ไอซีที

เลื่อนใช้ พ.ร.บ.ข้อมูล “ทำก่อน” ลดเสี่ยง เพิ่มความเชื่อมั่น

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ถือเป็นเรื่องใหม่ที่กระทบกับทุกหน่วยธุรกิจในสังคม แม้ล่าสุดจะมี พ.ร.ฎ.เลื่อนการบังคับใช้ไปจนถึง 27 พ.ค. 2564 ล่าสุด “ก.ล.ต.” สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ ได้เปิดเวทีให้ความรู้เพื่อเตรียมพร้อมผู้ประกอบการ

“ไกรพิชิต เรืองศรีไชยะ” ผู้อำนวยการฝ่ายจัดการและวิเคราะห์ข้อมูลตลาดทุน ก.ล.ต. เปิดเผยว่า ผลสำรวจความพร้อมของธุรกิจในตลาดทุนจาก 276 บริษัทภายใต้กำกับดูแล ก.ล.ต. พบว่า 70% มีความพร้อม

ขณะที่ “กำพล ศรธนะรัตน์” ผู้ช่วยเลขาธิการ สายเทคโนโลยีดิจิทัลและประสิทธิภาพองค์กร ก.ล.ต. เปิดเผยว่า แม้จะมีการเลื่อนบังคับใช้ แต่การ “ทำก่อนพร้อมก่อน” จะช่วยลดความเสี่ยงทางด้านกฎหมาย ที่สำคัญคือ ยิ่งปฏิบัติตามได้ครบถ้วนและถูกต้องจะทำให้ลูกค้าเชื่อถือในบริษัทมากขึ้นด้วย

ต้องเริ่มทำทะเบียนประมวลผล

“ปิยะบุตร บุญอร่ามเรือง” ที่ปรึกษาและผู้เชี่ยวชาญด้าน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล กล่าวว่า พ.ร.ฎ.เสมือนเป็นตัวลูกที่มาขยายเวลาการบังคับใช้ในบางหมวดและมาตรา แต่นิยามความหมายที่ประกาศไว้ ยังคงมีผลบังคับใช้อยู่ อาทิ ความยินยอม หรือ consent ที่ยังคงมีความหมายตาม PDPA consent ที่จะต้องมีความชัดเจน ไม่บังคับ เป็นอิสระเลือกได้ ปฏิเสธได้ หรือจะถอดถอนเมื่อใดก็ได้

ปีที่ผ่านมาหลายบริษัทต่างเร่งทำนโยบาย แต่มาตราสำคัญของกฎหมายที่ต้องเตรียมการคือ มาตรา 23 ที่ระบุให้ต้องแจ้งเจ้าของข้อมูลก่อนเก็บรวบรวมข้อมูล ซึ่งหมายถึงต้องมี Privacy Policy ที่ชัดเจน มาตรา 24 ที่กล่าวถึงหลักการเก็บรวบรวมข้อมูลในแต่ละฐานการประมวลผลข้อมูลส่วนบุคคล มาตรา 19 การต้องมีแบบฟอร์มขอความยินยอมจากเจ้าของข้อมูล มาตรา 37 มีมาตรการเพื่อความปลอดภัยของข้อมูล นั่นคืออย่าปล่อยให้มีข้อมูลที่เข้าถึงได้โดยไม่มีการควบคุม และมาตรา 39 ต้องมีบันทึกกิจกรรมการประมวลผล ข้อมูลส่วนบุคคล หรือ records of processingactivities (ROP)

“การทำความเข้าใจ เรื่องกฎหมาย การประยุกต์ใช้ และการนำความเข้าใจไปสู่การปฏิบัติ กับ PDPA ในประเทศไทย ถือว่าเป็นเรื่องใหม่ และมีความท้าทาย”

ขณะที่ภาครัฐเองกำลังจะออกมาตรฐานความปลอดภัย เพื่อช่วยให้หน่วยงานต่าง ๆ มีแนวปฏิบัติ รวมถึงเร่งออกกฎหมายลูกตาม พ.ร.บ.นี้

ยิ่งเกี่ยวข้อง “ข้อมูล” ยิ่งเสี่ยง

“ปริย เตชะมวลไววิทย์” ผู้อำนวยการฝ่ายกำกับการขายผลิตภัณฑ์การลงทุน ก.ล.ต. เปิดเผยว่า ปัจจุบันธุรกิจการขายผลิตภัณฑ์การลงทุน หรือ LBDU เป็นธุรกิจที่ผู้คนให้ความสนใจ หลายคนที่ลงทุนก็ไปซื้อหน่วยลงทุนที่ธนาคาร หรือบริษัทที่ให้บริการขายหน่วยลงทุน ซึ่งถือเป็นช่องทางการขายที่ใหญ่มาก

“เมื่อบริษัทเหล่านี้เปิดให้บริการซื้อขายกับลูกค้า ลูกค้าจะไปซื้อกองทุน ซื้อขายหลักทรัพย์ หรือเปิดบัญชี ซึ่งจะต้องมีการนำข้อมูลของลูกค้า หรือผู้ลงทุน เข้ามาสู่บริษัทหลักทรัพย์ ผ่านแบบฟอร์มในการเก็บข้อมูลของผู้ลงทุน จึงต้องดูในเรื่องของการปฏิบัติตาม พ.ร.บ.”

ข้อมูลเหล่านี้เป็นข้อมูลที่สำคัญที่บริษัทจะต้องใช้ในการประเมินความพร้อมของลูกค้า ขั้นตอนก่อนหน้านี้อาจจะเป็นในส่วนของความยินยอม หรือ consent แต่หลังจากนั้นจะเป็นในเรื่องของสัญญา หรือ contract เพราะถือเป็นการเก็บข้อมูลเพื่อมาประเมินความพร้อมให้ทั้งผู้ลงทุนและบริษัทนั้น ๆ ด้วย

และนอกเหนือจากการที่ตลาดทุนมีผู้แนะนำการลงทุน หรือ IC ในการติดต่อผู้ลงทุนแล้ว ขณะนี้ยังมีการบริการแบบออนไลน์ หลายบริษัทหันมาให้บริการผ่านแอปพลิเคชั่น และแพลตฟอร์มต่าง ๆซึ่งอย่างไรก็ตาม ก็ยังคงมีความจำเป็นที่จะต้องปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลด้วย