ยวกับการลบหรือทาลายหรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่ สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ด้วย73 ดังนั้นจึงควรมีการกาหนด หลักเกณฑ์หรือแนวทางการพิจารณาเงื่อนไขและข้อยกเว้นดังกล่าวอย่างชัดเจน เพื่อให้การ พิจารณาเงื่อนไขและข้อยกเว้นของการใช้สิทธิที่จะถูกลืมตามพระราชบัญญัตินี้คุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 นี้เป็นไปในแนวทางเดียวกันโดยอาจต้องนากฎหมายสหภาพยุโรปมา เป็นต้นแบบเรื่องนี้
ดังนั้น หลักเกณฑ์เกี่ยวกับการลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูล ที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้น จะต้องมีลักษณะที่สอดคล้องและ เหมาะสมกับสภาพสังคมกับประเทศไทยและมหาวิทยาลัยไทยและกฎหมายของสหภาพยุโรป แต่เนื่องจากสิทธิที่จะถูกลืมเป็นเรื่องใหม่สาหรับประเทศไทย จึงทาให้ไม่มีทาความเข้าใจถึง แนวความคิดของสิทธิที่จะถูกลืมในประเทศไทยมาก่อนโดยเฉพาะกรณีนี้เกี่ยวกับมหาวิทยาลัย ไทย ดังนั้นแนวทางในการกาหนดหลักเกณฑ์การใช้สิทธิที่จะถูกลืม ซึ่งเป็นสิทธิขั้นพื้นฐานของ มนุษย์จึงควรยึดโยงอยู่กับหลักการทั่วไปของการคุ้มครองสิทธิขั้นพื้นฐานของมนุษย์ ไม่ว่าจะ เป็นสิทธิที่เป็นรากฐานของแนวความคิดของสิทธิที่จะถูกลืมซึ่งได้แก่ สิทธิในความเป็นส่วนตัว และสิทธิในข้อมูลส่วนบุคคล และสิทธิอื่น ๆ ที่จะได้รับผลกระทบจากการใช้สิทธิที่จะถูกลืม ได้แก่ สิทธิในการแสดงออกโดยเสรี และสิทธิในการเข้าถึงข้อมูล74
6.บทสรุปและข้อเสนอแนะ
6.1 บทสรุป
สิทธิที่จะถูกลืมเป็นแนวคิดที่ถูกพัฒนาขึ้นในสหภาพยุโรปจากความตระหนักถึง ความสาคัญของระบบเทคโนโลยีสารสนเทศที่พัฒนาขึ้นอย่างรวดเร็วในปัจจุบัน โดยมุ่งเน้น มาตรการเพิ่มศักยภาพให้แกประชาชนในการที่จะควบคุมข้อมูลส่วนบุคคลของตนเอง และสิทธิ ที่จะถูกลืมเกิดขึ้นจากแนวความคิดในการให้ความคุ้มครองสิทธิในความเป็นส่วนตัว สิทธิที่จะ ถูกลืมหมายถึง สิทธิของปัจเจกบุคคลในการลบหรือร้องขอให้ลบข้อมูลส่วนบุคคลที่ไม่มี ความสาคัญหรือไม่มีประโยชน์ ไม่ว่าข้อมูลดังกล่าวจะเผยแพร่ไปโดยเจ้าของข้อมูลเองหรือ บุคคลที่สาม และแม้การเผยแพร่จะกระทาไปโดยชอบด้วยกฎหมาย บุคคลผู้เป็นเจ้าของข้อมูล ก็ยังคงมีสิทธิเช่นว่านั้น โดยบุคคลผู้เป็นเจ้าของข้อมูลส่วนบุคคลสามารถใช้สิทธิที่จะถูกลืมเพื่อ ขอให้ผู้ควบคุมข้อมูลส่วนบุคคลลบได้เฉพาะข้อมูลที่เป็นข้อมูลส่วนบุคคลที่เกี่ยวกับตัวเจ้าของ ข้อมูลส่วนบุคคลเท่านั้น สหภาพยุโรปได้กาหนดให้สิทธิในการได้รับความคุ้มครองข้อมูลส่วน บุคคลเป็นสิทธิขั้นพื้นฐานของบุคคลรัฐสมาชิกของสหภาพยุโรป จึงเริ่มมีการบัญญัติกฎหมายที่ ให้ความคุ้มครองข้อมูลส่วนบุคคลมากขึ้น โดยกาหนดหน้าที่ให้กับบุคคลที่นาข้อมูลไปใช้จะต้อง ชี้แจงวัตถุประสงค์ในการขอจัดเก็บและใช้ข้อมูลต่อเจ้าของข้อมูลและจะต้องขอความยินยอม จากเจ้าของข้อมูลก่อนที่จะจัดเก็บและใช้ข้อมูลดังกล่าว นอกจากนี้ กฎหมายคุ้มครองข้อมูล ส่วนบุคคลยังมีการกาหนดสิทธิของเจ้าของข้อมูล เช่น สิทธิในการเข้าถึงข้อมูลของตนเอง สิทธิ ในการคัดค้านการประมวลผลข้อมูล สิทธิในการลบข้อมูล ซึ่งในกฎหมายคุ้มครองข้อมูลส่วน บุคคลฉบับล่าสุด คือ กฎระเบียบสหภาพยุโรปฯ ที่ได้มีการกาหนดสิทธิที่จะถูกลืมไว้อย่าง ชัดเจนเป็นครั้งแรก
ในปัจจุบันประเทศไทยมีการรับรองสิทธิในความเป็นส่วนตัวในรัฐธรรมนูญ ซึ่งรวมถึง สิทธิในข้อมูลส่วนบุคคลด้วยปัจจุบันมีกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคลเฉพาะเรื่อง คือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยพระราชบัญญัติฉบับนี้ได้มีการ กาหนด สิทธิของเจ้าของข้อมูลส่วนบุคคลในการขอให้ลบข้อมูลซึ่งมีลักษณะเป็นสิทธิที่จะถูกลืม แต่ยังไม่มีการกาหนดหลักเกณฑ์การใช้สิทธิที่จะถูกลืม หลักเกณฑ์เกี่ยวกับการลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล ในมหาวิทยาลัยแต่มีการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เช่น นักศึกษาและบุคลากรของมหาวิทยาลัยเป็นเจ้าของข้อมูลส่วนบุคคล (Data Owner) จึงได้รับ การคุ้มครองตามกฎหมายนี้ และมหาวิทยาลัยให้ความสาคัญในการคุ้มครองข้อมูลส่วนบุคคล และมีความรับผิดชอบในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และมหาวิทยาลัย ต้องประมวลผลข้อมูลส่วนบุคคลของนักศึกษาและบุคลากรเท่าที่จาเป็นเพื่อนาไปใช้ดาเนินการ ตามหน้าที่ของมหาวิทยาลัยและระเบียนประวัติต่าง ๆ และมหาวิทยาลัยได้ใช้ข้อมูลตามที่ จาเป็นเท่านั้น และมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมและมหาวิทยาลัยจัดทา ประกาศมหาวิทยาลัยเรื่องนโยบายการคุ้มครองส่วนบุคคล (Data Protection Policy) พร้อมกับ จัดทาประกาศข้อมูลส่วนตัวของนักศึกษาและบุคลากร (Private Policy) ตามกฎหมาย
6.2 ข้อเสนอแนะ
มีข้อเสนอแนะคือให้มีการกาหนดหลักเกณฑ์หรือแนวทางการพิจารณาเงื่อนไขและ ข้อยกเว้นของมหาวิทยาลัยตามมาตรา 16 และมาตรา 33 วรรคท้ายของพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังต่อไปนี้
- ประกาศกาหนดหลักเกณฑ์ในการลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลของมหาวิทยาลัย พ.ศ….
- ประกาศการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลระหว่างนายจ้างและลูกจ้างของมหาวิทยาลัย พ.ศ….
- ประกาศให้มีระบบการตรวจสอบเพื่อดาเนินการลบหรือทาลายข้อมูลส่วนบุคคลเมื่อพ้นกาหนด ระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้อง หรือเกินความจา เป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลของมหาวิทยาลัย พ.ศ….
โดยหน่วยงานที่รับผิดชอบตามประกาศข้างต้นนี้เพื่อดาเนินการให้เป็นไปตาม กฎหมายทั้งนี้เพื่อให้การพิจารณาเงื่อนไขและข้อยกเว้นของการใช้สิทธิที่จะถูกลืมตาม พระราชบัญญัตินี้คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะได้ถูกต้องและสอดคล้องกับแนวทาง ของกฎหมายของต่างประเทศต่อไป
บรรณานุกรม
ฉัตรชัย เอมราช. “สิทธิที่จะถูกลืม,” วารสารนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ 45, ฉ.2 (มิถุนายน 2559): 423-424.
ชวิน อุ่นภัทร, ปิยะบุตร บุญอร่ามเรือง, ปิติ เอี่ยมจารูญลาภ และ ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล.Thailand Data Protection Guidelines 1.0: แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล. กรุงเทพมหานคร: โรงพิมพ์จุฬาลงกรณ์มหาวิทยาลัย, 2561.
นคร เสรีรักษ์. “มาตรฐานสากลในการคุ้มครองข้อมูลส่วนบุคคล: ผลกระทบต่อประเทศไทย” เอกสารโครงการสัมมนาวิชาการการคุ้มครองข้อมูลส่วนบุคคลของพลเมืองสถาบันนโยบายศึกษา. https://www.fpps.or.th/news.php?detail=n1582653942.news.สืบค้นเมื่อวันที่ 15 กรกฎาคม 2565.
นคร เสรีรักษ์, ณรงค์ ใจหาญ, ประสิทธิ์ ปิวาวัฒนพานิช, ศุภเกียรติ ศุภศักดิ์ศึกษากร และนิชานันท์ นันทศิริศรณ์. “GDPR ฉบับภาษาไทย” กรุงเทพฯ. บริษัท พี.เพรส จากัด. 2562.
ปิติ เอี่ยมจารูญลาภ. “บทบัญญัติทางกฎหมายว่าด้วยสิทธิที่จะถูกลืม (Right to be Forgotten) และแนวทางแก้ไขกฎหมายที่เกี่ยวข้อง” โครงการวิจัยสานักส่งเสริมวิชาการรัฐสภา. กรุงเทพฯ: สถาบันพระปกเกล้า, 2564.
ภาระวี ปุณเสรีพิพัฒน์, “มาตรการทางกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลบนธุรกรรม อิเล็กทรอนิกส์ : ศึกษากรณีการใช้คุกกี้บนอินเทอร์เน็ต,” วารสารนิติศาสตร์ มหาวิทยาลัยนเรศวร 7, ฉ.1 (พฤษภาคม 2557): 168.
ยุกต์กฤต กัณฑมณี. “การคุ้มครองสิทธิที่จะถูกลืม.” วิทยานิพนธ์หลักสูตรนิติศาสตร มหาบัณฑิต คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์, 2561.
ยุกต์กฤต กัณฑมณี. “การคุ้มครองสิทธิที่จะถูกลืม.” สุทธิปริทัศน์ 33, ฉ.108, (ตุลาคม – ธันวาคม 2562): 16.
อรรถกร สุขปุณพันธ์. สิทธิที่จะถูกลืมจากคาวินิจฉัยสู่มิติใหม่ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป. กรุงเทพมหานคร : สานักงานคณะกรรมการกฤษฎีกา. 2562.
อัญธิกา ณ พิบุลย์. “ปัญหาการบังคับใช้สิทธิที่จะลบข้อมูลส่วนบุคคลในโลกออนไลน์: ศึกษากรณี กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป.” วารสารนิติพัฒน์นิด้า7, ฉ.2 (2561): 45.
Nattaya L. “สิทธิที่จะถูกลืม สิทธิใหม่ที่ควรรู้ไว้ เพื่อการใช้ชีวิตในโลกดิจิทัล” 2561,https://www.sanook.com/news/7487002/ สืบค้นเมื่อวันที่ 15 กรกฎาคม 2565.
The European Court of Justice. “Case C-131/12 Google Spain SL, Google Inc. v. Agencia Española da Protección de Datos. (AEPD). Mario Costeja González.” https://globalfreedomofexpression.columbia.edu/cases/googlespain-sl-v- agencia-espanola-de-proteccion-de-datos-aepd/ สืบค้นเมื่อวันที่ 15 กรกฎาคม 2565.