เศรษฐกิจและการเมืองยุคดิจิทัล ใช้ข้อมูลของประชาชนและผู้บริโภคเป็นพื้นฐานในการทำความเข้าใจตลาดการเมืองและเศรษฐกิจ อย่างไรก็ดีเจ้าของข้อมูลทั้งหลายได้รับประกันสิทธิในความเป็นส่วนตัวและข้อมูลส่วนบุคคลจะถูกนำไปใช้ตามอำเภอใจไม่ได้ เว้นแต่สอดคล้องกับวัตถุประสงค์ที่กฎหมายยอมรับ หรือได้รับความยินยอมจากเจ้าของข้อมูลเสียก่อน ดังนั้นหากรัฐบาลหรือบรรษัททั้งหลายต้องการนำข้อมูลส่วนบุคคลไปใช้งาน จะต้องยกระดับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลให้ได้ตามหลักการและแนวคิด 12 ประการที่สกัดจากกฎหมายสำคัญ 2 ฉบับ คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และหากต้องการไปให้ถึงมาตรฐานสากลและสามารถสร้างความร่วมมือกับสากลโลกได้ก็ต้องตระหนักถึงมาตรฐานที่ยอมรับกันในตลาดเสรี คือ กฎการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป EU General Data Protection Regulation (GDPR) โดยเน้นประเด็นสำคัญอันต้องนำไปปรับมาตรการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานวิจัยและสร้างแนวทางและคู่มือเชิงนโยบายเพื่อเป็นแนวทางการใช้ประโยชน์จากข้อมูลส่วนบุคคลโดยคำนึงถึง 3 หมวด แยกออกเป็น 12 ประเด็นหลัก ดังต่อไปนี้
การเคารพสิทธิในข้อมูลส่วนบุคคล
1. การรับรองสิทธิในการคุ้มครองข้อมูลส่วนบุคคล โดยยืนยันสิทธิส่วนบุคคลก่อนที่จะบอกว่า รัฐหรือบรรษัทมีอำนาจในการเข้าไปกักเก็บ ดัก หรือประมวลผลข้อมูลส่วนบุคคล อาทิ ประกาศนโยบายแก่บุคคล (Privacy Policy) ว่า องค์กรท่านจะเก็บ รวบรวม ประมวลผล ใช้ประโยชน์ หรือส่งต่อข้อมูลพันธุกรรม ตามความยินยอมเพื่อวัตถุประสงค์ใด โดยเคารพสิทธิเจ้าของข้อมูล อาทิ สิทธิเข้าถึง ทำสำเนา โอน คัดค้านการใช้ ลบทำลายไม่ระบุตัว ระงับการใช้ ให้แก้ไขเป็นปัจจุบัน และยืนยันจะให้เจ้าของข้อมูลใช้สิทธิได้ โดยในส่วนต้นของสัญญาต้อง รับรองสิทธินี้ของบุคคลว่าเป็นเจ้าของข้อมูล มีสิทธิในการอนุญาตหรือปัดป้องการใช้ของมูลส่วนบุคคลโดยบริษัทหรือรัฐ
2. การกำหนดนิยาม/องค์ประกอบว่าอะไร คือ ข้อมูลส่วนบุคคล ให้แยกแยะและให้รายละเอียดว่าข้อมูลใดบ้างที่ได้รับการคุ้มครอง หรือข้อมูลอ่อนไหวใด ๆ ที่จะได้รับการคุ้มครองเป็นพิเศษ การจำแนกประเภทและจัดระบบจะต้องรักษาข้อมูลอะไร เช่น มีการทำให้ข้อมูลระบุตัวตนไม่ได้หรือทำให้เป็นนิรนามไม่บ่งชี้โรคของเจ้าของข้อมูล ศาสนาความเชื่อ อุดมการณ์การเมือง มีระบบอำพรางด้วยการเข้ารหัส ระบบรักษาความลับห้ามทำให้รั่วไหลออกไปสู่บุคคลอื่น หรือบอกเงื่อนไขการใช้ประโยชน์ของข้อมูลบางประเภท ว่าข้อมูลประเภทใดจะถูกส่งต่อให้ผู้อื่นวิเคราะห์ประมวลข้อมูลทางการวิจัยหรือมีการทำให้ระบุตัวตนไม่ได้หรือนิรนาม มีระบบติดตามว่าผู้ประมวลผลทำตามข้อตกลงที่ให้ไว้กับผู้ควบคุมข้อมูลอย่างไร การกำหนดว่าธนาคารข้อมูลที่มีข้อมูลการจำแนกประเภทและจัดระบบจะต้องรักษาข้อมูลอะไร และข้อมูลอ่อนไหวพิเศษ เช่น รหัส หรือโรคของเจ้าของพันธุกรรมไว้เป็นความลับห้ามทำให้รั่วไหลออกไปสู่บุคคลอื่น หรือบอกเงื่อนไขการใช้ประโยชน์ของข้อมูลบางประเภท ว่านำข้อมูลไปส่งต่อให้ผู้อื่นวิเคราะห์ประมวลข้อมูลทางการวิจัยได้หรือไม่อย่างไร
3. การกำหนดหน้าที่ของผู้ควบคุมระบบและประมวลผลข้อมูล มีการระบุว่าผู้ที่จัดการข้อมูลทางเทคนิคคือใคร นักวิจัยที่ได้ข้อมูลมา และอาจประมวลวิเคราะห์ผลจนได้รายงานต่าง ๆ แล้วส่งข้อมูลต่อ วัฏจักรในการประมวลผลข้อมูล กำหนดว่า ผู้จัดเก็บข้อมูลส่วนบุคคลรายแรกคือใคร มีหน้าที่ต้องรักษาข้อมูลการเข้าใช้ข้อมูลพันธุกรรมของประชากรเพื่อการศึกษา เส้นทางการส่งต่อประมวลผล หรือแบ่งปันใช้งานกับใคร ใช้ระบบปกป้องสิทธิใด และรับถอนความยินยอม โดยเฉพาะการกำหนดว่าผู้จัดเก็บข้อมูลรายแรกต้องรักษาข้อมูลการเข้าใช้ข้อมูลของประชากรเพื่อการศึกษาตลอดวงจรการไหลเวียนข้อมุล ไม่นำไปขายต่อให้บริษัทที่ปดำเนินการทางธุรกิจโดยพลการ
4. การประกันสิทธิในข้อมูลส่วนบุคคลของประชากรวิจัย มีการชี้แจงนโยบาย (Privacy Policy) รายละเอียดการคุ้มครองข้อมูลส่วนบุคคล เช่น เจ้าของข้อมูลส่วนบุคคลต้อง “ยินยอม” ก่อนที่ผู้จัดเก็บพันธุกรรมจะเอาข้อมูลไปใช้ประโยชน์ หรือผู้ให้บริการต้องแจ้งเจ้าของข้อมูลว่าจะมีการเก็บข้อมูลส่วนบุคคล ดังกรณีที่ก่อนการจัดเก็บข้อมูล หรือเข้าร่วมโครงการวิจัยต่าง ๆ จะมีการแจ้งเตือนเรื่องสิทธิในข้อมูลส่วนบุคคลให้ทราบ (Informed Consent) โดยผู้ที่เข้าร่วมโครงการวิจัยต้องสามารถเข้าใจภาษาและลักษณะของโครงการได้จริงก่อนที่จะแสดงความยินยอมอย่างชัดแจ้ง ซึ่งมิใช่เพียงการแจ้งรายละเอียดแล้วไม่ต้องให้แสดงความยินยอม (Privacy Notice) แบบทั่วไป โดยแบบแสดงความยินยอมเข้าร่วมโครงการต้องลงลึกในสิทธิปลีกย่อยโดยละเอียด
การป้องกันความรับผิดของ ผู้จัดเก็บ ผู้ใช้ประโยชน์ ผู้ประมวลผลข้อมูลพันธุกรรมมนุษย์ขององค์กร
5. การกำหนดขอบเขตและเงื่อนไขในการจัดเก็บข้อมูลส่วนบุคคลและประมวลผล กำหนดหน้าที่ให้ผู้ควบคุมข้อมูลจัดการโดยเชื่อมโยงกับสิทธิของเจ้าของข้อมูลส่วนบุคคล เช่น การบอกวัตถุประสงค์ในการเก็บข้อมูล ระยะเวลาในการเก็บข้อมูล จะทำลายข้อมูลทิ้งเมื่อไหร่ และจัดเก็บข้อมูลไว้ที่ไหน เจ้าของข้อมูลจะเข้าตรวจสอบความถูกต้องของข้อมูลที่เกี่ยวข้องกับตัวเองได้หรือไม่ แจ้งเหตุการณ์รั่วไหล ทำบันทึกรายการ การให้เจ้าของข้อมูลใช้สิทธิเข้าถึง และมีวิธีทำสำเนา แก้ไข ลบทำลายไม่ระบุตัวตน ระงับการใช้ รวมไปจนถึงช่องทางรับถอนความยินยอม
6. การกำหนดเงื่อนไขในการส่งข้อมูลไปให้บุคคลที่สามหรือข้ามพรมแดน ครอบคลุมกรณีที่ผู้ที่จัดการข้อมูลรายแรกส่งข้อมูลจากผู้ควบคุมระบบรายหนึ่งไปผู้ประมวลผลรายอื่น หรือการส่งต่อข้อมูลไปยังผู้ดูแลระบบข้อมูลที่อยู่ต่างประเทศ เช่น ธนาคารหรือระบบฐานข้อมูลได้ยืนยันมาตรฐานขั้นต่ำในกรณีที่ผู้ควบคุมข้อมูลรายแรกส่งต่อข้อมูลไปยังผู้ควบคุมหรือประมวลผลข้อมูลรายอื่น หรือการส่งข้อมูลจากผู้ควบคุมระบบรายหนึ่งไปผู้ประมวลผลที่อยู่ต่างประเทศหรือไม่ มีการเตรียมความพร้อมต่อมาตรฐานสากลของประเทศคู่ความร่วมมือ ให้หลักประกันว่าการส่งข้อมูลไปยังผู้ประมวลผลในต่างประเทศว่าจะมีตามมาตรฐานของประเทศนั้นและประเทศไทยด้วย ทั้งภายในสถาบันเดียวกัน และนอกสถาบัน ตั้งตัวแทนในไทยเพื่อรับผิดชอบ
7. มาตรการปกป้องข้อมูลส่วนบุคคลจากภัยพิบัติหรืออาชญากรรม ทั้งหน่วยงานวิจัยรัฐ/ผู้ประกอบการเอกชนมีหน้าที่ป้องกันภัยจาการโจรกรรมของข้อมูลโดยอาชญากร หรือแม้แต่การจารกรรมข้อมูลโดยผู้ก่อการร้าย รวมไปถึงกรณีความเสียหายเกิดจากภัยพิบัติธรรมชาติด้วย เช่น องค์กรของท่านมีระบบป้องกันภัยจากการเจาะ โจรกรรมข้อมูล รวมไปถึงกรณีความเสียหายเกิดจากภัยพิบัติธรรมชาติ ได้มาตรฐานด้านการป้องกันความเสี่ยงต่อข้อมูลซึ่งเป็นที่ยอมรับโดยองค์กร/ประเทศคู่ความร่วมมือ และเป็นไปตามมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลตามประกาศของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
8. การกำหนดเงื่อนไขในการกักเก็บข้อมูล กำหนดขอบเขตระยะเวลาในการเก็บข้อมูลว่า หากพ้นระยะเวลาที่กำหนด(ตามวัตถุประสงค์และความจำเป็น) ผู้ควบคุมและประมวลผลหรือหน่วยงานที่เก็บกักข้อมูลไว้จะต้องทำลายข้อมูลเหล่านั้นเสีย หรือทบทวนข้อมูลที่กักเก็บไว้หรือไม่ มีการสร้างระบบตรวจสอบเงื่อนไขการส่งข้อมูลพันธุกรรมของประชาชนให้หน่วยงานอื่นด้วยกระบวนการใด หน่วยงานมีระบบทบทวนที่เก็บกักข้อมูลไว้จะต้องทำลายข้อมูลเหล่านั้นเสีย หรือไม่ส่งข้อมูลส่วนบุคคลของประชาชนให้หน่วยงานความมั่นคงของรัฐตามอำเภอใจ โดยไม่มีหมายศาลสั่งมา
9. การปราบปรามอาชญากรรมป้องกันการก่อการร้าย โดยขอข้อมูลส่วนบุคคลเป้าหมายที่เป็นภัยยึดโยงกับกระบวนการยุติธรรมและต้องมีหมายศาล โดยข้ออ้างทั้งหลายจะต้องมีลักษณะเฉพาะเจาะจง กล่าวคือ มีความเสี่ยงเกิดอาชญากรรมตามประมวลกฎหมายอาญา หมวดความมั่นคงแห่งรัฐ ความสงบสุข ชีวิต ทรัพย์สิน นั่นเอง มิใช่การใช้อำนาจตามอำเภอใจโดยปราศจากการตรวจสอบจากศาล มีหมายศาล กระบวนการตรวจสอบถ่วงดุล โปร่งใส มีระบบรับผิดหากใช้ไปโดยมิชอบ ตามฐานวัตถุประสงค์ที่ชอบด้วยกฎหมายที่ให้อำนาจรัฐในการขอเข้าถึงและใช้ประโยชน์จากข้อมูล
การสร้างกลไกในการระงับข้อพิพาทและเยียวยาสิทธิให้กับเจ้าของข้อมูลเมื่อมีการละเมิดสิทธิ
10. การสร้างกลไกหรือองค์กรในการคุ้มครองข้อมูลส่วนบุคคล ตั้งเจ้าหน้าที่หรือคณะทำงานคุ้มครองข้อมูลส่วนบุคคลหรือควบคุมจริยธรรมขึ้น เพื่อตรวจตราหน่วยงานตนเองรวมถึงผู้ประมวลผลข้อมูลพันธุกรรมมนุษย์ให้ปฏิบัติตามนโยบายหรือไม่ ต้องมีการปรับบทบาทของสถาบันและองค์กรให้รับเรื่องร้องทุกข์จากประชาชนที่ถูกละเมิดสิทธิได้อย่างอิสระปราศจากการแทรกแซงโดยองค์กรที่ทำวิจัย และออกมาตรการต่าง ๆ เพื่อบังคับผู้ควบคุมระบบหรือผู้ประมวลผลข้อมูลส่วนบุคคลให้แก้ไขปัญหา หรือจะให้ใครเป็นตัวแทนเจ้าของข้อมูลในกระบวนการสอบสวนข้อเท็จจริง หรือตรวจตราแก้ไข ไปจนถึงการช่วยฟ้องบังคับคดีในศาล
11. การบังคับตามสิทธิโดยกำหนดมาตรการทางกฎหมายมหาชนและโทษทางอาญา ออกแบบกลไกในการเข้าไปตรวจสอบ เพื่อระงับการละเมิดสิทธิ ปรับปรุงแก้ไขปัญหา หรือทำลายข้อมูลทิ้งที่เก็บหรือประมวลผลโดยขัดกับกฎหมายหรือผิดสัญญาที่ตกลงไว้กับประชากรเจ้าของข้อมูลทั้งหลาย เช่น กรณีมีผู้ร้องเรียนว่านิติบุคคลนั้นเอาข้อมูลของผู้ร่วมโครงการไปขายต่อให้บริษัทอื่น ๆ จนมีการนำข้อมูลที่ได้มาจากสถาบันวิจัยเหล่านั้นไปใช้อย่างผิดวัตถุประสงค์ โดยที่เจ้าของข้อมูลมิได้ยินยอม เพื่อป้องกันการนำข้อมูลไปใช้โดยไม่ได้รับการยินยอม โดยต้องออกแบบกลไกในการเข้าไปตรวจสอบโดยผู้เชี่ยวชาญ เพื่อระงับการละเมิดสิทธิ ปรับปรุงแก้ไขปัญหา หรือลบทำลายข้อมูลทิ้งที่เก็บหรือประมวลผลโดยขัดกับกฎหมายหรือผิดข้อตกลงกับเจ้าของข้อมูลพันธุกรรม มีการกำหนดบทลงโทษทางปกครองและมีมาตรการบังคับให้ยุติการส่งข้อมูลหรือลบทำลายระบุตัวตนไม่ได้ ชดใช้ค่าสินไหมทดแทน เพื่อป้องกันการนำข้อมูลไปใช้โดยมิชอบอันเป็นความผิดอาญา
12. การสร้างช่องทางรับเรื่องร้องทุกข์และกลไกเยียวยาสิทธิให้ประชาชน ได้สร้างกลไกที่รับเรื่องราวร้องทุกข์จากเจ้าของข้อมูลส่วนบุคคลเพื่อนำไปสู่การหามาตรการเยียวยาอย่างเป็นรูปธรรม ช่องทางให้เจ้าของข้อมูลติดต่อหน่วยวิจัยเพื่อเข้าถึงข้อมูล แล้วโอนชุดข้อมูล คัดค้านการใช้ ให้ลบทำลายไม่ระบุตัว ระงับการใช้ ให้แก้ไข หรือแนวทางเมื่อมีการร้องขอให้คณะกรรมการผู้เชี่ยวชาญหรือศาลบังคับให้หน่วยวิจัยดำเนินการตามคำขอ ไปจนถึงการถอนความยินยอม เพื่อนำไปสู่การหามาตรการเยียวยาอย่างเป็นรูปธรรม เช่น ถ้าเจ้าของข้อมูลเห็นว่าหน่วยวิจัยแห่งหนึ่งมีชุดข้อมูลที่เกี่ยวข้องกับตัวเองซึ่งมีประวัติการรักษาติดไป หรือมีเนื้อหาผิดเกี่ยวกับชีวิตของตน ก็สามารถร้องขอให้ศาลหรือองค์กรคุ้มครองข้อมูลส่วนบุคคลบังคับให้เว็บไซต์เหล่านั้นลบข้อมูล หรือแก้ไขข้อมูลให้ถูกต้อง