หลายฝ่ายตื่นตัวโดยเฉพาะประชาชนทั่วไป เมื่อ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (พ.ศ. 2562) หรือกฎหมาย PDPA-Personal Data Protection Act มีผลบังคับใช้ ตั้งแต่วันที่ 1 มิ.ย. 2565 ที่ผ่านมา สำหรับองค์กรต่าง ๆ โดยเฉพาะหน่วยงานภาครัฐ และองค์กรธุรกิจขนาดใหญ่จะค่อนข้างมีความพร้อม เพราะมีเวลาเตรียมตัวกันมากว่า 2 ปีแต่เอสเอ็มอีจำนวนไม่น้อยที่ยังอยู่ระหว่างปรับตัว
“ประชาชาติธุรกิจ” มีโอกาสพูดคุยกับ “ดร.อุดมธิปก ไพรเกษตร” กรรมการผู้จัดการ บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด บริษัทที่ปรึกษาด้านการพัฒนาทักษะด้านดิจิทัล และผู้เชี่ยวชาญกฎหมาย PDPA
- ร้านธงฟ้า 1.4 แสนแห่ง พร้อมรับดิจิทัลวอลเลต เช็กจังหวัดไหนร้านธงฟ้ามาก-น้อยสุด
- นักท่องเที่ยวเข้าต่ำแสน หวั่นโลว์ซีซั่นทรุดหนัก ททท.ชี้กระทบสั้นยอดบุ๊กกิ้งแอร์ไลน์แน่น
- เปิด 10 อันดับมหาวิทยาลัยรัฐ-ราชภัฏ-เอกชน ที่ได้รับความนิยมมากสุด
ดร.อุดมธิปกกล่าวว่า กฎหมาย PDPA มีความสัมพันธ์กับกฎหมายอื่นด้วย และส่งผลให้เกิดการเปลี่ยนเเปลงทางสังคมโดยเฉพาะในเรื่องของสิทธิส่วนบุคคล มีผลกับผู้ประกอบการทุกระดับ ไม่ว่าจะเป็นเอสเอ็มอีไปจนถึงบริษัทขนาดใหญ่ โดยเฉพาะผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ที่เก็บข้อมูลคนอื่นเเล้วนำมาใช้ รวมไปถึงการเก็บข้อมูลของพนักงาน ลูกจ้าง และคู่ค้าด้วย
“ธุรกิจ SMEs ส่วนใหญ่เป็นการเก็บข้อมูลพนักงาน และต่อให้มีข้อมูลพนักงานมาก ปัญหาเรื่องการยินยอมและการเก็บข้อมูล ไม่มีอะไรยุ่งยาก เพราะระหว่างพนักงาน และนายจ้างเป็นการเก็บข้อมูลบนฐานของสัญญาอยู่แล้ว”
แต่ผลกระทบหนักจะเกิดกับธุรกิจ หรือองค์กรขนาดใหญ่ที่เก็บข้อมูลลูกค้าจำนวนมาก เนื่องจากแต่ก่อนไม่ต้องขอความยินยอม ทั้งยังนำข้อมูลลูกค้าไปทำประโยชน์ทางธุรกิจได้มาก
3 สิ่งที่เปลี่ยนไป
การบังคับใช้กฎหมาย PDPA ทำให้เกิดการเปลี่ยนแปลงใน 3 ส่วน คือ 1.ในอดีตการเก็บข้อมูลลูกค้า ไม่ต้องขอความยินยอม แต่กฎหมายฉบับนี้บังคับให้ต้องขอความยินยอม 2.เจ้าของข้อมูลมีสิทธิเข้าถึงข้อมูล ทั้งการแก้ไข เปลี่ยนแปลง และขอลบข้อมูล ซึ่งสิทธิหลายอย่างเป็นเรื่องใหม่
และ 3.ข้อมูลกลายเป็นสิ่งมีค่า เพราะกฎหมายบังคับให้ต้องเก็บรักษา ถ้าเก็บในระบบดิจิทัลต้องมีระบบป้องกันความปลอดภัยข้อมูล (ไซเบอร์ซีเคียวริตี้)
“เอสเอ็มอี หรือร้านค้าขนาดเล็ก ที่ไม่ได้เก็บข้อมูลมาก ๆ อาจมีแค่ซอฟต์แวร์แอนตี้ไวรัสอย่างเดียวก็ได้”
อย่างไรก็ตาม แม้ กม.จะมีผลบังคับใช้แล้ว แต่ก็ไม่สามารถรู้ได้ว่าองค์กรใดทำหรือไม่ทำตามกฎหมาย เพราะไม่มีเจ้าหน้าที่ลงไปตรวจสอบ จนกว่าจะเกิดปัญหาหรือมีกรณีละเมิด
“ไม่ทำตามกฎหมาย PDPA ก็ไม่มีใครรู้ จนกว่าจะมีกรณีละเมิด หรือมีข้อมูลรั่วไหล จึงจะมีคณะกรรมการผู้เชี่ยวชาญเข้าไปตรวจสอบ ถ้าพบว่าไม่ดำเนินการตามข้อกำหนดในกฎหมายก็จะถือว่ามีความผิด มีทั้งโทษอาญาและโทษปรับ”
โทษอาญาที่หนักสุด คือ การจำคุก จะเกิดเมื่อข้อมูลที่โดนละเมิดหรือปล่อยให้รั่วไหลเป็นข้อมูลที่มีความอ่อนไหว เช่น ข้อมูลเกี่ยวกับสุขภาพ ความเชื่อเชื้อชาติ ศาสนา เป็นต้น ส่วนโทษปรับจะพิจารณาตามจำนวนข้อมูลที่หลุด
เพิ่มสิทธิเจ้าของข้อมูล
“ธุรกิจยิ่งเล็ก ยิ่งเก็บข้อมูลน้อย โอกาสที่จะโดนโทษปรับก็จะยิ่งน้อย ทั้งมาตรการลงโทษใช้หลักการลงโทษจากเบาไปหนัก โดยเริ่มจาก “การตักเตือน” หากทำตามก็น่าจะไม่มีปัญหาตามมา คนที่ควรกังวลบทลงโทษมากที่สุด คือองค์กรขนาดใหญ่ที่เก็บข้อมูลมาก ๆ เพราะมีโอกาสที่ข้อมูลจะรั่วไหลได้มาก”
ดร.อุดมธิปกมองว่า สิ่งที่เห็นชัดที่สุดจาก กม.ฉบับนี้คือ การมอบอำนาจ และเพิ่มสิทธิให้กับประชาชนผู้เป็นเจ้าของข้อมูล โดยจะมีสิทธิเพิ่มขึ้นในการเข้าไปตรวจสอบ แก้ไข ทำให้เป็นปัจจุบัน หรือขอลบข้อมูลส่วนตัว รวมไปถึงการคุ้มครองสิทธิที่จะทำให้เรียกชดใช้ความเสียหายกรณีข้อมูลรั่วไหล
สิ่งที่ประชาชนต้องทำคือ ทำความเข้าใจ เรียนรู้สิทธิที่เพิ่มมากขึ้น เรียนรู้ว่าจะบริหารข้อมูลส่วนตัวของตนอย่างไร
“กฎหมาย PDPA เป็นกฎหมายที่มีหลายแง่มุม แบ่งได้ 3 ส่วน คือ 1.เป็นกฎหมายที่คุ้มครองคนที่อยู่ในไทย รวมถึงแรงงานต่างชาติ เพิ่มสิทธิในข้อมูล และการคุ้มครองความเสียหายดังที่ได้อธิบายไปแล้ว 2.เป็นกฎหมายทางการค้า
เพราะในต่างประเทศตระหนักในเรื่องนี้จึงมีกฎหมายลักษณะเดียวกันนี้เป็นมาตรฐาน และ 3 เป็นกฎหมาย digital transformation อย่างหนึ่ง เพราะข้อมูลส่วนบุคคลปัจจุบันอยู่ในรูปแบบดิจิทัล เป็นแรงผลักดันให้ทุกองค์กรพัฒนาการเก็บเเละวิเคราะห์ข้อมูล”
สำคัญที่ “เจตนา”
สำหรับองค์กรขนาดใหญ่ในอดีต มีการเก็บข้อมูลจำนวนมาก แต่ไม่ได้นำมาใช้ แต่กฎหมายฉบับนี้ทำให้องค์กรใหญ่ ๆ แปลงข้อมูลเป็น “ดิจิทัล” และเก็บข้อมูลเท่าที่จำเป็น เพราะเก็บมากก็เสี่ยงมาก กับ SMEs ยิ่งสำคัญ เพราะเมื่อธุรกิจขยายตัว
เช่น การขายของหน้าร้าน ข้อมูลที่ได้เป็นแบบหนึ่ง ต่อมาขายของออนไลน์ ข้อมูลที่ได้ก็จะเพิ่มเข้ามา จึงต้องปรับวิธีการปกป้องข้อมูลทำให้ทันสมัย อัพเดตให้ทันกับการขยายตัวของธุรกิจและจะส่งผลดีในระยะยาว
กรณีข้อกังวลของประชาชนทั่วไปเกี่ยวกับการถ่ายรูปบุคคลอื่นแล้วนำไปแชร์ในสื่อออนไลน์ทำได้แค่ไหนอย่างไร ดร.อุดมธิปกกล่าวว่า ต้องดูที่เจตนาเป็นหลักว่าเจตนาของคนเก็บข้อมูล ถ้าไม่ได้ทำให้เกิดความเสียหายก็ไม่มีปัญหา
“ทุกวันนี้เราเดินเข้าธนาคารก็มีกล้องวงจรปิด เราทราบเจตนาว่าธนาคารติดกล้องวงจรปิดเพื่อความปลอดภัย เราก็ปล่อยเขาเก็บข้อมูลใบหน้าเราไป ซึ่งการยินยอมบางครั้งไม่ต้องเป็นลายลักษณ์อักษร หรือกรณีการถ่ายภาพของสื่อมวลชน ทำได้กรณีเป็นประโยชน์สาธารณะ ในมาตรา 4 (3) มีการยกเว้นให้ เป็นต้น”
ดร.อุดมธิปกทิ้งท้ายว่า “กฎหมายฉบับนี้ทำให้สังคมไทยตระหนักในสิทธิของตนเอง และสิทธิของผู้อื่น ถ้าไม่อยากให้คนอื่นละเมิดสิทธิคุณ คุณต้องไม่ละเมิดสิทธิคนอื่นเช่นกัน นิติบุคคลหรือองค์กรที่ควบคุมข้อมูลก็ต้องคิดแบบเดียวกัน ถือเป็นพัฒนาการที่ทำให้สังคมโดยรวมดีขึ้นได้ แต่ต้องใช้เวลาในการเรียนรู้”
