posttoday

กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) .....พร้อมหรือไม่พร้อมก็ต้องเดินหน้า

06 มิถุนายน 2565

คอลัมน์ เศรษฐกิจรอบทิศ

วันที่ 1 มิถุนายนที่ผ่านมามีกฎหมายป้ายแดงพรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือเรียกว่า “กฎหมาย PDPA : Personal Data Protection Act.” พรบ.ฉบับนี้ร่างในสมัยรัฐบาลคสช.เมื่อพ.ศ.2558 ผ่านสนช.และถูกดองไว้สองปีจากเดิมจะประกาศใช้ปลายเดือนพฤษภาคม พ.ศ. 2562 แต่กฎหมายลูกไม่เสร็จและความไม่พร้อมทั้งของภาครัฐและเอกชนจึงชะลอไว้ เป็นกฎหมายสำคัญกระทบต่อทุกภาคส่วนมีถึง 96 มาตรา ที่ผ่านมาสื่อมวลชนเล่นเป็นข่าวน้อยพึ่งมาโหมโรงในช่วงหลังทำให้ธุรกิจและชาวบ้านส่วนใหญ่ไม่ค่อยให้ความสำคัญเพราะเห็นว่าเป็นเรื่องไกลตัว เหตุผลและความจำเป็นเกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลของประชาชนทั้งในฐานะเป็นลูกจ้างอยู่ในสถานประกอบการต่างๆ และในฐานะเป็นผู้บริโภคมีสิทธิ์ในข้อมูลของตนเองที่อาจถูกละเมิดนำข้อมูลไปใช้โดยไม่ได้รับการยินยอมมีบทลงโทษทั้งทางเพ่งและอาญาแก่ผู้ที่กระทำความผิด รายละเอียดของกฎหมายมีมากมายล้วนมีความสำคัญทั้งต่อสถานประกอบการและบุคคลที่เกี่ยวข้องหากกล่าวละเอียดอาจเบื่อพลอยไม่อ่านบทความนี้  ให้จบ

ก่อนอื่นต้องทำความเข้าใจเกี่ยวกับข้อมูลส่วนบุคคลหรือ“Data Privacy” ครอบคลุมตั้งแต่ชื่อ-นามสกุล, ที่อยู่, บริษัท, อีเมล, ไลน์, เฟสบุ๊ค, ไอจี ข้อมูลเกี่ยวกับการศึกษา, สถานะส่วนตัวและครอบครัว, สุขภาพตลอดจนข้อมูลความเชื่อ, ศาสนาและอื่นๆ ที่นำไปกรอกในเอกสารต่างๆ เช่น การสมัครงาน, ทำบัตรประชาชน, บัตรคนจน, ประกันสังคม, การจองตั๋วเครื่องบิน, การลงทะเบียนเพื่อขอรับการรักษาพยาบาล, การศึกษา, การเปิดบัญชีธนาคาร, บัตรเครดิตตลอดจนมาตรการต่างๆ จากรัฐ ข้อมูลพวกนี้ประชาชนชินแต่จะกลายเป็นวัตถุดิบที่มีค่านำไปขายหาประโยชน์ทางการค้าที่พบเห็นประจำมีโทรศัพท์เบอร์แปลกๆ เข้ามาในมือถือขายสินค้าหรือบริการต่างๆ, ขายประกัน, เสนอกู้เงินดอกเบี้ยแพงๆ หรือบอกว่ามีใบสั่งค้างจ่ายหรือมีพัสดุส่งมาให้ไปรับที่กล่าวนี้ส่วนใหญ่คงเจอกันถ้วนหน้า

นัยสำคัญทำให้ต้องออกเป็นกฎหมายส่วนหนึ่งเป็นมาตรการระดับโลกที่หลายประเทศมีการใช้แล้ว อีกทั้งเป็นผลกระทบจากเทคโนโลยีก้าวหน้า เอไอ อินเตอร์เน็ตความเร็วสูง (IoT) ทำให้การเข้าถึงสื่อโซเชียลออนไลน์และการทำธุรกรรมบนแพลตฟอร์มดิจิทัลกลายเป็นวิถีของผู้คน ในทางกลับกันมีผลทำให้มีการนำข้อมูลส่วนตัวไปหาประโยชน์ทางการค้า เช่น เข้าไปในมือถือเพื่อขายสินค้ามีการทำอย่างเป็นระบบ เช่น คอล-เซ็นเตอร์หลอกลวงดูดทรัพย์แก่ผู้ที่หลงเชื่อ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลหรือ “กฎหมาย PDPA” ถูกเข็นออกมาท่ามกลางความไม่พร้อมของหลายภาคส่วน ทั้งภาครัฐและเอกชน แม้แต่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลพึ่งมีการแต่งตั้งช่วงกลางเดือนมกราคมที่ผ่านมา ขณะที่กฎหมายลูกที่ลงรายละเอียดต่างๆ ยังไม่พร้อม ภาคเอกชนที่เป็นองค์กรระดับชาติออกมาเรียกร้องให้รัฐบาลชะลอออกไปก่อนแต่ไม่เป็นผลเพราะเคยผ่อนปรนมาแล้ว ประเด็นที่ภาคเอกชนกังวลมากและอาจเป็นปัญหาในอนาคตขอยกตัวอย่างเริ่มจาก

ประการแรก ภาคเอกชนขาดความพร้อม เนื่องจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นของใหม่ที่ไม่มีในอดีตมีจำนวน 42 หน้าและมีบทบัญญัติถึง 96 มาตรามีความซับซ้อนและรายละเอียดมากมาย ขณะที่สถาน-ประกอบการและธุรกิจของไทยมีจำนวนประมาณ 8.075 แสนกิจการในจำนวนนี้เป็นโรงงานอุตสาหกรรมประมาณ 1.411 แสนแห่ง ร้อยละ 90 เป็น SME ซึ่งมีความอ่อนแอเป็นทุนอยู่แล้วขาดความพร้อมทั้งบุคลากรและศักยภาพของธุรกิจที่จะเข้าถึงแค่เริ่มต้นก็ไม่รู้ว่าจะทำอย่างไร 

ประการที่สอง กฎหมายลูกยังไม่มี เกี่ยวข้องกับกฎหมายฉบับรอง 8 ฉบับยังอยู่ในกระบวนการรับฟังความคิดเห็นคาดว่าจะทยอยออกมาใช้ปลายปีหรือต้นปีหน้า ผู้รับผิดชอบแจ้งให้สถานประกอบการใช้ไปก่อนเป็นการทดลองแต่กฎหมายมีผลบังคับใช้หากมีใครไปฟ้องจะมีผลอย่างไรต้องมีความชัดเจนในเรื่องนี้

ประการที่สาม แนวทางปฏิบัติให้สอดคล้องกับกฎหมายขาดความชัดเจน จะต้องให้ทำอะไรและไม่ให้ทำอะไรโดยเฉพาะช่องว่างของการยินยอมให้มีการบันทึกข้อมูลและการใช้ข้อมูลต้องได้รับความยินยอมจากเจ้าของข้อมูลในทางปฏิบัติมีความยุ่งยากเนื่องจากกฎหมายฉบับนี้ครอบคลุมทุกมิติตั้งแต่ลูกจ้างที่ทำงานในสถานประกอบการ บุคคลที่ติดต่องานซึ่งทำงานอยู่ในบริษัทของลูกค้าตลอดจนธุรกิจต่างๆ ที่อยู่ในโซ่อุปทานและบุคคลอื่นๆ ซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคลเป็นจำนวนมาก  

ประการที่สี่ บทลงโทษสูงเกินกว่าเหตุ ทั้งปรับและจำคุกซึ่งเกี่ยวข้องกับโทษทางแพ่ง อาญา และโทษทางปกครองซึ่งรวมกันมีถึง 12 มาตรา มีรายละเอียดมากมายโทษปรับตั้งแต่ 5.0 แสนถึง 5 ล้านบาทซึ่งกฎหมายไม่ชัดเจนว่าจะถือเป็นรายบุคคลหรือเป็นกรณี สำหรับบทลงโทษทางอาญาและโทษปกครองจำคุกตั้งแต่ 6 เดือนถึง 1 ปี เห็นว่าเป็นลงโทษที่สูงเกินกว่าเหตุและสูงกว่ากฎหมายแรงงานต่างด้าวผิดกฎหมายซึ่งเกี่ยวข้องกับความมั่นคงและเศรษฐกิจ บทลงโทษทางแพ่งปรับเพียง 1 หมื่นถึง 1 แสนบาท ควรแก้ไขบทลงโทษเฉพาะทางแพ่งและลดค่าปรับให้เหมาะสม

ประการที่ห้า โทษทางปกครองให้อำนาจเจ้าหน้าที่รัฐมากเกินไป เพียงแค่ได้รับเบาะแสสามารถเรียกให้เข้ามาชี้แจงหรือเข้าไปตรวจค้นในสถานประกอบการหากไม่อำนวยความสะดวกโทษปรับถึงครึ่งล้านบาท ประเด็นที่ต้องพิจารณาการจะปรับหรือแค่ตักเตือนเป็นอำนาจของเจ้าพนักงานอาจเป็นปัญหาในอนาคต ประเด็นนี้ต้องระวังเพราะเป็นช่องว่างให้ใช้เป็นเครื่องมือในการรีดไถหรือทำมาหากินเพราะสถานประกอบการมีหลายแสนแห่งส่วนใหญ่ไม่รู้เรื่องว่าจะต้องทำอย่างไร

ประการที่หก กฎหมายฉบับนี้ครอบคลุมทุกมิติของการทำธุรกิจ เกี่ยวข้องกับศักยภาพของธุรกิจที่มีความแตกต่างกัน เกี่ยวข้องกับบุคลากรทั้งลูกจ้าง-ลูกค้าและซัพพลายเชนการดำเนินการต้องมีบุคลากรซึ่งมีความพร้อมทั้งด้านทรัพยากรมนุษย์ ด้านกฎหมาย ด้านไอที รวมถึงด้านตลาดและจัดซื้อ ธุรกิจส่วนใหญ่เป็นรายกลางและรายย่อยขาดศักยภาพจะทำอย่างไร

จากการศึกษาของมหาวิทยาลัยหอการค้าไทย ระบุว่าธุรกิจและบริษัทที่ดำเนินตามกฎหมาย “PDPA” เสร็จแล้วมีเพียงร้อยละ 8 และประเมินว่าภาคเอกชนอาจต้องใช้เงินไปกับการนี้ถึง 5 หมื่นล้านบาทขึ้นอยู่กับศักยภาพและความสามารถของธุรกิจหากต้องจ้างบริษัทรับจ้างให้คำปรึกษาอาจต้องใช้เงินมากกว่า 2-3 แสนบาทเป็นภาระของธุรกิจในช่วงที่เศรษฐกิจยังฟื้นตัวช้า ปัญหาความไม่พร้อมของภาคเอกชนที่สำคัญคือขาดบุคลากรที่มีความรู้และความเข้าใจเพราะเกี่ยวข้องกับทุกมิติของธุรกรรมและมีเจ้าของข้อมูลเป็นหลักพันคนขึ้นไป องค์กรขนาดใหญ่อาจไม่มีปัญหาแต่ธุรกิจ SME ส่วนใหญ่เป็นปัญหาแน่นอน

คำถามว่าทำไมประเทศไทยจึงต้องออกกฎหมายที่น่าจะมีความยุ่งยากตามมา เพราะถ้าแค่ป้องกันพวกแฮ็กเกอร์หรือพวกที่ขโมยข้อมูลไปขายและนำไปใช้ประโยชน์คงไม่จำเป็นต้องมีกฎหมายที่ซับซ้อนและมีบทบัญญัติร่วมร้อยมาตราตลอดจนมีช่องว่างในการตีความ จากการศึกษากฎหมายลักษณะนี้มีประเทศต่างๆ อย่างน้อย 78 ประเทศได้ประกาศใช้ไปก่อนแล้ว กรณีกลุ่มสหภาพยุโรปหรือ “EU”  มีการออกกฎหมายที่เรียกว่า “GDPR : General Data Protection Regulation (2018)” ใช้มาแล้ว 4 ปีก่อนไทยเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ใช้เป็นมาตรฐานอีกประเภทหนึ่ง

กรณีอาเซียนประเด็นดังกล่าวอยู่ในข้อตกลง “AEC BLUE PRINT (2025)” ที่ประเทศสมาชิกจะต้องมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ปัจจุบันประเทศที่มีกฎหมายทำนองนี้ ได้แก่ สิงคโปร์ มาเลเซีย ฟิลิปปินส์ นำร่องไปก่อนไทยและที่กำลังอยู่ระหว่างจัดทำกฎหมายคืออินโดนีเซียและเวียดนาม

จากที่กล่าว “PDPA” อนาคตอันใกล้จะกลายเป็นระเบียบใหม่ของกติกาการค้าโลก หากไม่ทำไทยอาจถูกกีดกันทางการค้ามีผลกระทบต่อภาคส่งออกและท่องเที่ยวที่เป็นหัวจักรขับเคลื่อนเศรษฐกิจแม้แต่ในประเทศธุรกิจที่ค้าขายทำธุรกิจกับบริษัทข้ามชาติที่สุดคงหลีกเลี่ยงไม่ได้เช่นกัน ดังนั้นไม่ว่าจะพร้อมหรือไม่พร้อมแต่วันนี้กฎหมายบังคับใช้และบทลงโทษที่รุนแรงทั้งแพ่งและอาญารวมถึงโทษทางปกครอง เกี่ยวข้องกับสถานประกอบการทั้งภาคการผลิต บริการ ค้าส่ง-ค้าปลีกรวมกันมากกว่าแปดแสนแห่งมีบุคลากรและแรงงานที่ทำงานอยู่ในภาคเอกชนทั้งในระบบและนอกระบบรวมกันประมาณ 23-24 ล้านคน ในอนาคตจะเห็นมนุษย์หัวหมอที่เป็นลูกจ้างหรือบุคคลที่เกี่ยวข้องใช้ช่องว่างของกฎหมายเป็นช่องทางแบล็คเมล์คดีจะเต็มศาล

อย่างไรก็ตามกฎหมาย PDPA ออกมาแล้วคงไม่มีทางเลือก ไม่ว่าจะพร้อมหรือไม่พร้อมก็ต้องเดินหน้า เข้าใจว่าอาจจะมีการผ่อนปรนบทลงโทษควรกำหนด Great Period ให้ชัดเจนว่าให้ระยะเวลาผ่อนปรนถึงเมื่อใด ขณะนี้จะเห็นว่าบางบริษัทฯ ส่วนใหญ่เป็นขนาดใหญ่เริ่มออกมาตรการสื่อสารในลักษณะคำประกาศต่อสาธารณะหรือ “Privacy Public Notice” ตลอดจนการทำ “Cookie” ยอมรับเงื่อนไขในการเข้าถึงเว็บไซต์หรือช่องทางแพลตฟอร์มดิจิทัลต่างๆ เพื่อเป็นการปิดความเสี่ยงอาจถูกฟ้องร้องดำเนินคดีการละเมิดข้อมูลส่วนบุคคล

ภาครัฐโดยกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ที่ผ่านมามีเวลา 2 ปีแต่ขาดการเตรียมการและประชาสัมพันธ์ทำให้ภาคเอกชนขาดความพร้อมโดยเฉพาะรายกลางและรายเล็กจะต้องดำเนินการอย่างไร พอประกาศใช้กฎหมายก็วุ่นวายส่วนใหญ่ยังไม่รู้ว่าจะต้องทำอะไรบ้าง จำเป็นที่จะต้องให้การอบรมความรู้และให้คำปรึกษารวมถึงช่องทางสื่อสารทั้งออฟไลน์และออนไลน์ ควรจะจัดตั้งเป็นลักษณะศูนย์ที่ปรึกษาเพื่อให้สถานประกอบการต่างๆ สามารถนำไปปฏิบัติให้สอดคล้องกับกฎหมายโดยเฉพาะการป้องกันความเสี่ยงจากการถูกฟ้องร้องในอนาคต ประเด็นอยู่ที่ว่ากระทรวงเจ้าสังกัดและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลซึ่งพึ่งจัดตั้งเริ่มตั้งไข่จะมีความสามารถแค่ไหน.....ครับ