จากการที่ผู้คนต่างปรับตัวเข้าสู่โลกออนไลน์และเริ่มทำหลากหลายกิจกรรมบนอินเทอร์เน็ต ทำให้มีการเคลื่อนย้ายของ Data จำนวนมหาศาล ทั้งหมดล้วนเป็นข้อมูลที่น่าสนใจที่หลายธุรกิจอยากจะคว้าเอาไว้ ทำให้ Data กลายเป็นโอกาสสำคัญของธุรกิจในการที่จะได้เรียนรู้และเข้าใจผู้บริโภค ยิ่งมี Data มากเท่าไหร่ก็ยิ่งสามารถทำธุรกิจให้ประสบความสำเร็จได้มากยิ่งขึ้น ส่งผลให้เกิดข้อบังคับใหม่ ๆ ที่เข้ามาทำหน้าที่ช่วยเหลือผู้บริโภคในการปกป้องสิทธิ์ส่วนตัวด้านข้อมูลและช่วยเป็นแนวทางให้กับองค์กรและธุรกิจสร้างมาตรฐานความปลอดภัยด้านข้อมูลร่วมกัน โดยมีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ซึ่งย่อมาจาก Personal Data Protection Act เป็นข้อบังคับหลักที่กำลังจะมีผลบังคับใช้ในวันที่ 1 มิถุนายน พ.ศ. 2565 นี้ ทาง ICHI ผู้ให้ความรู้และบริการ Digital Solution จึงอยากนำเสนอความรู้ด้าน PDPA ให้ผู้อ่านได้เรียนรู้เพิ่มเติมผ่านการสัมภาษณ์ คุณเธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล ที่ครั้งนี้จะมาอธิบายให้ทุกท่านเข้าใจแบบกระชับและครบถ้วน

ความสำคัญของ PDPA ในการนำมาปรับใช้กับธุรกิจ

เมื่อ Data คือขุมทรัพย์ใหม่ที่ธุรกิจตามหาทำให้ปัจจุบันนี้หลายองค์กรมีการนำเทคโนโลยีมาปรับใช้เพื่อเพิ่มประสิทธิภาพในการทำงานและบริหาร ทั้งในด้านการเก็บรวบรวม  เก็บรักษา ประมวลผล และวิเคราะห์ข้อมูล รวมถึงการเผยแพร่ข้อมูลต่าง ๆ ซึ่งปัญหาที่มักเกิดขึ้นตามมาก็คือการละเลยในด้านความปลอดภัยและความเข้าใจในด้านการเก็บข้อมูลที่ถูกต้องจนเกิดเกิดความเสียหายกับผู้บริโภค ยิ่งโดยเฉพาะองค์กรที่มีขนาดใหญ่หรือองค์กรที่มีการทำธุรกิจระหว่างประเทศล้วนแต่มีการแบ่งปันแลกเปลี่ยนข้อมูลผู้บริโภคระหว่างกัน ส่วนนี้เองหลายประเทศทั่วโลกต่างมีความกังวลในด้านความปลอดภัยเมื่อต้องมีการส่งต่อข้อมูลมายังบริษัทในไทยว่าจะสามารถคุ้มครองข้อมูลของผู้บริโภคได้หรือไม่ ด้วยเหตุผลต่าง ๆ จึงนำมาสู่การตรากฎหมายคุ้มครองข้อมูลส่วนบุคคลขึ้นในประเทศไทย คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ซึ่งย่อมาจาก Personal Data Protection Act B.E. 2562 (2019)

จุดเหมือนและจุดต่างระหว่าง GDPR กับ PDPA 

นอกเหนือจาก PDPA ที่เกิดขึ้นเพื่อช่วยลดปัญหาด้านการทำธุรกิจระหว่างประเทศที่ต้องเกี่ยวข้องกับการใช้ข้อมูลส่วนบุคคล ยังมี GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเช่นกัน ซึ่ง PDPA ก็จัดว่าเป็นกฎหมายที่มีความใกล้เคียงกับ GDPR ค่อนข้างมาก

คุณเธียรชัย กล่าวว่า “GDPR และ PDPA มีจุดเน้นที่ต่างกัน โดย GDPR มุ่งเน้นที่ Data Processing หรือการประมวลผลข้อมูลเป็นหลัก ในขณะที่ PDPA เน้นการเก็บรวบรวม  การเก็บรักษา  การใช้และการเปิดเผยข้อมูล อย่างไรก็ตามใน  PDPA  ก็มีบทบัญญัติที่กล่าวถึงการประมวลผลข้อมูลอยู่ในหลายมาตรา  ดังนั้นจึงอาจจะกล่าวได้ว่าข้อแตกต่างในจุดเน้นที่แตกต่างกันของกฎหมายทั้งสองฉบับ ไม่ได้มีนัยที่สะท้อนถึงความแตกต่างในแง่ของการบังคับใช้กฎหมายแต่อย่างใด”

คุณเธียรชัย ณ นคร 
ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล

แนะนำธุรกิจในการปรับตัวใช้งานและข้อกังวลเกี่ยวกับ PDPA 

หลายองค์กรต่างเตรียมตัวเพื่อให้พร้อมรับกับ PDPA เพราะนอกเหนือจากการจะได้ปฏิบัติตามกติกาและสร้างมาตรฐานที่ชัดเจนในการเก็บข้อมูลแล้ว หากไม่สามารถปฏิบัติตามได้อาจนำมาซึ่งการลงโทษด้วยการชำระค่าปรับในวงเงินที่ค่อนข้างสูง ประเด็นนี้คุณเธียรชัย ได้ให้คำแนะนำว่า “ในทางปฏิบัติแม้ว่าจะมีกฎหมายใช้บังคับ ผมคิดว่าองค์กรธุรกิจหรือผู้ประกอบการก็ยังสามารถดำเนินหรือทำธุรกิจไปได้ตามปกติ เหมือนที่เคยถือปฏิบัติ เพียงแต่ต้องตระหนักในเรื่องความสำคัญของข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้บริการให้มากขึ้น ต้องระมัดระวังว่าการเก็บรวบรวม การเก็บรักษา การใช้หรือเปิดเผยข้อมูลต้องดำเนินการตามที่กฎหมายกำหนด ซึ่งถ้าหากสามารถทำได้ ก็ไม่ต้องกังวลว่าตนเองจะถูกลงโทษหรือถูกลงโทษปรับ”

สำหรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) จะมีการมุ่งเน้นไปที่การคุ้มครองข้อมูลส่วนบุคคลและกระบวนการพิจารณาดำเนินการกรณีมีการร้องเรียนโดยเจ้าของข้อมูล ซึ่งอาจเป็นการไกล่เกลี่ย ตักเตือน และมีหลายขั้นตอนในการยุติปัญหาข้อพิพาทที่เกิดขึ้น

ในส่วนของความผิดและบทกำหนดโทษ คุณเธียรชัยชี้ว่ากฎหมายไม่มีเจตนาที่จะลงโทษปรับขั้นสูงสุดทุกกรณี เพราะยังมีตัวแปรอื่น ๆ ที่ผู้เชี่ยวชาญต้องนำมาพิจารณาประกอบด้วย เช่น ความร้ายแรงของผลกระทบที่เกิดขึ้น ขนาดขององค์กรและจำนวนของข้อมูล และโดยเฉพาะความเสียหายที่เกิดขึ้นกับเจ้าของข้อมูล เป็นต้น หากเป็นกรณีที่ไม่ร้ายแรงโทษปรับก็จะน้อยกว่าเรื่องที่มีความร้ายแรง

โดยความผิดและบทกำหนดโทษของ  PDPA  แบ่งออกเป็น 2 ส่วน คือ ความรับผิดทางแพ่งอย่างการการชดใช้ค่าสินไหมทดแทน และบทกำหนดโทษคือโทษอาญาและโทษทางปกครอง ซึ่งโทษอาญานั้นมีทั้งปรับ  จำคุก  หรือจำคุกและปรับ ส่วนในด้านโทษทางปกครอง มีโทษปรับโดยไม่มีโทษจำคุก เป็นส่วนที่องค์กรหรือผู้ประกอบการต่างมีความกังวลเนื่องจากมีอัตราค่าปรับที่สูง

การจดใบรับรองว่าได้ปฏิบัติตามกฎหมายในธุรกิจ 

คุณเธียรชัย กล่าวว่า “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ยังไม่ได้ระบุให้องค์กรธุรกิจหรือผู้ประกอบการจะต้องได้รับใบรับรอง (Certificate) ที่แสดงว่าองค์กรได้ผ่านการตรวจสอบด้านการปฏิบัติตามกฎหมาย สิ่งที่จะทำได้คือการสุ่มตรวจซึ่งการที่จะเข้าไปสุ่มตรวจนั้นก็จะต้องมีเหตุอันควรให้ต้องเข้าไปตรวจ และการตรวจก็อาจจะเป็นการทำ Checklist เช่น ตรวจว่าในช่วง 1 ปีที่ผ่านมามีการใช้ข้อมูลส่วนบุคคลมากน้อยเพียงใด มีการอบรมพนักงานเพื่อให้ความรู้ในเรื่องข้อมูลส่วนบุคคลหรือไม่ มีการเก็บใช้ข้อมูลส่วนบุคคลอย่างไรใช้อย่างไร เป็นต้น ซึ่งกระบวนการตรวจสอบจะดำเนินการอย่างไรก็ยังเป็นประเด็นที่คณะกรรมการต้องคิดต่อไปหลังจากมีการบังคับใช้กฎหมายแล้วในระยะหนึ่ง” 

เห็นได้ว่า PDPA จะเข้ามามีบทบาทอย่างมากในด้านการสร้างความปลอดภัยให้กับข้อมูลผู้บริโภคและมีข้อบังคับ กติกาที่ชัดเจนให้ธุรกิจต่าง ๆ ได้เตรียมพร้อมปรับตัวรับ พ.ร.บ. นี้ในวันที่ 1 มิถุนายน พ.ศ. 2565 แน่นอนว่ากฎหมายใหม่นี้มีข้อลงโทษที่ชัดเจนสำหรับธุรกิจที่ไม่สามารถปฎิบัติตามได้ แต่ก็ยังพอมีเวลาให้ได้ศึกษาและเตรียมตัวเพื่อจะได้ปฏิบัติตามให้เป็นไปตามกติกาและมาตรฐาน

สำหรับผู้ประกอบการที่สนใจข้อมูลเพิ่มเติมและต้องการศึกษาอย่างละเอียดสามารถติดตามได้ที่ https://www.jrit-ichi.com/cutting/2022/04/01/1020/

บทความนี้เป็น Advertorial