คุณชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) กล่าวว่า ที่ประชุมคณะรัฐมนตรี (ครม.) วันนี้ (5 พ.ค.64) มีมติเห็นชอบในหลักการ (ร่าง) พระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (ฉบับที่ ..) พ.ศ. .... เพื่อแก้ไขเพิ่มเติมพระราชกฤษฎีกาฯ พ.ศ. 2563 ในส่วนที่กำหนดระยะเวลาใช้บังคับ ทำให้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จะมีผลใช้บังคับในวันที่ 1 มิถุนายน 2565 

ทั้งนี้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายกลางที่กำหนด หลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคล เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพ สร้างความเป็นไปตามมาตรฐานสากล และมีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดอย่างเหมาะสม แต่จากสถานการณ์การแพร่ระบาดของโควิด-19 ที่ยังคงมีอยู่อย่างต่อเนื่องและรุนแรงยิ่งขึ้น ส่งผลกระทบต่อเศรษฐกิจและสังคมโดยรวมเป็นอย่างมาก 

ดังนั้น หากกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้ทั้งฉบับ จะทำให้หน่วยงานภาครัฐและภาคเอกชน ตั้งแต่ธุรกิจขนาดใหญ่-เล็ก รวมทั้งประชาชนทั่วไป ถ้ามีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องดำเนินการตามหลักเกณฑ์ วิธีการ และเงื่อนไขในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีรายละเอียดมากและซับซ้อน และต้องใช้เทคโนโลยีขั้นสูงเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพ รวมทั้งมีการกำหนดโทษปรับทางปกครอง ความรับผิดทางแพ่งและทางอาญาด้วย โดยในสถานการณ์โควิด-19 จะเป็นการเพิ่มภาระและความยากลำบากให้กับทุกกลุ่มที่อยู่ภายใต้การบังคับใช้ของกฎหมายฉบับนี้

“ที่ผ่านมาภาคธุรกิจประกอบด้วย สภาอุตสาหกรรมแห่งประเทศไทย สภาหอการค้าแห่งประเทศไทย และกลุ่มสมาคมด้านการท่องเที่ยว ได้ร่วมกันขอให้รัฐบาลบรรเทาผลกระทบที่จะเกิดขึ้นจากความไม่พร้อมในการปฏิบัติตามรายละเอียดของกฎหมายฉบับนี้ ดีอีเอส จึงได้นำเสนอเข้าสู่การพิจารณาของ ครม. และได้รับความเห็นชอบให้ขยายเวลาบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ไปอีก 1 ปี” นายชัยวุฒิกล่าว

โดย พ.ร.ฎ. กำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2563 ซึ่งมีผลให้ยกเว้นการบังคับใช้กฎหมายบางหมวดกับกิจการ 22 ประเภทไปจนถึง 31 พฤษภาคม 2564 จะขยายเวลาบังคับใช้ไปเป็นปี 2565 

.

อย่างไรก็ตาม ในระหว่างนี้ผู้ควบคุมข้อมูลส่วนบุคคล ยังคงต้องปฏิบัติตามมาตรฐานรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่กระทรวงดิจิทัลฯ ประกาศกำหนด โดยต้องจัดให้มีมาตรการเรื่องการเข้าถึงและการควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) และแจ้งมาตรการดังกล่าวพร้อมสร้างความตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล ให้แก่บุคลากรและผู้เกี่ยวข้องทราบเพื่อให้ปฏิบัติตามโดยเคร่งครัด

ทั้งนี้ ดีอีเอส ได้จัดทำร่างกฎหมายลำดับรอง และร่างแผนแม่บทการส่งเสริมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งผ่านการรับฟังความเห็นสาธารณะไว้แล้ว รวมทั้งอยู่ระหว่างการจัดทำแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลสำหรับ 7 ด้าน ได้แก่ ด้านการท่องเที่ยว ด้านสาธารณสุข ด้านการศึกษา ด้านค้าปลีกและค้าออนไลน์ ด้านการคมนาคมและขนส่ง ด้านอสังหาริมทรัพย์ และด้านภารกิจของหน่วยงานรัฐ 

นอกจากนี้ ยังมีแผนงานเตรียมความพร้อม และสร้างความเข้าใจเรื่องการคุ้มครองบุคคล

ให้ผู้ประกอบการทุกประเภทกิจการ และทุกขนาด โดยเฉพาะขนาดกลางและขนาดย่อม (เอสเอ็มอี) เพื่อให้ทุกภาคส่วนสามารถเก็บรวบรวม และใช้ข้อมูลส่วนบุคคลได้อย่างถูกต้องตามกฎหมาย สอดคล้องกับมาตรฐานสากล และเกิดความเชื่อมั่นในการนำเทคโนโลยีดิจิทัล มาใช้พัฒนานวัตกรรมได้อย่างเหมาะสม