นายเธียรชัย ณ นคร ประธานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยกับ “ฐานเศรษฐกิจ” และสื่อในเครือเนชั่นว่า ขณะนี้เป็นที่แน่ชัดแล้วว่า พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ โดยไม่เลื่อนการบังคับใช้ไปอีก 3 ปีตามที่คณะกรรมการร่วมภาคเอกชน 3 สถาบัน (กกร.) เสนอ เนื่องจากขณะนี้มีการแต่งตั้ง คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ขึ้นมาเป็นที่เรียบร้อยแล้ว เมื่อเดือนมกราคมที่ผ่านมา
ขณะเดียวกันยังมองว่าการคุ้มครองข้อมูลส่วนบุคคลเป็นสิทธิพื้นฐาน และจะกลายระเบียบใหม่ของโลก ที่ขณะนี้มีประเทศในกลุ่มอียู และกลุ่มประเทศที่ไม่ใช่อียู 50 ประเทศ การบังคับใช้ พรบ. คุ้มครองข้อมูลส่วนบุคคล หากไทยไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ที่มีมาตรฐานไม่น้อยกว่า กฎหมาย GDPR ของยุโรป อาจถูกตั้งกำแพงภาษี เช่นเดียวกับอาเซียนกฎหมายคุ้มครองข้อมูลส่วนบุคคล ที่มองว่าในอนาคตอันใกล้ จะกลายเป็นกฎกติกา การค้าระหว่างประเทศ โดยขณะนี้ไทยเป็นประเทศที่ 3 ที่มีการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ต่อจาก สิงคโปร์ และฟิลิปปินส์
นายเธียรชัย กล่าวต่อไปว่า ในส่วนของเอกชน ที่ทำการค้าร่วมกับอียู ไม่น่าห่วงเพราะดำเนินการในเรื่องการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย GDPR อยู่แล้ว ส่วนองค์กรในประเทศที่กังวลว่าการบังคับใช้พรบ.คุ้มครองข้อมูลส่วนบุคคล จะเป็นการสร้างภาระ และค่าใช้จ่ายเพิ่มขึ้น อีกทั้งมีบทลงโทษรุนแรงทั้งแพ่ง และอาญา นั้น ข้อเท็จจริง กฎหมายดังกล่าวนั้นจะมาช่วยยกศักยภาพขององค์กรในประเทศให้เป็นตามมาตรฐานสากล ซึ่งการบังคับใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคลวันที่ 1 มิถุนายน เป็นการประกาศให้โลกรู้ว่าไทยยอมรับว่าการคุ้มครองข้อมูลส่วนบุคคลเป็นสิทธิพื้นฐาน
“ขณะนี้มีสัญญาณว่าจะเดินหน้าบังคับใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล ตามพรบ.ไซเบอร์ฯ บังคับใช้แม้ไม่มีกฎหมายลูก แต่มีการออกเป็นกฎหมายลูกตามมาทีหลัง โดยพรบ.คุ้มครองข้อมูลส่วนบุคคล จะมีการออกกฎหมายลูกเป็นหลักเกณฑ์ปฎิบัติออกมาอีก 20-30 ฉบับ”
ทั้งนี้มองว่าการประกาศใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล มีข้อดีมากกว่าข้อเสีย ประเทศที่ต้องรับข้อมูลปลายทางจากอียู ไทยต้องสร้างมาตรฐานองค์กรธุรกิจในประเทศให้เป็นสากลให้ได้ ทำทุกอย่างให้เข้าสู่ระบบที่ควรจะเป็น ซึ่งการไม่ประกาศใช้กฎหมาย เป็นการตัดโอกาสประเทศ ยิ่งไทยไม่ประกาศใช้ สร้างการรับรู้ หรือให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลก็จะลดลง
นายเธียรชัย กล่าวต่อไปอีกว่าส่วนกรณีที่ภาคเอกชนมองว่าองค์กรไทยไม่พร้อมสำหรับการบังคับใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล วันที่ 1 มิถุนายนนั้น ทางคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้กำหนดช่วง grace period เพื่อให้มีเวลาซักซ้อมทำความเข้าใจกฎหมายดังกล่าว ซึ่งจะออกเป็นแนวทางปฎิบัติ เป็นไกด์ไลน์ให้องค์กรนำไปปฎิบัติ ที่ไม่มีความผิดทางกฎหมายออกมาให้องค์กรนำไปปรับใช้ เช่น กรณีผู้ใช้บริการไม่ยินยอมให้ข้อมูลส่วนบุคคล ผู้ให้บริการไม่สามารถปฎิเสธการให้บริการได้
ทั้งนี้เมื่อองค์กรใช้ไประยะหนึ่งก็จะเกิดความคุ้นชินในการปฎิบัติด้านการคุ้มครองข้อมูลส่วนบุคคล โดยในส่วนของแนวปฎิบัตินั้นจะนำงานวิจัยของจุฬาฯ ส่วนหนึ่งมาใช้ในการวางแนวทางปฎิบัติ และใช้ภาษาที่สามารถเข้าใจง่าย ไม่ใช่ภาษากฎหมาย พร้อมกับเปิดรับฟังความคิดเห็นของเอกชนก่อนกำหนดเป็นหลักเกณฑ์บังคับใช้กฎหมายออกมา
นอกจากนี้ที่ผ่านมามีสำนักคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ยังได้การลงนามความร่วมมือกับทางสำนักงานคณะกรรมการกำกับตลาดหลักทรัพย์ (กลต.) ธนาคารแห่งประเทศไทย (ธปท.) และ สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) เพื่อให้ผู้กำกับดูแลเหล่านี้ไปกำกับดูแล ซึ่งเราเปิดกว้างให้สภาอุตสาหกรรม สภาหอการค้าไทย และสมาคมโรงแรม เข้ามาลงนามความร่วมมือในการจัดตั้งคณะกรรมการร่วมขึ้นมา โดยคาดว่าภายใน 5 ปี ทุกคนจะต้องมีการรับรู้ (Awareness) ด้านการคุ้มครองข้อมูลส่วนบุคคล
“ในยุโรปนั้น 60% ของผู้ใช้บริการมีแนวโน้มยกเลิกบริการกับบริษัทที่ไม่ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล และ 70% มีแนวโน้มหันไปใช้บริการของคู่แข่งที่ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งองค์กร SML ของไทยต้องมีความตระหนักในเรื่องดังกล่าวมากขึ้น”
ด้าน ผศ. ศุภวัชร์ มาลานนท์ ที่ปรึกษากฎหมาย สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กล่าวว่าแนวคิดของ พรบ. คุ้มครองข้อมูลส่วนบุคคล ออกมาเพื่อให้การประมวลผลข้อมูลมีความมั่นคงปลอดภัย มีความเป็นธรรมและโปร่งใส กับเจ้าของข้อมูล ไม่เป็นเป็นอุปสรรคในการประกอบธุรกิจ องค์กรเพียงแต่ปรับกระบวนการใช้ข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมาย
ทั้งนี้ พรบ.ดังกล่าวจะมีผลบังคับใช้ทั้งฉบับวันที่ 1 มิ.ย. 65 หลังที่เลื่อนการบังคับใช้มา 2 ครั้งแล้ว ซึ่งไม่มีเหตุผลและความจำเป็นที่จะต้องเลื่อนการบังคับใช้กฎหมายอีกต่อไป เพราะผู้ที่ไม่ปรับตัวก็จะยังคงไม่ปรับตัวต่อไป เนื่องจากเชื่อว่ากฎหมายจะไม่ใช้บังคับ โดยกฎหมายดังกล่าวเป็นสิทธิพื้นฐานในการคุ้มครองข้อมูลส่วนบุคคล