กระทรวงดิจิทัลฯ เตือนสื่อสังคมออนไลน์ เร่งปรับหลักเกณฑ์คุ้มครองข้อมูลส่วนบุคคลให้พร้อมรองรับ กฎหมายข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลบังคับใช้เต็มรูปแบบ วันที่ 1 มิ.ย.นี้ พร้อมเร่งให้หน่วยงานรัฐ ใช้ประโยชน์จากกฎหมายฉบับนี้
วันที่ 24 กุมภาพันธ์ 2564 นายภุชพงค์ โนดไธสง รองปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) กล่าวระหว่างร่วมเวทีเสวนาอัพเดตสถานการณ์ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ในหัวข้อ “ARE THERE REALLY PERSONAL PRIVACY IN CYBER WORLD” ซึ่งจัดโดยสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) เมื่อวันที่ 23 กุมภาพันธ์ 2564
ว่า กระทรวงฯ อยู่ระหว่างการจัดทำกฎหมายลำดับรอง ภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) คาดว่ากฎหมายลำดับรองในกลุ่มที่ 1 ซึ่งอยู่ในกลุ่มสำคัญ จำเป็น เร่งด่วน จะเห็นร่างได้ก่อนวันที่ 1 มิ.ย.นี้ ซึ่งเป็นวันที่ พ.ร.บ.คุ้มครองข้อมูลฯ จะมีผลบังคับใช้เต็มรูปแบบ
โดยสิ้นเดือนกุมภาพันธ์นี้ จะสรุปผลที่ได้จากการรวบรวมระดมความคิดเห็นจากผู้เกี่ยวข้องในกิจการ 7 กลุ่ม ประกอบด้วย กลุ่มธุรกิจการเงิน ตลาดทุน ประกันภัย, กลุ่มธุรกิจท่องเที่ยว โรงแรม, กลุ่มธุรกิจการผลิตและการค้า, กลุ่มธุรกิจสาธารณสุข, หน่วยงานภาครัฐ และรัฐวิสาหกิจ, กลุ่มธุรกิจดิจิทัลและธุรกรรมทางอิเล็กทรอนิกส์ ผู้ประกอบการต่างประเทศ และกลุ่มธุรกิจการศึกษาและภาคประชาชน เพื่อนำมาประกอบการจัดทำกฎหมายลำดับรอง ที่สอดคล้องกับลักษณะกิจการแต่ละกลุ่ม
สำหรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลครอบคลุมทุกกิจกรรมที่มีการดำเนินการในประเทศไทย และตลอดจนการโอนข้อมูลส่วนบุคคลที่ได้จากการดำเนินธุรกิจในไทย เพื่อส่งผ่านไปทำการประมวลผลที่ต่างประเทศ และส่งกลับเข้ามาทำธุรกิจในไทย ซึ่งต้องเข้ามาอยู่ภายใต้กฎหมาย ฉบับนี้ของไทยทันที
นายภุชพงค์ กล่าวว่า ภายใต้กฎหมายลำดับรอง กลุ่มที่ 1 ผู้ให้บริการสื่อสังคมออนไลน์ทุกเครือข่าย ต้องปฏิบัติตาม (comply) กับ พ.ร.บ.คุ้มครองข้อมูลฯ ที่จะมีผลบังคับใช้ทั้งฉบับ ตั้งแต่วันที่ 1 มิ.ย. 2564 เนื่องจากจะเข้าไปอยู่ในข้อหลักเกณฑ์และนโยบายการให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ ต้องมีหลักเกณฑ์และมาตรฐานการคุ้มครองข้อมูลอย่างเพียงพอ หรือได้รับการตรวจสอบและรับรองจากสำนักงาน เพราะมีการนำเอาข้อมูลไปประมวลผล และนำมาใช้ดำเนินกิจกรรมในประเทศไทย
ทั้งนี้ ผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ที่ฝ่าฝืนหรือไม่ปฏิบัติตามบทบัญญัติของกฎหมาย จะมีความรับผิดทางแพ่ง ทางอาญา และทางปกครอง แล้วแต่กรณี ดังนั้น ขอแนะนำให้สื่อสังคมออนไลน์ที่มีการจัดเก็บข้อมูลส่วนบุคคล ให้บริการอยู่ในประเทศไทย หรือต่างประเทศ แต่มีการประกอบกิจการหรือธุรกิจร่วมในประเทศไทย ต้องปรับหลักเกณฑ์เงื่อนไขการคุ้มครองข้อมูลลูกค้าเพื่อปฏิบัติตาม (comply) พ.ร.บ.คุ้มครองข้อมูลฯ
เช่น ต้องระบุหลักเกณฑ์และวิธีการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ไว้ในสัญญาใช้บริการอย่างชัดเจน จุดประสงค์ในการขอข้อมูล และจะนำข้อมูลไปใช้ด้านใดบ้าง ไม่สามารถเอาไปใช้เกินจากที่ระบุไว้ในคำขอความยินยอม เป็นต้น
“การละเมิดข้อมูลบนโลกดิจิทัลทำได้ง่าย ผู้ใช้ดิจิทัลแพลตฟอร์มต้องพึงระวัง ในการอ่านข้อความขอความยินยอม เจตนารมณ์ของกฎหมาย จะต้องแจ้งวัตถุประสงค์ให้ชัดแจ้งในกิจกรรมนั้น ๆ เช่น มี 3 ข้อ ถ้านำไปใช้เพิ่มจากนั้น ผู้ใช้สามารถถอนความยินยอมได้ และอยากแนะนำผู้ใช้งาน ถ้าสมัครใช้แอปพลิเคชั่นสื่อสังคมออนไลน์ใด ๆ ต้องระวังถึงจุดนี้ด้วย โดยเฉพาะแอปสนทนาออนไลน์ที่กำลังได้รับความนิยมล่าสุด เพราะแอปนี้ เรียกเอาเบอร์โทรไปจัดเก็บโดยอัตโนมัติ ไม่มีการขอความยินยอมก่อน”
ด้านความพร้อมของภาคส่วนต่าง ๆ ในประเทศไทยต่อการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลฯ นั้น ปัจจุบันกลุ่มธุรกิจการเงิน ตลาดทุน ประกันภัย เป็นกลุ่มที่ตื่นตัวและเตรียมพร้อมมากสุด มีแนวปฏิบัติที่ชัดเจน ไม่น่าเป็นห่วง ส่วนภาคธุรกิจอื่น ๆ ต้องรีบศึกษารายละเอียดข้อปฏิบัติตามกฎหมายนี้ และรีบดำเนินการ
“ในส่วนของหน่วยงานภาครัฐ ไม่อยากให้มองว่า พ.ร.บ.คุ้มครองข้อมูลฯ เป็นอุปสรรคในการแลกเปลี่ยนข้อมูล หรือการทำ Big Data จริง ๆ ต้องรีบกล้าให้ เพราะผู้ควบคุมข้อมูล (หรือหน่วยงาน) A ไปถึง B ทุกหน่วยมีความรับผิดชอบในข้อมูลที่ครอบครองหรือได้รับส่งมอบมาต้องมีมาตรการรักษาความปลอดภัยตามหลักเกณฑ์ที่กฎหมายกำหนดและมีความรับผิดเท่ากันหมด”
หากมีการละเมิดข้อมูลเกิดขึ้น เพราะทุกคนมีส่วนในการดูแลข้อมูลส่วนบุคคล ต้องมองมุมบวก ว่ามีกฎหมายฉบับนี้ ต้องรีบแลกเปลี่ยนข้อมูล เพื่อให้เกิดการบูรณาการข้อมูลภาครัฐ การใช้ Big Data เพื่อให้เกิดนวัตกรรม สิ่งใหม่ในการพัฒนาประเทศ