นายวิชัย สมบูรณ์โชคพิศาล หุ้นส่วนฝ่ายกฎหมายของมาซาร์สในประเทศไทย เปิดเผยว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA ระบุให้มีข้อปฏิบัติเกี่ยวกับข้อมูลส่วนบุคคลขึ้นในองค์กร โดยกำหนดให้ต้องมีระบบการจัดเก็บและตรวจสอบการใช้ข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลประจำองค์กร ซึ่งมีหน้าที่ประสานข้อมูลกับเจ้าหน้าที่รัฐ แจ้งให้เจ้าของข้อมูลทราบถึงสิทธิ และการจัดการข้อมูลที่จัดเก็บ ทั้งในส่วนของลูกจ้าง คู่ค้าทางธุรกิจ
ซึ่งขั้นตอนการดำเนินงานเหล่านี้ต้องจัดทำให้เสร็จก่อนจะได้ประกาศบังคับตามกฎหมาย ในวันที่ 1 มิถุนายน 2565 เพื่อให้เป็นไปตามข้อปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
ทั้งนี้ บริษัทหรือองค์ธุรกิจอยู่ในฐานะผู้ควบคุม และประมวลผลข้อมูล มีหน้าที่ต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ ถึงวัตถุประสงค์ในการจัดเก็บข้อมูล การดำเนินการเก็บข้อมูล รายละเอียดการเก็บ การนำไปใช้ และต้องระบุระยะเวลาในการเก็บ
นอกจากนี้การนำไปใช้ การโอน การลบข้อมูล และการแสดงต่อเจ้าหน้าที่รัฐ ต้องได้รับความยินยอมจากเจ้าของข้อมูล ตามสิทธิตามกฎหมาย หากมีการจัดการข้อมูลส่วนบุคคลนอกเหนือสิทธิตามกฎหมาย และการนำไปใช้อย่างไม่ถูกต้อง บริษัทและกรรมการจะถูกลงโทษตามกฎหมาย ส่วนบุคคลใดถูกละเมิดสิทธิในข้อมูลก็จะได้รับการเยียวยาตามมาตราการที่กฎหมายระบุไว้
“พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฉบับนี้มีความละเอียดอ่อนมาก ในการเริ่มต้นดำเนินการ ต้องการการลงทุนด้านเทคโนโลยีที่สามารถตอบสนองผลสัมฤทธิ์ได้ พร้อมทั้งต้องจัดเตรียมบุคลากร ที่รับมีความรู้ด้านกฎหมาย ด้านไอที และด้านการจัดการข้อมูล เป็นต้น จึงไม่ใช่เรื่องง่าย สำหรับผู้ที่ขาดประสบการณ์ และความเชี่ยวชาญ ในการเริ่มต้นจำเป็นต้องให้ผู้มีความรู้ความสามารถเข้ามาช่วยในการดำเนินการ และเนื่องจากเป็นกฎหมายใหม่ในประเทศไทย ดังนั้นเพื่อป้องกันความเสี่ยง และจำกัดความเสียหายหากเกิดความผิดพลาดที่อาจเกิดขึ้น และลดขั้นตอนความยุ่งยากต่าง ๆ ควรขอคำแนะนำปรึกษาจากผู้เชี่ยวชาญเกี่ยวกับกฎหมายด้านนี้โดยเฉพาะ”
ด้านนายทวีวัฒน์ จันทรเสโน กรรมการผู้จัดการ บริษัท ซิสโก้ ประเทศไทย กล่าวว่าการบังคับใช้ พ.ร.บ.คุ้มครองความเป็นส่วนบุคคลจะส่งผลกระทบต่อองค์กรต่างๆ ในประเทศไทยในเรื่องของการเก็บรวบรวมและใช้งานข้อมูลส่วนบุคคล เนื่องจากปัจจุบันองค์กรธุรกิจได้ปรับเปลี่ยนการดำเนินงานเป็นรูปแบบดิจิทัลเพิ่มมากขึ้น และมีการสร้างข้อมูลเพิ่มขึ้นต่อเนื่อง ดังนั้นประเด็นเรื่องความเป็นส่วนตัวจึงมีความสำคัญเพิ่มมากขึ้นต่อองค์กรต่างๆ ในไทย ข่าวดีก็คือ องค์กรเหล่านี้กำลังเตรียมพร้อมรับมือกับความเปลี่ยนแปลงที่จะเกิดขึ้น
“โดย 98% ของผู้ตอบแบบสอบถามในไทยระบุว่าองค์กรของตนมีการรายงานดัชนีที่เกี่ยวข้องกับความเป็นส่วนตัวอย่างน้อยหนึ่งรายการให้แก่คณะกรรมการบริหาร และมีการเพิ่มงบประมาณสำหรับการลงทุนด้านความเป็นส่วนตัวโดยเฉลี่ย 55% ที่ซิสโก้เราเชื่อว่าความเป็นส่วนตัวคือสิทธิมนุษยชนขั้นพื้นฐาน และเราจำเป็นต้องอาศัยระบบรักษาความปลอดภัยและความโปร่งใสเพื่อคุ้มครองความเป็นส่วนตัว ซึ่งนับเป็นเรื่องน่ายินดีที่หลายๆ องค์กรให้ความสำคัญกับเรื่องนี้เพิ่มมากขึ้น”
AIS พร้อมตั้งแต่ปี 61
นางสายชล ทรัพย์มากอุดม หัวหน้าฝ่ายงานประชา สัมพันธ์ บริษัทแอดวานซ์ อินโฟ เซอร์วิส จำกัด (มหาชน) หรือ AIS กล่าวกับ “ฐานเศรษฐกิจ” ว่า เอไอเอสให้ความสำคัญกับเรื่อง พ.ร.บ.คุ้มครองความเป็นส่วนบุคคล เป็นอย่างยิ่ง โดยมีการเตรียมความพร้อมล่วงหน้ามาตั้งแต่ปี 2561 ทั้งในระดับนโยบายและ operation process ทั้งส่วนที่เกี่ยวกับข้อมูลส่วนบุคคลของลูกค้าและการบริหารจัดการภายในองค์กร อาทิ การกำหนดนโยบายความมั่นคงปลอดภัยไซเบอร์, นโยบายการคุ้มครองข้อมูลส่วนบุคคล, การออกแบบบริการที่สอดคล้องกับกฎหมาย PDPA เป็นต้น
เคทีซีพร้อมรับมือ100%
นายศักดา จันทราสุริยารัตน์ ผู้ช่วยประธานเจ้าหน้าที่บริหาร กำกับดูแลการปฎิบัติงาน (Compliance) “เคทีซี” หรือบริษัทบัตรกรุงไทย จำกัด (มหาชน) กล่าวว่า เคทีซีมีความพร้อม 100% ในการปฎิบัติตามกฎหมาย PDPA ที่จะมีผลบังคับใช้ เพราะการเลื่อนใช้บังคับมาสองครั้ง เคทีซีไม่ได้เลื่อนตามแต่ได้มีการเตรียมกระบวนการทั้งประสานภายในองค์กรและนอกองค์กร เพื่อสื่อสารถึงนโยบายการการคุ้มครองข้อมูลส่วนบุคคลและครอบคลุมผู้มีส่วนได้ส่วนเสียทั้งหมด ไม่ว่าลูกค้า พนักงาน ผู้ถือหุ้นรวมถึงพันธมิตรคู่ค้าต่างๆ
ซึ่งเคทีซีได้รับการรับรองทั้ง 2 มาตรฐานคือ ISO27001 และ ISO27701 โดยทั้งพันธมิตรคู่ค้าหรือคนประมวลผลข้อมูลให้เคทีซี ต้องทำงานประมวลผลข้อมูลของลูกค้าภายใต้ขอบเขตสัญญาที่ตกลงกัน ทั้งนี้ เพื่อให้ดูแลข้อมูลส่วนบุคคลภายใต้มาตรฐานเดียวกันของคณะกรรมการความมั่นคงปลอดภัยหรือ ISC: Information Security Committees
“เราทำงานร่วมกับทุกหน่วยงานทั้งองค์กรไม่ใช่เฉพาะฝ่ายไอที เพราะมีเอกสารหรือข้อมูลตามหน่วยงานที่เป็นกระดาษซึ่งเกี่ยวข้องกันจึงต้องดูทั้งกระบวนเพื่อให้แน่ใจในในความปลอดภัยของข้อมูลไม่ว่า การบริหารความเสี่ยง ของข้อมูล, การเก็บรักษา, อายุของการจัดเก็บและการทำลายข้อมูลเหล่านี้เป็นภาพใหญ่ต้องทำงานร่วมกัน”
นายศักดา ระบุว่า ในทางปฎิบัติอาจยังมีเรื่องที่ต้องทำความเข้าใจกับเจ้าของข้อมูล เช่น กรณีเจ้าของข้อมูลต้องการใช้สิทธิตามกฎหมายกำหนดให้ยกเลิกหรือมีสิทธิลบข้อมูลนั้น เนื่องจากบริษัทต้องปฎิบัติตามกฎหมายหลายฉบับ เช่น การบันทึกบัญชีหรือกฎหมายป้องกันและปราบปรามการฟอกเงิน(ปปง.) ต้องเก็บข้อมูล 10ปี หลังจากลูกค้าเจ้าของข้อมูลชำระบัญชีแล้ว
นอกจากนี้เนื่องจากปัจจุบันยังมีแนวปฎิบัติอื่นที่อาจมีผลต่อการเปลี่ยนแปลงการดำเนินงานธุรกิจแม้ยังไม่เห็นผลกระทบในตอนนี้แต่เป็นความท้าทายในอนาคต เช่น การทำธุรกรรมอิเล็กทรอนิกส์ หรือการ Implement พ.ร.บ. คอมพิวเตอร์และการนำมาใช้ยังมีหลายอย่างอยู่ในช่วงเริ่มต้นโดยยังไม่ทราบผลในวันข้างหน้า ดังนั้น หลักฐานที่เข้าใจว่าใช้ได้ในวันนี้ หากมีคดีขึ้นสู่ศาลแต่ในวันข้างหน้าก็ไม่แน่ใจว่าหลักฐานดังกล่าวจะเป็นที่ยอมรับของศาลหรือเมื่อมีคำพิพากษาต่างๆ ในอนาคตหรือไม่
หวั่นกระทบธุรกิจ
ขณะภาคธุรกิจใหญ่ ‘อสังหาริมทรัพย์’ ที่เพิ่งมีสัญญาณฟื้นตัวจากสถานการณ์โควิด-19 นายมีศักดิ์ ชุนหรักษ์โชติ นายกสมาคมอสังหาริม ทรัพย์ไทย ระบุว่า การบังคับใช้กฎหมาย PDPA เป็นครั้งแรกในไทย น่าจะสร้างปัญหาให้กับภาคธุรกิจอย่างมาก เนื่องจากพบคำนิยามของกฎหมายฉบับนี้ มีหลายส่วนซับซ้อนคลุมเครือไม่ชัดเจน แล้วแต่การตีความ ดังนั้น เมื่อนำมาบังคับใช้ โดยกำหนดโทษต่อผู้ทำธุรกิจทันที ก็คงเกิดผลกระทบตามมาอย่างมหาศาล
อย่างไรก็ตาม สิ่งที่กังวลสูงสุดขณะนี้ คือ ภาระต้นทุนที่จะเพิ่มขึ้น จากการต้องปฎิบัติตามข้อกฎหมาย ภายใต้สภาวะที่ไม่พร้อม เนื่องจากข้อมูลส่วนใหญ่ที่ผู้ประกอบการอสังหาฯที่การเก็บรวบรวมไว้ ไม่ได้อยู่ในพื้นฐานของหลักการข้างต้น จึงอยากเสนอให้ การบังคับใช้ในระยะแรกนั้น ควรเป็นในลักษณะทดลอง และไม่มีการกำหนดโทษ เพราะจนถึงขณะนี้ก็เชื่อว่า หลายบริษัทยังไม่มีการเตรียมการ ยิ่งช่วงหลังมีการเก็บข้อมูลในระบบอิเล็ก ทรอนิกส์ ยิ่งทำให้ยากต่อการเปลี่ยนแปลงแก้ไขใดๆ ขณะภาคอสังหาฯ เป็นธุรกิจที่เกี่ยวพันกับสัญญา เอกสาร ส่วนบุคคลจำนวนมาก คาดจะเป็นปัญหาใหญ่ตามมา
เร่งเตรียมความพร้อม
นางมาริสา สุโกศล หนุนภักดี นายกสมาคมโรงแรมไทย (ทีเอชเอ) กล่าวว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล PDPA ที่จะเริ่มมีผลบังคับใช้ในวันที่ 1 มิ.ย.นี้ จากการสำรวจผู้ประกอบการในธุรกิจโรงแรม พบว่าโรงแรมระดับเอสเอ็มอี อาจจะยังขาดความพร้อม ต่างจากโรงแรมใหญ่หรือโรงแรมเชนในไทย ที่มีความเข้าใจกฏหมายนี้เป็นอย่างดี เนื่องจากดำเนินการอยู่แล้ว ภายใต้ กม. ของสหภาพยุโรปว่าด้วยการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล หรือ GDPR การที่ไทยจะนำกม.ดังกล่าวมาใช้ก็ไม่ต่างกัน
อย่างไรก็ตามเมื่อกม.จะมีผลบังคับใช้ ทางสมาคมโรงแรมไทย ก็มีการเตรียมความพร้อมให้สมาชิก โดยได้ร่วมมือกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จัด Webinar ให้ผู้ประกอบการได้รับทราบข้อกม.และเตรียมความพร้อมในเรื่องนี้ต่อไป การปฏิบัติตามข้อกฏหมายดังกล่าวมีความสำคัญต่อภาคธุรกิจไทย เพราะเป็นเครื่องมือช่วยสร้างความเชื่อมั่นแก่คู่ค้าต่างชาติว่าข้อมูลส่วนตัวได้รับการคุ้มครองด้วยมาตรฐานที่ดีเทียบเท่า GDPR ทำให้เกิดความเชื่อมั่นแก่ลูกค้าในยุคโควิดที่ซื้อสินค้าออนไลน์มากขึ้น
ผู้บริโภคจี้บังคับใช้ PDPA
นางสาวสารี อ๋องสมหวัง เลขาธิการสภาองค์กรของผู้บริโภค กล่าวว่า ทางสภาฯเองมีสมาชิก 271 องค์กรแต่ละองคกรจะมีอาสาสมัครตั้งแต่ 10 คน โดยในส่วนของสภาฯเองมีฐานข้อมูลผู้ร้องเรียนของผู้บริโภคมากกว่า 5,000 ราย ก็ต้องดูแลการจัดเก็บและข้อมูลที่จะเผยแพร่ก็ต้องปฏิบัติตามกฎหมายนี้อย่างเคร่งครัดโดยมีการจัดอบรมและมีอาสาสมัคร 400 คน เพื่อให้ความรู้เกี่ยวกับกฎหมายนี้
“เห็นด้วยกับการบังคับใช้กฎหมาย PDPA จริงๆได้ทำจดหมายถึงนายกรัฐมนตรีเพื่อเร่งรัดให้มีการบังคับใช้กฎหมาย อย่างน้อยช่วยปิดช่องโหว่การนำข้อมูลส่วนบุคคลที่เจ้าของข้อมูลไม่ต้องการให้นำข้อมูลทำตลาดหรือปัญหามิจฉาชีพหรือแก๊งคอลเซ็นเตอร์