“รัฐ”เร่งสร้างความเข้าใจ “ก.ม.ข้อมูลส่วนบุคคล”
พ.ร.บ.ข้อมูลส่วนบุคคลฯ เป็นหนึ่งในกฏหมายที่ประชาชนเฝ้ารอ เพื่อได้ใช้ชีวิตในโลกออนไลน์อย่างสบายใจ
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศในราชกิจจานุเบกษา เมื่อวันที่ 27 พฤษภาคม 2562 และจะมีผลบังคับใช้อย่างเต็มรูปแบบภายใน1ปี หลักการเหตุผลและความจำเป็น พ.ร.บ.ฉบับนี้ เพื่อให้การคุ้มครองข้อมูลส่วนบุคคล และให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิข้อมูลส่วนบุคคล ด้วยหลักเกณฑ์ กลไก มาตรการกํากับดูแลอย่างเป็นสากล
สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ หรือ เอ็ตด้า เร่งสร้างความเข้าใจ พ.ร.บ.การคุ้มครองข้อมูลส่วนบุคคล แนะประชาชน ธุรกิจอย่าตื่นตระหนก แต่ควรสร้างแนวทางการรับมือ ระบุเป็นกฏหมายที่ช่วยคุ้มครองข้อมูลส่วนบุคคล สกัดการล่วงละเมิด มีมาตรการเยียวยาตามหลักสากล
พ.ร.บ.ข้อมูลส่วนบุคคลฯ เป็นหนึ่งในกฏหมายที่ประชาชนเฝ้ารอ เพื่อได้ใช้ชีวิตในโลกออนไลน์อย่างสบายใจ หากเพราะเป็นกฎหมายใหม่ที่เพิ่งมีขึ้นในประเทศไทย และยังไม่มีกฎหมายลูกกำหนดแนวทางปฏิบัติในรายละเอียด ไม่มีแนวการตีความ หรือบังคับใช้กฎหมายมาก่อน
ดังนั้นบุคคลที่จะมาทำหน้าที่บังคับใช้กฎหมายนี้ รวมถึงส่วนที่เกี่ยวข้อง จึงมีความสำคัญมาก ขณะเดียวกัน “เจ้าของข้อมูลส่วนบุคคล” ไม่ว่าจะเป็นผู้บริโภค หรือองค์กรต่างๆ ต้องหาทางรับมือและทำความเข้าใจให้ถ่องแท้ เพราะเกี่ยวพันกับการใช้ชีวิตประจำวัน และการทำธุรกิจโดยเฉพาะในยุคดิจิทัลที่มีเทคโนโลยีเป็นตัวขับเคลื่อนสำคัญ
แนะองค์กร-ประชาชนตระหนักรู้
“สุรางคณา วายุภาพ” ผู้อำนวยการเอ็ตด้า กล่าวถึงการเตรียมตัวรับมือกับ พ.ร.บ.การคุ้มครองข้อมูลส่วนบุคคลว่า กฎหมายคุ้มครองข้อมูลส่วนบุคคลเกี่ยวข้องกับกฎหมายหลายฉบับ เช่น พ.ร.บ.การประกอบข้อมูลเครดิต ,พ.ร.บ.กสทช.ในประเด็นการคุ้มครองสิทธิและข้อมูล ,พ.ร.บ.สุขภาพแห่งชาติ เกี่ยวกับข้อมูลสุขภาพ ,พ.ร.บ.ข้อมูลข่าวสารราชการ ,พ.ร.บ.การบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล และพ.ร.บ.ธุรกรรมทางอิเล็กทรอนิกส์
"การที่ธุรกิจใดต้องเตรียมตัวอย่างไร จึงต้องดูว่าองค์กรตัวเอง หรืองานที่ทำมีการเชื่อมโยงข้อมูลกับภายนอกองค์กร หรือทำธุรกิจกับใครมีข้อมูลอะไรที่คาบเกี่ยวกับการเชื่อมโยงข้อมูลเข้าด้วยกัน ซึ่งควรทำการเชื่อมโยงให้อยู่บนบมาตรฐานที่กฎหมายรองรับ และมีความเป็นสากล"
ผู้หน้าที่ดูแลข้อมูลส่วนบุคคลภายในองค์กร สิ่งที่ควรทำ คือ ดูว่าองค์กรตัวเองมีข้อมูลอะไร วิธีจัดเก็บเป็นอย่างไร การวางแผนป้องกันข้อมูลไม่ให้เสียหายทำอย่างไร องค์กรหน่วยงานควรตั้งเวิร์คกรุ๊ปเข้ามาดูแลเรื่องนี้ มีการแต่งตั้งผู้บริหารระดับสูงที่ดูแลข้อมูลส่วนบุคคล วางแนวทางปฎิบัติให้ชัดเจน พัฒนาคนให้มีทักษะความพร้อม เตรียมเอกสารในการทำมาตรฐานความปลอดภัย
“ในภาพรวมคนอาจจะรู้สึกว่าไทย ยังไม่ค่อยพร้อมรับมือกฎหมายคุ้มครองข้อมูลส่วนบุคคล แต่ส่วนตัวมองว่าคนไทยและธุรกิจไทยมีความตื่นตัวมาก เห็นจากการประชุมให้ความรู้และความร่วมมือในเรื่องนี้ มีผู้ให้ความสนใจจำนวนมากทุกครั้ง สำหรับประชาชนทั่วไป ขอให้อย่าตื่นกลัว โดยควรทำความเข้าใจกฎหมายว่าคุ้มครองเราอย่างไร ตระหนักในสิทธิข้อมูลส่วนตัวที่จะไม่ยอมให้ใครเอาข้อมูลของเราไปใช้ได้” นางสุรางคณา กล่าว
ชี้องค์กรต้องเริ่มประเมิน "เสี่ยง"
อย่างไรก็ตาม เอ็ตด้า แนะนำ 4 ขั้นตอนเพื่อเตรียมพร้อมรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ดังนี้ 1.ควรต้องมีกระบวนการประเมินความเสี่ยงให้แน่ใจว่า การออกแบบและกระบวนการทำอย่างถูกต้องเหมาะสม 2.ธรรมาภิบาลข้อมูล ดูว่ามีข้อมูลอะไร อยู่ที่ไหน ใครเข้าถึงได้บ้างคำนึงถึงหลักธรรมาภิบาล 3.การบริการเพื่อให้มีการปฏิบัติตามกฏเกณฑ์ หรือการบริหาร Law Compliance ให้มีประสิทธิภาพ และ 4.มีมาตรการรับมือเมื่อข้อมูลรั่วไหล และตอบสนองต่อภัยคุกคามที่ส่งผลกระทบให้ข้อมูลรั่วไหล
ส่วน “เจ้าของข้อมูล” ควรจะตระหนักในสิทธิของตัวเอง “ผู้ประกอบการรายเล็ก” ควรคำนึงถึงบทบาทหน้าที่ของผู้ที่เกี่ยวข้องจัดทำแนวปฏิบัติตามข้อกำหนดเท่าที่จำเป็น ขณะที่ “ผู้ประกอบการรายใหญ่” ต้อง Comply ตาม best practice ที่ควรจะเป็น มีทั้ง internal audit และ external audit สำหรับ “ภาครัฐ” ต้องคำนึงถึงกฏหมายที่เกี่ยวข้อง ส่วน “บริการที่ถูกกำกับดูแล” ก็ควรมีการปฏิบัติตามกฏหมายอย่างเคร่งครัด
อย่างไรก็ตาม ควรมีการทำงานอย่างใกล้ชิดระหว่างเรคกูเลเตอร์ที่เกี่ยวข้อง ซึ่งสำคัญและจำเป็นเพื่อสร้างความชัดเจน และความสอดคล้อง ขณะที่การบังคับใช้กฏหมาย ต้องแน่ใจว่าเป็นไปเพื่อคุ้มครองสิทธิขั้นพื้นฐานของประชาชน ไม่เป็นภาระเกินสมควร และไม่ก่อให้เกิดข้อจำกัดต่อการเติบโตของเทคโนโลยี และอินโนเวชั่น
คาดบังคับใช้เต็มรูปแบบใน1ปี
เพราะเป็นกฏหมายใหม่ พ.ร.บ.ข้อมูลส่วนบุคคลฯ มาตรา 2 จึงกำหนดว่า เมื่อกฎหมายนี้ประกาศใช้ ให้เริ่มมีผลบังคับใช้เพียงแค่ หมวด 1 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หมวด 4 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และบทเฉพาะกาล ส่วนหลักการในหมวดอื่นที่เป็นการคุ้มครองข้อมูลส่วนบุคคล และเป็นโทษทั้งทางแพ่ง ทางปกครอง ทางอาญา สำหรับผู้ละเมิดข้อมูลส่วนบุคคลจะมีผลบังคับใช้เมื่อพ้นหนึ่งปีนับตั้งแต่ประกาศในราชกิจจานุเบกษา หรือเริ่มคุ้มครองตั้งแต่วันที่ 28 พฤษภาคม 2563 เป็นต้นไป
อย่างไรก็ตาม กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม หรือดีอี ได้ตั้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ในวาระเริ่มแรก) ซึ่งเป็นไปตามข้อกำหนดที่บัญญัติไว้ใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แล้ว โดยมีรองปลัดกระทรวงดีอีเป็นเลขาธิการสำนักงานฯดังกล่าว
“พุทธิพงษ์ ปุณณกันต์” รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กล่าวว่า สิ่งที่คนไทยจะได้รับจากกฎหมายฉบับนี้ สามารถตอบโจทย์การคุ้มครองข้อมูลส่วนบุคคล ขณะเดียวกันช่วยปลดล็อกให้ธุรกิจและหน่วยงานรัฐสามารถนำข้อมูลไปใช้ประโยชน์ได้ภายใต้มาตรฐานสากล แก้ปัญหาการไม่สามารถนำข้อมูลไปใช้ประโยชน์ได้เท่าที่ควร เพราะติดกับข้อติดขัดที่ไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล ทำให้ที่ผ่านมามีอุปสรรคอย่างมากในการนำข้อมูลไปใช้ประโยชน์
โดยเบื้องต้นอยากให้ทุกคนอย่ากังวลว่าจะมีผลกระทบ ยังมีเวลาอีก 1 ปี เพื่อออกกฎหมายลูก และทำความเข้าใจ กระทรวงฯ ต้องการให้การทำกฎหมายเกิดการมีส่วนร่วมแสดงความเห็น เพื่อให้กฎหมายไม่เกิดปัญหาในการบังคับใช้ขึ้นภายหลัง