นายภุชพงค์ โนดไธสง รองปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) กล่าวระหว่างร่วมเวทีเสวนาอัพเดทสถานการณ์ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ในหัวข้อ “ARE THERE REALLY PERSONAL PRIVACY IN CYBER WORLD?” ความเป็นส่วนตัวของคุณในโลกไซเบอร์ ไม่มีอยู่จริง? จัดโดยสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) วานนี้ (23 ก.พ.64) ว่า กระทรวงฯ อยู่ระหว่างการจัดทำกฎหมายลำดับรอง ภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 คาดว่ากฎหมายลำดับรองในกลุ่มที่ 1 ซึ่งอยู่ในกลุ่มสำคัญ จำเป็น เร่งด่วน จะเห็นร่างได้ก่อนวันที่ 1 มิ.ย. นี้ ซึ่งเป็นวันที่ พ.ร.บ.คุ้มครองข้อมูลฯ จะมีผลบังคับใช้เต็มรูปแบบ
โดยในสิ้นเดือนนี้ จะสรุปผลที่ได้จากการรวบรวมระดมความคิดเห็นจากผู้เกี่ยวข้อง ในกิจการ 7 กลุ่ม ประกอบด้วย กลุ่มธุรกิจการเงิน ตลาดทุน ประกันภัย, กลุ่มธุรกิจท่องเที่ยว โรงแรม, กลุ่มธุรกิจการผลิตและการค้า, กลุ่มธุรกิจสาธารณสุข, หน่วยงานภาครัฐ และรัฐวิสาหกิจ, กลุ่มธุรกิจดิจิทัลและธุรกรรมทางอิเล็กทรอนิกส์ ผู้ประกอบการต่างประเทศ และกลุ่มธุรกิจการศึกษาและภาคประชาชน เพื่อนำมาประกอบการจัดทำกฎหมายลำดับรอง ที่สอดคล้องกับลักษณะกิจการแต่ละกลุ่ม
สำหรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลครอบคลุมทุกกิจกรรมที่มีการดำเนินการในประเทศไทย และตลอดจนการโอนข้อมูลส่วนบุคคลที่ได้จากการดำเนินธุรกิจในไทย เพื่อส่งผ่านไปทำการประมวลผลที่ต่างประเทศ และส่งกลับเข้ามาทำธุรกิจในไทย ซึ่งต้องเข้ามาอยู่ภายใต้กฎหมาย ฉบับนี้ของไทยทันที
นายภุชพงค์ กล่าวว่า ภายใต้กฎหมายลำดับรอง กลุ่มที่ 1 ผู้ให้บริการสื่อสังคมออนไลน์ทุกเครือข่าย ต้องปฏิบัติตาม (comply) กับ พ.ร.บ.คุ้มครองข้อมูลฯ ที่จะมีผลบังคับใช้ทั้งฉบับ ตั้งแต่วันที่ 1 มิ.ย. 64 เนื่องจากจะเข้าไปอยู่ในข้อหลักเกณฑ์และนโยบายการให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ ต้องมีหลักเกณฑ์และมาตรฐานการคุ้มครองข้อมูลอย่างเพียงพอหรือได้รับการตรวจสอบและรับรองจากสำนักงาน เพราะมีการนำเอาข้อมูลไปประมวลผล และนำมาใช้ดำเนินกิจกรรมในประเทศไทย ทั้งนี้ ผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ที่ฝ่าฝืนหรือไม่ปฏิบัติตามบทบัญญัติของกฎหมาย จะมีความรับผิดทางแพ่ง ทางอาญา และทางปกครอง แล้วแต่กรณี
ดังนั้น ขอแนะนำให้สื่อสังคมออนไลน์ หรือ โซเชียลมีเดีย ที่มีการจัดเก็บข้อมูลส่วนบุคคล ให้บริการอยู่ในประเทศไทย หรือต่างประเทศแต่มีการประกอบกิจการหรือธุรกิจร่วมในประเทศไทยต้องปรับหลักเกณฑ์เงื่อนไขการคุ้มครองข้อมูลลูกค้าเพื่อปฏิบัติตาม (comply) พ.ร.บ.คุ้มครองข้อมูลฯ เช่น ต้องระบุหลักเกณฑ์และวิธีการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ไว้ในสัญญาใช้บริการอย่างชัดเจน จุดประสงค์ในการขอข้อมูล และจะนำข้อมูลไปใช้ด้านใดบ้าง ไม่สามารถเอาไปใช้เกินจากที่ระบุไว้ในคำขอความยินยอม เป็นต้น
“โลกดิจิทัล การละเมิดข้อมูลทำได้ง่าย ผู้ใช้ดิจิทัลแพลตฟอร์มต้องพึงระวัง ในการอ่านข้อความขอความยินยอม เจตนารมณ์ของกฎหมาย จะต้องแจ้งวัตถุประสงค์ให้ชัดแจ้งในกิจกรรมนั้นๆ เช่น มี 3 ข้อ ถ้านำไปใช้เพิ่มจากนั้น ผู้ใช้สามารถถอนความยินยอมได้ และอยากแนะนำผู้ใช้งาน ถ้าสมัครใช้แอปพลิเคชั่นสื่อสังคมออนไลน์ใดๆ ต้องระวังถึงจุดนี้ด้วย โดยเฉพาะแอปสนทนาออนไลน์ที่กำลังได้รับความนิยมล่าสุด เพราะแอปนี้ เรียกเอาเบอร์โทรไปจัดเก็บโดยอัตโนมัติ ไม่มีการขอความยินยอมก่อน” นายภุชพงค์กล่าว
ด้านความพร้อมของภาคส่วนต่างๆ ในประเทศไทยต่อการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลฯ ปัจจุบัน กลุ่มธุรกิจการเงิน ตลาดทุน ประกันภัย เป็นกลุ่มที่ตื่นตัวและเตรียมพร้อมมากสุด มีแนวปฏิบัติที่ชัดเจน ไม่น่าเป็นห่วง ส่วนภาคธุรกิจอื่นๆ ต้องรีบศึกษารายละเอียดข้อปฏิบัติตามกฎหมายนี้ และรีบดำเนินการ
“ในส่วนของหน่วยงานภาครัฐ ไม่อยากให้มองว่า พ.ร.บ.คุ้มครองข้อมูลฯ เป็นอุปสรรคในการแลกเปลี่ยนข้อมูล หรือการทำ Big Data จริงๆ ต้องรีบกล้าให้ เพราะผู้ควบคุมข้อมูล (หรือหน่วยงาน) A ไปถึง B ทุกหน่วยมีความรับผิดชอบในข้อมูลที่ครอบครองหรือได้รับส่งมอบมาต้องมีมาตรการรักษาความปลอดภัยตามหลักเกณฑ์ที่กฎหมายกำหนดและมีความรับผิดเท่ากันหมด หากมีการละเมิดข้อมูลเกิดขึ้น เพราะทุกคนมีส่วนในการดูแลข้อมูลส่วนบุคคล ต้องมองมุมบวก ว่ามีกฎหมายฉบับนี้ ต้องรีบแลกเปลี่ยนข้อมูล เพื่อให้เกิดการบูรณาการข้อมูลภาครัฐ การใช้ big data เพื่อให้เกิดนวัตกรรม สิ่งใหม่ในการพัฒนาประเทศ” นายภุชพงค์กล่าว