หลังเลื่อนมา 2 ปี ในที่สุดพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ก็ถึงคิวบังคับใช้เป็นทางการ ตั้งแต่ 1 มิ.ย. 2565 นี้
นายเธียรชัย ณ นคร ประธานกรรมการ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล การันตีว่าจะไม่เลื่อนอีกแล้ว พร้อมอธิบายถึงข้อดีของการเริ่มบังคับใช้กฎหมายดังกล่าวว่า 1.ผู้ประกอบการที่ทำธุรกิจกับประเทศในสหภาพยุโรปจะพูดได้เต็มปากว่า กฎหมายเรื่องการคุ้มครองข้อมูลส่วนบุคคลในไทยมีผลบังคับใช้แล้ว
- ประกาศแล้ว! พระราชกฤษฎีกาเงินช่วยค่าครองชีพผู้รับเบี้ยหวัดบำนาญ รับ 11,000 บาทต่อเดือน
- บังคับใช้แล้ว! หลักเกณฑ์การดำเนินงาน 30 บาทรักษาทุกที่ ด้วยบัตรประชาชนใบเดียว
- รักษาการอธิบดี DSI เปิดเงื่อนไข “ขนย้ายกากแคดเมียม” เข้าข่ายเป็นคดีพิเศษหรือไม่
ดังนั้นถ้ามีเรื่องเกี่ยวพันกับธุรกิจก็จะมีหลังให้พิง และ 2.สร้างความตระหนักให้กับองค์กรธุรกิจ และภาคส่วนต่าง ๆ ในการให้ความสำคัญกับข้อมูลส่วนบุคคล โดยที่ผ่านมาอาจไม่ได้แยกข้อมูลส่วนบุคคลกับข้อมูลอื่น ๆ และ 3.ในระยะยาวเรื่องนี้จะเป็นหนึ่งในข้อกำหนดในการกำกับดูแลกิจการ หรือ corporate governance
ความต่างของ “GDPR-PDPA”
“คนส่วนใหญ่เวลาพูดถึง PDPA มักนำไปเทียบกับ GDPR (General Data Protection Regulation) ของสหภาพยุโรป โดยส่วนตัวมองว่าเทียบได้ยาก เพราะ GDPR เน้นเรื่องการประมวลผลข้อมูลหรือ data processing เป็นหลัก
เพราะมองว่าการนำเทคโนโลยีสารสนเทศมาใช้แพร่หลายกับองค์กรที่มีข้อมูลส่วนบุคคลเยอะ ๆ ทำให้เกิดการประมวลผลข้อมูล และการได้มาซึ่งข้อมูลที่เอาไปใช้ ถ้าทำไม่ดีจะกระทบสิทธิความเป็นอยู่ส่วนตัวของคน การประมวลผลคือ การเอาข้อมูลหลายอย่างมาคำนวณเข้าด้วยกัน อาจได้มาจากการคำนวณพฤติกรรม
เช่น ผมไปซื้อหนังสือที่อเมซอน ชอบซื้อด้านเศรษฐศาสตร์และไอที พอล็อกอินเข้าไประบบจะขึ้นมาบอกเลยว่าคุณเธียรชัย มีหนังสือใหม่สนใจไหม อเมซอนน่าจะเป็นตัวอย่างที่เก่งที่สุดในโลกเรื่องการประมวลผลข้อมูลเชิงพฤติกรรม เป็นต้น”
นายเธียรชัยกล่าวว่า ระหว่างที่กฎหมาย GDPR ออกมาใช้บังคับ ประเทศต่าง ๆ ในสหภาพยุโรปก็ออกกฎหมายภายในประเทศของตนเองขึ้นมาเช่นกัน GDPR จึงเปรียบได้กับกฎหมายกลางของสหภาพยุโรป แต่ในแต่ละประเทศก็มีกฎหมายของตนเองด้วย
ตัว GDPR โดยรวมไม่มีโทษอาญา แต่โทษอาญาไปปรากฏในกฎหมายของแต่ละประเทศ เช่น ในอาเซียนมี 3 ประเทศ คือ ไทย, สิงคโปร์ และฟิลิปปินส์
แจงโทษปรับ 5 แสน-5 ล้าน
ขณะที่ กม.ข้อมูลส่วนบุคคลเป็นข้อมูลที่เกี่ยวกับตัวบุคคล ที่ทำให้สามารถระบุตัวบุคคลได้ เมื่อมีผลบังคับใช้แล้ว องค์กรต่าง ๆ ต้องปฏิบัติตามกฎกติกา หลักเกณฑ์เรื่องการรักษาความปลอดภัยของข้อมูล โดยมีการจัดแบ่งประเภทของข้อมูลให้ชัดเจน เช่น ข้อมูลส่วนบุคคลต้องจัดเก็บอย่างไร มีเทคโนโลยีใดมาช่วย
เช่น การมียูสเซอร์เนมและพาสเวิร์ด หรือขยับขึ้นมาก็อาจใช้ระบบไบโอเมตริก หรือสมาร์ทการ์ด จำกัดคนเข้าถึงข้อมูลหรือเข้าถึงได้เฉพาะที่จำเป็น มีการเก็บล็อกไฟล์ และระบบบันทึกการใช้งาน เพื่อที่จะได้รู้ว่าการรั่วไหลของข้อมูลมาจากไหน และชี้ได้ว่าข้อมูลหลุดเพราะใคร เป็นต้น
“หลายองค์กรกังวลกับ กม.ว่ามีบทลงโทษมากไป เช่น โทษทางอาญาที่จำคุกสูงสุด 1 ปี หรือโทษทางปกครองที่ปรับได้ถึง 5 ล้าน และคิดว่าการลงโทษแบบนี้ในต่างประเทศไม่มี แต่จริง ๆ ในหลายประเทศอาเซียนมีโทษทางอาญาเช่นกัน กรณีโทษทางปกครองมีโทษปรับ 5 แสน-5 ล้านบาท ทางคณะกรรมการกำลังยกร่างเพื่อกำหนดโทษแบบจากเบาไปหาหนัก เพื่อไม่ให้สร้างความตระหนกแก่องค์กรต่าง ๆ มากเกินไป”
สำหรับโทษทางอาญาจะเกี่ยวข้องกับการเอาข้อมูลไปเผยแพร่ทำให้เสียหาย เสียเกียรติยศชื่อเสียง คล้ายกฎหมายหมิ่นประมาท จึงฟ้องได้แม้ไม่มีมาตรานี้เขียนไว้ หรือหากนำข้อมูลไปใช้ไม่ถูกต้อง เช่น นำข้อมูลไปขาย เพราะการเก็บข้อมูลลูกค้าของบริษัทต่าง ๆ จะเพื่อนำไปใช้ประโยชน์ในธุรกิจนั้น ๆ เท่านั้น ไม่มีสิทธินำไปขาย
“แก๊งคอลเซ็นเตอร์เถื่อนที่กำลังเป็นปัญหา เราก็ต้องไปแทรกกิ้งว่าเอามาจากไหน อีกทั้งในกฎหมายเขียนไว้ว่าเจ้าของข้อมูลมีสิทธิถามว่าเอามาจากไหน”
ด้านความรับผิดทางแพ่ง นายเธียรชัยกล่าวว่า จะเกิดขึ้นได้ก็ต่อเมื่อมีการฟ้องคดี โดยศาลเป็นผู้ตัดสิน แม้กฎหมายจะเขียนว่าให้ศาลมีอำนาจปรับค่าสินไหมทดแทนได้เป็นสองเท่า แต่ในความเป็นจริงต้องดูความเสียหาย และพฤติการณ์หลายอย่างประกอบ ดังนั้นโอกาสที่จะโดนปรับสองเท่าจึงค่อนข้างน้อย และผู้ฟ้องต้องพิสูจน์ว่าเสียหายตรงไหน
เร่งตั้ง สนง.-รับสมัคร 200 อัตรา
นายเธียรชัยกล่าวด้วยว่า จะเร่งดำเนินการจัดตั้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อทำหน้าที่หลักเป็นผู้กำกับ (regulator) การบังคับใช้กฎหมาย และดูแลป้องกันไม่ให้มีการนำข้อมูลส่วนบุคคลไปใช้ในทางที่ผิด หรือถ้ามีปัญหาขึ้นก็จะประสานไปยังหน่วยงานที่เกี่ยวข้อง เช่น กสทช. เป็นต้น
โดยอัตรากำลังที่ได้รับมาในเบื้องต้นจะอยู่ที่ราว 200 คน ซึ่งต้องออกแบบให้ดีว่าโครงสร้างองค์กร และบุคลากรควรมีความรู้ความเชี่ยวชาญด้านใดบ้างเพื่อให้สอดคล้องกับภารกิจ
“งานแรก ๆ ที่ต้องทำควบคู่ไปกับการไล่ล่าคอลเซ็นเตอร์เถื่อนคือ การสื่อสารทำความเข้าใจกับองค์กรธุรกิจและประชาชน ในแง่กำลังคนต้องเปิดรับสมัคร ซึ่งต้องซีเรียสพอสมควร และระวังเรื่องเด็กฝาก ถ้าเด็กฝากมีความรู้ความสามารถก็เรื่องนึง
แต่ถ้าประเภทขอโอนมาเพราะที่เก่าไปไม่รอดแบบนี้แย่แน่ บุคลากรควรประกอบด้วยประเภทไหนบ้างเป็นเรื่องสำคัญ เพราะเวลาทำงานจริง ๆ การเก็บรักษาข้อมูลจะเกี่ยวกับระบบไอทีเยอะ การเลือกคนจึงต้องระมัดระวัง ส่วนการบริหารจัดการสำนักงานก็จะมีคณะกรรมการกำกับสำนักงานอีกชุด มีบทบาทในการจัดวางโครงสร้างองค์กร
ส่วนชุดใหญ่ที่ผมนั่งเป็นประธานกรรมการ มีหน้าที่วางกฎเกณฑ์ กติกา ออก กม.ลูก ทำหน้าที่ในการให้คำปรึกษาหารือเกี่ยวกับ กม. หน้าที่แรกคือ ดู กม.รอง ซึ่งทางจุฬาฯและทีดีอาร์ไอ ทำสำรวจวิจัยเป็นตุ๊กตาให้ดูว่า กม.ลูกแต่ละฉบับควรมีหน้าตายังไง คาดว่า กม.ลูกน่าจะมี 20 กว่าฉบับ”
สำหรับการจัดตั้งสำนักงาน คาดว่าไม่เกินเดือน ก.ย.จะเรียบร้อย โดยในแง่งบประมาณสำหรับปี 2566 ขอไปแล้ว 20 ล้านบาท แต่โดนปรับลดเหลือ 13 ล้านบาท
“คำแนะนำสำหรับองค์กรต่าง ๆ คือ ทำธุรกิจไปตามปกติ โดยให้ความสำคัญกับการดูแลข้อมูลส่วนบุคคลของลูกค้า ต้องมีการแยกแยะข้อมูลว่าที่เก็บมีกี่กลุ่ม กี่ประเภท จะมีมาตรฐานในการรักษาความปลอดภัยขั้นต่ำตามที่กระทรวงดีอีเอสประกาศไว้อย่างไร ซึ่งมีหลายส่วน ทั้งการมีแอ็กเซสคอนโทรลและอื่น ๆ
แต่สิ่งสำคัญน่าจะอยู่ที่ผู้บริหารในองค์กรนั้น ๆ ต้องให้ความสำคัญ และมีนโยบายในบริษัทของตนเองที่จะให้พนักงานเข้าใจความสำคัญของการรักษาข้อมูล ซึ่งโดยหลักคือ ห้ามเอาข้อมูลของลูกค้าไปขาย ตอนเก็บรวบรวมต้องบอกว่าจะเก็บไปทำอะไร ใช้ในขอบเขตแค่ไหน”
นายเธียรชัยย้ำว่า กฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่ได้ห้ามที่จะใช้ข้อมูลส่วนบุคคลไปทำธุรกิจ แต่ห้ามนำไปใช้ในทางที่ไม่เหมาะสมจนเป็นที่เสียหายกับเจ้าของข้อมูล และไม่สามารถขายข้อมูลของลูกค้าได้
