PDPA ทางเลือกทางรอด ไปต่อได้หรือไม่

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือที่เรียกกันติดปากว่า PDPA จะมีผลใช้บังคับทั้งฉบับ 1 มิถุนายนนี้ แต่ก็ดูเหมือนจะมีเสียงสะท้อนมาจากภาคอุตสาหกรรมถึงความไม่พร้อมหลายๆ ประการ

รวมถึงข้อกังวลที่กฎหมายลำดับรองต่าง ๆ ยังไม่ออกมาใช้บังคับอีกด้วย ซึ่งก็เป็นเสียงสะท้อนที่ผู้เกี่ยวข้องทุกฝ่ายให้ความสำคัญและควรพิจารณาอย่างรอบด้าน ผู้เขียนในฐานะนักวิชาการจึงขอแสดงความคิดเห็นเพื่อหาทางออกร่วมกัน ดังนี้

(1) PDPA เป็นส่วนหนึ่งของกฎหมายที่เป็นระเบียบใหม่ของโลก การคุ้มครองข้อมูลส่วนบุคคลหรือการคุ้มครองความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลตามมาตรฐานสากล เป็นประเด็นที่จะถูกนำมาเป็นข้อกำหนดและเงื่อนไขเพื่อกีดกันทางการค้าได้ในอนาคต

การใช้บังคับของกฎหมายที่เป็นไปตามมาตรฐานสากล ๆฟจะช่วยส่งเสริมศักยภาพการแข่งขันของประเทศไทยในภาพรวม หนึ่งในมาตรฐานสูงสุด ณ ขณะนี้ได้แก่ GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป ที่เป็นต้นแบบสำคัญของ PDPA ของไทย ดังนั้น การมีสภาพบังคับของ PDPA จึงเป็นหลักฐานเชิงประจักษ์ในแง่ของการมีกฎหมายที่เป็นไปตามมาตรฐานสากล

(2) GDPR ใช้บังคับในเขตเศรษฐกิจยุโรปและสหภาพยุโรปรวม 30 ประเทศ หากรวมกับ UK GDPR ด้วย (แม้ว่าจะ Brexit แล้วแต่ยังใช้กฎหมายที่เป็นฉบับเดียวกับ GDPR ในเชิงเนื้อหา) จะรวมเป็น 31 ประเทศที่ใช้กฎหมายฉบับเดียวกัน GDPR จึงกลายเป็นกฎหมายที่ทรงอิทธิพลที่สุดในโลก ณ ขณะนี้

เงื่อนไขที่สำคัญที่สุดในการที่ประเทศอื่นๆ นอกสหภาพยุโรปจะได้รับประโยชน์หรือไม่ได้รับผลกระทบเชิงลบจากการใช้บังคับ GDPR อย่างเข้มงวดของสหภาพยุโรป คือ การที่ประเทศเหล่านั้น (รวมถึงประเทศไทย) มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ

เห็นได้ชัดเจนจากการที่ข้อมูลจากยุโรปประสบปัญหาทางกฎหมาย ทำให้ไม่สามารถส่งหรือโอนไปที่สหรัฐอเมริกาได้ตามปกติ สร้างผลเสียหายทางเศรษฐกิจต่อผู้ประกอบการจำนวนมาก รวมทั้งที่อยู่ในห่วงโซ่การให้บริการด้วย

อันเป็นผลสืบเนื่องมาจากคดี Schrems I และ Schrems II จนสหภาพยุโรปและสหรัฐอเมริกาเพิ่งสามารถบรรลุข้อตกลงร่วมกันในเรื่อง EU-US Data Transfer ได้เมื่อวันที่ 25 มีนาคม 2656

PDPA ทางเลือกทางรอด ไปต่อได้หรือไม่ | ศุภวัชร์ มาลานนท์

แน่นอนว่าสหรัฐอเมริกาจำเป็นต้องแก้ไขปรับปรุงกฎระเบียบภายในของตนเองหลาย ๆ ประการเพื่อให้สอดคล้องกับมาตรฐานในด้านการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป

(3) นอกสหภาพยุโรป มีอีกหลาย ๆ ประเทศที่นำหลักการของ GDPR ไปตราเป็นกฎหมายภายในของตนเอง ทั้งที่สำเร็จแล้วและอยู่ระหว่างการดำเนินการ อาทิ ออสเตรเลีย บราซิล ชิลี จีน อินเดีย อิสราเอล ญี่ปุ่น นิวซีแลนด์ เกาหลีใต้ สวิสเซอร์แลนด์ หรือแม้แต่รัฐแคลิฟอร์เนียและเวอร์จิเนียของสหรัฐอเมริกา เป็นต้น ฯลฯ ซึ่งจำนวนน่าจะอยู่ที่ไม่น้อยกว่า 20 ประเทศ/รัฐ

ที่กล่าวมาทั้งข้างต้น เพื่อชี้ให้เห็นว่า PDPA เป็นส่วนหนึ่งของระเบียบใหม่ของโลกในด้านการค้าและการลงทุนที่อย่างไรเสียประเทศไทยก็ต้องมีการบังคับใช้กฎหมายฉบับนี้

PDPA ทางเลือกทางรอด ไปต่อได้หรือไม่ | ศุภวัชร์ มาลานนท์
สำหรับประเด็นความไม่พร้อมต่าง ๆ ผู้เขียนมีความเห็น ดังนี้

(1) ในสหภาพยุโรป การใช้บังคับ GDPR ก็มีความไม่พร้อมหลายส่วน แม้ว่าจะให้เวลาปรับตัวก่อนกฎหมายใช้บังคับ 2 ปี ส่วนไทยตอนนี้ต้องนับว่ามีเวลาปรับตัวมาเกือบ 3 ปีแล้ว 100% compliance/readiness คงเป็นเรื่องที่เป็นไปไม่ได้

(2) “Because it’s the law” เพราะว่าเป็นกฎหมาย และเป็น “Accountability” ของผู้บริหาร คือเหตุผลหลักที่องค์กรต่าง ๆ ในสหภาพยุโรปและทั่วโลกตอบว่าทำไมจึงปฏิบัติตามกฎหมาย ดังนั้น กฎหมายจึงต้องเริ่มมีสภาพบังคับ เพื่อให้ทุกองค์กรรู้ว่าต้องปรับตัว ส่วนจะเริ่มบังคับอย่างไรเพื่อลดหรือบรรเทาผลกระทบจากความไม่พร้อมหรือความไม่ชัดเจนบางส่วนของตัวกฎหมายเอง เป็นเรื่องที่ควรได้รับการอภิปรายสาธารณะด้วยเหตุผลและความจำเป็น

ผู้เขียนมีข้อเสนอเพื่อลดผลกระทบที่เห็นว่าเป็นกรณีเร่งด่วน ดังนี้
(1) เลื่อนการบังคับใช้หมวด 6 “ความรับผิด” และหมวด 7 “บทกำหนดโทษ” ของกฎหมายออกไป เพื่อสื่อสารไปยังทุกส่วนที่เกี่ยวข้องโดยเร็วที่สุดว่า “กฎหมายใช้บังคับ” ต้องปรับตัวและปรับกระบวนการ

PDPA ทางเลือกทางรอด ไปต่อได้หรือไม่ | ศุภวัชร์ มาลานนท์

แต่บทกำหนดโทษจะยังไม่มีสภาพบังคับ เพื่อให้ผู้ประกอบการไม่ต้องกังวลว่าที่ดำเนินการมานั้นถูกหรือผิด แต่ขอให้ทำและเริ่มปรับกระบวนการใช้ข้อมูลให้สอดคล้องกับกฎหมาย

(2) แม้จะมีการเลื่อนตามข้อ (1) แต่ยังคงอำนาจตามมาตรา 89 และ 90 ไว้เพื่อให้หน่วยงานบังคับใช้กฎหมายมีอำนาจในการตักเตือน สอบสวนและสั่งให้แก้ไขในกรณีที่พบว่ามีการกระทำผิด แต่กรณีนี้ค่าปรับสูงสุดจะไม่เกิน 500,000 บาท ตามที่มาตรา 89 กำหนด

แต่ถ้าปรับปรุงแก้ไขพฤติกรรมแล้ว ก็ไม่มีความรับผิด การคงอำนาตตามมาตรา 89 และ 90 ไว้ จะทำให้กฎหมายเริ่มถูกใช้และมีสภาพบังคับบางส่วนและเป็นช่องทางให้เจ้าของข้อมูลส่วนบุคคลยังคงใช้สิทธิร้องเรียนและได้รับการเยียวยาผลกระทบจากการปฏิบัติฝ่าฝืนกฎหมายได้

(3) ตั้งคณะกรรมการผู้เชี่ยวชาญตามกฎหมาย เพื่อทำหน้าที่สอบสวนและวินิจฉัยการกระทำความผิด กำหนดขั้นตอนการร้องเรียน และเกณฑ์ในการกำหนดค่าปรับ

(4) กำหนดมาตรการเฉพาะสำหรับวิสาหกิจขนาดกลางและขนาดย่อม

ทางออกแบบนี้หน่วยงานบังคับใช้กฎหมายก็มีเวลาที่จะทำกฎหมายลำดับรองต่าง ๆ ให้รอบคอบ รัดกุม และเหมาะสมมากยิ่งขึ้น (คณะกรรมการฯ เพิ่งรับตำแหน่งเมื่อเดือนมกราคม 2565) เอกชนมีเวลาปรับตัวไม่ต้องกลัวบทลงโทษ และประชาชนอย่างน้อยยังเหลือช่องทางร้องเรียนเพื่อให้มีการสอบสวนการกระทำความผิดและสั่งให้แก้ไขได้ ส่วนหน่วยงานบังคับใช้กฎหมายก็มีเครื่องมือในการบังคับให้เป็นไปตามคำสั่งหรือคำวินิจฉัยอยู่

อย่างไรก็ตาม การเลื่อนการบังคับใช้หมวด 6 และหมวด 7 ควรมีกรอบระยะเวลาที่ชัดเจน เพื่อให้ทุกฝ่ายที่เกี่ยวข้องได้มีโอกาสปรับตัวและเตรียมความพร้อม โดยต้องไม่ลืมว่า PDPA คือกฎหมายว่าด้วยสิทธิขั้นพื้นฐานของประชาชน

ประชาชน คือ ผู้ที่ได้รับผลกระทบมากที่สุดจากการที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลยังไม่มีสภาพบังคับ และยังคงอาจถูกละเมิดสิทธิในข้อมูลส่วนบุคคลในรูปแบบต่าง ๆ กรณีนี้ คงเป็นเรื่องไม่เป็นธรรมอย่างยิ่งสำหรับประชาชนในฐานะเจ้าของสิทธิ.

คอลัมน์ Tech, Law and Security
ศุภวัชร์ มาลานนท์
IAPP FIP, CIPM, CIPP/E /US /A, Certified DPO
บัณฑิตวิทยาลัยการจัดการและนวัตกรรม มจธ.