เปิดความพร้อมรัฐ-เอกชน ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (พ.ศ.2562) หรือ Personal Data Protection Act ที่เรียกกันสั้นๆว่า PDPA หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคล กำลังจะบังคับใช้เต็มฉบับในวันที่ 1 มิ.ย. 2565 ถือเป็นอีกประเด็นหนึ่งที่หลายฝ่ายให้ความสนใจอย่างมาก

เนื่องจากมีเนื้อหาหลักที่กำหนดให้ทุกองค์กรหรือบุคคล ที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด ต้องมีมาตรการและมาตรฐานในการบริหารจัดการดูแลข้อมูลอย่างเหมาะสม ขอความยินยอมจากลูกค้าในการเข้าถึงและใช้ข้อมูล บอกวัตถุประสงค์ในการนำข้อมูลไปใช้ และใช้ตรงตามวัตถุประสงค์ที่ระบุ

รวมทั้งยังให้สิทธิ “เจ้าของข้อมูลส่วนบุคคล” สามารถขอเปลี่ยนแปลง แก้ไข ขอสำเนา ขอให้ลบข้อมูลดังกล่าวด้วย ซึ่งจะทำให้ประชาชนสามารถรับทราบวัตถุประสงค์ของการจัดเก็บ การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลอย่างชัดแจ้ง และมีสิทธิต่างๆที่ชัดเจนเกี่ยวกับข้อมูลส่วน
บุคคลของตน

โดยก่อนหน้านี้กฎหมาย PDPA ถูกเลื่อนการบังคับใช้ออกไป 2 ปีเต็ม เนื่องจากหน่วยงานภาครัฐและธุรกิจมีความกังวลและยังไม่พร้อม ประกอบกับเกิดการระบาดของโควิด-19 รัฐบาลจึงผ่อนปรนเลื่อนบังคับใช้ออกไปก่อน

แต่ในที่สุดก็ต้องเดินหน้าเพื่อยกระดับการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยให้เป็นไปตามมาตรฐานสากล ทัดเทียมอารยประเทศ เสริมสร้างความเชื่อมั่นให้กับสังคมในการใช้บริการออนไลน์ในชีวิตประจำวันได้อย่างปลอดภัยและเป็นธรรม โดยเฉพาะอย่างยิ่งเมื่อข้อมูลส่วนบุคคลกลายเป็นทรัพย์สินสำคัญที่ถูกนำมาใช้ประโยชน์ โดยอาจไม่เป็นธรรมต่อตัวเจ้าของข้อมูล

ทั้งนี้ นอกเหนือจากการคุ้มครองข้อมูลให้มั่นคงปลอดภัยในเชิงเทคนิคแล้ว กฎหมาย PDPA ยังระบุให้องค์กรต่างๆ ทั้งภาครัฐและเอกชนต้องมีมาตรการบริหารจัดการข้อมูล ข้อมูลไหนไม่จำเป็นหรือไม่ใช้แล้วต้องถูกลบทำลาย เพราะข้อมูลที่มากเกินไปทำให้ดูแลไม่ทั่วถึง เสี่ยงต่อการหลุดรั่ว สร้างความเสียหายต่อประชาชนผู้เป็นเจ้าของข้อมูล

ขณะเดียวกัน หลักการของกฎหมายยังรวมถึงการจำกัดการเข้าถึงข้อมูล คัดกรองบุคลากรที่เข้าถึงข้อมูลได้ กล่าวคือยิ่งมีคนเข้าถึงได้น้อย ข้อมูลยิ่งปลอดภัย ซึ่งสุดท้ายจะส่งผลดีต่อองค์กรในแง่ของความน่าเชื่อถือ

นอกจากนั้น ยังมีส่วนที่เป็นบทลงโทษภายใต้กฎหมาย ประกอบด้วย โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท โทษทางอาญา ระวางโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ ขณะที่โทษทางแพ่ง ต้องชดใช้ค่าสินไหมทดแทนให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด และศาลยังสามารถสั่งให้ชดใช้ค่าสินไหมทดแทนเพิ่มเติมได้เป็น 2 เท่าของค่าสินไหมทดแทนจริง

“ทีมเศรษฐกิจ” ได้สัมภาษณ์หน่วยงานราชการ และภาคธุรกิจที่เกี่ยวข้องกับการรับรู้ และใช้ “ข้อมูลส่วนบุคคล” จำนวนมาก เพื่อรับทราบความพร้อมในการปฏิบัติตาม พ.ร.บ.ดังกล่าว ทั้งการขอรับความยินยอมจากลูกค้า การนำข้อมูลไปใช้ การบริหารจัดการ รักษาความลับ และความปลอดภัยของข้อมูล เพื่อเพิ่มความมั่นใจให้ประชาชน

ใครเป็นใคร ใน พ.ร.บ.ข้อมูลส่วนบุคคล

ขอเริ่มต้นจากความสำคัญของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งถือเป็นการคุ้มครองข้อมูลสำคัญและเป็นความลับส่วนบุคคล เพราะหากไม่มีมาตรการคุ้มครองป้องกันที่เพียงพอ อาจทำให้เจ้าของข้อมูลถูกล่วงละเมิด ซึ่งที่ผ่านมามีการร้องเรียนจำนวนมาก ไม่ว่าการถูกนำไปสวมรอยหลอกลวงคนอื่นในโลกออนไลน์ ถูกนำไปใช้ประโยชน์ในเชิงพาณิชย์ ตกอยู่ในมือของคนที่ไม่ได้รับข้อมูลโดยตรง รวมทั้งนำไปใช้ในกิจกรรมที่เราไม่ยินยอม

โดยเจ้าของ “ข้อมูลส่วนบุคคล” ที่กำลังพูดถึงกันใน พ.ร.บ.นี้ ก็คือ “ประชาชนทุกคน” แต่ไม่รวมคนตายและนิติบุคคล ขณะที่ “ข้อมูลส่วนบุคคล” ตาม พ.ร.บ.นี้ คือ ข้อมูลที่สามารถระบุตัวตนได้ ไม่ว่าจะเป็นทางตรงหรือทางอ้อม ถูกเก็บทั้งแบบออนไลน์ และออฟไลน์ เช่น ชื่อ-สกุล หมายเลขโทรศัพท์ ที่อยู่ อีเมล หมายเลขบัตรประชาชน รูปถ่ายประวัติการทำงาน อายุ เชื้อชาติ ชาติพันธุ์ พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลแรงงาน ข้อมูลสุขภาพ ข้อมูลพันธุกรรม หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามหลักเกณฑ์ที่กำหนด

พ.ร.บ.ดังกล่าวยังเกี่ยวข้องกับหน่วยงานรัฐ และภาคธุรกิจเอกชนจำนวนมากที่ต้องปฏิบัติตาม ตั้งแต่กระทรวง กรม กองต่างๆ ไล่มาที่ธุรกิจทุกขนาด แทบทุกธุรกิจ ตั้งแต่ธนาคารพาณิชย์ บริษัทประกัน บริษัทหลักทรัพย์ บริษัทจัดการกองทุนรวม บริษัทสินทรัพย์ดิจิทัล ค่ายมือถือ ดีลเลอร์รถยนต์ โรงแรม รวมทั้งบัตรต่างๆที่เราสมัครเพื่อรับสิทธิประโยชน์ หรือหน่วยงานสาธารณูปโภคต่างๆ ทั้งไฟฟ้า ประปา กรมการขนส่งทางบก ฯลฯ

หน่วยงานเหล่านี้จะต้องเตรียมความพร้อมบริหารจัดการข้อมูลส่วนบุคคลให้เหมาะสมและปฏิบัติได้จริงตามกฎหมาย โดยในระยะแรก คณะกรรมการกำกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล (สศส.) กำหนดกรอบเอาไว้ว่าหลังจากกฎหมายบังคับใช้แล้วจะทยอยประกาศใช้กฎหมายลูกภายในปีนี้ เพื่อให้องค์กรทุกภาคส่วนมีโอกาสปรับตัว

โดยเน้นย้ำว่า PDPA ไม่ได้ออกมาเพื่อห้ามใช้ข้อมูลส่วนบุคคล แต่มุ่งเน้นที่การจัดการข้อมูล เก็บรวบรวม ใช้ หรือเปิดเผยเท่าที่จำเป็น ขณะที่ในเบื้องต้น ธุรกิจที่คาดว่าจะได้รับการยกเว้น ได้แก่ เอสเอ็มอี รวมทั้งหน่วยงานด้านความมั่นคง

ก.ล.ต.-หน่วยงานกำกับตื่นตัวดูแล

สำหรับการเตรียมความพร้อมในภาคตลาดเงินและตลาดทุน ซึ่งเป็นผู้ที่มีข้อมูลส่วนบุคคลที่สำคัญของประชาชนผู้ใช้บริการจำนวนมหาศาล ถือเป็นภาคส่วนที่ได้มีการเตรียมความพร้อมมากที่สุด

โดยล่าสุด หน่วยงานกำกับดูแลภาคธุรกิจการเงิน ทั้ง 3 องค์กร ได้แก่ ธนาคารแห่งประเทศไทย (ธปท.) สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) พร้อมด้วย สคส.ได้ร่วมทำบันทึกข้อตกลงความร่วมมือ (MoU) ด้านการคุ้มครองข้อมูลส่วนบุคคลของภาคธุรกิจการเงินร่วมกัน ถือเป็นการประสานความร่วมมือของ 4 องค์กรในการให้นโยบาย และกรอบการกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคล ให้มีความสอดคล้องและมีกระบวนการในการกำกับดูแลที่สอดรับกัน รวมถึงให้ความสำคัญกับการแลกเปลี่ยนข้อมูลเพื่อใช้ประโยชน์สูงสุดระหว่างกัน

นายวิบูลย์ ภัทรพิบูล ผู้ช่วยเลขาธิการสายเทคโนโลยีดิจิทัล ก.ล.ต. กล่าวว่า ตลอด 2 ปีที่ผ่านมา สำนักงาน ก.ล.ต. โดยนางสาวรื่นวดี สุวรรณมงคล เลขาธิการ ก.ล.ต. ได้ให้ความสำคัญการคุ้มครองข้อมูลส่วนบุคคลและส่งเสริมหน่วยงานในตลาดทุนพร้อมปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯมาตลอด โดยการจัดทำแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลของแต่ละกลุ่มธุรกิจในตลาดทุน ที่อยู่ภายใต้การกำกับของ ก.ล.ต. เช่น สมาคมบริษัทหลักทรัพย์ สมาคมบริษัทหลักทรัพย์จัดการกองทุนรวม และสมาคมผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล ได้ร่วมกันจัดทำร่างแนวทางการปฏิบัติกลางเพื่อให้ผู้ประกอบการใช้เป็นแนวทางในการปฏิบัติ

“ที่ผ่านมา ก.ล.ต.ได้ดำเนินกิจกรรมต่างๆ ในเชิงรุกอย่างต่อเนื่อง โดยเฉพาะการสร้างกลไกความร่วมมือระหว่างหน่วยงานกำกับดูแลที่เกี่ยวข้องเพื่อสร้างความชัดเจนในทางปฏิบัติ”

ทั้งนี้ จากการสำรวจความพร้อมของผู้ประกอบธุรกิจภายใต้การกำกับดูแล ในเดือน มี.ค.65 ผู้ประกอบธุรกิจมีความตื่นตัวด้านการคุ้มครองข้อมูลส่วนบุคคล และได้ดำเนินการตามข้อกำหนดต่างๆ ไปมากกว่า 90% แล้ว โดยส่วนใหญ่ 53% มั่นใจว่าจะมีความพร้อม ก่อน พ.ร.บ.มีผลใช้บังคับ ขณะที่อีก 44% อยู่ระหว่างเร่งดำเนินการ ขณะที่อุปสรรคสำคัญ ผู้ประกอบการให้ข้อมูลว่าเกิดจากความไม่ชัดเจนของข้อกฎหมายในระดับปฏิบัติ ขาดความรู้ความเข้าใจในการปฏิบัติตาม อาจทำได้ไม่ครบถ้วน และขาดแนวปฏิบัติหรือ template กลาง

“แบงก์-ประกัน” ตบเท้ายืนยันพร้อม

ขณะที่ธุรกิจประกัน นายสุทธิพล ทวีชัยการ เลขาธิการคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) กล่าวว่า จากการตรวจสอบความพร้อมของทั้งบริษัทประกันชีวิต และประกันวินาศภัย พบว่า พร้อมปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลในวันที่ 1 มิ.ย.นี้ 100% ทั้งความพร้อมองค์กร การปฏิบัติตามกฎหมาย และการรักษาความมั่นคงปลอดภัย โดย คปภ.ได้เร่งรัด และติดตามบริษัทประกันชีวิต และประกันวินาศภัย ให้ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล มีการออกประกาศของ คปภ. เพื่อกำหนดมาตรฐานขั้นต่ำในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าประกันชีวิต และประกันวินาศภัย และแนวทางปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของผู้เอาประกันภัย สำหรับการตรวจสอบและประเมินวินาศภัย

บริษัทประกันชีวิต ประกันวินาศภัย ตัวแทนประกัน นายหน้าประกัน และผู้ประเมินวินาศภัย ต้องนำแนวปฏิบัติไปใช้ในการบริหารจัดการรับรู้ การเก็บรักษา และการปกป้องข้อมูลส่วนบุคคล พร้อมกำหนดแบบใบคำขอเอาประกันภัยแบบมาตรฐานที่สอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยในใบคำขอผู้เอาประกันยินยอมให้เก็บข้อมูล ใช้ และเปิดเผยข้อมูล เพื่อประโยชน์ในการพิจารณารับประกัน และการจ่ายผลประโยชน์ตามสัญญา

“อย่างไรก็ตาม ขณะนี้กฎหมายลำดับรองยังไม่ออกมา จึงต้องรอความชัดเจนของกฎหมายลำดับรองที่จะใช้บังคับ และการใช้ระยะเวลาจัดทำมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูล”

ส่วนความพร้อมของธนาคารพาณิชย์ นายทวีลาภ ฤทธาภิรมย์ กรรมการผู้ช่วยผู้จัดการใหญ่ ธนาคารกรุงเทพ จำกัด (มหาชน) กล่าวว่า ในช่วงที่ผ่านมาธนาคารพาณิชย์ได้ปฏิบัติตามไกด์ไลน์ของสมาคมธนาคารไทยที่จัดทำแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล และคู่มือการปฏิบัติงานให้กับธนาคารสมาชิก

รวมทั้งได้สื่อสารทำความเข้าใจกับพนักงาน เพื่อปฏิบัติตามพ.ร.บ.คุ้มครองส่วนบุคคล ในส่วนของลูกค้าธนาคารได้ขอความยินยอมจากลูกค้าในการเก็บรวบรวม และการใช้ข้อมูลส่วนบุคคลต่อเนื่องในช่วง 2 ปีที่ผ่านมา

โรงแรมกังวลเพิ่มต้นทุน-ปฏิบัติตามยาก

อย่างไรก็ตาม ในฝั่งของการท่องเที่ยว นายรุ่งเรือง วิโรจน์ชีวัน ประธานร่วมฝ่ายการตลาด สมาคมโรงแรมไทย กล่าวว่า การบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่เริ่มต้นวันที่ 1 มิ.ย.นี้มาในจังหวะที่ธุรกิจโรงแรมยังไม่ฟื้นตัวจากผลกระทบโควิด-19 ธุรกิจยังอยู่ในภาวะขาดทุน และมีความละเอียดอ่อนในการปฏิบัติ โดยเนื้อหาตาม พ.ร.บ.ดังกล่าว ครอบคลุมกิจกรรมหลัก 5 ประเภท ได้แก่ การจองห้องพัก การ check in (รร. 3 และ รร. 4) การใช้กล้องวงจรปิด (ด้านรักษาความปลอดภัย ไม่ได้ละเมิดสิทธิขั้นพื้นฐาน) การใช้ Wi-Fi การทำการตลาดโปรโมชัน ซึ่งยังมีข้อกังวลมากมายในการปฏิบัติตาม

โดยสมาคมได้ทำการสำรวจความคิดเห็นของสมาชิก ในเบื้องต้นโรงแรมใหญ่ไม่น่ามีปัญหา โดยเฉพาะโรงแรมที่มี Chain ชั้นนำบริหาร เพราะมีการปฏิบัติตาม General Data Protection Regulation (GDPR) เป็นกฎหมายของสหภาพยุโรปที่กำหนดมาตรการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคลอยู่แล้ว

แต่โรงแรมขนาดเล็กลงมามีความรู้สึกกังวลในความไม่พร้อม โดยเฉพาะที่ทำเว็บไซต์กันเอง ด้วยการจ้างบุคลากรภายนอกจะมีต้นทุนเพิ่มในการจ้างวางระบบข้อมูลทางคอมพิวเตอร์ ต้องมีการจัดวางบุคลากรมาทำหน้าที่ดูการจัดเก็บข้อมูลส่วนบุคคล และต้องจัดบุคลากรมาดูแลด้านนี้เป็นการเฉพาะ ซึ่งต้องจัดเก็บข้อมูลหลายด้านทั้งลูกค้า พนักงาน และคู่ค้า สวนทางกับสถานการณ์โรงแรมที่อยู่ในภาวะขาดแคลนบุคลากร และต้องมีค่าใช้จ่ายเพิ่ม

ก่อนหน้านี้ สมาคมโรงแรมไทย ร่วมประชุมกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อขอให้เลื่อนการบังคับใช้ออกไปก่อน แต่ไม่สามารถทำได้ เพราะในปีนี้ไทยจะเป็นเจ้าภาพการประชุมเอเปก ซึ่งมีหัวข้อการประชุมเรื่อง เศรษฐกิจดิจิทัล หากมีการเลื่อนออกไปจะไม่เป็นผลดีต่อประเทศ

“ในการประชุมมีการตั้งคำถามมากมายว่า สิ่งใดทำได้ สิ่งใดทำไม่ได้ โดยสรุปเบื้องต้นจะมีการร่วมมือ 3 ฝ่ายจาก สคส. สถาบันวิจัยเพื่อการพัฒนาประเทศไทย (TDRI) และสมาคมโรงแรม ทำแพลตฟอร์มต้นแบบให้กับสมาชิกสมาคมโรงแรมไทยว่าต้องทำอะไรบ้าง และจัดทำประชาสัมพันธ์ให้สมาชิกนำไปดำเนินการต่อ ทั้งระบบจัดเก็บข้อมูลของลูกค้าและการจัดเก็บข้อมูลส่วนตัวของพนักงาน ทั้งเรื่องเงินเดือน วันเดือนปีเกิด สถานศึกษา ก็ต้องมีรายการการจัดเก็บด้วย โดยสามารถทำเป็นไฟล์ Excel ได้”

“ประเด็นสำคัญที่สุดคือ ทั้งผู้บริหารและพนักงานยังไม่มีความเข้าใจการปฏิบัติตามกฎหมายฉบับใหม่นี้ว่าสิ่งใดทำได้ สิ่งใดทำไม่ได้ และกังวลว่าหากไม่ปฏิบัติตามกฎหมายนี้จะมีบทลงโทษด้วย ยิ่งมีข่าว “แตงโม-ภัทรธิดา” คนก็ยิ่งตื่นตัวเรื่องนี้กันมาก แต่ทาง สคส.แจ้งว่า ไม่มีเจ้าหน้าที่เพียงพอลงไปตรวจสอบ หากเกิดเหตุการณ์ในกรณีที่มีคนร้องเรียน ซึ่งในช่วงแรก คงมีการผ่อนปรน ผ่อนคลาย เรียกผู้ประกอบการมาชี้แจงก่อน

โดยทิ้งท้ายด้วยว่า สมาคมโรงแรมมีสมาชิกทั่วประเทศอยู่ 1,060 แห่ง ไม่ได้ครอบคลุมโรงแรมทุกแห่งทั่วประเทศ และโรงแรมที่มีขนาดเล็กมากๆ หรือโรงแรมที่ไม่อยู่ภายใต้ พ.ร.บ.โรงแรม จะปฏิบัติตามด้วยหรือไม่.

ทีมเศรษฐกิจ