เริ่มแล้ว...กฎหมาย คุ้มครองข้อมูลส่วนบุคคล

ผู้เชี่ยวชาญ 3 ท่านนั้นคือ คุณเวทางค์ พ่วงทรัพย์ รองปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม หรือ DES ซึ่งปฏิบัติหน้าที่เป็นเลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

อาจารย์ปริญญา หอมเอนก กรรมการผู้ทรงคุณวุฒิในคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

และยังมีตำแหน่งเป็นกรรมการผู้ทรงคุณวุฒิ ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ในคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

กับ คุณไพบูลย์ อมรภิญโญเกียรติ ผู้เชี่ยวชาญกฎหมายเทคโนโลยี กรรมการผู้ทรงคุณวุฒิ ด้านกฎหมาย ในคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

เริ่มด้วยคำถามที่ว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล องค์กรพร้อมหรือยัง?

อาจารย์ปริญญาอธิบายว่า PDPA (Personal Data Protection Act) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่มีการพูดถึงและเป็นประเด็นร้อนต่อเนื่องมาหลายปี กำลังจะมีการบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้แล้ว

ท่านเชื่อว่าองค์กรทั้งหลายคงได้ดำเนินการเนินการตาม พ.ร.บ.ฉบับนี้กันแล้ว

แต่ช่วงนี้ต้องเรียกว่าเข้าสู่การเตรียมตัว “โค้งสุดท้าย” หรือที่ท่านเรียกว่า DPA ....Final Call

ย้อนประวัติความเป็นมาของ GDPR (General Data Protection Regulations) และ PDPA อาจารย์ปริญญาเล่าว่า ในอดีตอินเทอร์เน็ตและโซเชียลมีเดียยังไม่ได้รับความนิยมเท่าในปัจจุบัน

ดังนั้นเรื่องของข้อมูลส่วนบุคคลในเวลานั้นจึงยังไม่ค่อยมีใครพูดถึงเเละให้ความสำคัญเท่าใดนัก

แต่ในหลายปีที่ผ่านมาจากความนิยมของโซเชียลมีเดีย การเติบโตของอินเทอร์เน็ต เเละการนำเทคโนโลยี Big Data และ AI มาใช้ในการวิเคราะห์ข้อมูลพฤติกรรมส่วนตัวของลูกค้าเพื่อประโยชน์ทางธุรกิจ

โดยที่ตัวลูกค้าเองส่วนใหญ่จะไม่ทราบถึงการวิเคราะห์ดังกล่าว

ทำให้เกิดความเสี่ยง มีผลกระทบทั้งทางตรงเเละทางอ้อมต่อตัวบุคคลที่ถูกนำข้อมูลส่วนตัวไปใช้โดยไม่ได้รับอนุญาต

จากนั้นจึงมีการพูดถึงเรื่องข้อมูลส่วนบุคคลและความเป็นส่วนตัวของข้อมูล

โดยเริ่มจากหน่วยงาน OECD ได้พัฒนากฎเกณฑ์กติกาที่เรียกว่า OECD Guideline on the Protection of Privacy and Transborder Flow of Personal Data ในช่วงปี พ.ศ.2513-2523

ปัจจุบันได้ถูกปรับปรุงพัฒนาเป็น Version ล่าสุดในปี พ.ศ.2556

นั่นแปลว่าการให้ความสำคัญเรื่องข้อมูลส่วนบุคคลมีมานานกว่า 30 ปีเเล้ว

แต่เพิ่งจะมานิยมหลังจากสหภาพยุโรป หรือ EU ได้ออกระเบียบในกฎหมายสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ขึ้นในปี พ.ศ.2559 เเละมีผลบังคับใช้ในปี พ.ศ.2561 ที่เรารู้จักกันในนาม General Data Protection Regulation (GDPR) EU 2016/679 ใช้แทนคำสั่งคุ้มครองข้อมูล Data Protection Directive 95/46/EC

นับจากที่ GDPR เริ่มบังคับใช้ได้เพียง 1 ปี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลของไทย หรือที่เรารู้กันในชื่อย่อ“PDPA” ก็ถูกประกาศในราชกิจจานุเบกษาในปี พ.ศ.2562

ปัจจุบันนับเป็นเวลากว่า 3 ปีที่ PDPA จะถูกนำมาบังคับใช้อย่างจริงจังในประเทศไทย ควบคู่กับการทำงานของหน่วยงาน Regulator ใหม่ล่าสุด

นั่นคือ “สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” หรือ “สคส.”

อาจารย์บอกว่าประเทศไทยมีการเตรียมการเเละมีความพร้อม "ในระดับหนึ่ง" ที่ประชาชนได้รับรู้เเละเตรียมตัวกันมาหลายปี นับจากกฎหมายได้ถูกประกาศให้สาธารณชนได้รับทราบ

ผมถามคุณเวทางค์บอกว่า คนไทยควรจะเตรียมตัวอย่างไรบ้าง

ได้รับคำตอบว่า “กฎหมายฉบับนี้มีความสำคัญมาก เพราะเกี่ยวข้องกับประชาชนคนไทยทุกคน เพราะเกี่ยวกับข้อมูลของเราทุกคน...”

คนไทยในฐานะ “เจ้าของข้อมูล”  คงมีคำถามว่า ถ้าใครเอาข้อมูลเราหรือของพ่อแม่เรา หรือของลูกเราไปใช้ในทางที่ไม่ถูกต้อง เราจะว่าอย่างไร...                    แน่นอนว่าเราคงไม่อยากให้ใครเอาข้อมูลส่วนตัวเราไปใช้โดยที่เราไม่ยินยอม...”

ใครที่ติดตามข่าวเรื่องนี้คงทราบว่ากฎหมายฉบับนี้ไม่ได้ออกมาง่ายๆ และแม้จะออกมาแล้วก็ยังมีคนต่อต้านอยู่

 “เสียงคัดค้านนั้นพอเข้าใจได้ เพราะการทำตามกฎหมายฉบับนี้มีต้นทุน เช่น บริษัทต่างๆ หรือสายการบินที่เอาข้อมูลส่วนตัวเราไป เขาก็ต้องมีระบบเพื่อดูแลรักษา กฎหมายฉบับนี้บังคับให้เขาต้องดูแลข้อมูลเราอย่างดี ทำให้เกิดต้นทุนต่างๆ ซึ่งก็รวมถึงบริษัทขนาดกลางและเล็กหรือเอสเอ็มอีด้วย...”

ถามว่า วันที่ 1 มิถุนายน จะบังคับใช้จริงหรือไม่

คุณเวทางค์บอกว่า “ตอบว่าเราต้องเดินหน้าตั้งแต่ 1 มิถุนายนเต็มฉบับ แต่รัฐบาลมีนโยบายที่จะรักษาผลประโยชน์ประชาชนให้มากที่สุด ขณะเดียวกันเราก็เข้าใจเรื่องต้นทุนสำหรับภาคธุรกิจ เพราะต้องทำการรักษาข้อมูลส่วนบุคคลเหล่านี้...”

ทางกระทรวงดีอีเอสกำลังดำเนินการเพื่อให้ต้นทุนที่ว่านี้ “ต่ำที่สุด” เพื่อให้ผู้ที่ต้องเก็บข้อมูลมีต้นทุนต่ำที่สุด

(พรุ่งนี้ : คนไทยต้องเตรียมการอย่างไร)