The Business Plus บิสิเนสพลัส
ใกล้ถึงเวลาของการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งหลายฝ่ายต้องเร่งศึกษาทำความเข้าใจ หรือทบทวนว่าสิ่งที่องค์กรดำเนินการมานั้นถูกต้องสอดรับกับข้อกำหนดแห่งกฎหมายหรือไม่ ถึงแม้หลายองค์กรยังคงมีความกังวลในบางประเด็น แต่ถ้าหากสร้างความเข้าใจที่ตรงกันได้ กฎหมายบังคับใช้นี้จะช่วยสร้างสมดุลด้านการใช้ข้อมูลส่วนบุคคลในสังคมไทยให้ประสบความสำเร็จได้ในระดับหนึ่ง
คุณเธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคลที่มุ่งถ่ายทอดจุดเน้น เจตนารมณ์ ตลอดจนหลักคิดของกฎหมาย เพื่อสร้างความเข้าใจ และคลายความกังวลให้แก่องค์กรธุรกิจ เผยให้เห็นถึงความสำคัญของ PDPA ว่า การบริหารจัดการองค์กรในปัจจุบันมีการนำเทคโนโลยีสารสนเทศมาใช้เพื่อเพิ่มประสิทธิภาพในการบริหารจัดการองค์กรในภาพรวม ทั้งในด้านการเก็บรวบรวม เก็บรักษา ประมวลผล และวิเคราะห์ข้อมูล รวมถึงการใช้และเปิดเผยข้อมูล หากแต่หลายองค์กรมิได้ตระหนักหรือให้ความสำคัญกับการเก็บรักษาความลับของข้อมูลที่เกี่ยวกับลูกค้าหรือผู้ใช้บริการ และบางครั้งการขาดความตระหนักดังกล่าวก็ได้ก่อให้เกิดความเสียหายแก่สิทธิความเป็นอยู่ส่วนตัวของเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลนั้น
จากสภาพการณ์ที่เป็นปัญหาและเป็นอุปสรรคดังกล่าวจึงนำมาสู่การตรากฎหมายคุ้มครองข้อมูลส่วนบุคคลขึ้นในประเทศไทย คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ซึ่งย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) ซึ่งจะมีผลใช้บังคับอย่างสมบูรณ์ในวันที่ 1 มิถุนายน พ.ศ.2565
โดย PDPA มีส่วนสำคัญในการช่วยลดปัญหาอุปสรรคด้านการค้าระหว่างประเทศที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ซึ่ง PDPA ของประเทศไทยมีแนวทางที่สอดคล้องใกล้เคียงกับ GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล แต่มีจุดเน้นที่ต่างกัน โดย GDPR มุ่งเน้นที่การประมวลผลข้อมูลเป็นหลัก ในขณะที่ PDPA เน้นการเก็บรวบรวม การเก็บรักษา การใช้และการเปิดเผยข้อมูล
ปัจจุบันหลายองค์กรมีความกังวลเกี่ยวกับการปฏิบัติตามกฎหมาย ซึ่งหากไม่สามารถดำเนินการให้สอดคล้องและถูกต้องตามบทบัญญัติของกฎหมายแล้วนั้นจะถูกลงโทษ โดยต้องชำระค่าปรับในวงเงินที่ค่อนข้างสูง ซึ่งคุณเธียรชัย ได้ให้คำแนะนำเกี่ยวกับการประกอบธุรกิจที่เป็นการสอดคล้องกับแนวทางที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดว่า “ในทางปฏิบัติแม้ว่าจะมีกฎหมายใช้บังคับ ผมคิดว่าองค์กรธุรกิจหรือผู้ประกอบการก็ยังสามารถดำเนินหรือทำธุรกิจไปได้ตามปกติ เหมือนที่เคยถือปฏิบัติ เพียงแต่ต้องตระหนักในเรื่องความสำคัญของข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้บริการให้มากขึ้น ต้องระมัดระวังว่าการเก็บรวบรวม การเก็บรักษา การใช้หรือเปิดเผยข้อมูลต้องดำเนินการตามที่กฎหมายกำหนด ซึ่งถ้าหากสามารถทำได้ ก็ไม่ต้องกังวลว่าตนเองจะถูกลงโทษหรือถูกลงโทษปรับ”
ทั้งนี้ คุณเธียรชัย ได้เจาะข้อมูลจากพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เพื่อให้เข้าใจเจตนารมณ์ของ PDPA และเพื่อให้องค์กรคลายความกังวล ในหมวดที่เกี่ยวข้องกับองค์กรธุรกิจ ผู้ประกอบการและบุคคลผู้เป็นเจ้าของข้อมูล ซึ่งประกอบด้วย 96 มาตรา มี 7 หมวด คือ หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล หมวด 3 สิทธิของเจ้าของข้อมูลส่วนบุคคล หมวด 5 การร้องเรียน หมวด 6 ความรับผิดทางแพ่ง และหมวด 7 บทกำหนดโทษ ซึ่งแบ่งออกเป็น 2 ส่วน คือ โทษทางอาญา และโทษทางปกครอง
โดยจุดเน้นคือ “การเก็บรวบรวม การใช้ หรือเปิดเผย” ซึ่งเริ่มตั้งแต่การเก็บรวบรวมข้อมูล หากมีการเก็บข้อมูลของผู้ใดจะต้องขอความยินยอมและแจ้งวัตถุประสงค์การเก็บรวบรวม ใช้ หรือเปิดเผยต่อเจ้าของข้อมูลส่วนบุคคลนั้น และจะเก็บข้อมูลได้เท่าที่จำเป็นเท่านั้น สำหรับความยินยอมของเจ้าของข้อมูลจะต้องเป็นการให้ความยินยอมก่อนหรือขณะจัดเก็บข้อมูล โดยที่เจ้าของข้อมูลเข้าใจในวัตถุประสงค์ของการจัดเก็บตามที่แจ้ง
สำหรับ Sensitive Data หรือข้อมูลที่อ่อนไหวต่อความรู้สึกของบุคคล ซึ่งโดยปกติห้ามเก็บ แต่ก็จะมีข้อยกเว้นในบางกรณีตามกฎหมาย สำหรับขอความยินยอมในการจัดเก็บข้อมูลประเภท Sensitive Data จากเจ้าของข้อมูล จะต้องชัดเจนว่าเป็นการให้ความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล (Explicit Consent) จึงจะสามารถจัดเก็บได้
ขณะที่ในส่วนของความผิดและบทกำหนดโทษ ซึ่งเป็นเรื่องที่องค์กรธุรกิจหรือผู้ประกอบการกลัวหรือมีความกังวล คุณเธียรชัยเห็นว่า กฎหมายไม่มีเจตนาที่จะลงโทษปรับขั้นสูงสุดทุกกรณี เพราะยังมีตัวแปรอื่น ๆ ที่กรรมการผู้เชี่ยวชาญต้องนำมาพิจารณาประกอบด้วย เช่น ความร้ายแรงของผลกระทบที่เกิดขึ้น ขนาดขององค์กรและจำนวนของข้อมูล และโดยเฉพาะความเสียหายที่เกิดขึ้นกับเจ้าของข้อมูล เป็นต้น หากเป็นกรณีที่ไม่ร้ายแรงโทษปรับก็จะน้อยกว่าเรื่องที่มีความร้ายแรงและที่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลเป็นจำนวนมาก
อย่างไรก็ตาม คุณเธียรชัย กล่าวว่า ขณะนี้กฎหมายลำดับรอง หลักเกณฑ์และกฎระเบียบต่าง ๆ ยังออกมาไม่ครบจึงขอให้ภาคองค์กรธุรกิจหรือผู้ประกอบการติดตามต่อไปหลังจากกฎหมายมีผลบังคับใช้
นี่เป็นเพียงบทความส่วนหนึ่งที่แนะนำข้อมูล PDPA ทั้งนี้ยังมีประเด็นต่าง ๆ ที่ผู้ประกอบการต้องเตรียมความพร้อม หากสนใจอ่านรายละเอียดเพิ่มเติมสามารถอ่านบทความฉบับเต็มได้ที่ ICHI Website: https://bit.ly/3wKqEEd
