1 มิ.ย. ดีเดย์ บังคับใช้ กฎหมายคุ้มครองข้อมูลส่วนบุคคล

ไม่เลื่อนแน่ 1 มิ.ย. พร้อมบังคับใช้ “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล” เดินหน้าให้ความรู้ “ประชาชน” และกระตุ้นผู้ประกอบการ สร้างมาตรฐานการจัดการข้อมูลอย่างเหมาะสม เชื่ออัพสปีดขีดความสามารถในการแข่งขันด้านเศรษฐกิจดิจิทัลของประเทศ ตามรอย GDPR

วันที่ 13 พ.ค.2565 นายเธียรชัย ณ นคร ประธานกรรมการ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (พ.ศ.2562) หรือ PDPA (Personal Data Protection Act (B.E.2562) จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้แน่นอน หลังจากเลื่อนการประกาศใช้มาแล้ว 2 ปี ซึ่งหลังจากนี้จะเร่งเดินหน้าให้ความรู้ และสร้างความตระหนักในเรื่องสิทธิ์ของเจ้าของข้อมูลส่วนบุคคลแก่ประชาชน และส่งเสริมให้องค์กรต่างๆ ทั้งภาครัฐ และเอกชน ตระหนักถึงการปฏิบัติตามกฎหมายดังกล่าว

สำหรับเนื้อหาหลักของกฎหมายฉบับนี้ คือการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใดจะต้องมีการขอจากเจ้าของข้อมูลส่วนบุคคล หรือตามที่มีการบัญญัติไว้ในกฎหมายฉบับนี้ โดยต้องมีการบอกกล่าวถึงวัตถุประสงค์ในการนำข้อมูลไปใช้ และใช้ตรงตามวัตถุประสงค์ที่ระบุ

ทั้งยังให้ความสำคัญกับการให้สิทธิ “เจ้าของข้อมูลส่วนบุคคล” ที่สามารถขอให้เปลี่ยนแปลง แก้ไข ขอสำเนา ขอให้ลบได้ หากไม่ขัดกับหลักการหรือข้อกฎหมายใด ๆ และองค์กรที่ได้ข้อมูลส่วนบุคคลมาต้องมีมาตรการ และมาตรฐานในการบริหารจัดการดูแลข้อมูลเหล่านี้อย่างเหมาะสมและปลอดภัย

“ประเทศไทยจำเป็นต้องมีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เพราะเป็นหลักสากลที่ประเทศต่าง ๆ ให้ความสำคัญ โดยเฉพาะคู่ค้าสำคัญของประเทศไทยที่ต่างนำหลักการคุ้มครองข้อมูลส่วนบุคคลมาตราเป็นกฎหมายเพื่อคุ้มครองประชาชนในประเทศของตนเอง เริ่มจากสหภาพยุโรปที่มีกฎหมายชื่อ General Data Protection Regulation หรือ GDPR บังคับใช้ตั้งแต่ปี 2561 ทำให้ประเทศต่าง ๆ เริ่มมีกฎหมายลักษณะเดียวกัน เช่น สิงคโปร์ มาเลเซีย อินโดนิเซีย ฟิลิปปินส์ ญี่ปุ่น เกาหลีใต้ ไต้หวัน ฮ่องกง และจีน

ขณะที่ประเทศไทยมีการละเมิดข้อมูลส่วนบุคคลเพิ่มมากขึ้น และองค์กรต่างๆ ยังไม่ตระหนักถึงการรักษาความปลอดภัยของข้อมูลที่เก็บจากประชาชนหรือลูกค้าของตนทำให้ข้อมูลมีการรั่วไหลออกไปยังผู้ที่ไม่ประสงค์ดีต่อเจ้าของข้อมูลส่วนบุคคล ดังนั้นการมีกฎหมาย PDPA

นอกจากจะช่วยคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลแล้ว ยังทำให้องค์กรที่เก็บข้อมูลส่วนบุคคลต้องทบทวนถึงความจำเป็นของการเก็บ ประมวลผล และใช้ข้อมูลว่ามีความจำเป็นมากน้อยเพียงใด และต้องให้ความสำคัญกับข้อมูลส่วนบุคคลว่าได้มาอย่างไร เก็บรักษาอย่างไร และใช้อย่างไร เพื่อลดต้นทุนในการบริหารจัดการ การเก็บ ประมวลผล และใช้ รวมทั้งให้สิทธิเจ้าของข้อมูลและการรักษาความปลอดภัยของข้อมูล ซึ่งจะทำให้องค์กรใช้ประโยชน์จากข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพในระยะยาว

“ความเป็นสากลของการคุ้มครองข้อมูลส่วนบุคคลที่ระบุใน PDPA ยังเป็นเครื่องมือที่ช่วยให้การทำธุรกิจที่อาศัยข้อมูลผ่านสื่อและอุปกรณ์ดิจิทัลระหว่างไทยกับประเทศต่างๆ เป็นไปโดยราบรื่น และมีฐานะที่เท่าเทียมกันมากขึ้น

และทำให้ไม่ว่าองค์กรต่างๆ ที่อยู่ต่างประเทศ หากมีการเก็บข้อมูลคนในประเทศไทย ต้องปฏิบัติตามกฎหมายฉบับนี้”

นายเธียรชัย กล่าวต่อว่าหลายองค์กรกังวลกับกฎหมายฉบับนี้ว่ามีบทลงโทษที่มากเกินไป เช่น การลงโทษทางอาญาที่มีโทษจำคุกสูงสุด 1 ปี หรือโทษทางปกครองที่ปรับได้ถึง 5 ล้านบาท และคิดว่าการลงโทษในลักษณะนี้ไม่มีในต่างประเทศ

แต่โดยข้อเท็จจริงแล้ว หลายประเทศในอาเซียนมีบทลงโทษทางอาญาเช่นกัน ส่วนโทษทางปกครอง ทางคณะกรรมการกำลังยกร่างเพื่อกำหนดโทษแบบจากเบาไปหาหนัก เพื่อไม่ให้สร้างความตระหนกแก่องค์กรต่าง ๆ มากเกินไป


“ก่อน 1 มิ.ย.นี้ คณะกรรมการฯจะทยอยประกาศกฎหมายรองที่จะทำให้เกิดความชัดเจนในการปฎิบัติ เพื่อให้องค์กรต่าง ๆ ปรับตัวเข้าสู่การใช้ PDPA ได้อย่างราบรื่น”