พระราชบัญญัติว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) จะมีผลบังคับใช้ในวันที่ 27 พฤษภาคม 2563 นี้ แต่มีมติคณะรัฐมนตรีให้เลื่อนบังคับใช้ออกไปเป็นวันที่ 1 มิถุนายน 2565
กว่าจะมาเป็นกฏหมายฉบับนี้ ประเทศไทยได้ดำเนินการมากว่า 20 ปี ในการคุ้มครองข้อมูลส่วนบุคคล ที่ประกอบด้วย ชื่อ-นามสกุล หรือชื่อเล่น เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขบัญชีธนาคาร, เลขบัตรเครดิต, ที่อยู่, อีเมล, หมายเลขโทรศัพท์, ข้อมูลทางชีวมิติ (biometric) เช่น รูปภาพใบหน้า, ลายนิ้วมือ, ฟิล์มเอกซเรย์, ข้อมูลสแกนม่านตา, ข้อมูลอัตลักษณ์เสียง, ข้อมูลพันธุกรรม
ส่วนข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว ก็เช่น เชื้อชาติ, เผ่าพันธุ์, ความคิดเห็นทางการเมือง, ความเชื่อในลัทธิ ศาสนา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต, ข้อมูลสหภาพแรงงาน ฯลฯ
สำหรับเส้นทางของการคุ้มครองข้อมูลส่วนบุคคลได้เริ่มมาแล้วกว่า 130 ปี เครือข่ายนานาชาติของผู้เชี่ยวชาญด้านกฎหมายด้านสิทธิส่วนบุคคล(International Network of Privacy Law Professionals: INPLP)ได้รวบรวมไว้ดังนี้
ปี 1890 / พ.ศ. 2433
ทนายความชาวอเมริกัน 2 คน คือ นายซามูแอล ดี. วอร์เรน (Samuel D. Warren) และ นายลูอิส แบรนไดส์ (Louis Brandeis) ได้เขียนบทความเรื่อง The Right to Privacy (สิทธิความเป็นส่วนตัว) เพื่อให้ความเห็นเกี่ยวกับสิทธิที่จะได้อยู่โดยลำพังโดยปราศจากการรบกวน (The Right to Be Left Alone) ซึ่งต่อมาคำกล่าวนี้ได้กลายเป็นคำนิยามของคำว่า “privacy หรือ ความเป็นส่วนตัว”
ปี 1948 / พ.ศ. 2491
มีการลงมติรับรองปฏิญญาสากลว่าด้วยสิทธิมนุษยชน (Universal Declaration of Human Rights: UDHR) ซึ่งรวมถึงสิทธิข้อที่ 12 ที่กล่าวถึงสิทธิความเป็นส่วนตัว
ปี 1950 / พ.ศ. 2493
อนุสัญญายุโรปว่าด้วยสิทธิมนุษยชน (European Convention on Human Rights: EUCHR) ได้มีการแก้ไขลำดับของบทบัญญัติที่กล่าวถึงสิทธิพื้นฐาน โดยท้ายสุดได้มีการจัดลำดับที่ต่างไปจากเดิม
ปี 1967 / พ.ศ. 2510
สหรัฐอเมริกาได้บังคับใช้กฎหมาย Freedom of Information Act (FOIA) ซึ่งเป็นกฎหมายทั่วไปที่กำหนดสิทธิของประชาชนทุกคนในการเข้าถึงข้อมูลข่าวสารของราชการ และต่อมาประเทศอื่นๆ ก็ได้ออกกฎหมายในลักษณะนี้เช่นกัน
ปี 1980 / พ.ศ. 2523
องค์การเพื่อความร่วมมือและการพัฒนาทางเศรษฐกิจ (Organisation for Economic Co-operation and Development: OECD) ได้ออกแนวทางเกี่ยวกับเรื่องการคุ้มครองข้อมูล สะท้อนให้เห็นถึงการใช้คอมพิวเตอร์ในการดำเนินธุรกรรมทางธุรกิจมากขึ้น
ปี 1981 / พ.ศ. 2524
สภายุโรปได้ลงมติรับรองอนุสัญญาคุ้มครองข้อมูลส่วนบุคคล (Data Protection Convention (Treaty 108)) โดยรับรองให้สิทธิความเป็นส่วนตัวเป็นสิทธิทางกฎหมาย
ปี 1983 / พ.ศ. 2526
ศาลรัฐธรรมนูญแห่งสหพันธ์สาธารณรัฐเยอรมันได้มีคำพิพากษาเกี่ยวเรื่องการสำรวจสำมะโนประชากร ซึ่งคำพิพากษานี้ต่อมาได้กลายเป็นรากฐานสำคัญ ถือเป็นพัฒนาการสำคัญด้านการคุ้มครองข้อมูล
ปี 1993 / พ.ศ. 2536
พีซี บราวน์ ซึ่งเป็นนายตำรวจในสหราชอาณาจักร ถูกฟ้องจากข้อหาฝ่าฝืนกฎหมายการคุ้มครองข้อมูลส่วนบุคคลภายใต้กฎหมายคุ้มครองข้อมูลแห่งสหราชอาณาจักร ปี 1984 (The UK Data Protection Act 1984) โดยนายบราวน์ได้นำข้อมูลของบุคคลอื่นไปใช้ในวัตถุประสงค์นอกเหนือจากที่ระบุไว้ในทะเบียนคุ้มครองข้อมูล (Data Protection Register) อย่างไรก็ดีศาลก็ยกฟ้องคดีนี้ในเวลาต่อมา
ปี 1995 / พ.ศ. 2538
ได้มีการออกข้อบังคับคุ้มครองข้อมูลแห่งยุโรป (The European Data Protection Directive) ขึ้นมา ซึ่งเป็นสิ่งที่สะท้อนให้เห็นถึงความก้าวหน้าทางเทคโนโลยีและมีการระบุถึงคำจำกัดความของศัพท์ใหม่ๆ เช่น processing (การดำเนินการ) sensitive personal data (ข้อมูลอ่อนไหว) หรือ consent (ความยินยอม) ฯลฯ
ปี 2002 / พ.ศ. 2545
สหภาพยุโรปได้มีการออกข้อบังคับว่าด้วยความเป็นส่วนตัวและการสื่อสารทางอิเล็กทรอนิกส์ (The Directive on Privacy and Electronic Communications)
ปี 2006 / พ.ศ. 2549
สหภาพยุโรปได้ออกข้อบังคับเกี่ยวกับการเก็บรักษาข้อมูลที่ได้มาจากการใช้บริการสื่อสารทางอิเล็กทรอนิกส์ ของเครือข่ายการสื่อสารสาธารณะ อย่างไรก็ดี ศาลได้ตัดสินยกเลิกข้อบังคับดังกล่าวในปี 2014 (พ.ศ. 2557) เพราะถือว่าเป็นการละเมิดสิทธิขั้นพื้นฐาน
ปี 2009 / พ.ศ. 2552
กฎระเบียบของสหภาพยุโปรปที่ว่าด้วยการสื่อสารผ่านสื่ออิเล็กทรอนิกส์มีการพัฒนาไปในทิศทางต่างๆ หลังจากที่ประชาชนเริ่มมีอีเมลและหมายโทรศัพท์มือถือ ซึ่งข้อมูลสองประเภทนี้ได้กลายปัจจัยหลักและมีมูลค่า สร้างประโยชน์ต่อการทำแคมเปญทางด้านการตลาดและการส่งเสริมการขาย
ปี 2013 / พ.ศ. 2556
คณะกรรมาธิการยุโรปได้รับรองระเบียบข้อบังคับที่ 611/2013 ที่ว่าด้วยมาตรการเกี่ยวข้องกับการแจ้งบุคคลทราบในกรณีที่มีการละเมิดข้อมูลส่วนตัว ภายข้อบังคับ 2002/58/EC
ปี 2014 / พ.ศ. 2557
คำพิพากษาของศาลยุติธรรมสหภาพยุโรปรับรองว่ากฎหมายของสหภาพยุโรปสามารถให้สิทธิกับประชาชนที่จะร้องขอให้เว็บไซต์ที่ให้บริการในการค้นหาข้อมูล เช่น กูเกิล ลบผลการค้นหารวมถึงข้อมูลส่วนบุคคลอื่นๆ ออกไป ซึ่งแนวคิดนี้เป็นที่รู้จักกันในนามของสิทธิที่จะถูกลืม (The Right to Be Forgotten)
ปี 2016 / พ.ศ. 2559
สหภาพยุโรปลงมติอนุมัติกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation: GDPR) หลังจากที่มีการอภิปรายกันยาวนานถึง 4 ปี
ปี 2018 / พ.ศ. 2561
กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปมีผลบังคับใช้ แทนที่กฎหมายคุ้มครองข้อมูล (The Data Protection Act) และ GDPR ได้รับการยอมรับจากทั่วโลกให้ใช้เป็นมาตรฐานสากล เนื่องจากเป็นกฎหมายใหม่ที่เพิ่งมีผลบังคับใช้ และครอบคลุมพื้นที่ประเทศต่างๆ ทั่วโลก ที่สำคัญคือมีบทลงโทษปรับสูงถึง 20 ล้านยูโร
ปี 2018 / พ.ศ. 2561 เป็นต้นมา
ได้มีการจัดการข้อมูลอย่างมีความรับผิดชอบ ผ่านการควบคุมดูแลทางไอที มีการดำเนินการข้อมูลอย่างโปร่งใสและใช้แอปพลิเคชันสมัยใหม่
ประเทศไทยกำลังจะมีมาตรฐานทางธุรกิจใหม่ในเรื่องการคุ้มครองข้อมูลส่วนบุคคล จากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ภาคธุรกิจกำลังตื่นตัว ให้ความสำคัญ และมีแนวโน้มที่ดีในการปรับตัวในเรื่องนี้
อ่านเพิ่มเติม…
หมายเหตุ : แก้ไขข้อมูล 27 พฤษภาคม 2565
