เป็นที่แน่ชัดแล้วว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมายพีดีพีเอ จะมีผลบังคับใช้ ในวันที่ 1 มิ.ย. 65 นี้ อย่างแน่นอน โดยผู้นำรัฐบาลทั้ง พลเอกประยุทธ์ จันทร์โอชา นายกรัฐมนตรี และนายชัยวุฒิ ธนาคมานุสรณ์ รมว.ดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ต่างออกมายืนยันว่าไม่มีการเลื่อนการบังคับใช้ออกไปอีกแล้ว หลังจากเลื่อนมา 2 ปี เพราะภาคเอกชนยังไม่มีความพร้อมในการดำเนินการให้ได้ตามบังคับของกฎหมายโดยเฉพาะในส่วนผู้ประกอบการรายย่อย และเอสเอ็มอี รวมถึงสถานการณ์การแพร่ระบาดของโควิด-19 ในช่วง 2 ปีที่ผ่านมา ที่ส่งผลกระทบต่อเศรษฐกิจและสังคมโดยรวม จึงต้องขยายเวลาบังคับใช้ออกไป
อะไรคือข้อมูลส่วนบุคคล?
ทั้งนี้ข้อมูลส่วนบุคคล!! คือ ข้อมูลที่เกี่ยวกับตัวบุคคล ที่ทำให้สามารถระบุ ตัวบุคคลนั้นได้ ทั้งทางตรงหรือทางอ้อม แต่ไม่นับรวมข้อมูลของผู้ที่เสียชีวิตไปแล้ว อาทิ ชื่อ นามสกุล เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต, ที่อยู่, อีเมล, เลขโทรศัพท์ ข้อมูลด้านสุขภาพ และข้อมูลชีวภาพ ฯลฯ ซึ่งข้อมูลเหล่านี้ ถือว่าเป็นข้อมูลเฉพาะตัว และมีความสำคัญ และเป็นข้อมูลอ่อนไหว ที่หากบุคคลอื่นได้รู้และนำไปใช้อย่างไม่ถูกต้อง อาจนำมาสู่ความเสียหายต่อเจ้าของข้อมูลได้
นอกจากนี้ยังมีข้อมูลส่วนบุคคลอีกประเภท ที่กฎหมายฉบับนี้ได้ให้ความสำคัญ และมีบทลงโทษที่รุนแรงด้วยกรณีเกิดการรั่วไหลสู่สาธารณะ คือ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน ได้แก่ ข้อมูล เชื้อชาติ, เผ่าพันธุ์, ความคิดเห็นทางการเมือง, ความเชื่อในลัทธิ ศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต, ข้อมูลสหภาพแรงงาน, ข้อมูลพันธุกรรม, ข้อมูลชีวภาพ, ข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด
ข้อมูลรั่วไหลเจ้าของแย่
เหตุที่ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน เป็นข้อมูลที่มีบทลงโทษที่รุนแรงกว่าข้อมูลส่วนบุคคลทั่วไป เพราะ…หากข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนมีการรั่วไหลไปสู่สาธารณะแล้ว จะเกิดผลเสียที่ร้ายแรงกับผู้เป็นเจ้าของข้อมูลส่วนบุคคล ได้มากกว่าข้อมูลส่วนบุคคลอื่น ๆ มีผลต่อสิทธิเสรีภาพของบุคคล เช่น สิทธิเสรีภาพในความคิด ความเชื่อทางศาสนา การแสดงออก การชุมนุม สิทธิในชีวิตร่างกาย การอยู่อาศัย การไม่ถูกเลือกปฏิบัติ ซึ่งอาจก่อให้เกิดการแทรกแซงซึ่งสิทธิเสรีภาพและการเลือกปฏิบัติต่อการใช้สิทธิเสรีภาพของบุคคลได้มากกว่าข้อมูลส่วนบุคคลทั่วไป เช่น ข้อมูลพฤติกรรมทางเพศ เชื้อชาติ ศาสนา ประวัติอาชญากรรม ถ้ารั่วไหลไปแล้ว จะนำไปสู่ความเป็นอคติและกระทบต่อชีวิต
ทำไมต้องออกกฎหมาย?
การที่ภาครัฐตรากฎหมายนี้ ก็เพื่อให้มีมาตรการในการคุ้มครองข้อมูลส่วนบุคคลของประเทศให้หน่วยงาน ทั้งภาครัฐ เอกชน และประชาชนทั่วไปได้ปฏิบัติตามให้ได้มาตรฐาน ถือเป็นหนึ่งในชุดกฎหมายดิจิทัลเพื่อยกระดับขีดความสามารถในการแข่งขันของประเทศไทย รวมทั้งเสริมสร้างความเชื่อมั่นให้กับสังคม ในการใช้บริการออนไลน์ ในชีวิตประจำวัน
ขณะเดียวกันกฎหมายนี้ได้มุ่งยกระดับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของไทยให้ทัดเทียมนานาประเทศ โดย ปี 61 สหภาพยุโรปได้บังคับใช้กฎหมายด้านข้อมูลส่วนบุคคลของสหภาพยุโรป หรือจีดีพีอาร์ มีข้อกำหนดให้องค์กรที่มีธุรกรรม หรือการดำเนินการที่มีข้อมูลส่วนบุคคลต้องปฏิบัติตามมาตรการที่เข้มงวดขึ้น
เปิดประตูสู่โอกาสใหม่
ทำให้หลายประเทศเริ่มมีกฎหมายลักษณะเดียวกัน เช่น สิงคโปร์ มาเลเซีย อินโดนีเซีย ฟิลิปปินส์ ญี่ปุ่น เกาหลีใต้ ไต้หวัน ฮ่องกง และจีน ฯลฯ ดังนั้นการบังคับใช้กฎหมายพีดีพีเอ ในประเทศไทย จึงจะมีส่วนช่วยให้ภาคธุรกิจของไทย มีมาตรฐานเป็นที่ยอมรับของต่างประเทศ หรือ เรียกง่าย ๆ สามารถเปิดประตูสู่โอกาสใหม่ ๆ บนเวทีการค้าโลกได้มากยิ่งขึ้น!!
ชี้ละเมิดข้อมูลส่วนบุคคล
ขณะเดียวกันที่ผ่านมา ประเทศไทยมีการละเมิดข้อมูลส่วนบุคคลเพิ่มมากขึ้น และองค์กรธุรกิจต่าง ๆ ไม่ตระหนักถึงการรักษาความปลอดภัยของข้อมูลที่เก็บจากประชาชนหรือลูกค้าของตน ทำให้ข้อมูลมีการรั่วไหลไปยังผู้ที่ไม่ประสงค์ดีต่อเจ้าของข้อมูลส่วนบุคคล ทั้งการโดนแฮกขโมยข้อมูล เนื่องจากองค์กรธุรกิจมีระบบรักษาความปลอดภัยด้านไซเบอร์ซีเคียวริตี้ที่ไม่ได้มาตรฐานหรือการจงใจนำข้อมูลส่วนบุคคลไปขาย เพื่อหวังผลทางธุรกิจ!!ซึ่งหลายคนอาจประสบพบเจอด้วยตนเองมาแล้ว อาทิ เราไม่เคยใช้บริการ หรือให้ข้อมูลกับธุรกิจ หรือบริษัทนี้มาก่อน แต่ทำไมถึงโทรฯมาหาเราได้ถูก พร้อมรู้ชื่อเรา เพื่อเสนอขายสินค้าและบริการ ฯลฯ
ประชาชนได้ประโยชน์?
เมื่อมีการบังคับใช้กฎหมายนี้แล้ว ประชาชนที่เป็นเจ้าของข้อมูลจะได้ประโยชน์อะไรนั้น ทาง “เธียรชัย ณ นคร” ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล บอกว่า กฎหมายฉบับนี้มีหลักสำคัญในการสร้างความเชื่อมั่นให้กับประชาชน ว่าข้อมูลส่วนบุคคลจะถูกนำไปใช้อย่างเป็นธรรม โปร่งใส และได้รับการดูแลไม่ให้มีการนำข้อมูลไปใช้งานในทางที่ผิด เช่น องค์กรธุรกิจจะนำข้อมูลส่วนบุคคลของลูกค้าไปขาย ไม่สามารถทำได้ ถือว่ามีความผิดตามกฎหมาย นอกจากนี้ได้กำหนดมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้องค์กรสามารถใช้ข้อมูลในทางที่ไม่เป็นการละเมิดสิทธิในข้อมูลส่วนบุคคลของเจ้าของข้อมูลมากจนเกินไป สามารถนำไปใช้ได้เฉพาะที่เจ้าของยิมยอมเท่านั้น รวมถึงต้องรักษาความปลอดภัยในการใช้ข้อมูลอยู่เสมอ โดยในส่วนของประชาชนเจ้าของข้อมูล ก็ได้กำหนดสิทธิในการได้รับแจ้งจากองค์กร และธุรกิจต่าง ๆ ในฐานะที่เป็นผู้ควบคุมข้อมูลโดยไม่ต้องมีการร้องขอ!!
นั่นหมายถึง…สถานประกอบการ หน่วยงานต่างต้องแจ้งวัตถุประสงค์และรายละเอียดของการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบว่า จะนำข้อมูลของเจ้าของไปใช้ทำอะไรบ้าง? และจะเก็บข้อมูลอะไรบ้าง เก็บไปทำไม เก็บนานแค่ไหน และส่งต่อข้อมูลให้ใครหรือหน่วยงานใดบ้าง และรวมถึงช่องทางติดต่อผู้ควบคุมข้อมูล เป็นต้น
กฎหมายยังได้กำหนดสิทธิอื่นคือ สิทธิในการเพิกถอนความยินยอม สิทธิในการเข้าถึงข้อมูลส่วนบุคคล สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สิทธิในการลบข้อมูลส่วนบุคคล สิทธิในการห้ามไม่ให้ประมวลผลข้อมูลส่วนบุคคล สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล และสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล หากเกิดการหลุดรั่วของข้อมูลส่วนบุคคลออกไป เจ้าของข้อมูลส่วนบุคคลสามารถเลือกใช้สิทธิ ในการร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) รวมถึงฟ้องศาลเรียกร้องค่าเสียหายได้
กฎหมายลูกกว่า 30 ฉบับ
แม้ที่ผ่านมาภาคเอกชน เช่น สภาอุตสาหกรรมแห่งประเทศไทย หรือส.อ.ท. และหอการค้าไทย จะมีความกังวลขอให้รัฐบาลเลื่อนบังคับใช้กฎหมายออกไปอีก เนื่องจากกลัวผลกระทบจากบทลงโทษที่รุนแรง หากไม่สามารถปฏิบัติได้ตามกฎหมาย คือ โทษทั้งจำคุกสูงสุด 1 ปี และปรับไม่เกิน 5 ล้านบาท แต่ “เธียรชัย” ย้ำว่า ที่ผ่านมาได้ประะชุมกับทางผู้ประกอบการในภาคอุตสาหกรรมต่าง ๆ เช่น ท่องเที่ยว ฯลฯ เพื่อทำความเข้าใจ ว่าคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลไม่ได้มุ่งเอาผิด หากเกิดข้อมูลรั่วไหลจะดูว่าหน่วยงานนั้นมีมาตรฐานจัดเก็บข้อมูลได้ตามเกณฑ์หรือไม่ เกิดจากสาเหตุใด และการลงโทษเริ่มจากเบาไปหาหนัก
ขณะที่ผู้ประกอบการรายเล็ก ๆ เช่น ร้านกาแฟ ผู้ประกอบการเอสเอ็มอี ก็จะออกกฎหมายลูก ผ่อนปรนให้ เพื่อให้มีเวลาเตรียมปรับตัว รวมถึงการออกแนวทางปฏิบัติ หรือไกด์ไลน์ ให้กับผู้ประกอบการรายเล็ก ได้ปฏิบัติตามเพื่อให้ได้ตามมาตรฐาน โดยจะเร่งทยอยออกกฎหมายลูกกว่า 30 ฉบับ และคาดว่ากระบวนการทำงานของ สคส. และการใช้กฎหมายอย่างสมบูรณ์ในต้นปี 66
อย่างไรก็ตามในเมื่อหัวใจสำคัญของกฎหมายพีดีพีเอ…ก็เพื่อต้องการรักษาสิทธิที่พึงมีแก่เจ้าของข้อมูล ว่าข้อมูลส่วนตัวของเราจะปลอดภัย นำไปใช้อย่างถูกต้องเหมาะสมตามความต้องการและยินยอมของเจ้าของข้อมูลอย่างแท้จริง แต่ผู้เป็นเจ้าของข้อมูลก็ต้องสนใจ!! ใส่ใจ!! กับการให้ข้อมูลของตัวเองด้วยเช่นกัน.
