ดีอีเอสจับมือสภาหอการค้าฯ ไขข้อข้องใจเมื่อกฎหมาย PDPA บังคับใช้

i & Tech

            เมื่อวันที่  25 กรกฎาคม 2565  หอการค้าไทยและสภาหอการค้าแห่งประเทศไทย ร่วมกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล (ส.ค.ส.) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) และมหาวิทยาลัยหอการค้าไทย  จัดงานสัมมนา “PDPA บังคับใช้…อะไรที่ต้องพร้อม ” ที่อาคารหอประชุมเมืองไทยประกันชีวิต ถนนรัชดาภิเษก  โดยมีนายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานในการเปิดงานและกล่าวปาฐกถาพิเศษ  

           นายสนั่น อังอุบลกุล  ประธานกรรมการหอการค้าไทยและสภาหอการค้าแห่งประเทศไทย กล่าวว่า งานสัมมนาดังกล่าวมีวัตถุประสงค์เพื่อเผยแพร่ข้อมูลให้กับผู้ประกอบการ ประชาชนทั่วไป ได้รับทราบถึงหลักเกณฑ์ กลไก มาตรการ และการปฏิบัติของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562  รวมทั้ง ไขข้อข้องใจ ความกังวลในการบังคับใช้ พ.ร.บ. PDPA  ที่จะช่วยสนับสนุนส่งเสริมให้ผู้ประกอบการ และประชาชนทั่วไป ได้รับทราบข้อมูลที่เป็นประโยชน์ต่อการดำเนินธุรกิจ และคลายความกังวลต่อการบังคับใช้ PDPA

           สำหรับกฎหมาย PDPA  เป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล ที่สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์  ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต  ซึ่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562  ได้ประกาศไว้ในราชกิจจานุเบกษา เมื่อวันที่ 27 พฤษภาคม 2562 และได้มีประกาศบังคับใช้ เมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา

           ทั้งนี้ในงานได้รับเกียรติจากนายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กล่าวปาฐกถาพิเศษและกล่าวเปิดงานสัมมนา ฯ โดย นายชัยวุฒิ กล่าวว่า วันนี้ได้มาชี้แจงทำความเข้าใจ เพื่อลดความวิตกกังวล และแนวทางในการปฏิบัติตามกฎหมายที่ไม่เป็นภาระมากเกินไป โดยขณะนี้กระทรวงฯ ได้มีประกาศยกเว้นมาตรการบางอย่างที่ต้องทำตามกฎหมาย PDPA สำหรับ SME เพื่อลดภาระค่าใช้จ่าย   เชื่อว่าการจัดงานของสภาหอการค้าแห่งประเทศไทยในครั้งนี้ จะทำให้เกิดความตื่นตัว เกิดการรับรู้ของสมาชิกสภาหอการค้า ซึ่งเป็นกลุ่มหลักที่ต้องใช้กฎหมาย PDPA ฉบับนี้  โดยบริษัทใหญ่ที่มีความพร้อม อยากให้มีการลงทุนทำระบบที่ดีเพื่อปฏิบัติตามกฎหมาย เพราะมีข้อมูลประชาชนจำนวนมากจำเป็นต้องดูแลข้อมูลให้ดีไม่ให้รั่วไหล  ขณะที่ผู้ประกอบการ  ร้านค้า บริการต่างๆ รวมถึงธุรกิจอี-คอมเมิร์ซที่มีข้อมูลลูกค้าจำนวนมาก จำเป็นที่จะต้องปฏิบัติตามกฎหมายและต้องเก็บข้อมูลให้ดีด้วย  เพื่อไม่ให้เกิดการนำไปใช้ให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล   อย่างไรก็ดีกฎหมายดังกล่าวนอกจากจะทำให้ข้อมูลของประชาชนได้รับการคุ้มครองแล้ว หัวใจสำคัญก็คือการสร้างความเชื่อมั่นให้กับระบบการค้า การลงทุนที่ปัจจุบันอยู่ในระบบดิจิทัล  กฏหมายนี้จึงสำคัญมากและเป็นกฏหมายสากล

            ด้าน ดร.เวทางค์ พ่วงทรัพย์  รองปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ทำหน้าที่เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล   กล่าวว่า กฎหมายพีดีพีเอ เป็นกฎหมายที่สำคัญฉบับหนึ่งของกระทรวงดิจิทัลฯที่ผลักดันโดยออกมาในปี 2562 และได้บังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา  ซึ่งสร้างตื่นตัวและมีข้อสงสัยในแนวทางปฏิบัติอย่างมาก  โดยในกฎหมายฉบับนี้จะมีการกำหนดนิยามอย่างชัดเจนถึงคำว่าข้อมูลส่วนบุคคล ซึ่งเจตนาของกฎหมายไม่ได้มีไว้เพื่อเป็นอุปสรรคในการแลกเปลี่ยนข้อมูล และไม่ได้ออกมาเพื่อให้คนกลัวหรือว่าออกมาเพื่อจับผิดภาคธุรกิจหรือคนที่จะเอาข้อมูลส่วนบุคคลไปใช้ แต่ตรงกันข้ามกฎหมายฉบับนี้ออกมาเพื่อให้เกิดการแลกเปลี่ยนได้ง่ายขึ้น เพราะต่อไปจากนี้เราจะมีสิ่งที่เรียกว่ามาตรฐานกลาง ในการจัดเก็บ การใช้หรือการเผยแพร่   ซึ่งนอกจากจะไม่เป็นอุปสรรคในการทำธุรกิจแล้วยังทำให้เกิดความสะดวกสบายโดยเฉพาะเมื่อต้องทำธุรกิจกับต่างประเทศ ที่จะให้การยอมรับมากขึ้น เพราะมีกฎหมายที่สอดคล้องกับหลักการสากล ขณะที่ประชาชนได้รับการคุ้มครองเต็มที่ สามารถร้องเรียนและขอให้ชดใช้ค่าสินไหมทดแทนได้ถ้าถูกละเมิด

           นอกจากนี้ภายในงานยังมีการเสวนา เรื่อง “PDPA in Actions : ข้อกังวลในการใช้”  โดยนายไพบูลย์ อมรภิญโญเกียรติ ที่ปรึกษาเลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล   นายอธิป พีชานนท์ รองประธานกรรมการสภาหอการค้าแห่งประเทศไทย ดร.ศุภกร กังพิศดาร  กรรมการผู้จัดการ บริษัท ไซเบอร์ อีลิท จำกัด   ดร.อุดมธิปก ไพรเกษตร เลขาธิการสมาพันธ์เอสเอ็มอีไทย  ผศ.ดร.ประพันธ์พงษ์ ชำอ่อน รองคณบดีฝ่ายวิชาการ คณะนิติศาสตร์ มหาวิทยาลัยหอการค้าไทย  และนายสาระ ล่ำชำ ประธานเจ้าหน้าที่บริหารบริษัทเมืองไทยประกันชีวิต และกรรมการสภาหอการค้าแห่งประเทศไทย ร่วมถ่ายทอดองค์ความรู้ แลกเปลี่ยนประสบการณ์ และตอบข้อซักถาม ในทุกแง่มุมที่เกี่ยวข้องกับเรื่อง PDPA

           นายไพบูลย์ อมรภิญโญเกียรติ กล่าวว่า  ตามหลักเกณฑ์ของกฎหมายนี้ที่มีปัญหากันมากคือกฎหมายฉบับนี้จะมาสร้างภาระให้กับผู้ประกอบการหรือมาสร้างภาระให้ประชาชนหรือไม่  ซึ่งวัตถุประสงค์ของกฎหมาย ก็คือว่า สำหรับบุคคลธรรมดา กฎหมายฉบับนี้ไม่สร้างภาระ ตราบใดที่ท่านใช้สิทธิตามรัฐธรรมนูญ เว้นแต่เมื่อใดที่ท่านเก็บข้อมูลส่วนบุคคลคนอื่นแล้วนำไปใช้ในการแสวงหากำไร หรือนำไปตัดต่อทำให้เขาเกิดความเสียหาย  ส่วนในแง่ภาคธุรกิจ กฎหมายพีดีพีเอ  ไม่ได้ไปเปลี่ยนมิติในการทำงานเดิม  หน่วยงานที่กำกับในแต่ละธุรกิจสามารถออกหลักเกณฑ์ได้ตามเดิม  โดยไม่ต้องยุ่งเกี่ยวกับกฎหมายพีดีพีเอ   ซึ่งหากมีข้อขัดกันให้ใช้กฎหมายเฉพาะ ทำให้ภาคธุรกิจยังคงขับเคลื่อนองค์กรได้เหมือนเดิม  แต่หากจะใช้ข้อมูลส่วนบุคคลต้องเก็บข้อมูลใช้แบบเปิดเผย มีกฎหมายรองรับ แต่ถ้าไม่มีกฎหมายรองรับต้องขอความยินยอม  

          ขณะที่ ผศ.ดร.ประพันธ์พงษ์  ชำอ่อน  กล่าวถึงผลการสำรวจความพร้อมของภาคธุรกิจในการดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ว่า จากการสอบถามความพร้อมฯ เมื่อ 31 มีนาคม 65 ซึ่งมีผู้ตอบแบบสอบถามทั้งหมด 3,988  บริษัท ทั้งในกรุงเทพและต่างจังหวัด ซึ่งส่วนใหญ่  46.7 %  อยู่ในกลุ่มอุตสาหกรรมอัญมณีและเครื่องประดับและ 26.5 %  อยู่ในกลุ่มอุตสาหกรรมท่องเที่ยว พบว่า ส่วนใหญ่จะอยู่ในระหว่างดำเนินงาน 39%  มีที่ดำเนินการเสร็จแล้วเพียง 8 %  และยังไม่เริ่มดำเนินการถึง 31%

           ทั้งนี้ข้อกังวลของภาคธุรกิจมากสุดอันดับแรกคือ ความไม่พร้อมของกฎหมายลำดับรอง  รองลงมาคือความไม่เข้าใจกฎหมาย ตีความไม่ตรงกันและกลัวปฏิบัติไม่ถูกต้อง นอกจากนี้ยังกังวลเรื่องความไม่พร้อมของคนในองค์กรและบทลงโทษทางอาญาที่หนักเกินไป  อย่างไรก็ดีภาคธุรกิจได้มีข้อเสนอแนะว่า  ควรออกกฎหมายลําดับรอง และแนวปฏิบัติที่มีความชัดเจนโดยเร็ว และหน่วยงานกํากับดูแลต้องสื่อสารให้ภาคธุรกิจและประชาชนได้รับรู้ทั่วกัน  และควรจัดตั้งศูนย์/ระบบการให้คําปรึกษากับภาคธุรกิจเพื่อให้ความรู้ที่ถูกต้อง    ควรบังคับใช้กฎหมายอย่างค่อยเป็นค่อยไป    ด้วยกฎหมายนําต้นแบบมาจาก GDPR การบังคับใช้โดยอาศัยหลักการแบบ GDPR อาจไม่เหมาะสมกับบริบทของการดําเนินธุรกิจของประเทศไทย  และควรจัดสัมมนาและการอบรมให้ความรู้กับภาคธุรกิจและประชาชนให้มากขึ้น เนื่องจากขณะนี้มีการตีความ กฎหมายไปคนละทิศคนละทาง ทําให้เกิดอุปสรรคต่อการปฏิบัติตามกฎหมาย

           ส่วนนายอธิป พีชานนท์  มองว่า กฏหมายนี้เป็นเรื่องใหญ่และเกี่ยวข้องกับผู้ประกอบการทุกกลุ่มรวมถึงประชาชนด้วย   ซึ่งผู้ประกอบการในสภาหอการค้าไทย มีเอสเอ็มอีเกินกว่า 80 %  ประเด็นที่เรากังวลมากที่สุด คือ การเป็นเรื่องใหม่ และไม่มีใครที่จะตอบคำถามได้อย่างชัดเจน ซึ่งสิ่งที่จะขจัดความกลัวความกังวลนั้นได้คือจะต้องรู้จริง มีการให้ข้อมูลและมีการสื่อสารอย่างมาก และนอกจากจากความชัดเจนแล้วยังต้องการรู้ว่าการเตรียมความพร้อมกับการบังคับใช้กฎหมาย จะทำให้เกิดภาระด้านการลงทุนเพิ่มหรือไม่ ซึ่งในสภาวะเศรษฐกิจในปัจจุบัน ผู้ประกอบการยังไม่พร้อมที่จะลงทุน และอยากรอกฎหมายรองหรือมีแนวทางที่ชัดเจนก่อน  ขณะเดียวกันก็กลัวการกลั่นแกล้งทางธุรกิจ คือต้องระวังไม่ให้กฎหมายเปิดช่องให้คนที่ไม่หวังดีด้วย และที่สำคัญทำอย่างไรหน่วยงานที่กำกับดูแลจะมีความชัดเจนในเรื่องหากมีคำถามจะต้องมีคำตอบที่ไม่ตีความ หรือใช้ดุลยพินิจ  คือต้องทำให้ชัดเจนโดยไม่ต้องไปปรึกษาใคร ก็จะทำให้ทุกอย่างขับเคลื่อนไปได้

          ด้าน ดร.ศุภกร  กังพิศดาร     มองว่าประเด็นพีดีพีเอไม่ใช่แค่เอสเอ็มอีกังวล แต่บริษัทขนาดใหญ่ก็กังวล เพราะว่าบางหน่วยงานทำไปแล้ว 2 ปี ก็ยังไม่รู้ว่าตัวเองนั้นสามารถปฏิบัติตามข้อบังคับต่าง ๆ ได้จริงหรือไม่ เพราะว่าหากถอยไปสองปีที่แล้ว พีดีพีเอยังอยู่ระหว่างการถกเถียงปัญหากันอยู่  ซึ่งเขาอยากจะเตรียมความพร้อมไว้ก่อนล่วงหน้า เช่น ธุรกิจการเงิน จะมีการว่าจ้างที่ปรึกษา โดยเอาตัวอย่างมาจาก GDPR  มีการลงทุนและใช้ทีมงานจำนวนมาก  เช่น ธนาคาร แม้จะทำมาแล้ว 2 ปี มาถึงจุดนี้บางทีก็ยังไม่แน่ใจว่าตัวเองสามารถปฏิบัติตามได้ 100 % หรือไม่  ดังนั้นสิ่งสำคัญมันอยู่ตรงจุดที่ว่า อะไรเป็นสิ่งที่บอกว่าเราพร้อม ในขณะที่องค์กรขนาดกลางขนาดเล็ก อาจจะไม่มีกำลังในการระดมคนเข้ามาเตรียมการเหมือนองค์กรขนาดใหญ่  ระบบต่าง ๆ เอาท์ซอร์สหมด ไม่มีเวลาที่จะมาโฟกัสเรื่องเหล่านี้ ดังนั้นหลายคนก็พยายามที่จะมองหาการรวมกลุ่มกันเป็นคอมมูนิตี้ต่าง ๆ  และเข้าไปดูว่ามีองค์กรไหนบ้างที่พยายามจะทำเทมเพลต สำหรับที่จะปฏิบัติตามพีดีพีเอแบบง่าย ๆ ได้บ้าง ซึ่งสุดท้ายเขาก็ไม่สามารถที่จะการันตีได้เช่นกันว่าตัวเองนั้นสามารถปฏิบัติตามพีดีพีเอได้หรือปล่าว   

          “ ทำอย่างไร ถึงจะแน่ใจว่าเราจะปฏิบัติตามพีดีพีเอได้จริง ผมทำเรื่องไซเบอร์ซีเคียวริตี้มาก่อน จะมีหลักการคล้าย ๆ กันกับพีดีพีเอ คือ การกำหนดสิ่งที่ต้องทำ หรือกิจกรรมที่ต้องทำ  เราสามารถ list มาว่ามีกิจกรรมใดที่เราต้องทำบ้าง แล้วลองไปดูว่าเราจะทำอย่างไร คือ ผมมองว่าการที่เราจะทำถูกทำผิด ไม่ได้เป็นตัวบอกว่าเราจะไม่ปฏิบัติตามพีดีพีเอ  และสุดท้ายสิ่งที่เรากลัว   ผมเชื่อว่าเรากลัวว่าหากเกิดปัญหาขึ้นมาเราจะถูกปรับหรือติดคุกได้  และถ้าหาก DATA Subject มีการร้องขอแก้ไขข้อมูลจะทำอย่างไร  รวมถึงจะบริหารตัวข้อมูลอย่างไรให้ปลอดภัย คือหากเราจับหลักการพวกนี้ได้ คิดว่าน่าจะสบายใจได้ประมาณหนึ่ง  เพราะแก่นของเรื่องการรักษาข้อมูลความเป็นส่วนตัว ไม่ได้อยู่ที่เราต้องทำทุกอย่างตามที่กฎหมายบอกเอาไว้ ซึ่งต่อไปในอนาคตจะมีกฎหมายลูกออกมาเพื่อผ่อนปรนข้อจำกัดต่าง ๆ มากขึ้น”

         ดร.อุดมธิปก  ไพรเกษตร  เลขาธิการสมาพันธ์เอสเอ็มอีไทย   กล่าวว่า  สนใจกฎหมายฉบับนี้ เพราะกระทบต่อการทำธุรกิจมาร์เก็ตติ้งและอีคอมเมิร์ซที่ทำอยู่ที่ต้องใช้ข้อมูลจำนวนมาก  ซึ่งหากอยู่ในฐานะผู้ประกอบการ ไม่อยากให้มีกฎหมายฉบับนี้ แต่หากในฐานะประชาชนจะชอบมาก  จึงเป็นความขัดแย้งที่เกิดขึ้นในหมวก 2ใบ   หมวกหนึ่งเป็นผู้บริหารธุรกิจ อีกหมวกหนึ่งเป็นประชาชน  ธุรกิจเราต้องใช้ข้อมูล ซึ่งตั้งแต่มีกฎหมายเมื่อปี 2562  มีการคุยแสดงความคิดเห็นกันหลายเวที   เวลาพูดถึงเอสเอ็มอี   เราจะดูจากรายได้ ขนาดการจ้างงาน ซึ่งไม่ตรงกับแนวคิดของ PDPA  ที่ดูจาก DATA Subject ไม่ได้บอกอัตราการจ้างงาน  อย่างที่สมาพันธ์เอสเอ็มอีไทย    สมาชิกส่วนใหญ่เป็นบุคคล ไม่เป็นนิติบุคคล มีการขายสินค้าเยอะมาก และขายออนไลน์ ข้อมูล ชื่อ เบอร์โทร จำนวนมาก  บรรดาผู้ขายทั้งหลายจะถูกควบคุมตามกฎหมายฉบับนี้  โดยเฉพาะในช่วงโควิดที่คนจะขายของออนไลน์มากขึ้น ทำให้มีข้อมูลสะสมมากขึ้นเรื่อยๆ   สมาชิกของสมาพันธ์เอสเอ็มอีไทยมีประมาณ 6 แสน  หากมองเชิงรายได้ ผู้ประกอบการที่เป็นรายย่อยไม่กระทบ  แต่จะกระทบ ถ้ามองเป็นเชิงกิจกรรมเพราะมีข้อมูลจำนวนมาก