สภาผู้บริโภคห่วงกระบวนการเลือกตั้ง เสี่ยงกระทบข้อมูลส่วนบุคคล เสนอ กกต. ทบทวนมาตรการให้สอดคล้องกับ PDPA ป้องกันความเสี่ยงและยกระดับความโปร่งใส
จากกระแสข้อกังวลต่อกระบวนการจัดเก็บข้อมูลในการเลือกตั้งของคณะกรรมการการเลือกตั้ง (กกต.) ที่อาจมีความเสี่ยงเชื่อมโยงข้อมูลถึงผู้มาใช้สิทธิเลือกตั้ง สภาผู้บริโภค เรียกร้องให้หน่วยงานที่เกี่ยวข้องปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act B.E. 2562) อย่างชัดเจน เพื่อสร้างความเชื่อมั่นต่อกระบวนการเลือกตั้ง ป้องกันความเสี่ยงและยกระดับความโปร่งใสในอนาคต
ดร.อุดมธิปก ไพรเกษตร อนุกรรมการด้านการสื่อสาร โทรคมนาคม และเทคโนโลยีสารสนเทศ ของสภาผู้บริโภค ระบุว่า แม้ระบบจัดเก็บข้อมูลการใช้สิทธิเลือกตั้งจะมีความซับซ้อน แต่ในทางเทคนิคยังมีความเป็นไปได้ที่ข้อมูลผู้ใช้สิทธิอาจถูกเชื่อมโยงกลับถึงตัวบุคคลผู้ใช้สิทธิ หากมีผู้ไม่หวังดี ที่พยายามเชื่อมโยงข้อมูลจากหลายแหล่ง
ทั้งนี้ จากการวิเคราะห์เบื้องต้น พบว่า หากมีการเข้าถึงรหัสคิวอาร์โค้ดหรือบาร์โค้ดบนบัตรลงคะแนน แล้วนำไปเทียบกับต้นขั้วบัตรที่มีรหัสเดียวกัน จากนั้นตรวจสอบลำดับรายชื่อผู้มีสิทธิเลือกตั้งในหน่วยเลือกตั้ง ก็อาจระบุตัวผู้ลงคะแนนได้ แม้การดำเนินการลักษณะนี้ ในวงกว้างจะทำได้ยากและต้องใช้ทรัพยากรจำนวนมาก แต่ในเชิงเทคโนโลยีถือว่ายังมีความเป็นไปได้ ซึ่งกระทบความเชื่อมั่นของประชาชนต่อมาตรการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานที่เกี่ยวข้อง
ดร.อุดมธิปก ตั้งข้อสังเกตว่า ในกระบวนการเลือกตั้งครั้งที่ผ่านมา อาจมีการดำเนินการไม่ครบถ้วนตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ในสองประเด็นหลัก ได้แก่ การไม่มีประกาศนโยบายความเป็นส่วนตัว (Privacy Notice) ตามมาตรา 23 ซึ่งกฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์ ฐานกฎหมาย และรายละเอียดการเก็บ ใช้ หรือเปิดเผยข้อมูลให้เจ้าของข้อมูลทราบอย่างชัดเจนก่อนหรือขณะเก็บข้อมูล หากไม่มีประกาศดังกล่าวอย่างครบถ้วน อาจเข้าข่ายไม่ปฏิบัติตามหน้าที่ตามกฎหมาย
ขณะเดียวกัน หน่วยงานของรัฐต้องจัดทำบันทึกรายการประมวลผลข้อมูล (RoPA: Records of Processing Activities) ตามมาตรา 39 แห่ง PDPA ในฐานะผู้ควบคุมข้อมูล เพื่อแสดงรายละเอียดตั้งแต่แหล่งที่มา วัตถุประสงค์ ระยะเวลาเก็บรักษา ไปจนถึงมาตรการลบหรือทำลายข้อมูล ซึ่งจะทำให้ทราบกระบวนการจัดการข้อมูลส่วนบุคคลในการใช้สิทธิเลือกตั้ง ซึ่งหากหน่วยงานไม่จัดทำบันทึกดังกล่าว จะมีความผิดทางปกครองตาม PDPA หรือประชาชนไม่มั่นใจ มีสิทธิใช้ช่องทางตามกฎหมายเพื่อตรวจสอบได้
นอกจากนี้ PDPA ยังบัญญัติให้ผู้ควบคุมข้อมูลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา 37 เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลโดยไม่มีสิทธิ หากเกิดการละเมิดและมีการกระทำโดยเจตนาหรือประมาทเลินเล่ออย่างร้ายแรง อาจมีความรับผิดทั้งทางแพ่ง ทางปกครอง และทางอาญา โดยเฉพาะกรณีข้อมูลอ่อนไหว เช่น ความคิดเห็นทางการเมือง ซึ่งได้รับความคุ้มครองเป็นพิเศษ
ดร.อุดมธิปก กล่าวต่อว่า แม้ กกต. จะมีอำนาจเก็บข้อมูลเพื่อประโยชน์สาธารณะ แต่ต้องจำกัดเฉพาะเท่าที่จำเป็น และเปิดเผยรายละเอียดให้ประชาชนรับทราบอย่างโปร่งใส พร้อมเสนอให้กลับไปใช้แนวทางการจัดเก็บข้อมูลเช่นเดียวกับการเลือกตั้งปี 2566 ที่การตรวจสอบรหัสคิวอาร์โค้ดทำได้เพียงระดับเล่มของต้นขั้ว ไม่ใช่ระดับรายใบ เพื่อลดความเสี่ยงในการระบุตัวบุคคล รวมถึงปรับปรุงมาตรฐานการทำงานในการเลือกตั้งครั้งต่อไป เพื่อป้องกันปัญหาด้านข้อมูลส่วนบุคคลไม่ให้เกิดซ้ำ
สำหรับแก่นสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคล ไม่ได้มุ่งเพียงป้องกันการรั่วไหลของข้อมูลเท่านั้น แต่ต้องการสร้างมาตรฐานความรับผิดชอบและการเคารพสิทธิระหว่างผู้เก็บข้อมูลกับเจ้าของข้อมูล ประชาชนจึงควรติดตาม ตรวจสอบ และใช้สิทธิตามกฎหมาย เพื่อให้หน่วยงานที่เกี่ยวข้องดำเนินงานอย่างโปร่งใสและรัดกุมยิ่งขึ้น
“ข้อมูลส่วนบุคคลเป็นสิทธิขั้นพื้นฐานของเจ้าของข้อมูล หน่วยงานรัฐและเอกชนต้องแจ้งวัตถุประสงค์และฐานกฎหมายก่อนเก็บข้อมูล ต้องเก็บเท่าที่จำเป็น และใช้ตามวัตถุประสงค์ที่แจ้งไว้ พร้อมจัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม ประชาชนมีสิทธิขอเข้าถึง แก้ไข ลบ หรือร้องเรียนเมื่อข้อมูลถูกใช้โดยมิชอบ ดังนั้น PDPA ไม่ใช่เพียงเรื่องข้อมูลรั่วไหล แต่คือมาตรฐานความรับผิดชอบและการเคารพสิทธิของประชาชนทุกคน” ดร.อุดมธิปก กล่าว
