ธุรกิจตื่นรับ PDPA หวั่น กม.ลูกคลอดช้าซ้ำเติม SMEs

PDPA

หากไม่มีอะไรผิดพลาด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Thailand’s Personal Data Protection Act B.E. 2562 (2019) : PDPA)” ก็จะมีผลบังคับใช้วันที่ 1 มิ.ย. 2564 หลังเลื่อนมาร่วมปีเพื่อให้องค์กรต่าง ๆ ได้เตรียมความพร้อม

บิ๊กธุรกิจยังเป็นกังวล

นายไพบูลย์ อมรภิญโญเกียรติ ผู้เชี่ยวชาญกฎหมายไซเบอร์ กล่าวกับ “ประชาชาติธุรกิจ” ว่า ปัจจุบันธุรกิจขนาดใหญ่เตรียมความพร้อมไปแล้ว 60-70% แต่ประเด็นที่ส่วนใหญ่ยังเป็นกังวลคือ การจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ที่ยังไม่แล้วเสร็จ เพราะทำให้ภาคธุรกิจกังวลว่าสิ่งที่ดำเนินการไปแล้วจะได้มาตรฐานตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนดหรือไม่

แม้ในทางปฏิบัติตามมาตรา 3 ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะระบุว่า ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติแห่งกฎหมายว่าด้วยการนั้น หมายถึงไม่ต้องรอการจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

แต่หน่วยงานที่กำกับดูแลธุรกิจอยู่แล้วสามารถออกกฎหมายเฉพาะขึ้นมาได้ เช่น ธนาคารแห่งประเทศไทย (ธปท.) สามารถออกบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุุคคลขึ้นได้ และบังคับใช้แก่ธุรกิจการเงิน การธนาคาร เป็นต้น

ขณะที่กลุ่มธุรกิจขนาดกลาง และรายย่อย โดยเฉพาะเอสเอ็มอีที่มี 2-3 แสนราย ยังไม่พร้อมเท่าที่ควร เนื่องจากต้องใช้เงินลงทุนหลายส่วน ทั้งด้านบุคลากร เทคโนโลยี ประกอบกับขณะนี้ไทยกำลังเผชิญกับการแพร่ระบาดโควิด-19 ระลอกใหม่ ซึ่งถ้ายังไม่จบในเดือน มี.ค.นี้ รัฐบาลควรใช้อำนาจจากมาตรา 4 ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เยียวยากลุ่มเอสเอ็มอีที่อาจได้รับผลกระทบ

“โดยส่วนตัวมองว่าธุรกิจใหญ่ ๆ ได้ผ่านเฟสแรกมาแล้ว เชื่อว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะไม่เลื่อนการบังคับใช้อีก แต่หากเลื่อนก็จะเป็นการใช้อำนาจมาตรา 4 เพื่อบรรเทาผลกระทบเฉพาะธุรกิจเอสเอ็มอี ไม่ได้ยกเว้นทุกกลุ่มเหมือนรอบแรก

เพราะถ้ายังเลื่อนอีกจะส่งผลกระทบเชิงลบมากกว่า เพราะที่ผ่านมาก็มีกรณีข้อมูลรั่วไหล การแฮกข้อมูลเกิดขึ้นจำนวนมาก”

แนะเร่งตั้ง คกก.

อีกกรณีที่หลายฝ่ายกังวลคือ ความล่าช้าของกฎหมายลูก จากเดิมที่ประเมินว่าอาจส่งผลกระทบค่อนข้างมาก แต่ปัจจุบันได้ให้หน่วยงานเฉพาะที่กำกับดูแลออกบทบัญญัติเฉพาะได้ทำให้ความกังวลคลี่คลายลง แต่ระยะยาวถ้ายังล่าช้าก็จะยิ่งส่งผลเสีย เพราะท้ายที่สุด คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลคือผู้ชี้ขาด

ดังนั้น ทางออกที่ดี คือ รัฐบาลควรเร่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลให้เร็วที่สุด เพื่อไม่ให้เกิดปัญหาเรื่องการตีความการบังคับใช้ ซึ่งขณะนี้เหลือเวลาอีก 4 เดือนเศษเท่านั้น

“4 เดือนที่เหลือ รัฐเองก็ต้องประเมินด้วยว่ามีความพร้อมแค่ไหนที่จะเริ่มใช้ พ.ร.บ.นี้ เพราะที่ผ่านมาเกิดความเข้าใจผิดว่า รัฐบาลไม่ต้องทำอะไร แต่ความจริงแล้ว กฎหมายฉบับนี้ยกเว้นเฉพาะหน่วยงานบางส่วนเช่น หน่วยงานความมั่นคง หรือเกี่ยวข้องกับคดีความเท่านั้น”

นายไพบูลย์ย้ำว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บังคับใช้กับบริษัทไทย และต่างชาติที่จดทะเบียนในไทย รวมถึงบริษัทต่างชาติที่ไม่ได้จดทะเบียนในไทยด้วย แต่ถ้านำข้อมูลคนไทยไปใช้ไม่ว่าจะอยู่ประเทศใด

ก็ต้องอยู่ภายใต้ข้อบังคับของกฎหมายนี้ เนื่องจาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่ล้อไปกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation : GDPR) หรือ “จีดีพีอาร์”

ด้าน ดร.ชัยชนะ มิตรพันธ์ ผู้อำนวยการสำนักงานพัฒนาธุรกรรมอิเล็กทรอนิกส์ หรือ ETDA กล่าวว่า เมื่อวันที่ 16 ธ.ค. 2563 ที่ผ่านมา ETDA ได้ร่วมกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล จัดอบรมเรื่องการคุ้มครองข้อมูลส่วนบุคคลให้กับผู้ให้บริการอีคอมเมิร์ซกว่า 100 ราย

เพ่ื่อให้ความรู้พื้นฐานเกี่ยวกับ พ.ร.บ.ฉบับนี้เพิ่มขึ้น ซึ่งภาคธุรกิจขยับตัวและมีการรวมกลุ่มพูดคุยถึงแนวทางการดำเนินธุรกิจ และการให้บริการลูกค้าเพื่อเตรียมความพร้อมก่อนการบังคับใช้จริงแล้ว

“ปกติกฎหมายลูกจะทยอยออกใน 1 ปี หลังกฎหมายหลักมีผลบังคับใช้ ซึ่งถ้าออกมาช้ากว่ากำหนดก็ต้องมีกระบวนการสื่อสารกับประชาชน และภาคธุรกิจให้เข้าใจก่อน เช่น อาจตั้งแซนด์บอกซ์ระยะเวลาสั้น ๆ 3-6 เดือน นำหน่วยงานรัฐและภาคธุรกิจที่เกี่ยวข้องมาทำงานร่วมกัน

เพื่อดูว่ากฎหมายขาดตกบกพร่องในส่วนใด โดยส่วนตัวมองว่า แนวทางนี้ดีกว่าออกกฎหมายมาโดยไม่ทดสอบ หรือไม่มีใครปฏิบัติตามได้”

หวั่นวิตกหนัก “เอสเอ็มอี”

ขณะที่ นายสืบศักดิ์ สืบภักดี เลขาธิการสมาคมโทรคมนาคมแห่งประเทศไทย ในพระบรมราชูปถัมภ์ (สทค.) กล่าวว่า คาดว่าคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้มีการยกร่างกฎหมายลูกรอไว้แล้ว

แต่ยังมีรายละเอียดให้ถกเถียงกันอีกมาก ทั้งเรื่องขอบข่ายธุรกิจ และข้อความที่จะเข้าข่ายเป็นข้อมูลที่อ่อนไหว ยิ่งช้าก็ยิ่งมีผลกระทบทั้งกับผู้ประกอบการและประชาชน ทำให้ปรับตัวไม่ทัน



โดยเฉพาะธุรกิจเอสเอ็มอี เพราะยังไม่มีมาตราใดใน พ.ร.บ.มีหลักเกณฑ์ชัดเจนว่า ธุรกิจเอสเอ็มอีประเภทใดบ้างเข้าข่ายตาม พ.ร.บ.ฉบับนี้ 0

หากกฎหมายลูกระบุว่า ธุรกิจเอสเอ็มอีที่เก็บข้อมูลส่วนบุคคลของลูกค้าไม่ถึง 50 ราย ได้รับข้อยกเว้นก็รอดตัวไป แต่ถ้าระบุว่า เอสเอ็มอีที่เก็บข้อมูลส่วนบุคคลของลูกค้าตั้งแต่ 1 คนขึ้นไป ต้องอยู่ภายใต้ พ.ร.บ.นี้

ก็จะต้องปรับตัวอีกเยอะ ทั้งการทำระบบขอยินยอม การทำระบบหลังบ้าน หรือการหาเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO ประจำองค์กรตามที่กฎหมายกำหนด ซึ่งอาจต้องใช้ทั้งเวลาและเงินลงทุนเพิ่ม

อีกประเด็นที่ยังถกเถียงกันมาก คือ กฎหมายฉบับนี้บังคับใช้กับบริษัทที่จดทะเบียนในไทย หรือบริษัทสัญชาติไทยเท่านั้น ไม่ครอบคลุมบริษัทต่างชาติที่นำข้อมูลของคนไทยไปประมวลผลที่ต่างประเทศ แต่ปัจจุบันคนไทยมักใช้บริการแพลตฟอร์มจากต่างประเทศจึงอาจทำให้ข้อมูลส่วนบุคคลตามกฎหมายรั่วไหลไปต่างประเทศหรือไม่ เป็นต้น

นายสืบศักดิ์กล่าวต่อว่า ธุรกิจที่ตื่นตัวกับการเตรียมองค์กรรับมือ กม.ส่วนใหญ่เป็นกลุ่มธุรกิจข้ามชาติที่ทำการค้ากับประเทศที่มีการใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลอยู่แล้ว อีกกลุ่มคือธุรกิจขนาดใหญ่ เช่น สถาบันการเงิน ที่เริ่มขอความยินยอมการขอใช้ข้อมูลจากลูกค้าย้อนหลัง

ซึ่งโดยหลักแล้วแต่ละธุรกิจต้องจัดเตรียมทั้งการจัดอบรมพนักงาน ระบบซอฟต์แวร์จัดการหลังบ้าน และระบบขอความยินยอมที่ต้องระบุให้ชัดเจนว่าจะขอข้อมูลอะไรบ้าง เช่น ชื่อ-นามสกุล เบอร์โทรศัพท์ หรือที่อยู่ โดยจะใช้ข้อมูลของลูกค้าได้เท่าที่ขอเท่านั้น


“พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลของไทยตราขึ้นมาให้คล้ายคลึงกับ GDPR ของสหภาพยุโรป ก็เพื่อให้ธุรกิจไทยค้าขายกับต่างประเทศได้เสรี เพราะประเทศใหญ่มักตั้งกำแพงกฎหมาย มากีดกันทางการค้ากับประเทศที่ไม่มีกฎหมายใกล้เคียงกับตน”

ไม่พลาดข่าวสำคัญ เจาะลึกทุกประเด็น
เพิ่มเราเป็นเพื่อนทาง @prachachat

ติดตามข่าวธุรกิจ