รมว.ดิจิทัล ย้ำ กฎหมาย PDPA ในช่วงแรกเน้นให้ความรู้-ตักเตือน ไม่เน้นลงโทษ และต้องเป็นภาระน้อยที่สุด เผย กฎหมายลูกที่เกี่ยวข้องอีก 4 ฉบับ เตรียมประกาศในเดือนนี้
วันที่ 22 มิ.ย. 2565 นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เผยถึงกฎหมายลูก 4 ฉบับ ที่มีผลบังคับใช้แล้ว ประกอบด้วย 1. การผ่อนปรน PDPA สำหรับ เอสเอ็มอี-วิสาหกิจชุมชน 2. การประกาศสร้างความชัดเจนในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล และให้เวลาเตรียมการ 180 วัน 3. การประกาศมาตรการรักษาความมั่นคงปลอดภัยขั้นต่ำให้ชัดเจนสอดคล้องกับประกาศกระทรวงดิจิทัลฯ ที่ได้ใช้ในช่วง 2 ปีที่ผ่านมา และ 4. ประกาศ การลงโทษทางปกครอง ที่คำนึงถึงเจตนา และให้มีการไกล่เกลี่ย ตักเตือน
สำหรับกฎหมายลำดับรองฉบับที่ 1 ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565 เป็นการผ่อนผัน PDPA ในเรื่องการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคล ให้
1. SME เช่น โรงงานผลิต ที่มีพนักงานไม่เกิน 200 คน หรือ รายได้ไม่เกิน 500 ล้านบาท หรือ ร้านค้าปลีกหรือบริษัท ที่มีพนักงานไม่เกิน 100 คน หรือ รายได้ไม่เกิน 300 ล้านบาท
2. วิสาหกิจชุมชนหรือเครือข่ายวิสาหกิจชุมชน
3. วิสาหกิจเพื่อสังคมหรือกลุ่มกิจการเพื่อสังคม
4. สหกรณ์ ชุมนุมสหกรณ์ หรือกลุ่มเกษตรกรตามกฎหมายว่าด้วยสหกรณ์
5. มูลนิธิ สมาคม องค์กรศาสนา หรือองค์กรที่ไม่แสวงหากำไร
6. กิจการในครัวเรือนหรือกิจการอื่นในลักษณะเดียวกัน
...
กฎหมายลำดับรองฉบับที่ 2 ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565 เพื่อให้ ผู้ประมวลผลข้อมูลส่วนบุคคล มีแนวปฏิบัติที่ชัดเจนในการดำเนินการตาม PDPA โดยมีการให้เวลาผู้ประกอบการ 180 วันในการเตรียมตัว
กฎหมายลำดับรองฉบับที่ 3 ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 เพื่อให้มีมาตรการรักษาความมั่นคงปลอดภัยขั้นต่ำให้ชัดเจน ซึ่งสอดคล้องกับประกาศกระทรวงดิจิทัลฯ เรื่อง มาตรการรักษาความมั่นคงปลอดภัย ที่ได้ใช้ในช่วง 2 ปีที่ผ่านมา ทำให้ไม่สร้างภาระเพิ่มขึ้นจากเดิม ที่มีการปฏิบัติตามประกาศกระทรวงดิจิทัลฯ อยู่แล้ว
กฎหมายลำดับรองฉบับที่ 4 ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565 เพื่อกำหนดหลักเกณฑ์การออกคำสั่งลงโทษปรับทางปกครอง โดยคำสั่งลงโทษตามระดับความร้ายแรงของการทำความผิด กรณีไม่ร้ายแรงให้ตักเตือน หรือสั่งให้แก้ไข สั่งห้าม หรือสั่งจำกัดการกระทำได้ สำหรับกรณีร้ายแรง (ที่อาจหมายรวมถึงกรณีที่ส่งผลกระทบรุนแรงในวงกว้าง) หรือสั่งตักเตือนไม่เป็นผล ให้ลงโทษทางปกครองโดยการปรับ
นายชัยวุฒิ กล่าวต่ออีกว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ กฎหมาย PDPA ที่บังคับใช้ตั้งแต่วันที่ 1 มิ.ย. 2565 มีเจตจำนงชัดเจนที่ต้องการให้ PDPA เกิดประโยชน์กับประชาชน ขณะเดียวกันมุ่งให้ผู้ที่เกี่ยวข้องมีภาระในการปฏิบัติตามกฎหมายน้อยที่สุด เน้นการให้ความรู้และตักเตือน จากการติดตามทราบว่าขณะนี้มีกฎหมายลูก 4 ฉบับ ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้เห็นชอบในสัปดาห์ที่แล้ว ได้ลงราชกิจจานุเบกษาประกาศบังคับใช้ แล้วเมื่อวันที่ 20 มิถุนายน 2565 นี้
นอกจากนี้ ยังมีกฎหมายลูกที่สำคัญอีก 4 ฉบับ อยู่ระหว่างการพิจารณาของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล คาดว่าจะสามารถดำเนินการเรื่องกฎหมายลูกรวมทั้งสิ้น 8 ฉบับได้ ภายในเดือน มิ.ย.นี้
“ในเชิงนโยบายและแนวทางการดำเนินงานของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรามุ่งให้ผู้ที่เกี่ยวข้องมีภาระในการปฏิบัติตามกฎหมายน้อยที่สุด สะท้อนการเริ่มบังคับใช้ในช่วงแรกของกฎหมายฉบับนี้ ที่ไม่ควรเป็นภาระเกินไป เน้นการให้ความรู้และตักเตือน ไม่เน้นการลงโทษ”