หนึ่งในปัจจัยพื้นฐานสำคัญของการทำธุรกิจในยุคเศรษฐกิจดิจิทัลก็คือดาต้าหรือข้อมูล ดังนั้น นอกจากการการเก็บรวบรวมข้อมูลของผู้ใช้งานจากช่องทางต่าง ๆ แล้ว ประเด็นด้านความปลอดภัยและการปกป้องข้อมูลส่วนบุคคล จึงเป็นประเด็นสำคัญที่หลายประเทศทั่วโลกตื่นตัวมากขึ้น ไม่เว้นแม้แต่ประเทศไทย
ทั้งนี้ เพื่อให้ก้าวทันกับกระแสโลก และให้ไทยได้รับการยอมรับและความไว้วางใจมากขึ้น เธียรชัย ณ นคร ประธานกรรมการ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ยืนกรานว่า การบังคับใช้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (พ.ศ.2562) หรือ PDPA (Personal Data Protection Act (B.E.2562) จะเป็นไปตามกำหนดการในวันที่ 1 มิถุนายนนี้แน่นอน หลังจากที่เลื่อนบังคับใช้มาแล้ว 2 ปี เนื่องจากมั่นใจว่า การที่ไทยมีกฎหมายนี้บังคับใช้ จะมีผลต่อการเพิ่มขีดความสามารถเศรษฐกิจดิจิทัลให้กับประเทศท่ามกลางประเทศคู่ค้าสำคัญของไทยที่มีการใช้กฎหมายลักษณะเดียวกัน
สำหรับเนื้อหาหลักของกฎหมายฉบับนี้ คือการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด จะต้องมีการขอจากเจ้าของข้อมูลส่วนบุคคลหรือตามที่มีการบัญญัติไว้ในกฎหมายฉบับนี้ จะต้องมีการบอกกล่าวถึงวัตถุประสงค์ในการนำข้อมูลไปใช้ และใช้ตรงตามวัตถุประสงค์ที่ระบุ อีกทั้งยังให้ความสำคัญกับการให้สิทธิแก่ “เจ้าของข้อมูลส่วนบุคคล” ที่สามารถขอให้เปลี่ยนแปลง แก้ไข ขอสำเนา ขอให้ลบได้ หากไม่ขัดกับหลักการหรือข้อกฎหมายใด ๆ และองค์กรที่ได้ข้อมูลส่วนบุคคลมาจะต้องมีมาตรการ และมาตรฐานในการบริหารจัดการดูแลข้อมูลเหล่านี้อย่างเหมาะสมและปลอดภัย
เธียรชัย อธิบายว่า หลังจากที่เดินสายพูดคุยทำความเข้าใจกับบรรดาเอกชนในหลายภาคส่วน ทางคณะกรรมการฯ ตระหนักและเข้าใจถึงความกังวลของเอกชนเหล่านี้เป็นอย่างดี ดังนั้น สิ่งที่อยากจะย้ำให้มั่นใจก็คือว่า การบังคับใช้ PDPA ในช่วงแรกเริ่มนี้จะเน้นไปที่การให้ความรู้ และสร้างความตระหนักในเรื่องสิทธิ์ของเจ้าของข้อมูลส่วนบุคคลแก่ประชาชน และส่งเสริมให้องค์กรภาครัฐและเอกชน ตระหนักถึงการต้องปฏิบัติตามกฎหมายฉบับนี้อย่างเคร่งครัด
“เราจะยังไม่พูดถึงในเรื่องของบทลงโทษ แต่จะให้เข้าใจว่าหัวใจสำคัญของพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ก็คือการรักษาความปลอดภัยข้อมูลส่วนบุคคลให้ได้ตามมาตรฐานที่ทางรัฐบาลกำหนดไว้อย่างเคร่งครัด มีการจำกัดสิทธิ์ในการเข้าถึงข้อมูล และหลัก ๆ บริษัทจะไม่สามารถนำข้อมูลส่วนบุคคลของลูกค้าไปขายได้ ยกเว้นแต่จะไปใช้เพื่อวิเคราะห์ประมวลผลเพื่อการพัฒนาสินค้าและบริการ และในการเก็บข้อมูลจากลูกค้าจะต้องได้รับความยินยอมจากเจ้าตัวก่อน”
ในมุมมองของเธียรชัย ไทยมีความจำเป็นที่จะต้องมีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เพราะการคุ้มครองข้อมูลส่วนบุคคลเป็นหลักสากลที่ประเทศต่างๆให้ความสำคัญ โดยเฉพาะคู่ค้าสำคัญของประเทศไทยที่ต่างนำหลักการคุ้มครองข้อมูลส่วนบุคคลมาตราเป็นกฎหมายเพื่อคุ้มครองประชาชนในประเทศของตนเอง
ยกตัวอย่างเช่น ในกรณีของ สหภาพยุโรป มีกฎหมายชื่อ General Data Protection Regulation หรือ GDPR บังคับใช้ไปตั้งแต่ปี 2561 ทำให้ประเทศต่างๆเริ่มมีกฎหมายลักษณะเดียวกัน เช่น สิงคโปร์ มาเลเซีย อินโดนิเซีย ฟิลิปปินส์ ญี่ปุ่น เกาหลีใต้ ไต้หวัน ฮ่องกง และจีน เป็นต้น ดังนั้น ในขณะที่ไทยมีรายงานการละเมิดข้อมูลส่วนบุคคลเพิ่มมากขึ้น และยังไม่มีการบังคับใช้กฎหมายดังกล่าว ซึ่งจะมีส่วนกระตุ้นให้องค์กรต่าง ๆ ตระหนักถึงความสำคัญจำเป็นของการรักษาความปลอดภัยของข้อมูลที่เก็บจากประชาชนหรือลูกค้าของตน จนทำให้ข้อมูลลูกค้ารั่วไหลออกไปยังผู้ที่ไม่ประสงค์ดีต่อเจ้าของข้อมูลส่วนบุคคล ภาคธุรกิจของไทยย่อมไม่ได้รับความเชื่อถือจากบรรดาคู่ค้าแน่นอน
เธียรชัย อธิบายว่า การมีกฎหมาย PDPA นอกจากจะช่วยในการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลแล้ว ยังทำให้องค์กรที่เก็บข้อมูลส่วนบุคคลต้องมีการทบทวนถึงความจำเป็นของการเก็บประมวลผล และใช้ข้อมูลว่ามีความจำเป็นมากน้อยเพียงใด ต้องให้ความสำคัญกับข้อมูลส่วนบุคคลว่าได้มาอย่างไร เก็บรักษาอย่างไร และใช้อย่างไร เพื่อลดต้นทุนในการบริหารจัดการ การเก็บ ประมวลผล และใช้ รวมทั้งให้สิทธิแก่เจ้าของข้อมูลและการรักษาความปลอดภัยของข้อมูล ซึ่งจะทำให้องค์กรสามารถใช้ประโยชน์จากข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพในระยะยาว
ขณะเดียวกันความเป็นสากลของการคุ้มครองข้อมูลส่วนบุคคลที่ระบุใน PDPA ยังเป็นเครื่องมือหนึ่งที่จะช่วยให้การทำธุรกิจที่อาศัยข้อมูลผ่านสื่อและอุปกรณ์ดิจิทัลระหว่างไทยกับประเทศต่าง ๆ เป็นไปโดยราบรื่นและมีฐานะที่เท่าเทียมกัน และทำให้ไม่ว่าองค์กรต่าง ๆ ที่อยู่ต่างประเทศ หากมีการเก็บข้อมูลคนในประเทศไทย ต้องปฏิบัติตามกฎหมายฉบับนี้
ในส่วนของข้อกังวลเกี่ยวกับบทลงโทษที่บางองค์การเห็นว่ามากเกินไป เช่นการลงโทษทางอาญาที่มีโทษจำคุกสูงสุด 1 ปี หรือโทษทางปกครองที่ปรับได้ถึง 5 ล้านบาท และคิดว่าการลงโทษแบบนี้ในต่างประเทศไม่มี ซึ่งโดยข้อเท็จจริงแล้วหลายๆประเทศในอาเซียนมีบทลงโทษทางอาญาเช่นกัน ส่วนโทษทางปกครองนั้นทางคณะกรรมการกำลังยกร่างเพื่อกำหนดโทษแบบจากเบาไปหาหนัก เพื่อไม่ให้สร้างความตระหนกแก่องค์กรต่างๆมากเกินไป
“โดยสรุปแล้ว ผมมองว่า ตัวกฎหมายมีความจำเป็นต้องนำมาบังคับใช้ ดังนั้นอย่าเพิ่งกังวลเรื่องมาตรการลงโทษ ซึ่งขณะนี้ ทางคณะกรรมการฯ กำลังจัดทำหลักเกณฑ์และขั้นตอนการพิจารณาโทษ เพื่อใช้เป็นมาตรฐานเบื้องต้นให้มีการบังคับใช้กฎหมายในทิศทางเดียวกัน และจะค่อยๆ ปรับการบังคับใช้ให้สอดคล้องกับบริบทมากขึ้น ซึ่งในช่วงเริ่มแรกจะพิจารณาจากความเสียหาย และเจตนาเป็นหลัก เช่น องค์กรป้องกันเป็นอย่างดี แต่โดนแฮ็กย่อมไม่ถือว่ามีความผิด แต่หาพิสูจน์ได้ว่า การแฮ็กเป็นผลจากความประมาทเลินเล่อ องค์กรก็ต้องแสดงความรับผิดชอบ”
ทั้งนี้ เธียรชัยกล่าวว่า การบังคับใช้กฎหมาย PDPA ไม่น่าจะมีผลกระทบกับองค์กรขนาดใหญ่มากนัก เพราะแทบจะทั้งหมด ต่างให้ความสำคัญกับการปกป้องข้อมูลส่วนบุคคลอย่างเข้มงวดในช่วง 2-3 ปีที่ผ่านมา เพราะเกี่ยวเนื่องกับภาพลักษณ์และความน่าเชื่อถือขององค์กร ส่วนที่น่าเป็นห่วงก็คือธุรกิจขนาดกลางและขนาดเล็ก (เอสเอ็มอี) ดังนั้นจึงเป็นหน้าที่ของคณะกรรมการฯ ที่จะต้องเร่งเดินสายพูดคุยเพื่อให้เกิดความเข้าใจที่ตรงกัน
โดยก่อนช่วงก่อนวันที่ 1 มิถุนายนนี้ ทางคณะกรรมการจะทยอยประกาศกฎหมายรองที่จะทำให้เกิดความชัดเจนในการปฎิบัติซึ่งจะทำให้องค์กรต่าง ๆ ปรับตัวเข้าสู่การใช้ PDPA ได้อย่างราบรื่น อีกทั้งยังต้องมีการพูดคุยเพื่อรับฟังปัญหาที่เกิดขึ้นหลังจากที่กฎหมาย PDPA มีผลบังคับใช้เพื่อพิจาณาปรับปรุง หรือเขียนกฎหมายรองออกมาให้การกำกับดูแลครอบคลุมรัดกุมมากขึ้น
“สิ่งที่เราคาดหวังก็คือการทำให้ไทยเกิดความตระหนักรู้และเข้าใจเรื่องของข้อมูลส่วนบุคคล เพื่อป้องกันไม่ให้มีการนำไปใช้อย่างผิดวัตถุประสงค์ ซึ่งจะทำให้ในที่สุด ประเทศไทยจะได้รับการยอมรับจากนานาประเทศ และหากเป็นไปได้ ก็อยากที่จะดันให้ “ความเป็นส่วนตัว” (privacy) เป็นอีกหนึ่งดัชนีชี้วัด ธรรมาภิบาลองค์กร (Corporate Governance) ของไทยต่อไป” เธียรชัยกล่าว
ข่าวอื่น ๆ ที่น่าสนใจ
สลิงชอท กรุ๊ป เผย 7 เทรนด์สำคัญ การบริหารคนและองค์กรในปี 2565
