อลหม่าน กม.ข้อมูลส่วนบุคคล สารพัดคำถามยังไร้คำตอบ

28 พ.ค. 2562 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ประกาศใช้ โดยมีสาระสำคัญ คือ การ “เก็บ-ใช้-เปิดเผย” ข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูลอย่างชัดเจน และเจ้าของข้อมูลมีสิทธิถอนความยินยอมภายหลังได้ รวมถึงมีสิทธิขอให้ลบหรือทำลายเมื่อการเก็บ-ใช้-เปิดเผย ทำโดยไม่ชอบด้วยกฎหมาย หรือเมื่อถอนความยินยอม

อีกทั้งระบุการให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลต้องชดใช้ค่าสินไหมทดแทนหากฝ่าฝืน ไม่ว่าจะเกิดจากการจงใจหรือประมาท และมีโทษทางอาญา สูงสุดจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท รวมถึงมีโทษทางปกครองกรณีไม่ปฏิบัติตามที่กฎหมายกำหนด ปรับสูงสุดถึง 5 ล้านบาท

บังคับใช้ 27 พ.ค. 2563

โดยให้เวลา 1 ปีกับทุกหน่วยงานที่เกี่ยวข้องกับ “ข้อมูลส่วนบุคคล” ปรับปรุงระบบทั้งหมด และให้เวลากระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล รวมถึงสำนักงาน และยกร่างกฎหมายลำดับรองที่จะระบุหลักเกณฑ์การคุ้มครองข้อมูลส่วนบุคคล หลักเกณฑ์และกระบวนการในการร้องเรียน การลงโทษปรับทางปกครอง เพื่อให้กฎหมายมีผลบังคับใช้ครบสมบูรณ์หลัง 27 พ.ค. 2563

ล่าสุดกระทรวงดีอีเอส เปิดเวทีสัมมนา “PDPA-Privacy for All” เพื่ออธิบายเนื้อหาของกฎหมาย และระดมความคิดเห็นจากทุกภาคส่วนในการยกร่างกฎหมายลูก “พุทธิพงษ์ ปุณณกันต์” รัฐมนตรีว่าการกระทรวงดีอีเอส กล่าวว่า ปัจจุบันมีการละเมิดสิทธิข้อมูลส่วนบุคคลอย่างมากและทำได้ง่ายขึ้น ขณะที่ “ข้อมูลส่วนบุคคล” ก็เป็นหัวใจสำคัญของธุรกิจยุคนี้ ฉะนั้น การมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ได้ระดับเทียบเท่าสากล จึงเป็นสิ่งสำคัญของการพัฒนาเศรษฐกิจยุคใหม่ และจำเป็นต้องยกร่างกฎหมายลูกที่ทุกฝ่ายเข้ามามีส่วนร่วม เพื่อให้บังคับใช้ได้จริง

สารพัดคำถามไม่มีคำตอบ

อย่างไรก็ตาม ในเวทีระดมความคิดของหน่วยงานภาครัฐและภาคอุตสาหกรรมต่าง ๆ ล้วนมีความกังวลหลัก ๆ คล้ายกัน คือ ช่วงก่อนถึง 27 พ.ค. 2563 แต่ละหน่วยงานต้องเตรียมตัวอย่างไรบ้าง และกฎหมายลูกที่จะกำหนดหลักเกณฑ์ต่าง ๆ จะออกมาเมื่อไร เนื่องจากเป็นกฎหมายที่มีทั้งโทษปรับสูงสุดถึง 5 ล้านบาท และมีโทษจำคุกด้วย

แหล่งข่าวในวงการเทคโนโลยีที่เข้าร่วมเสวนากล่าวว่า แต่ละหน่วยงานต้องวางแผนผังกระบวนการทำงานที่เกี่ยวข้องกับการเก็บ-ใช้-ประมวลผล “ข้อมูล” ที่ใช้ในองค์กรใหม่หมด ซึ่งต้องใช้เวลาทั้งในด้านการวางระบบและอบรมพนักงาน หากเป็นองค์กรขนาดใหญ่เวลาที่เหลือก่อนบังคับใช้ 100% เหลือแค่ 8 เดือน รวมถึงต้องใช้เงินลงทุนจำนวนมาก หากยังไม่มีความชัดเจนให้เร็ว ยิ่งสร้างความยุ่งยาก

“องค์กรขนาดใหญ่ที่ทำธุรกิจกับต่างชาติ ส่วนใหญ่ปรับปรุงระบบให้สอดรับกับ GDPR หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป แต่องค์กรขนาดกลางถึงย่อยเกือบทั้งหมดไม่เคยมีมาตรฐานเกี่ยวกับเรื่องนี้ แต่ต้องอยู่ใต้กฎหมายนี้เช่นกัน เวลาที่เหลืออยู่ไม่รู้จะเตรียมตัวทันไหม ที่สำคัญคือยังไม่รู้ว่าต้องทำอะไรบ้าง เหมือนกรณีบังคับร้านกาแฟ เก็บ log file ร้านเล็ก ๆ ไม่รู้ต้องทำยังไง และกฎหมายมีบทลงโทษสูงมาก ในเวทีเสวนามีหลายคนพยายามยกเคสต่าง ๆ มาถาม แต่ส่วนใหญ่ไม่ได้คำตอบเพราะยังไม่มีกฎหมายลูก วิทยากรที่มาอธิบายก็ไม่ได้เป็นบอร์ดหรือพนักงานเจ้าหน้าที่ตามกฎหมายที่จะชี้ขาดได้ว่า แบบไหนทำได้ไม่ได้ แค่คำว่าเจ้าของข้อมูลต้องยินยอมอย่างชัดแจ้ง หมายถึงต้องทำอย่างไรที่เป็นการชัดแจ้ง”

ตัวแทนหน่วยงานภาครัฐต้องการความชัดเจนว่าต้องมีการปรับกฎระเบียบใดเพื่อรองรับกฎหมายฉบับนี้บ้าง เนื่องจากส่วนใหญ่มีกฎหมายเฉพาะของตนเองบังคับใช้อยู่แล้ว อาทิ ตัวแทนสำนักงาน กสทช. ระบุว่ามีความทับซ้อนกันในส่วนของ พ.ร.บ.กับกฎหมายของ กสทช. จึงต้องการแนวทางปฏิบัติที่ชัดเจน

“กสทช.มีหน่วยงานรับเรื่องร้องเรียนอยู่แล้ว แต่ถ้าเป็นกรณีที่มีการร้องเรียนเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลของโอเปอเรเตอร์ ผู้บริโภคต้องการเรียกค่าเสียหายด้วยต้องส่งต่อหรือให้ผู้บริโภคไปร้องเรียนกับสำนักงานคุ้มครองข้อมูลฯโดยตรงหรือไม่ เพราะ กสทช.ไม่มีอำนาจในส่วนของการเรียกค่าเสียหายจึงอยากให้มีความชัดเจนในส่วนนี้”

แม้แต่ตัวแทนภาคการศึกษาก็มีข้อกังวลว่า กรณีที่บริษัทห้างร้านต่าง ๆ ต้องการให้ยืนยันวุฒิการศึกษา ผลการเรียนของผู้สมัครงานว่าถูกต้องตามความเป็นจริงจะทำได้ตามกฎหมายนี้ไหม และหากผู้สำเร็จการศึกษาต้องการให้ลบข้อมูลผลการศึกษาของตนออกจากระบบมีสิทธิทำได้หรือไม่

ในกลุ่มตัวแทนภาคการเงินระบุว่า อุตสาหกรรมการเงินมี 3 องค์กรกำกับดูแลเป็นผู้ออกกฎระเบียบต่าง ๆ ได้แก่ ธนาคารแห่งประเทศไทย (ธปท.) สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) หรือแม้แต่สำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.) ซึ่งมีหลักเกณฑ์ที่ให้ผู้ประกอบการต้องปฏิบัติเกี่ยวกับข้อมูลส่วนบุคคลอยู่แล้ว จึงอยากให้ทางสำนักงานใหม่ที่จะตั้งขึ้นตามกฎหมายประสานงานเพื่อให้มีการวางกรอบการปฏิบัติที่สอดคล้องกัน

“นอกจากภาคธุรกิจต้องการทราบว่าต้องปฏิบัติอะไรเมื่อไร แล้วยังต้องชัดเจนด้วยว่าประชาชนมีสิทธิแค่ไหนในข้อมูลของตนเอง คำว่า “เกี่ยวกับตน” ครอบคลุมแค่ไหน ซึ่งสำคัญสำหรับหน่วยงานภาครัฐเหมือนกัน”

อาจยืดบังคับใช้ไปอีกปี

ด้านรัฐมนตรีว่าการกระทรวงดีอีเอส ระบุว่า ขอให้หน่วยงานต่าง ๆ ไม่ต้องกังวลเกี่ยวกับความชัดเจนเกี่ยวกับหลักเกณฑ์ต่าง ๆ ว่าจะเสร็จเมื่อใด เพราะมีบทเฉพาะกาลให้ขยายเวลาได้ หากยกร่างไม่เสร็จใน 1 ปี เพื่อให้ได้กฎหมายลูกที่ทุกคนช่วยกันให้ความเห็นและนำไปปฏิบัติได้จริง ทั้งเป็นต้นแบบในการยกร่างกฎหมายที่มีผลกระทบกับประชาชน ด้วยการรับฟังและเปิดให้มีส่วนร่วมในการแสดงความคิดเห็นจากภาคประชาชน ภาคธุรกิจ และหน่วยงานต่าง ๆ


“แต่จะยื้อไป 5 ปี 10 ปีเป็นไปไม่ได้ และเราไม่รู้ว่าในอนาคตจะมีประเทศใดประกาศออกมาว่าจะไม่ทำธุรกิจการค้ากับประเทศที่ไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีมาตรฐานเดียวกัน เท่าที่หารือกับตัวแทนอียูระบุว่ามีแนวคิดจะปรับปรุงมาตรฐานการแลกเปลี่ยนข้อมูลและเก็บข้อมูลระหว่างภูมิภาคให้เท่าเทียมกัน เพื่อให้เกิดความปลอดภัยในการทำธุรกิจร่วมกัน ถ้าบ้านเราไม่มีกฎหมายหรือมาตรฐานในการคุ้มครองข้อมูลส่วนบุคลตามเกณฑ์สากลจะทำธุรกิจลำบากขึ้น”