'1 มิ.ย.’ ไทยเดินหน้าบังคับใช้ 'ก.ม. PDPA' -

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA จะมีผลบังคับใช้ในวันที่ 1 มิ.ย.2565 ท่ามกลางเสียงคัดค้านของภาคเอกชนถึงความพร้อมในการปฏิบัติตามกฎหมาย รวมถึงกฎหมายลูกที่ยังไม่ชัดเจน

นายเธียรชัย ณ นคร ประธานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยกับ “กรุงเทพธุรกิจ” และสื่อในเครือเนชั่น ว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะบังคับใช้วันที่ 1 มิ.ย.2565 โดยไม่เลื่อนไปอีก 2 ปี ตามที่คณะกรรมการร่วมภาคเอกชน 3 สถาบัน (กกร.) เสนอ เพราะได้แต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแล้วเมื่อเดือน ม.ค.2565
 

ทั้งนี้ การคุ้มครองข้อมูลส่วนบุคคลเป็นสิทธิพื้นฐานและเป็นระเบียบใหม่ของโลก ที่มีประเทศในสหภาพยุโรป (อียู) และกลุ่มประเทศนอกอียู 50 ประเทศ บังคับใช้กฎหมายนี้ และหากไทยไม่มีกฎหมายที่มีมาตรฐานไม่น้อยกว่ากฎหมาย GDPR ของยุโรป อาจถูกตั้งกำแพงภาษี ซึ่งอนาคตอันใกล้จะกลายเป็นกฎกติกาการค้าระหว่างประเทศ โดยไทยเป็นประเทศที่ 3 ที่บังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลต่อจากสิงคโปร์และฟิลิปปินส์ ขณะที่อินโดนีเซียพยายามร่างกฎหมายนี้เช่นกัน

นายเธียรชัย กล่าวว่า ส่วนเอกชนที่ทำการค้าร่วมกับอียู ไม่น่าห่วงเพราะดำเนินการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย GDPR อยู่แล้ว ส่วนองค์กรในประเทศที่กังวลว่าการบังคับใช้กฎหมายจะสร้างภาระและค่าใช้จ่ายเพิ่ม อีกทั้งมีบทลงโทษรุนแรงทั้งแพ่งและอาญานั้น ข้อเท็จจริงกฎหมายดังกล่าวจะเพิ่มศักยภาพองค์กรในประเทศให้เป็นตามมาตรฐานสากล ซึ่งการบังคับใช้วันที่ 1 มิ.ย.2565 จะประกาศให้โลกรู้ว่าไทยยอมรับว่าการคุ้มครองข้อมูลส่วนบุคคลเป็นสิทธิพื้นฐาน
 

เตรียมออก ก.ม.ลูกรองรับ 

“ขณะนี้ มีสัญญาณว่าจะเดินหน้าบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และ พ.ร.บ.ไซเบอร์ฯ บังคับใช้แม้ไม่มีกฎหมายลูก ซึ่งมีความพยายามที่จะทำกฎหมายลูกออกมา รองรับ"

ทั้งนี้ การประกาศใช้กฎหมายเป็นข้อดีมากกว่าข้อเสีย โดยประเทศที่ต้องรับข้อมูลปลายทางจากอียู ไทยต้องสร้างมาตรฐานองค์กรธุรกิจในประเทศให้เป็นสากล ทำทุกอย่างให้เข้าสู่ระบบที่ควรจะเป็น ซึ่งการไม่ประกาศใช้กฎหมายเป็นการตัดโอกาสประเทศ ยิ่งไทยไม่ประกาศใช้ การ Awareness จะลดลง

ส่วนกรณีภาคเอกชนมองว่าองค์กรไทยไม่พร้อมสำหรับการบังคับใช้ในวันที่ 1 มิ.ย.2565 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้กำหนดช่วง Great period เพื่อให้มีเวลาทำความเข้าใจกฎหมาย โดยออกเป็นแนวทางปฏิบัติเป็นไกด์ไลน์ที่ไม่มีความผิดทางกฎหมาย โดยจะนำงานวิจัยของจุฬาฯ มาใช้ในการวางแนวทางปฏิบัติ พร้อมฟังความเห็นเอกชนก่อนกำหนดเป็นหลักเกณฑ์บังคับใช้กฎหมาย

คาดภายใน 5 ปี ทุกคนต้องรับรู้

ทั้งนี้ ผ่านมามีการลงนามความร่วมมือกับทางสำนักงานคณะกรรมการกำกับตลาดหลักทรัพย์ (กลต.) ธนาคารแห่งประเทศไทย (ธปท.) และสำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) เพื่อให้ผู้กำกับดูแลเหล่านี้ไปกำกับดูแล ซึ่งจะเปิดกว้างให้สภาอุตสาหกรรมแห่งประเทศไทย สภาหอการค้าแห่งประเทศไทย สมาคมธนาคารไทย และสมาคมโรงแรม มาลงนามความร่วมมือตั้งคณะกรรมการร่วมขึ้นมา โดยคาดว่าภายใน 5 ปี ทุกคนจะมีการรับรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล

“ในยุโรป 60% ของผู้ใช้บริการมีแนวโน้มยกเลิกบริการกับบริษัทที่ไม่ให้ความคุ้มครองข้อมูลส่วนบุคคล และ 70% มีแนวโน้มหันไปใช้บริการของคู่แข่งที่ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งองค์กรขนาด S M L ของไทยต้องตระหนักเรื่องนี้มากขึ้น”

เชื่อทลายข้อจำกัดทางการค้า

นายศุภวัชร์ มาลานนท์ ที่ปรึกษากฎหมาย สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กล่าวว่า กฎหมายดังกล่าวออกมาเพื่อให้การประมวลผลข้อมูลมีความมั่นคงปลอดภัย มีความเป็นธรรมและโปร่งใส กับเจ้าของข้อมูล ไม่เป็นอุปสรรคในการประกอบธุรกิจ

ทั้งเชื่อว่าผู้ประกอบการรายใหญ่ที่อยู่ภายใต้การกำกับดูแลของหน่วยงานรัฐ เช่น บริษัทจดทะเบียนในตลาดหลักทรัพย์ สถาบันการเงิน ธุรกิจประกันภัย กิจการโทรคมนาคม หรือรัฐวิสาหกิจที่เป็นผู้ใช้ข้อมูลส่วนบุคคลรายใหญ่ของประเทศที่มีฐานลูกค้าหรือผู้ใช้บริการมาก ต่างรับทราบและเห็นความสำคัญของการสร้างธรรมาภิบาล

รวมถึงเข้าใจถึงความจำเป็นของไทยในการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ให้สอดคล้องกับมาตรฐานสากล เพื่อให้ไทยเป็นประเทศผู้นำเข้าข้อมูลได้ โดยไม่มีข้อจำกัดทางการค้าหรือถูกทำให้สูญเสียความสามารถในการแข่งขัน หรือผลจากการไม่พร้อมใช้บังคับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

กกร.เสนอเลื่อนใช้อีก2ปี

นายสุพันธุ์ มงคลสุธี ประธานสภาอุตสาหกรรมแห่งประเทศไทย (ส.อ.ท.) เปิดเผยว่า กกร.ได้หารือร่วมกันเพื่อทำหนังสือเสนอต่อพล.อ.ประยุทธ์ จันทร์โอชา นายกรัฐมนตรี และนายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ขอเลื่อนการบังคับใช้อีก 2 ปี เพราะกฎหมายลูกยังไม่ชัดเจน อีกทั้งยังมีโทษทางอาญาและมีผลบังคับถึงกรรมการบริษัทจะทำให้เกิดปัญหาการฟ้องร้องยืดเยื้อ

นอกจากนี้ กกร.เสนอให้ทุกภาคส่วนช่วยกันแก้กฎหมายเพราะอาจเป็นปัญหาต่อผู้ประกอบการ โดยสภาหอการค้าแห่งประเทศไทยประเมินว่าผู้ประกอบการ 6-7 แสนราย ต้องใช้เงินลงทุนระบบ 50,000 ล้านบาท แบ่งเป็นค่าใช้จ่ายจ้างทีมงานอบรมพนักงาน ค่าใช้จ่ายปรับระบบคอมพิวเตอร์เชื่อมโยงข้อมูลลูกค้า พร้อมการแจ้งลูกค้าเกี่ยวกับการปรับใช้ข้อมูลตามกฎหมายฉบับใหม่

สำหรับธุรกิจที่ได้รับผลกระทบมากสุด คือ ธุรกิจที่มีฐานข้อมูลลูกค้าในมืออยู่มากทั้งธุรกิจบริการและการค้าโดยบริษัทขนาดใหญ่ที่มีเงินทุน ได้เตรียมความพร้อมรองรับการปรับระบบบ้างแล้วถือเป็นต้นทุนสูง ในขณะที่เอสเอ็มอีไม่มีเงินทุนปรับระบบตามกฎหมาย

หอการค้าห่วงโทษอาญา

นายสนั่น อังอุบลกุล ประธานกรรมการหอการค้าไทย กล่าวว่า หอการค้าไทยเห็นว่ายังไม่พร้อมใช้ พ.ร.บ.ข้อมูลส่วนบุคคล โดยเฉพาะการกำหนดโทษอาญาทั้งจำคุกและปรับรุนแรง เพราะควรเป็นความผิดทางแพ่งมากกว่า ซึ่งไทยจะเดินตามประเทศที่พัฒนาแล้วและสำเนากฎหมายนี้มา ซึ่งไม่น่าจะถูกต้องและก่อนหน้านี้ภาคเอกชนได้ทำหนังสือแสดงความไม่เห็นด้วยพร้อมกับเหตุผลไปที่รัฐบาลแล้ว

นอกจากนี้ การจัดทำกฎหมายลำดับรองที่ต้องให้เสร็จก่อนวันที่ 1 มิ.ย.2565 แต่ระยะเวลาที่เหลืออยู่ไม่เพียงพอให้ภาคเอกชนเตรียมการปฏิบัติตามกฎหมายได้ทัน ควรให้เวลาภาคเอกชนเตรียมความพร้อมในการปฏิบัติตามกฎหมายอย่างเพียงพอ

“ภาคเอกชนห่วงการบังคับใช้จึงอยากให้รัฐบาลเลื่อนออกไป โดยเฉพาะการเปิดเผยข้อมูลบางอย่างแล้วไปตีความเป็นความลับจะถูกลงโทษทางอาญา ซึ่งภาคเอกชนกลัวมาก คือ ทำอะไรผิดนิดเดียวกลายเป็นคดีอาญา อีกทั้งอยากให้มีกฎหมายลูกที่ชัดเจนด้วย“

บริษัท31%ยังไม่เตรียมพร้อม

รายงานข่าวจากสภาหอการค้าแห่งประเทศไทย ระบุว่า มหาวิทยาลัยหอการค้าไทยได้สำรวจความพร้อมของภาคธุรกิจในการดำเนินการตาม พ.ร.บ.การคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 สอบถามความเห็น 3,988 บริษัท ทั่วประเทศ แบ่งเป็นภาคบริการ 42.3% และภาคอุตสาหกรรมและการสินค้า 57.7%

สำหรับประเด็นความพร้อมในการดำเนินการตามกฎหมายดังกล่าว มีบริษัทที่ระบุว่าดำเนินการเสร็จแล้วเพียง 8% ดำเนินการเกือบเสร็จสมบูรณ์ 22% รวมทั้งอยู่ระหว่างการดำเนินการ 39% และยังไม่เริ่มดำเนินการ 31%

ส่วนเรื่องงบประมาณที่บริษัทใช้เตรียมความพร้อม พบว่าใช้งบประมาณในการอบรมพนักงานมากที่สุด 32.1% รองลงมาเป็นการพัฒนาเทคโนโลยีและกระบวนการภายใน 21.1% การซื้อซอฟต์แวร์การจัดการจากภายนอก 16.5% การจ้างที่ปรึกษาภายนอก 14.1% 

นอกจากนี้ หัวข้อเตรียมความพร้อมที่ยากที่สุดใน PDPA พบว่า 36.8% การทำ RoPA (Records of Processing Activity) มากที่สุด 36.8% รองลงมาเป็น การให้แต่ละฝ่ายทำความเข้าใจ PDPA 12.1% และการทำเอกสารขอความยินยอม 11.3% เช่นกัน

เอกชนแนะเร่งออกกฎหมายรอง

ทั้งนี้ ภาคธุรกิจกังวลต่อการบังคับใช้กฎหมายดังกล่าวมากที่สุด คือ ความไม่พร้อมของกฎหมายลำดับรอง 30 % รองลงมาเป็นความไม่เข้าใจกฎหมาย ตีความกฎหมายไม่ตรงกันและกลัวปฏิบัติไม่ถูกต้อง 27% ความไม่พร้อมของคนในองค์กร 20% และบทลงโทษ เช่น ทางอาญาที่หนักเกินไป 16% 

รวมทั้งภาคธุรกิจมีข้อเสนอแนะต่อรัฐบาล ดังนี้ ต้องการให้ออกกฎหมายลำดับรองและแนวปฏิบัติที่มีความชัดเจนโดยเร็ว และหน่วยงานกำกับดูแลต้องสื่อสารให้ภาคธุรกิจและประชาชนได้รับรู้ทั่วกันอย่างเป็นรูปธรรม หน่วยงานกำกับดูแลควรจัดตั้งศูนย์ ระบบการให้คำปรึกษากับภาคธุรกิจ เพื่อให้ความรู้ที่ถูกต้อง

รวมทั้งควรบังคับใช้กฎหมายอย่างค่อยเป็นค่อยไป เพราะที่ผ่านมายังขาดความชัดเจนในกฎหมายลำดับรองและแนวปฏิบัติที่ชัดเจนจากหน่วยงานผู้กำกับดูแล ซึ่งทำให้ภาคเอกชนเกิดอุปสรรคในการดำเนินการ และด้วยกฎหมายนำต้นแบบมาจาก GDPR การบังคับใช้โดยอาศัยหลัก GDPR อาจไม่เหมาะกับบริบทของการดำเนินธุรกิจของไทย