HomeCOVID-19PDPA กระทบธุรกิจและประชาชน นักกม.แนะดีอีเอสใช้ม.4 ออก พ.ร.บ.ยกเว้น

PDPA กระทบธุรกิจและประชาชน นักกม.แนะดีอีเอสใช้ม.4 ออก พ.ร.บ.ยกเว้น

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) จะถูกบังคับใช้อย่างเต็มที่ ในวันที่ 28 พฤษภาคม 2563 กฎหมายฉบับนี้มีผลบังคับใช้บางส่วนเมื่อวันที่ 28 พฤษภาคม 2562 คือ การจัดตั้งสำนักคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีกำหนดระยะเวลา 1 ปี เพื่อให้ร่างกฎกระทรวง และให้มีผลบังคับใช้ในวันที่ 28 พฤษภาคม 2563 ซึ่งไม่สามารถเลื่อนได้ และมีผลทันที

-นายก TVCA วอนรัฐขยับเวลาบังคับใช้ พ.ร.บ.ข้อมูลส่วนบุคคล
-เปิดมุมมองธุรกิจชั้นนำ กรณีศึกษาและการปรับตัวกับ พ.ร.บ.ข้อมูลส่วนบุคคล

นายไพบูลย์ อมรภิญโญเกียรติ ผู้เชี่ยวชาญกฎหมายไซเบอร์ กล่าวกับ Business Today ว่า ทั้งภาครัฐและเอกชนมีความเข้าใจผิดกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลในหลายส่วน เนื่องจากมาตรา 87 ของพระราชบัญญัติฉบับนี้เขียนไว้ว่า ในบรรดากฎกระทรวงหรือกฎหมายลูก ถ้าไม่ทัน ให้เลื่อนการบังคับใช้ไปได้อีก 1 ปี โดยที่ให้เสนอคณะรัฐมนตรี (ครม.) หมายความว่าในการออกบทบัญญัติของกระทรวงจะสามารถเลื่อนได้อีก 1 ปี แต่กฎหมายฉบับนี้มีผลบังคับใช้ทันทีในวันที่ 28 พฤษภาคม 2563 ซึ่งไม่สามารถที่จะเลื่อนผลการบังคับใช้ได้

- Advertisement -

หลังจากวันที่มีผลบังคับใช้ถ้ามีการละเมิดข้อมูลส่วนบุคคล เช่น การถ่ายภาพบุคคลอื่น หรือข้อมูลส่วนบุคคลรั่วไหล ถ้าไม่มีกฎกระทรวงจะสามารถฟ้องร้องเป็นคดีแพ่งและอาญา รวมถึงมีโทษปรับในทางปกครองได้ทันที พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล จะมีผลบังคับใช้ทันทีถึงแม้ว่าจะไม่มีกฎกระทรวง

“มีวิธีเดียวที่จะทำให้กฎหมายฉบับนี้ไม่มีผลบังคับใช้ คือ รัฐบาลจะต้องออกพระราชกำหนด เพื่อยกเว้นในสถานการณ์โควิด-19 หรือสถานการณ์อื่น ๆ”

ไพบูลย์ กล่าวต่อว่า มีช่องว่างอยู่ในมาตรา 4 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ที่เขียนไว้ว่า รัฐมนตรีว่าการกระทรวงฯ ระหว่างที่รอคณะกรรมการคุ้มครองในช่วงสรรหา (น่าจะเสร็จในช่วงต้นเดือนพฤษภาคม) สามารถออกบทบัญญัติยกเว้นบางส่วนได้ โดยจะต้องตราเป็นพระราชกฤษฎีกา หมายความว่า ถ้ารัฐบาลไม่ใช้อำนาจตามมาตรา 4 เพื่อเยียวยาธุรกิจที่ได้ผลกระทบจากโควิด-19 และยังต้องปรับหน่วยงานเพื่อให้มีบุคลากรที่เกี่ยวข้องกับกฎหมายฉบับนี้ รวมถึงกระบวนการและเทคโนโลยี ที่จะต้องเข้ามาควบคุมมาตรการในด้านนโยบายของข้อมูล ถ้าไม่ทำก็จะมีโทษปรับทางทางแพ่งและทางอาญา

“การไม่ใช้มาตรา 4 เข้ามายกเว้นหรือผ่อนปรนในบางส่วน สิ่งที่เกิดขึ้น คือ ในระยะเวลาเพียงแค่ 1 เดือน นิด ๆ กฎหมายฉบับนี้จะก่อให้เกิดปัญหาและอุปสรรคค่อนข้างเยอะ ทุกภาคส่วนที่ใช้ข้อมูลส่วนบุคคล บริษัทจะมีปัญหาเรื่องข้อมูลลูกจ้างค่อนข้างมาก”

มาตรา 4 มีส่วนสำคัญที่สุดอยู่ 3 วรรคคือ

1.ยกเว้นให้ในกรณีที่เกี่ยวข้องกับความมั่นคง ความปลอดภัยประชาชน ที่เกี่ยวข้องกับความมั่นคงทางการเงินและความปลอดภัยไซเบอร์ (ยกเว้นให้กับหน่วยงานรัฐ)

2.อะไรก็ตาม ถ้าจะยกเว้นเพิ่มเติมจากข้างบน ที่ให้หน่วยงานรัฐเกี่ยวกับความมั่นคงนำไปใช้ได้ สามารถยกเว้นหน่วยงานเอกชน และหน่วยงานต่างๆ ได้ แต่ให้ระบุว่าจะยกเว้นส่วนไหน ทั้งหมดหรือในส่วนมาตราอะไร ซึ่งจะสามารถกำหนดเวลาในการยกเว้นได้

3.ต้องมีมาตรการขั้นต่ำในการดูแลข้อมูลส่วนบุคคลอย่างไรบ้าง ที่รัฐบาลจะต้องประกาศออกมา

ทำไม 1 ปีที่ผ่านมาไม่มีการเตรียมพร้อม?

นายไพบูลย์ กล่าวว่า ส่วนหนึ่งน่าจะเกี่ยวข้องกับการเลือกตั้ง เพราะกว่าจะจัดตั้งรัฐบาล มีรัฐมนตรีขึ้นมา กินเวลาไปค่อนข้างมาก และการที่กฎหมายระบุว่า จะดำเนินการได้เต็มที่จะต้องมีการสรรหาคณะกรรมการข้อมูลส่วนบุคคล ซึ่งมีการประกาศสรรหาเมื่อเดือนกุมภาพันธ์ 2563 ที่ผ่านมา และองค์ประกอบส่วนหนึ่งที่ทำให้การสรรหาคณะกรรมการล่าช้า เพราะการสรรหาจะต้องประกอบด้วยองค์ประกอบ 4 ส่วนคือ

-นายกรัฐมนตรี ตั้งกรรมการสรรหา
-ประธานสภา
-ผู้ตรวจการแผ่นดิน
-คณะกรรมการสิทธิมนุษยชน

“คณะกรรมการสิทธิมนุษยชน ทำให้ตั้งไม่ได้ เพราะลาออกไป ทำให้องค์ประกอบขาด จึงมีผลกระทบในหลายปัจจัย ทำให้การตั้งคณะกรรมการล่าช้า ส่งผลให้กฎกระทรวงล่าช้าไปด้วย”

มีแนวทางเดียวคือรัฐมนตรีดิจิทัล (MDES) จะต้องใช้มาตรา 4 ของพระราชบัญญัติ ยกเว้นและผ่อนปรนในภาคธุรกิจบางส่วน โดยเฉพาะธุรกิจที่ได้รับผลกระทบจากวิกฤติครั้งนี้ เพราะค่าใช้จ่ายค่อนข้างมาก ต้องทำมาตรการ Consent Platform ทั้งความยินยอมของลูกค้าและลูกจ้าง รวมถึงเทคโนโลยี ซึ่งต้องใช้งบประมาณ 2-3 แสนบาทต่อ 1 องค์กร เป็นการสร้างภาระมากเกินไป

“ทั้งนี้กฎกระทรวงที่จะต้องออกมามีประมาณ 30 กว่าฉบับ ที่รวมในส่วนของธุรการด้วย ซึ่งทีมของกระทรวง DES กำลังดำเนินการอยู่”

นายไพบูลย์ กล่าวต่อว่า ส่วนเอกชนตื่นตัวจะเป็นองค์กรขนาดใหญ่ที่มีงบประมาณและเตรียมตัวมากันพอสมควร ประมาณ 70-80% แต่องค์กรก็ยังกังวลเรื่องข้อยกเว้น ส่วน SMEs ประมาณ 4-5 แสนราย ไม่รู้เลยว่ากฎหมายฉบับนี้จะต้องทำอย่างไร ด้านประชาชนไม่รู้ว่าตัวเองมีสิทธิ์อะไร ใช้แบบไหนถูกแบบไหนผิด ซึ่งส่วนที่เป็น SMEs และประชาชนจะเป็นปัญหาใหญ่

กฎหมายฉบับนี้ในยุโรปใช้เวลาพัฒนากฏหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองที่อาศัยอยู่ในเขตสหภาพยุโรป (GDPR) ถึง 20 ปี และยังให้เวลาเตรียมตัว 2 ปี ขณะที่ในสหภาพยุโรป จากการสำรวจมีการทำตามกฎหมายฉบับนี้แค่ 1 ใน 3

“ขณะที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลเป็นกฎหมายที่ละเอียดอ่อนมาก รายละเอียดมาก เป็นภาษาเทคนิค นักกฎหมายอ่านเองก็ยังไม่เข้าใจ เพราะเป็นหลายเรื่องที่มาปนกัน ทำให้เวลาบังคับใช้จะค่อนข้างยากลำบาก”

ผกระทบกับการประกาศใช้ PDPA

นายไพบูลย์ กล่าวว่า การประกาศใช้กฎหมายฉบับนี้จะเป็นผลดีกับประชาชนทั่วไป ให้สิทธิและความคุ้มครอง ประชาชนมีสิทธิ์ให้หน่วยงานเอกชนลบข้อมูลส่วนบุคคนออกได้ การแลกบัตรเข้าอาคารจะต้องเก็บเฉพาะข้อมูลที่จำเป็น

ผลกระทบ คือ ในยุคดิจิทัลภาคเอกชนหรือภาครัฐ มีการทำข้อมูลขนาดใหญ่ (Big data) ที่เป็นข้อมูลของประชาชนทั้งหมด เพราะฉะนั้นการทำธุรกิจก็อยู่บนพื้นฐานของข้อมูลส่วนบุคคลทั้งหมด การปรับตัวให้เป็นมาตรฐานสากลตามกฎหมายฉบับนี้ เป็นเรื่องที่ต้องใช้เวลาค่อนข้างมาก และเป็นปัญหาใหญ่

ส่วนสิ่งที่น่ากังวล คือ คณะกรรมการข้อมูลส่วนบุคคลทั้งหมดนี้ จะเข้าใจกฎหมายฉบับนี้หรือไม่ ซึ่งเป็นโจทย์ใหญ่ที่รัฐบาลจะต้องทำ หลังจากโควิด-19 ผ่านไป ข้อมูลที่ใช้ในการวางแผนระยะยาว เรื่องการเยียวยา ก็เป็นข้อมูลส่วนบุคคลทั้งนั้น

อีกส่วน คือ นายจ้างจะกลัวถูกลูกจ้างฟ้อง เช่น เวลากักตัวผู้ต้องสงสัยติดเชื้อ 14 วัน จะต้องถามว่าเขาเดินทางไปที่ไหน มีการตรวจสอบอุณหภูมิและพฤติกรรม มีคำสั่งกักกันตัวให้รายงานตลอดเวลา ซึ่งทางกฎหมายของสหภาพยุโรปไม่สามารถทำได้ ขณะที่ของประเทศไทยเก็บอุณหภูมิ ทั้งตอนเช้า เที่ยง และเย็น ใช้ GPS เข้ามาติดตามว่าไปที่ไหนมาบ้าง

ส่งผลให้ในสหภาพยุโรปมีปัญหาเรื่องการควบคุมโรคระบาด ไม่มีประสิทธิภาพเหมือนกับประเทศจีน ที่ใช้ปัญญาประดิษฐ์ (AI) เข้ามายกเว้นกฎหมายข้อมูลส่วนบุคคลทั้งหมด เช่นเดียวกับสิงคโปร์ ใช้กฎหมายไซเบอร์เข้ามายกเว้นกฎหมายข้อมูลส่วนบุคคลทั้งหมด

“เพราะฉะนั้นก็จะมีคำถามว่ากฎหมายข้อมูลส่วนบุคคลที่ประเทศไทยไปลอกมาจากสหภาพยุโรปนั้น ไม่สามารถนำมาใช้กับเรื่องโรคระบาดได้”

แนะรัฐเร่งประชาสัมพันธ์ก่อน PDPA มีผลบังคับใช้

นายไพบูลย์ กล่าวว่า ทั้งนี้ผลกระทบจะมากกว่านี้ ซึ่งแต่ละประเทศที่มีปัญหากับกฎหมายคุ้มครองข้อมูลส่วนบุคคลเมื่อเกิดโรคระบาด สิ่งที่เกิดขึ้น คือ รัฐบาลทุกประเทศทั่วโลกจะต้องใช้ข้อมูลส่วนบุคคล ในการติดตามผู้ติดเชื้อ มีความเสี่ยง หรือเดินทางไปที่ไหน ไปติดต่อกับใครบ้าง บางประเทศใช้สัญญาณโทรศัพท์ในการติดตาม

ประเทศไทยยังทำได้เพราะไม่มีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล แต่หลังจากกฎหมายประกาศใช้ จะถูกยกเว้นเฉพาะหน่วยงานรัฐบาลเท่านั้น พระราชบัญญัติควบคุมโรคติดต่อ และพระราชบัญญัติข้อมูลคุ้มครองส่วนบุคคล ไม่ได้ให้ข้อยกเว้นกับเอกชนที่ให้ความร่วมมือ ดังนั้น รัฐมนตรีดีอีจะต้องอาศัยอำนาจตามมาตรา 4 ยกเว้นภาคเอกชนที่ให้ความร่วมมือกับการเปิดเผยรายชื่อผู้ป่วย

กฎหมายฉบับนี้ดีตรงที่ให้สิทธิกับประชาชน แต่สิ่งที่เกิดขึ้นแน่นอน คือ เมื่อทุกคนต้องดำเนินตามกฎหมายฉบับนี้ ค่าใช้จ่ายในส่วนของนิติบุคคลจะไม่ได้รับการยกเว้น และมีเรื่องความรับผิดของกรรมการที่มีโทษปรับและจำคุกด้วย ในกระบวนการที่เกี่ยวข้องกับการสืบสวนสอบสวน กฎหมายยกเว้นให้เฉพาะศาล นักสืบเอกชนต่าง ๆ ที่หากินในข้อมูลส่วนบุคคล ก็จะได้รับผลกระทบ

ประชาชนทั่วไป ถ้าไม่มีความรู้ความเข้าใจในกฎหมายฉบับนี้ เพียงแค่หยิบโทรศัพท์ขึ้นมาถ่ายรูปคนอื่น มีโทษจำคุก 6 เดือนและปรับ 500,000 บาท ซึ่งประชาชนทั่วไปไม่รู้เลยว่า หลังจากวันที่ 27 พฤษภาคม 2563 เป็นต้นไป จะต้องขออนุญาต และมีข้อยกเว้น 2 กรณี คือ

1.ถ่ายรูปเพื่อใช้เกี่ยวกับเพื่อนฝูง กิจกรรมในครอบครัวหรือใช้ส่วนตัว แต่จะไปถ่ายรูปคนอื่นที่ไม่ได้เป็นญาติพี่น้องในที่สาธารณะไม่ได้
2.กรณีเพื่อป้องกันผลประโยชน์ได้เสียของตัวเอง เช่น ติดกล้องในรถเพื่อป้องกันอุบัติเหตุ หรือติดกล้องวงจรปิดในบ้านเพื่อป้องกันขโมย ตามสิทธิของตัวเอง

นายไพบูลย์ กล่าวต่อว่า ถ้ารัฐบาลไม่เร่งประชาสัมพันธ์หรือใช้มาตรา 4 ในการยกเว้น จะเกิดปัญหาค่อนข้างเยอะ จะเกิดคดีความเล็ก ๆ น้อย ๆจากการไม่เข้าใจ อาจจะมีบุคคลที่เข้าใจกฎหมายฉบับนี้และนำไปใช้ในทางที่ผิด เช่น รูปของตัวเองที่เคยยินยอม ก็มาบอกว่าไม่ยินยอม และไปรีดค่าเสียหายจากตัวคนที่ประมวลผล หรือควบคุมข้อมูลอยู่ ซึ่งในต่างประเทศเกิดขึ้นมาก

ด้านฐานข้อมูลจะถูกแบ่งเป็น 2 ส่วน คือ

ฐานข้อมูลส่วนบุคคลของทุกองค์กร ก่อนวันที่ 27 พฤษภาคม 2563 จะใช้ได้ตามวัตถุประสงค์เดิม แต่เจ้าของสามารถยกเลิกเมื่อไหร่ก็ได้ และถ้าจะนำไปใช้ต้องจ่ายค่าตอบแทน

ฐานข้อมูลส่วนบุคคลของทุกองค์กร หลังวันที่ 27 พฤษภาคม 2563 จะต้องขอความยินยอมใหม่ทั้งหมด

ทั้งนี้ข้อมูลที่บริษัทส่วนใหญ่มีทั้งหมดก็จะเป็นข้อมูลก่อนวันที่ 27 พฤษภาคม 2563 ต้องไปไล่ตามแต่ละคนเพื่อขอความยินยอมซึ่งจะเกิดปัญหาเยอะ

“คณะกรรมการข้อมูลส่วนบุคคล ถ้าจะเลือกส่งเสริมธุรกิจจะต้องยกเว้นมาตรา 4 ค่อนข้างมาก แต่ถ้าเลือกคุ้มครองสิทธิประชาชน โดยให้เอกชนลำบากบ้าง ธุรกิจไอทีก็จะไม่ดันไปข้างหน้า”

อศินา พรวศิน – สัมภาษณ์
ทรงกลด แซ่โง้ว – เรียบเรียง

Business Today
Business Todayhttps://businesstoday.co
Supporting Thailand's business communities./ FB Page: Business Today Thai/ Social: Business Today Thai (สำหรับ Twitter, YouTube, Telegram)/ LINE: @Business today/ เว็บที่เกี่ยวข้อง: Thailand Today: www.thailandtoday.co/ FB: Thailantoday.co (English)/ Thailand Today News: www.thailandtoday.news/ FB: Thailandtoday.news (Mandarin Chinese)

Latest

ติดตามข่าวสารอัพเดททันใจจาก Businesstoday ได้โดยกรอกอีเมลด้านล่าง

Related News