รัฐประสานเสียงพร้อมบังคับใช้ PDPA อย่างผ่อนปรน เอกชนขานรับ วอนขอความชัดเจนและแรงสนับสนุน

ตัวแทนผู้เชี่ยวชาญจากหน่วยงานภาครัฐและเอกชน ในแง่ของผู้บังคับใช้กฎหมายและผู้ปฎิบัติตามกฎหมายเข้าร่วมการเสวนาสะท้อนความพร้อมการเตรียมบังคับใช้พระราชบัญญัติข้อมูลส่วนบุคคล (PDPA: Personal Data Protection Act) ที่จะมีผลอย่างเป็นทางการในวันที่ 1 มิถุนายนนี้ หลังจากที่เลื่อนมา 2 ปี โดยทุกฝ่ายเห็นด้วยกับการที่ไทยต้องมี PDPA เพียงแต่แนวทางปฎิบัติตามต้องขอแรงสนับสนุนจากหน่วยงานบังคับใช้ของรัฐ

เธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) กล่าวว่า หัวใจหลักของการบังคับใช้กฎหมายฉบับนี้ คือ การสร้างความเชื่อมั่นให้กับประชาชนว่าข้อมูลส่วนบุคคลของคนจะมีการนำไปใช้อย่างโปร่งใส เป็นธรรม ป้องกันไม่ให้องค์กรใช้ข้อมูลในทางที่ผิดจนก่อให้เกิดการละเมิดสิทธิข้อมูลส่วนบุคคลได้ ซี่งการมีกฎหมายฉบับนี้จะทำให้หน่วยงานรัฐและเอกชนตระหนักเสมอว่า ต้องรักษาความปอดภัยในการใช้ข้อมูลอยู่เสมอ

นอกจากนี้ เธียรชัย ได้ใช้โอกาสนี้เรียกร้องให้ทุกหน่วยงานมองภาพรวมว่า กฎหมาย PDPA ยกระดับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของไทยให้ทัดเทียมนานาประเทศ ดังนั้น การบังคับใช้กฎหมายดังกล่าวในไทย จึงเป็นกุญแจสำคัญที่จะช่วย ส่งเสริมให้ภาคธุรกิจของไทยมีมาตรฐานการใช้ข้อมูลเป็นที่ยอมรับในระดับสากล เพิ่มขีดความสามารถในการแข่งขันและช่วยเปิดประตูสู่โอกาสใหม่ ๆ บนเวทีโลกได้เข้มแข็งยิ่งขึ้น

ด้าน ชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ได้กล่าวปาฐกถาพิเศษในหัวข้อ “กฏหมายคุ้มครองข้อมูลส่วนบุคคลกับการขับเคลื่อนเศรษฐกิจและสังคมดิจิทัล” ในงานสัมมนา “แนวทางการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” ว่า การคุ้มครองข้อมูลส่วนบุคคลเป็นสิ่งที่ทางกระทรวงฯ ให้ความสำคัญควบคู่ไปกับการส่งเสริมสนับสนุนการสร้างสรรค์นวัตกรรม และการใช้ประโยชน์จากเทคโนโลยีดิจิทัลของหน่วยงานรัฐและเอกชนได้อย่างเต็มศักยภาพ ดังนั้น ระยะเวลาการบังคับใช้กฎหมาย PDPA ในช่วงแรกจึงเป็นแบบผ่อนปรน เน้นการตักเตือนมากกว่าการลงโทษเป็นหลัก

ขณะเดียวกัน เพื่อช่วยให้หน่วยงานรัฐสามารถปฎิบัติตามกฎหมาย PDPA ได้อย่างครบถ้วนสมบูรณ์ ทางกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมจึงได้มอบหมายให้ทางสำนักงานคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ (สดช.) ได้ดำเนินงานโครงการแพลตฟอร์มภาครัฐ เพื่อรองรับกฎหมายคุ้มครองส่วนบุคคล โดยออกแบบระบบปฏิบัติงานไว้ด้วยกัน 4 ระบบ ประกอบด้วย

1. ระบบบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities Platform)
2. ระบบบริหารจัดการความยินยอม (Consent Management Platform) เพื่อใช้ในการบริหารจัดการความยินยอมของเจ้าของข้อมูลส่วนบุคคล
3. ระบบจัดการการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Access Request Platform)
4. ระบบจัดการ การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach Notification Platform) ซึ่งสามารถแจ้งเหตุ ละเมิดข้อมูลส่วนบุคคล ไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส) ภายใน 72 ชั่วโมง

ทั้งนี้ ชัยวุฒิ ระบุว่า แพลตฟอร์มทั้ง 4 อยู่ภายใต้โครงการพัฒนาแพลตฟอร์มภาครัฐ เพื่อรองรับการ ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (GPPC) ซึ่งได้รับการออกแบบให้เป็นไปตาม พ.ร.บ. คุ้มครองข้อมูลฯ และสอดรับกับหน้าที่หลักของหน่วยงานรัฐภายใต้กฎหมายฉบับนี้ โดยจะทำงานระบบคลาวด์กลางภาครัฐ คอยส่งเสริมสนับสนุนการดำเนินงานตามหน้าที่ของหน่วยงานรัฐภายใต้กฎหมาย และบริหารจัดการการใช้ข้อมูลส่วนบุคคลให้มีความสะดวก และมีประสิทธิภาพปลอดภัย ยิ่งไปกว่านั้น ยังเป็นระบบ ปฏิบัติงานแบบเปิด (Open Source) ที่ทุกหน่วยงานในส่วนราชการสามารถนำไปปรับใช้ จึงช่วยประหยัดงบประมาณโดยรวมของไทยในระยะยาว

“ที่ผ่านมา กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมพยายามที่จะวางระบบโครงสร้างพื้นฐานให้กับประเทศทั้งด้านการเงิน และการค้าซึ่งกฎหมายคุ้มครองข้อมูลส่วนบุคคลนี้ จะเป็นส่วนสำคัญที่ทำให้เศรษฐกิจไทยเติบโตได้ตามเป้าหมาย 30% ของจีดีพี และหวังให้การบังคับใช้กฎหมายทำให้ภาครัฐมีแนวทางนำข้อมูลส่วนบุคคลต่าง ๆ ที่แต่ละหน่วยงานมี มาบูรณาการให้เกิดประโยชน์สูงสุดแก่ประชาชนได้อย่างถูกต้อง ปลอดภัยและเหมาะสมต่อไป”

ฝ่ายกฎหมายประสานเสียงเดินหน้าใช้ PDPA

ทั้งนี้ ในส่วนของเวทีสัมมนาภายใต้หัวข้อ “การปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล” ผู้แทนจากหน่วยงานภาครัฐฯที่มีส่วนเกี่ยวข้องกับการบังคับใช้กฎหมาย PDPA ต่างยกมือสนับสนุนแนวทางของ ชัยวุฒิ รัฐมนตรีกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมที่ต้องการให้การบังคับใช้กฎหมายในปีแรกเป็นช่วง grace period หรือ ช่วงผ่อนผันที่ทั้งฝ่ายบังคับใช้กฎหมายและฝ่ายปฎิบัติตามกฎหมายจะได้มีโอกาสทำความรู้ความเข้าใจร่วมกันว่าจะต้องดำเนินการอย่างไร

โดย นพ.นวนรรน ธีระอัมพรพันธุ์ กรรมการคุ้มครองข้อมูลส่วนบุคคล กล่าวว่า การบังคับใช้ต้องชั่งน้ำหนักระหว่างตราชั่ง 2 ด้าน คือ ด้านที่ต้องนำข้อมูลไปใช้ประโยชน์ และด้านที่ต้องคุ้มครองไม่ให้นำข้อมูลไปใช้โดยมิชอบ ดังนั้น ทางคณะกรรมการฯจึงมีการตั้งคณะอนุกรรมการเพื่อทำหน้าที่สำคัญ 2 ประการคือสื่อสารให้เกิดความเข้าใจ และออกกฎหมายรองเพื่อช่วยให้การบังคับใช้กฎหมายเป็นธรรมกับทุกฝ่าย ซึ่งขณะนี้อยู่ในระหว่างการรับฟังความเห็นจากทุกฝ่ายที่เกี่ยวข้อง

ด้าน ไพบูลย์ อมรกิญโญเกียรติ กรรมการผู้ทรงคุณวุฒิ ด้านกฎหมาย กล่าวว่า ไม่ว่ารัฐจะออกกฎหมายอะไรมา ทุกหน่วยงานย่อมมีหน้าที่ปฏิบัติตาม ซึ่งในส่วนของ PDPA คำถามที่ยังต้องการความชัดเจนขณะนี้ คือ มาตรฐานแนวทางปฎิบัติกับบทลงโทษ ซึ่งการตีความต่างกัน ทำให้เข้าใจไม่ตรงกัน และเกิดเสียงคัดค้านอยู่ในเวลานี้ ดังนั้นในมุมมองของไพบูลย์ โจทย์ใหญ่คือทำอย่างไรจึงจะทำให้กฎหมายเข้าใจได้ง่ายที่สุด ปฎิบัติตามได้สะดวกที่สุด และมีผลกระทบต่อการดำเนินการของผู้ประกอบการให้น้อยที่สุด

“ต้องเข้าใจว่ากฎหมาย PDPA ออกมาเพื่อสนับสนุนเศรษฐกิจดิจิทัล ดังนั้น ในปีแรก ธงของฝ่ายกฎหมายคือทำอย่างไรจึงจะคุ้มครองสิทธิประชาชน ในขณะที่ผู้ประกอบการได้ตระหนักและเตรียมความพร้อมในด้านบุคลากร เทคโนโลยี และกระบวนการเพื่อสร้างระบบป้องกันความปลอดภัยข้อมูลให้เข้มแข็ง โดยเฉพาะผู้ประกอบการในระดับเอสเอ็มอี” ไพบูลย์ กล่าว

ขณะที่ ปริญญา หอมเอนก กรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล แนะว่า อยากให้หน่วยงานรัฐและเอกชนให้ความสำคัญกับการเสริมสร้างระบบป้องกันและรักษาความปลอดภัยข้อมูลให้แข็งแกร่ง เพราะระบบป้องกันที่แข็งแกร่ง คือ รากฐานที่สำคัญที่สุดในการปกป้องข้อมูลส่วนบุคคล เรียกได้ว่า ระบบต้องมีความปลอดภัยก่อน สิทธิข้อมูลส่วนบุคคลจึงจะเกิดขึ้นได้อย่างสมบูรณ์ ดังนั้น อย่าเพิ่งกังวลเรื่องตัวกฎหมายและการบังคับใช้ แต่ให้ตื่นตัวและตระหนักเรื่องระบบความปลอดภัยของตนเองก่อน

“อยากให้มองว่าการลงทุนในเรื่องระบบรักษาความปลอดภัย คือ การสร้างความน่าเชื่อถือให้กับองค์กร เมื่อลูกค้าวางใจและมีความสุข การนำข้อมูลไปใช้ของหน่วยงานทั้งหลายก็สะดวกขึ้นเพราะลูกค้าไว้ใน โดย PDPA มีขึ้นเพื่อเป็นตัวกลางทำให้เกิดความวางใจระหว่างสองฝ่าย ซึ่งจะช่วยให้เศรษฐกิจไทยในยุคดิจิทัลก้าวไปข้างหน้าได้อย่างรวดเร็ว” ปริญญา กล่าว

กรณ์ อรรถเนติศาสตร์ นักกฎหมายกฤษฎีกาชำนาญการพิเศษ  สำนักงานคณะกรรมการกฤษฎีกา ย้ำว่า การบังคับใช้กฎหมายจะมีขั้นตอนและกลไกการพิจารณา หน่วยงานที่บังคับใช้จึงมีความชัดเจนในเรื่องขอบเขตอำนาจของตน มีดุลยพินิจ และกรอบการทำงานที่ชัดเจนอยู่แล้ว ซึ่งในส่วนของกฤษฎีกาจะเป็นส่วนเสริมที่ทำให้การบังคับใช้กฎหมายครอบคลุมมากยิ่งขึ้น ไม่ทำให้ไทยต้องเป็น data haven ที่ไม่ว่าใครก็สามารถนำข้อมูลของคนไทยไปแสวงหาผลประโยชน์โดยมิชอบได้

เอกชนแนะภาครัฐเร่งสร้างความเข้าใจตรงกัน

ขณะที่ในส่วนของตัวแทนจากหน่วยงานรัฐและเอกชนที่มีหน้าที่ปฎิบัติตามกฎหมาย ได้ร่วมเวทีเสวนาในหัวข้อ “PDPA in Action : Best Practices ในภาครัฐและภาคเอกชน” ต่างเห็นตรงกันว่า ปัญหาไม่ได้อยู่ที่การเตรียมความพร้อม เพราะทุกหน่วยงานต่างมีการเตรียมตัวมาตั้งแต่ที่เริ่มมีการเปิดเผยร่างกฎหมายดังกล่าวเมื่อ 2 ปีที่แล้ว แต่ที่ยังเป็นปัญหา คือ ความไม่ชัดเจนจนไม่รู้ว่าจะต้องเริ่มต้นทำอย่างไร ทำตรงไหน และทำมากเท่าไรจึงจะเพียงพอ

ดร. อธิป อัศวานันท์ ผู้แทนสภาดิจิทัลแห่งประเทศไทย กล่าวว่า จากมุมมองสภาดิจิทัลเพื่อเศรษฐกิจและสังคม สิ่งที่อยากเห็นมากที่สุดในเวลานี้ก็คือการที่ประชาชนจะมีแนวทาให้ PDPA เป็นอาวุธในการปกป้องสิทธิของตนเอง เช่น กรณี คอลล์เซ็นเตอร์ ซึ่งในส่วนนี้ยังไม่มีช่องทางตรวจสอบที่ชัดเจน และในขณะที่สภาฯ ร่วมมือกับหน่วยงานต่าง ๆ เช่น คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัยในการจัดทำคู่มือฉบับประชาชนกับคู่มือฉบับผู้ประกอบการ สภาฯก็มองเห็นช่องโหว่กฎหมายที่ยังขาดความชัดเจนในการเรื่องของอธิปไตยข้อมูลข่าวสารของคนไทย โดยต้องไม่ลืมว่า ปัจจุบันมากกว่าครึ่งของข้อมูลส่วนบุคคลถูกจัดเก็บในระบบคลาวด์ และระบบคลาวด์ส่วนใหญ่อยู่ในต่างประเทศ

ด้าน ดร.มนต์ศักดิ์ โซ่เจริญธรรม ผู้แทนสำนักงานพัฒนารัฐบาลดิจิทัล ย้ำว่า ปัญหาที่ต้องเร่งแก้ไขในขณะนี้ คือ การทำความเข้าใจกับคนไทยในทุกภาคส่วนของสังคมให้เร็วที่สุด และครอบคลุมเป็นวงกว้างมากที่สุด ซึ่งโดยส่วนตัวแนะให้ใช้วิธีที่เข้ากับพฤติกรรมการเสพข้อมูลของคนไทย นั่นคือการทำเนื้อหาข้อมูลกฎหมาย ตัวอย่างการใช้งานต่าง ๆ ให้เป็นละคร ซีรีส์สั้น ๆ โดยเชื่อว่าจะช่วยให้เกิดความเข้าใจตรงกันมากขึ้น ขณะที่สิ่งที่อยากให้ระวังคือเรื่องของการขอความยินยอม ซึ่งมีเงื่อนไขปลีกย่อย ดังนั้น อย่าขอความยินยอมพร่ำเพรื่อ และหาที่ปรึกษามาเป็นตัวช่วยในเรื่องของการทำความเข้าใจกฎหมาย

ขณะที่ ปรนนท์ ฐิตะวรรโณ ผู้แทนสภาอุตสาหกรรมแห่งประเทศไทย กล่าวว่า การปฎิบัติตามกฎหมาย PDPA มีต้นทุนที่ผู้ประกอบการทุกระดับต้องแบกรับ ทั้งเรื่องการลงทุนในเชิงเทคนิค และการว่าจ้างที่ปรึกษาทางกฎหมาย ดังนั้น ภาครัฐควรหาวิธีการหรือความง่ายสำหรับผู้ประกอบการในการสามารถเข้าถึงข้อมูล อาจเป็นศูนย์ข้อมูลส่วนกลางที่ทุกฝ่ายสามารถเข้าไปหาข้อมูลได้อย่างเต็มที่ ค้นคว้าจนเกิดความเข้าใจ ขณะเดียวกันอาจต้องเปิดช่องทางให้บริษัทขนาดใหญ่มาเป็นพี่เลี้ยงคอยแนะแนวให้บริษัทขนาดเล็กรู้ว่าต้องดำเนินการอย่างไร

ภิญญู กำเนิดหล่ม ผู้แทนกรมสรรพากร กระทรวงการคลัง กล่าวว่า การดำเนินการเตรียมความพร้อมตามกฎหมาย PDPA ที่ผ่านมาพบเจอปัญหาแทบในทุกจุด แต่ที่อยากเน้นย้ำมีอยู่สองประเด็นหลัก ๆ คือ หนี่งเรื่องของความเข้าใจ ซึ่งเป็นภาระหน้าที่ของหน่วยงานต้นสังกัดที่จะต้องทำความเข้าใจระหว่างหน่วยงานภายในและหน่วยงานภายนอก และต้องสร้างความรู้ความเข้าใจให้กับเจ้าหน้าที่ในหน่วยงานทุกระดับ ลงมือทำต่อเนื่อง แล้วนำบทเรียนไปเผยแพร่บนแพลตฟอร์มออนไลน์ ที่ทุกฝ่ายในองค์กรสามารถเข้าถึงได้ โดยอาจต้องออกเป็นระเบียบกำหนดให้ทุกคนต้องเข้าไปเรียนทำความเข้าใจต่อไป

สำหรับประเด็นที่สอง คือ ความไม่ชัดเจนของตัวบทกฎหมาย ซึ่งในส่วนที่ยังขาดความชัดเจนก็แนะให้หน่วยงาน ชะลอการดำเนินการในส่วนนี้ก่อน ให้แค่ผู้มีหน้าที่รับผิดชอบเตรียมข้อมูลไว้ แล้วรอความชัดเจนเพื่อประกาศทำความเข้าใจกับบุคลกรภายในองค์กรต่อไป

ด้าน ดร.เยาวลักษณ์ ชาติบัญชาชัย ประธานคณะกรรมการวิชาชีพบัญชีด้านการวางระบบบัญชี กล่าวว่า กุญแจสำคัญที่ช่วยให้องค์กรประสบความสำเร็จในการปกป้องข้อมูลมี 5 ประการหลักด้วยกัน คือ

1. เสียงของผู้บริหารต้องชัดเจนและทรงพลัง
2. องค์กรต้องรู้จักและเข้าใจตนเองเป็นอย่างดีว่าทำอะไร มีทิศทางอย่างไร ซึ่งจะทำให้รู้ว่าองค์กรต้องการใช้ข้อมูลส่วนไหน อย่างไร
3. ผู้ประสานงานที่ดีมีใจบริการ ในฐานะที่ปรึกษาหรือพันธมิตรทางธุรกิจที่จะช่วยอำนวยความสะดวกในเรื่องของ PDPA
4. วัฒนธรรมองค์กรและมุมมองความคิดแบบบูรณาการ ให้คนทำงานเห็นภาพรวมช่วยให้การทำงานในทีมมีประสิทธิภาพและประสิทธิผล
5. วุฒิภาวะความพร้อมของการกำกับดูแลข้อมูล และความพร้อมของทรัพยากร ทั้งระบบ คน และองค์ความรู้ โดยองค์กรที่จะอยู่รอดในอนาคต คือ องค์กรที่สามารถเผชิญหน้าและปรับตัวกับสภาพแวดล้อมที่เปลี่ยนแปลงไปได้อย่างรวดเร็ว

สำหรับในส่วนของแนวทางแก้ปัญหา ดร.เยาวลักษณ์ สนับสนุนให้มีการตั้งศูนย์ข้อมูลเพื่อป้องกันความเข้าใจที่คลาดเคลื่อน และทำให้เกิดความรู้ในเชิงปฎิบัติ ว่าจะต้องทำอย่างไร ต้องไปหาใคร ตีความอย่างไร และแค่ไหนถึงจะพอ สิ่งที่ขาดมาก ๆ และอยากได้มาก ๆ คือ คนและเครื่องมือที่จะช่วย ซึ่งจะดีมากหากมีหน่วยงานรัฐ ที่ทำหน้าที่รวบรวมข้อมูลผู้ประกอบการที่ให้บริการด้าน PDPA หรือซอฟต์แวร์ที่ให้บริการแพลตฟอร์มด้าน PDPA ที่น่าเชื่อถือและคิดค่าใช้จ่ายในระดับที่ผู้ประกอบการเอสเอ็มอีรับไหว และสนับสนุนแนวคิดของสภาอุตสาหกรรม ที่ให้บริษัทใหญ่มาเป็นพี่เลี้ยงคอยช่วยสนับสนุนเอสเอ็มอีทั้งหลาย

ข่าวอื่น ๆ ที่น่าสนใจ

1 มิ.ย. นี้ กับการบังคับใช้ PDPA ประชาชนได้ประโยชน์อะไร? แล้วธุรกิจต้องปรับตัวอย่างไร?

“ไร่กล้วย” โผล่กลางกรุง … เมื่อ “กฎหมาย” บกพร่อง