- คณะรัฐมนตรีมีมติขยายระยะเวลาการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ไปอีกหนึ่งปี หลังจากเคยเลื่อนมาแล้วหลายครั้ง กับเหตุผลเรื่องโควิด-19 หรือความกังวลว่าผู้ควบคุมข้อมูลส่วนบุคคลจะเกิดความไม่พร้อมและสับสน รวมถึงเหตุที่ว่ายังไม่มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
- พ.ร.บ. ฉบับนี้คุ้มครองการนำข้อมูลไปใช้ เกี่ยวข้องทั้งการแลกบัตรประชาชนเข้าอาคาร การถูกปลอมแปลงเอกสาร หรือการต้องรับโทรศัพท์จากบริษัทประกันเมื่อข้อมูลรั่วไหลออกไป
- ตกลงแล้ว พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ครอบคลุมถึงข้อมูลใดบ้าง แล้วการเลื่อนบ่อยครั้งส่งผลอะไรกับผู้ประกอบการและประชาชน
หลายปีที่ผ่านมา ประชาชนจำนวนไม่น้อยเริ่มพูดถึง ‘พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล’ (Personal Data Protection Act: PDPA) ตั้งคำถามว่ากฎหมายดังกล่าวจะทำให้ประชาชนได้ประโยชน์หรือเสียประโยชน์มากน้อยแค่ไหน ไปจนถึงข้อสงสัยที่ว่า แล้วข้อมูลแบบไหนจึงจะเรียกว่าเป็น ‘ข้อมูลส่วนบุคคล’
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ประกาศในราชกิจจานุเบกษาในวันที่ 27 พฤษภาคม 2562 และมีผลบังคับใช้เมื่อพ้นกำหนด 1 ปี จากวันประกาศในราชกิจจานุเบกษา กางปฏิทินดูแล้ว พ.ร.บ. นี้จะมีผลบังคับใช้ทั้งฉบับตั้งแต่วันที่ 27 พฤษภาคม 2563 เป็นต้นไป
แต่ยังไม่ทันหาคำตอบได้แน่ชัดว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เกี่ยวข้องกับเราอย่างไร รัฐบาลก็ประกาศเลื่อนการบังคับใช้กฎหมายฉบับดังกล่าวอีกครั้งเมื่อวันที่ 5 พฤษภาคม 2564
บางคนรู้สึกโล่งอกกับการเลื่อนครั้งนี้ หลายคนรู้สึกไม่พอใจกับข่าวความเคลื่อนไหวล่าสุด และยังมีประชาชนอีกไม่น้อยที่ยังสับสนอยู่เหมือนเดิมว่าตกลงแล้ว พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล คืออะไร แล้วข้อมูลส่วนตัวแบบไหนถึงจะอยู่ในเกณฑ์ ‘ได้รับการคุ้มครอง’ และการเลื่อนหลายครั้งของรัฐบาลชุดปัจจุบัน สามารถบอกอะไรเราได้บ้าง
...
การแอบอ้าง หลอกลวง และนำข้อมูลส่วนบุคคลไปขายต่อ
บ่อยครั้งที่ประชาชนต้องป้อนข้อมูลส่วนตัวแก่บริษัทจำนวนมาก หรือเพื่อเข้าสู่เว็บไซต์ต่างๆ และไม่สามารถล่วงรู้ได้ว่าข้อมูลส่วนตัวถูกนำไปใช้ต่ออย่างไร ถูกส่งไปยังบุคคลที่สาม หรือถูกนำไปใช้ประโยชน์โดยที่เจ้าของข้อมูลไม่ยินยอมหรือไม่
เหตุผลหลักที่ทำให้บริษัทต่างๆ จัดเก็บของมูลของผู้ใช้บริการจำนวนมาก รวมถึงข้อมูลของพนักงานในบริษัทตัวเอง เพื่อเป็นแหล่งข้อมูลสำหรับศึกษาและพัฒนาระบบ พัฒนาการตลาด ค้นคว้าสานต่อประโยชน์ในการลงทุนหรือการให้บริการแก่เจ้าของข้อมูลส่วนบุคคล
การเก็บข้อมูลจำนวนมากของหลายบริษัทคงไม่ถูกวิพากษ์วิจารณ์ หากไม่เคยเกิดกรณีผู้ควบคุมข้อมูลทำข้อมูลส่วนบุคคลรั่วไหล หรือที่ปรากฏเป็นข่าวว่ามีการขายข้อมูลส่วนบุคคลของผู้ใช้บริการให้คนอื่น โดยไม่แจ้งขอความยินยอมจากเจ้าของข้อมูล
เหตุการณ์เหล่านี้ส่งผลกระทบต่อผู้บริโภค ในฐานะเจ้าของข้อมูล หลากหลายรูปแบบ เนื่องจากประชาชนทุกคนย่อมมีสิทธิ์เป็นเจ้าของข้อมูลส่วนตัว ทั้งของตัวเองและของกิจการตัวเองอยู่แล้ว
กรณีข้อมูลส่วนบุคคลรั่วไหล มีทั้งข้อมูลถูกส่งต่อหลายมือจนถูกผู้ไม่หวังดีสวมรอย หรือใช้ข้อมูลส่วนบุคคลที่ได้มาทำผิดกฎหมาย ทำให้เจ้าของข้อมูลเกิดความเสื่อมเสีย
การขายข้อมูลให้บริษัทอื่น ส่งผลให้เจ้าของข้อมูลส่วนบุคคลนั้นๆ ได้รับสแปมส่งเข้ามาในอีเมลจำนวนมาก หรือต้องคอยรับโทรศัพท์จากบริษัทประกัน บริษัทสินเชื่อ หรือการขายตรง โดยที่เจ้าของข้อมูลยังไม่เคยให้ข้อมูลส่วนบุคคลแก่บริษัทหรือบุคคลนั้นๆ มาก่อน
ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำศูนย์กฎหมายระหว่างประเทศ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ และประธานคณะกรรมการ องค์การนิรโทษกรรมสากล หรือ แอมเนสตี้ อินเตอร์เนชั่นแนล ประเทศไทย ให้สัมภาษณ์ถึงความสำคัญของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ไว้อย่างน่าสนใจว่า ประชาชนควรต้องให้ความสำคัญกับกฎหมายฉบับนี้ เพราะทุกคนต่างเป็นผู้มีโอกาสได้ประโยชน์หรือเสียประโยชน์ หากไม่เข้าใจกฎหมายดังกล่าว
“ตามหลักการของกฎหมายโดยทั่วไป เรามีกฎหมายเพื่อจะได้กำหนดกฎเกณฑ์การอยู่ร่วมกันในสังคม ถ้าดูเจตนารมณ์ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ค่อนข้างชัดเจนอยู่แล้วว่าต้องการตามให้ทันโลกดิจิทัลที่กำลังเปลี่ยนไป เพื่อสร้างสภาพแวดล้อมที่เหมาะสมด้านการค้า การทำธุรกรรม ที่เข้าไปอยู่ในโลกดิจิทัลมากขึ้น
“ทุกวันนี้เราแทบไม่สามารถใช้ชีวิตโดยไม่มีอินเทอร์เน็ต จึงค่อนข้างชัดเจนมากว่ากฎเกณฑ์นี้ จะเป็นเครื่องมือที่ช่วยให้เรามีความไว้วางใจต่อกันมากขึ้น หรือรู้ว่าควรจะปฏิบัติต่อกันอย่างไร
“ถ้ามองมุมของผู้เป็นเจ้าของข้อมูลส่วนบุคคลที่เป็นผู้บริโภค ยิ่งในยุคโรคระบาด ผู้คนติดต่อสื่อสารผ่านทางออนไลน์มากกว่าเดิม ทั้งการประชุมผู้ถือหุ้น การประชุมเพื่อตัดสินใจเรื่องสำคัญ ล้วนต้องทำทุกอย่างผ่านออนไลน์ ยิ่งควรจะต้องเพิ่มความระมัดระวังในการใช้ชีวิตในออนไลน์มากขึ้นหรือไม่ รวมไปถึงโอกาสในการถูกคุกคาม ความเสี่ยงที่จะถูกนำข้อมูลไปใช้อย่างไม่เป็นธรรม ไหนจะเรื่องของข้อมูลสุขภาพที่จะถูกนำไปใช้ประโยชน์ในการติดตามโรค ข้อมูลเหล่านี้เป็นข้อมูลที่มีความละเอียดอ่อน แล้วอาจจะนำไปสู่อันตรายต่างๆ โดยเฉพาะในสภาวะที่เกิดโรคระบาดและปัญหาเศรษฐกิจ
แม้จะมีบางส่วนที่รู้สึกดีกับการเลื่อนบังคับใช้กฎหมาย โดยเฉพาะในมุมมองของผู้ประกอบการ เนื่องจากเกิดความรู้สึกกดดันที่ต้องทำตามกฎหมาย กังวลว่าถ้าทำไม่ถูกจะเกิดผลเสียตามมา
“เวลาใครสักคนสวมหมวกผู้ประกอบการ เขาอาจรู้สึกว่าไม่มีกฎหมายนี้น่าจะดีกว่า แต่ถ้าเป็นหมวกของการเป็นประชาชน เป็นคนที่จะถูกนำข้อมูลไปใช้งานอาจรู้สึกอีกแบบหนึ่ง เพราะสุดท้ายไม่ว่าคุณจะสวมหมวกไหน ทุกคนก็เป็นเจ้าของข้อมูลส่วนบุคคลทั้งนั้น แม้กระทั่งเจ้าของบริษัทที่เอาข้อมูลส่วนบุคคลของคนอื่นมาใช้งาน ขณะเดียวกัน คุณก็เป็นคนที่มีข้อมูลส่วนบุคคลของตัวเอง และมีโอกาสที่ข้อมูลนั้นจะถูกเอาไปใช้ได้เหมือนกัน
นอกจากนี้ นิสัยหรือวัฒนธรรมการใช้ข้อมูลแบบปล่อยปละละเลยทั้งที่มีความเสี่ยงมาก ตัวอย่างหนึ่งที่เห็นได้ชัด คือการแลกบัตรประชาชนเพื่อเข้า-ออก อาคาร หรือการถ่ายสำเนากันตลอดเวลา ก็ทำให้เกิดโอกาสข้อมูลรั่วไหลได้ง่าย”
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะเข้ามาทำหน้าที่ดูแลความปลอดภัย หรือกรณีเกิดการนำข้อมูลส่วนบุคคลไปใช้จนส่งผลเสียกับเจ้าของข้อมูล เช่น เมื่อหน่วยงานหรือใครต้องการนำข้อมูลส่วนบุคคลไปใช้ในการประมวลผล จะต้องเขียนข้อตกลงและวิธีการนำข้อมูลไปใช้อย่างละเอียดและชัดเจน เพื่อให้เจ้าของข้อมูลพิจารณาว่าจะยินยอมเปิดเผยข้อมูลหรือไม่ หรือแจ้งให้เจ้าของข้อมูลรับทราบในกรณีที่อ้างอิงข้อกฎหมายอื่นในการนำข้อมูลไปใช้งาน หากเกิดการละเมิดข้อตกลงเรื่องข้อมูลส่วนบคคล หน่วยงานหรือผู้ประมวลข้อมูลต้องแจ้งเจ้าของข้อมูลให้ทราบภายใน 72 ชั่วโมง เป็นต้น
ว่าด้วย พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (Personal Data Protection Act A.D. 2019) ที่ส่วนใหญ่มักเรียกสั้นๆ ว่า PDPA ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 แต่กำหนดว่าบางหมวดจะยังไม่บังคับใช้ทันที และมีกำหนดบังคับกฎหมายทั้งฉบับในวันที่ 27 พฤษภาคม 2563
พ.ร.บ. ฉบับดังกล่าว ระบุความหมายของ ‘ข้อมูลส่วนบุคคล’ ไว้ว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวตนบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
ตัวอย่างของข้อมูลส่วนบุคคลครอบคลุมเกือบทุกอย่างที่เกี่ยวข้องกับชีวิตคนหนึ่งคน อาทิ ชื่อจริง นามสกุล ชื่อเล่น ที่อยู่ เบอร์โทรศัพท์ เลขประจำตัวประชาชน เลขหนังสือเดินทาง เลขประกันสังคม เลขใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี เลขบัญชีธนาคาร เลขบัตรเครดิต ทะเบียนรถโฉนดที่ดิน ข้อมูลทางชีวิตมิติทั้ง ลายนิ้วมือ ฟิล์มเอกซเรย์ ข้อมูลสแกนม่านตา ข้อมูลอัตลักษณ์เสียง ข้อมูลอุปกรณ์ส่วนบุคคล ทั้ง IP Address MAC Address Cookie ID ข้อมูลตำแหน่งที่อยู่ แม้กระทั่งข้อมูลประเมินการทำงานของนายจ้างต่อลูกจ้าง และข้อมูลอื่นๆ ที่สามารถเชื่อมโยงถึงข้อมูลข้างต้นที่ว่ามานี้ ทั้งวันเกิด สถานที่เกิด เชื้อชาติ สัญชาติ น้ำหนัก ส่วนสูง ข้อมูลทางการแพทย์ ข้อมูลการศึกษา ข้อมูลทางการเงิน ข้อมูลการจ้างงาน
บทลงโทษของการฝ่าฝืน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล กรณี เปลี่ยนแปลงแก้ไขข้อมูลไม่ว่าข้อมูลนั้นจะจริงหรือไม่ก็ตาม ผู้ควบคุมหรือประมวลผลข้อมูลส่วนบุคคล ทั้งบุคคลธรรมดา นิติบุคคล หน่วยงานองค์กร หน่วยงานรัฐ นำข้อมูลส่วนบุคคลของคนอื่นไปใช้ เปิดเผยโดยผิดวัตถุประสงค์ ไม่ได้รับความยินยอมจากเจ้าของข้อมูล หรือเกิดกรณีส่งผลให้ได้รับความเสียหาย นอกเหนือจากข้อยกเว้นที่ผู้ประมวลข้อมูลไม่ต้องรับผิด แบ่งเป็น 3 แบบ คือ ทางแพ่ง ทางอาญา และทางปกครอง
เมื่อรัฐบาลเลื่อนบังคับใช้กฎหมายหลายครั้ง
อย่างที่ระบุไว้ข้างต้น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายที่ออกมาในเดือนพฤษภาคม 2562 มีกำหนดบังคับใช้ในอีกหนึ่งปีข้างหน้า คือเดือนพฤษภาคม 2563 ก่อนจะขยายเวลาออกไปอีกหนึ่งปี เป็นเดือนพฤษภาคม 2564 ด้วยเหตุผลเรื่องการระบาดของไวรัสโควิด-19
เมื่อถึงกำหนดอีกครั้งในปี 2564 ชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ระบุว่า ครม. มีมติเห็นชอบ ขยายเวลาบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ไปอีก 1 ปี เป็นวันที่ 1 มิถุนายน 2565
ชัยวุฒิ กล่าวว่า “ที่ผ่านมาภาคธุรกิจประกอบด้วย สภาอุตสาหกรรมแห่งประเทศไทย สภาหอการค้าแห่งประเทศไทย และกลุ่มสมาคมด้านการท่องเที่ยว ได้ร่วมกันขอให้รัฐบาลบรรเทาผลกระทบที่จะเกิดขึ้นจากความไม่พร้อมในการปฏิบัติตามรายละเอียดของกฎหมายฉบับนี้ ดีอีเอส จึงได้นำเสนอเข้าสู่การพิจารณาของ ครม. และได้รับความเห็นชอบให้ขยายเวลาบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ไปอีก 1 ปี”
นอกจากนี้ ผลการประชุม ครม. เมื่อวันที่ 5 พฤษภาคมที่ผ่านมา บนเว็บไซต์ รัฐบาลไทย ในลำดับเรื่องที่ 12 ระบุเหตุผลว่า ‘ต้องขยายเวลาเนื่องจากยังไม่มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล’ ก่อให้เกิดคำถามตามมา เนื่องจากก่อนหน้านี้ รัฐบาลเป็นผู้เผยรายชื่อของคณะกรรมการดังกล่าวแล้ว
รัฐบาลอ้างว่าเลื่อนเพราะ ‘ไม่มีคณะกรรมการคุ้มครองข้อมูลส่วนตัว’ แม้ก่อนหน้านี้รัฐจะเผยรายชื่อคณะกรรมการแล้วก็ตาม
ข้อมูลเกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล อยู่ในลำดับที่ 12 จากการประชุมของคณะรัฐมนตรีเมื่อวันที่ 5 พฤษภาคม 2564 โดย พลเอกประยุทธ์ จันทร์โอชา นายกรัฐมนตรี เป็นประธานการประชุมผ่านระบบวิดีโอคอนเฟอเรนซ์ ‘ว่าด้วยรายงานเหตุผลที่ไม่อาจดำเนินการออกระเบียบและประกาศตามความ ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และการเสนอร่างพระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562’
ใจความสำคัญของการประชุม มีทั้งการขยายระยะเวลาบังคับใช้ออกไป 1 ปี ตั้งแต่วันที่ 1 มิถุนายน 2564 ถึงวันที่ 31 พฤษภาคม 2565 เพื่อช่วยเหลือผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานและกิจการต่างๆ ทั้งภาครัฐและเอกชน ที่ได้รับผลกระทบจากสถานการณ์การแพร่ระบาดของโรคติดเชื้อไวรัสโควิด-19
อีกหนึ่งเหตุผลสำคัญที่อยู่ในสรุปการประชุม ครม. คือ “เนื่องจากปัจจุบันยังไม่มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จึงทำให้ไม่สามารถดำเนินการออกประกาศหรือระเบียบ เพื่อให้การดำเนินการเป็นไปตามพระราชบัญญัติดังกล่าวได้ แต่อย่างไรก็ตาม ดศ. (ดีอีเอส) ได้มีการจัดทำกฎหมายลำดับรองดังกล่าวแล้ว โดยได้มีการรับฟังความคิดเห็นจากทุกภาคส่วนที่เกี่ยวข้องด้วย ทั้งนี้ เมื่อมีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลดังกล่าวแล้ว ดศ. จะได้เสนอร่างกฎหมายต่อไป”
ผลการประชุมของวันที่ 5 พฤษภาคม 2564 สวนทางกับเหตุการณ์วันที่ 19 พฤษภาคม 2563 ที่ รัชดา ธนาดิเรก รองโฆษกประจำสำนักนายกรัฐมนตรี เปิดเผยข้อมูลว่า ครม. เห็นชอบรายชื่อประธานกรรมการ และกรรมการผู้ทรงคุณวุฒิ ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 10 คน ดังนี้
หนึ่งในนั้นคือ ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล เป็นกรรมการผู้ทรงคุณวุฒิ ด้านกฎหมาย
หลังรายชื่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทั้ง 10 คน ได้รับมติเห็นชอบจากคณะรัฐมนตรีแล้ว แต่ยังไม่ทันได้ลงในราชกิจจานุเบกษาเพื่อให้เกิดการบังคับใช้อย่างเป็นทางการ สังคมกลับพูดถึงประเด็นที่ไม่ได้รับการยืนยันว่า เกิดการขอให้ดึงเรื่องคณะกรรมการกลับมาก่อน เนื่องจากรายชื่อบางคนอาจไม่เหมาะสมกับตำแหน่งที่ได้รับ ก่อน พุทธิพงษ์ ปุณณกันต์ รัฐมนตรีว่าการกระทรวงเทคโนโลยีเพื่อเศรษฐกิจและสังคม (ขณะนั้น) ชี้แจงว่า เรื่องที่มีคนขอให้ดึงรายชื่อกลับไม่ใช่เรื่องจริง แต่เป็นความจริงว่ารายชื่อจะต้องถูกทบทวนอีกครั้ง เนื่องจากได้รับการร้องเรียนจากหลายฝ่าย
เมื่อมีรายชื่อคณะกรรมการแล้ว เหตุใดรัฐบาลจึงระบุเหตุผลว่าจำเป็นต้องเลื่อนการใช้ พ.ร.บ. เพราะยังไม่มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งการเลื่อนการบังคับใช้กฎหมายออกไปเรื่อยๆ กำลังส่งผลกระทบต่อสังคมมากกว่าที่คิด
ความกังวลของผู้ประกอบการเกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล กล่าวถึงความกังวลต่อการเลื่อน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ของทั้งภาคองค์กรไปจนถึงภาคประชาชนไว้ว่า
“ตั้งแต่กฎหมายออกมาในปี 2562 และจะบังคับใช้ในปี 2563 ทุกคนต่างเตรียมตัวกับกฎหมายใหม่ แต่ในช่วงต้นปี 2563 เกิดวิกฤติโควิด-19 ที่ระบาดหนักในประเทศไทยตั้งแต่เดือนกุมภาพันธ์-มีนาคม ซึ่งเป็นช่วง 3 เดือนสุดท้ายก่อนถึงกำหนดการบังคับใช้กฎหมายพอดี หลายหน่วยงานจึงต้องดูแลเรื่องอื่นๆ ด้วย และประเด็นเรื่องการคุ้มครองข้อมูลส่วนบุคคลจะไม่ใช่ประเด็นหลักของการทำงานในช่วงเวลานั้น
“การเลื่อนรอบก่อน (พ.ศ.2563) เป็นการเลื่อนเพื่อช่วยผู้คนและองค์กร หากมองในมุมผู้ประกอบการ รัฐไม่ควรเพิ่มภาระให้ด้วยการบังคับใช้กฎหมายใหม่ที่ทำให้ต้องปรับตัวเยอะขึ้น หรือจะต้องทำให้บริษัทใช้ทรัพยากรไปกับการปรับตัวเพื่อกฎหมายใหม่ ซึ่งเรื่องของข้อมูลนั้นขึ้นอยู่กับว่าแต่ละองค์กรมีข้อมูลอยู่มากน้อยแค่ไหน ถ้าองค์กรนั้นมีข้อมูลเยอะ ก็ต้องปรับตัวเยอะ อาจจะต้องไปดูแลเรื่องความปลอดภัย หรือแม้กระทั่งการให้ความรู้เพื่อสร้างความเข้าใจให้กับคนในองค์กร อันนี้คือมุมมองของผู้ประกอบการบางองค์กร
“แต่ขณะเดียวกัน ยังมีหลายบริษัทที่รู้สึกกังวลกับการเลื่อน ต้องเข้าใจว่างานในบริษัทไม่ได้มีแค่เรื่องการคุ้มครองข้อมูลส่วนบุคคลอย่างเดียว ยังมีเรื่องอื่นๆ ที่ต้องทำ ยิ่งพอกฎหมายใหม่ใกล้มาถึง ยิ่งต้องเตรียมตัวปฏิบัติตาม เมื่อเกิดการเลื่อนมากกว่าหนึ่งครั้ง อาจทำให้เกิดความรู้สึกไม่แน่นอนว่าจะเริ่มบังคับใช้เมื่อไหร่กันแน่ และยังมีรายละเอียดต่างๆ ที่พวกเขาต้องรอฟังจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้ทราบว่าควรทำอย่างไรให้ถูกต้องตามกฎหมาย
“อีกหนึ่งเรื่องที่ผู้ประกอบการกังวล คือความกลัวกฎหมาย คนไทยมักมีความเข้าใจว่ากฎหมายคือ ‘ไม้เรียว’ ที่มีไว้ตีหากกระทำผิด กฎหมายไทยหลายอันเขียนขอบเขตไว้กว้างมาก ซ้ำยังมอบอำนาจตามดุลพินิจของเจ้าหน้าที่ที่จะระบุว่าทำผิดหรือไม่ ซึ่งขอบเขตของดุลพินิจที่กว้างแบบนี้ ส่งผลให้เอกชนไทยจำนวนมากระมัดระวังเวลามีกฎหมายตัวใหม่ออกมา เนื่องจากไม่แน่ใจว่าตนจะมีโอกาสถูกตีบ่อยขึ้นหรือไม่ พาลให้เกิดความรู้สึกไม่อยากได้กฎหมายใหม่ เพราะไม่รู้ว่าจะทำอย่างไรไม่ให้ถูกตี”
ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล ถอนตัวจากการเป็นคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
วันที่ 7 พฤษภาคม 2564 ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล ให้สัมภาษณ์กับไทยรัฐออนไลน์ว่า ตนยื่นหนังสือถอนตัวออกจากการเป็นคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแล้ว
“ยื่นเรื่องถอนตัวไปเมื่อวาน (6 พฤษภาคม) หนึ่งวันหลังจาก ครม. มีมติว่าจะเลื่อน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เดิมทีตั้งใจเข้ามาช่วยงานของกระทรวงฯ ในฐานะคณะกรรมการที่จะมีผลกับร่างกฎหมายใหม่ เพราะว่าตัวเองก็ให้ความคิดเห็นเกี่ยวกับกฎหมายตัวนี้มาตั้งแต่ตอนที่ยังเป็นร่างอยู่
“ซึ่งมติ ครม. วันที่ 19 พฤษภาคม 2563 ระบุว่าเราเป็นหนึ่งในคณะกรรมการ แต่หลังจากนั้นยังไม่มีการประกาศการแต่งตั้งอย่างเป็นทางการ เดิมเคยมีแผนการประชุมตัวกรรมการ แต่สุดท้ายก็ชะลอไป เราก็ไม่ทราบเหตุผลเหมือนกันว่าคือเรื่องอะไรกันแน่ กำหนดการที่ไม่แน่ชัด ความที่ไม่รู้ว่าจะเริ่มเมื่อไหร่ บวกกับตัวกฎหมายเลื่อนไปอีกหนึ่งปี ทำให้รู้สึกว่าคงต้องถอยกลับมาทำวิจัยงานวิชาการและโฟกัสเรื่องเรียนต่อ ที่เคยทำในช่วงแรกแต่หยุดเพื่อมาทำตรงนี้ เลยตัดสินใจถอนตัว แต่อีกใจหนึ่งยังกังวลอยู่พอสมควรว่าหลังจากนี้การบังคับใช้กฎหมายจะเป็นไปในทิศทางไหน”
สิ่งสำคัญที่รัฐบาลควรเร่งทำ คือการสร้างความมั่นใจให้ประชาชน
แม้ฐิติรัตน์จะยื่นถอนตัวกับกระทรวงฯ ไปแล้ว เธอได้ให้ความคิดเห็นเกี่ยวกับกรณีการเลื่อนบังคับใช้ พ.ร.บ.คุ้มครองผู้ข้อมูลส่วนบุคคล ไว้ว่า รัฐบาลต้องสร้างความแน่นอนทางกฎหมายให้กับประชาชน คอยกำกับดูแลเรื่องการละเมิดข้อมูลส่วนบุคคลขององค์กรต่างๆ ต่อประชาชน อย่าให้ผู้คนเคยชินกับ ‘สภาวะจำยอม’ และอย่าสร้างความรู้สึกให้กับทุกคนว่ากฎหมายใหม่เปรียบได้กับไม้เรียวที่เตรียมลงโทษคนในสังคม
“กรณีที่องค์กรหนึ่งปรับตัวเพื่อกฎหมายใหม่ พยายามทำให้ได้การยอมรับว่าเป็นบริษัทที่ทำตามกฎหมาย พอองค์กรที่ปรับตัวมองไปเพื่อนบ้านข้างๆ ที่เลือกยืนอยู่บนความเสี่ยงด้วยการไม่ปรับตัว ไม่ทำตาม แล้วไม่โดนลงโทษ หรือเกิดการเลื่อนการบังคับใช้กฎหมายไปเรื่อยๆ จนเกิดความสับสนไม่แน่นอน คนที่ตั้งใจทำตามกฎหมาย ทำตามหลักเกณฑ์ที่ถูกต้อง กลายเป็นคนที่เสียเปรียบในสังคมแทน ส่วนคนที่กล้าเสี่ยงเมินเฉยกับความไม่แน่นอนทางกฎหมาย กลับได้รับประโยชน์เพราะกฎหมายถูกเลื่อนไปเรื่อยๆ
“ต้องทำความเข้าใจว่าทุกการบังคับใช้กฎหมาย ย่อมมีทั้งผู้ได้ประโยชน์และผู้เสียประโยชน์ แต่คนจำนวนมากที่เป็นคนส่วนใหญ่ เขาพร้อมทำตามกฎหมายนี้ ประชาชนทั่วไปเริ่มมีความรู้เรื่องนี้ตั้งแต่ปีที่แล้ว และเริ่มเฝ้ารออย่างมีความหวังว่าถ้ามีกฎหมายนี้เขาจะได้รับการคุ้มครอง เขาจะไม่ถูกเอาข้อมูลส่วนตัวไปใช้ ไม่ถูกแทรกแซง หรือถูกรบกวนในชีวิตประจำวัน
“แต่ความน่ากังวลใจของความไม่แน่นอนของกฎหมาย สร้างความไม่มั่นใจต่อประชาชนเช่นกัน เห็นได้จากคำถามประมาณว่า ‘แล้วต่อไปจะมั่นใจได้อย่างไรว่ากฎหมายออกมาแล้วจะเป็นแบบที่ระบุไว้จริงๆ’ หรือ ‘กฎหมายไทยเป็นสิ่งที่อยากจะเปลี่ยนเมื่อไหร่ก็เปลี่ยนได้ใช่หรือไม่’ จากแค่การเลื่อนระยะเวลาไปเรื่อยๆ กลับกลายเป็นเรื่องของความเชื่อมั่นที่ประชาชนมีต่อระบบกฎหมายแบบภาพรวม ซึ่งไม่ส่งผลดีเท่าไรในสภาวะแบบนี้
“รัฐต้องสร้างความแน่นอนทางกฎหมายให้ผู้คน ยิ่งในสภาวะที่ทุกคนงุนงงอยู่แล้ว ยิ่งในสภาวะที่เกิดโรคระบาด การคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องที่กระทบทุกคน ทุกคนจะบอกว่าเป็นที่น่ากังวลและต้องให้ความสนใจ แต่ถ้าถามว่ากังวลถึงขั้นที่เมื่อโดนละเมิดจะเลือกไปฟ้องไหม คนส่วนใหญ่กลับตอบว่าไม่ เพราะผลกระทบที่เกิดขึ้นไม่ได้ยิ่งใหญ่ แต่มักเป็นเรื่องเล็กๆ น้อยๆ ที่น่ารำคาญใจ
“ไม่ได้หมายความว่าไม่มีกรณีแย่ที่สุด อย่างการถูกข่มขู่ หรือนำข้อมูลไปใช้เพื่อฉ้อโกง กรณีนี้มีจริง แต่เกิดขึ้นน้อยกว่ากรณีความน่ารำคาญใจจากการรับสายจากบริษัทต่างๆ และเมื่อถามว่าคุ้มกับการที่ใครสักคนจะออกไปเรียกร้องให้องค์กรเปลี่ยนแปลงการจัดการข้อมูล ก็มีคนเลือกต่อสู้น้อยมาก
“หากเกิดกรณีดังกล่าวมากขึ้นเรื่อยๆ จะทำให้เกิดสภาวะจำยอม ทุกคนจำยอมต่อองค์กรที่มีอำนาจต่อรองมากกว่า ยอมให้องค์กรหรือบริษัททำอย่างไรกับข้อมูลส่วนตัวเราก็ได้ เพราะคนส่วนใหญ่จะคิดไปแล้วว่าเราคงทำอะไรไม่ได้ จำใจปล่อยเลยตามเลย สิ่งที่รัฐควรทำคือการเข้ามาแทรกแซง เพื่อทำให้เกิดมาตรฐานที่เหมาะสม รัฐต้องเข้ามาชี้แจงว่ามาตรฐานและขอบเขตอยู่ตรงไหน รัฐซึ่งมีอำนาจมากกว่าจะต้องเข้ามาช่วยประชาชนที่มีอำนาจต่อรองน้อยกว่า เพื่อทำให้เกิดความเท่าเทียมยุติธรรม”
อ้างอิง: