จับตากม.ไพรเวซี่ ลอว์ คุ้มครองข้อมูลบุคคล
นอกจากพระราชบัญญัติ (พ.ร.บ.) การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 หรือเรียกสั้นๆ ว่า พ.ร.บ.ไซเบอร์ จะมีผลบังคับใช้แล้วเมื่อเดือนพฤษภาคม 2562 แต่ยังมีอีกกฎหมายหนึ่งที่คลอดมาพร้อมกันคือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 โดยจะมีผลบังคับใช้วันที่ 27 พฤษภาคม 2563 หรือ 1 ปี นับตั้งแต่วันที่ประกาศในราชกิจจานุเบกษา
สาเหตุหลักที่ประเทศไทยต้องมี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เนื่องจากสหภาพยุโรป (อียู) ได้ออกจีดีพีอาร์ หรือข้อกำหนดการปกป้องข้อมูลทั่วไป เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยมีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2561 ซึ่งนอกจากมีผลบังคับใช้แก่การส่งข้อมูลภายในประเทศสมาชิกสหภาพยุโรปแล้ว ผู้ประกอบการในไทยที่ต้องติดต่อ รับส่งข้อมูลส่วนบุคคลของประชาชนในประเทศที่เป็นสมาชิกสหภาพยุโรป ก็ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมและเพียงพอด้วย
ที่สำคัญกว่านั้นคือ ความน่าเชื่อถือในมาตรการคุ้มครองข้อมูลส่วนบุคคลของประเทศมีผลกระทบต่อการค้าระหว่างประเทศ และการทำธุรกิจระหว่างประเทศ หากประเทศไทยไม่มีกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ย่อมทำให้เสียโอกาสและความเชื่อมั่นจากกลุ่มประเทศในสหภาพยุโรป ซึ่งอาจรวมไปถึงประชาคมโลกที่กำลังตื่นตัวเรื่องการคุ้มครองข้อมูลจากเหตุการณ์ใหญ่ๆ ที่เคยเกิดขึ้น เช่น การรั่วไหลของข้อมูลส่วนบุคคลของผู้ใช้เฟซบุ๊กหลายล้านบัญชี เป็นต้น
สาระสำคัญของ พ.ร.บ.ฉบับนี้มี 3 ประเด็นหลัก ได้แก่ 1.เจ้าของข้อมูลต้องให้ความยินยอมในการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ผู้เก็บรวบรวม ผู้ใช้ แจ้งไว้ตั้งแต่แรกแล้วเท่านั้น ซึ่งนั่นหมายความว่า ต้องขออนุมัติจากเจ้าของข้อมูลก่อน เช่น หากแอพพลิชั่นหนึ่งจะเก็บข้อมูลบัตรเครดิตของเราไว้ในระบบก็ต้องมีข้อความให้เรากดยืนยันเพื่อยินยอม พร้อมแจ้งวัตถุประสงค์ในการเก็บรวบรวม และการใช้ หากเราไม่ยินยอมให้ใช้ข้อมูลบัตรเครดิต ผู้ให้บริการแอพพลิเคชั่นนั้นก็ไม่สามารถใช้ข้อมูลบัตรเครดิตของเราได้
2.ผู้เก็บรวบรวมข้อมูลต้องรักษาความมั่นคงปลอดภัยของข้อมูล ไม่ให้มีการเปลี่ยนแปลงแก้ไข หรือถูกเข้าถึงโดยผู้ที่ไม่เกี่ยวข้องกับข้อมูล อาทิ สถานพยาบาลจะต้องเก็บข้อมูลของผู้ป่วยให้เป็นความลับและไม่เปิดเผยให้กับผู้อื่น ธนาคารต้องเก็บรักษาข้อมูลเกี่ยวกับรายการถอน และ 3.เจ้าของข้อมูลมีสิทธิถอนความยินยอม ขอให้ลบหรือทำลายข้อมูลเมื่อใดก็ได้ หากเป็นความประสงค์ของเจ้าของข้อมูล
ดังนั้น บุคคลทั่วไปหรือเจ้าของข้อมูลส่วนบุคคล ก่อนจะให้ข้อมูลสำคัญควรมีการเก็บบันทึกเป็นหลักฐานไว้ หรือมีการขอสำเนาของเอกสารที่มีข้อมูลส่วนบุคคล และเมื่อใดพบว่าข้อมูลส่วนบุคคลได้ถูกนำไปใช้ผิดวัตถุประสงค์ ก็จะได้ใช้เป็นหลักฐานในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ และมีสติรอบคอบในการให้ข้อมูลส่วนบุคคลแก่เว็บไซต์ หรือแอพพลิเคชั่น ที่มีการขอความยินยอมจากเจ้าของข้อมูล อาทิ การทำงานของเว็บไซต์ หรือแอพพลิเคชั่น
เช่น ปัจจุบันหลายแอพพลิเคชั่นจะเชื่อมต่อระบบสมาชิกกับเฟซบุ๊ก มีการขอชื่ออีเมล์และรายชื่อเพื่อนในเฟซบุ๊กของเรา หากเราเห็นว่าไม่จำเป็นที่ต้องให้ข้อมูลรายชื่อเพื่อนก็สามารถคลิกเพื่อไม่ยินยอม และยินยอมให้เฉพาะอีเมล์เพื่อการเข้าระบบของแอพพลิเคชั่นนั้นๆ ได้ และอีกกรณีหนึ่ง ตัวเจ้าของข้อมูลต้องทำหน้าที่คุ้มครองข้อมูลของตัวเองด้วย ไม่ด่วนยินยอมหรือให้ข้อมูลโดยที่ยังไม่ได้ศึกษารายละเอียดของขอบเขตการใช้ข้อมูลส่วนบุคคล
และสำหรับองค์กร หรือหน่วยงานที่ต้องมีการเก็บข้อมูลส่วนบุคคล สิ่งสำคัญคือต้องรู้ขอบเขตของการเข้าถึงข้อมูลส่วนบุคคล มีระบบควบคุมการเข้าถึงข้อมูลส่วนบุคคล มีระบบยืนยันตัวตนของผู้ขอเข้าถึงข้อมูลส่วนบุคคล รวมไปถึงต้องมีการกำหนดนโยบายสำหรับบุคคลภายในองค์กรที่ต้องเกี่ยวข้องกับการใช้งานข้อมูลส่วนบุคคลที่ได้รับการยินยอมจากเจ้าของข้อมูลแล้ว เนื่องจากมีข้อบังคับต่างๆ ที่หากละเมิดแล้วจะมีผลให้เกิดโทษอาญา โทษทางปกครอง
นายไพบูลย์ อมรภิญโญเกียรติ ผู้เชี่ยวชาญด้านกฎหมายคอมพิวเตอร์ ระบุว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลจะส่งผลกระทบอย่างมากกับประชาชนคนไทยทั้ง 70 ล้านคน โดยมีข้อดีคือ กฎหมายฉบับนี้จะให้ความคุ้มครอง ซึ่งหลังจากวันที่ 27 พฤษภาคม 2563 เป็นต้นไป หากใครเก็บรวบรวมข้อมูลส่วนบุคคลของเรา อาทิ ชื่อ นามสกุล รูปภาพหรืออะไรก็ตามที่ระบุตัวตนเราได้ ซึ่งหากเขาจะเก็บรวบรวมหรือนำไปใช้ต้องได้รับความยินยอมจากเราก่อน ดังนั้น ในกรณีแอบถ่ายภาพผู้อื่น หรือการนำภาพเฟซบุ๊ก หรืออินสตาแกรมผู้อื่นไปใช้ จะถือว่ามีความผิดทางกฎหมาย ซึ่งจะมีโทษทั้งทางแพ่งและอาญา
ขณะที่ข้อดีต่อบริษัท ธุรกิจ องค์กรที่มีลูกจ้าง โดยลูกจ้างจะได้รับความคุ้มครองตามกฎหมายฉบับนี้เช่นกัน ซึ่งนายจ้างจะไม่สามารถนำข้อมูลไปใช้ ในเรื่องที่ไม่เกี่ยวข้องกับกิจการได้ และเราเองในฐานะที่เป็นผู้ใช้บริการมือถือ หรือเป็นผู้ใช้บริการห้างสรรพสินค้า โดยมีการรับบริการหรือซื้อสินค้าจากในแต่ละที่ ผู้ประกอบการในสถานที่นั้นๆ จะมีการเก็บรวบรวมข้อมูล ซึ่งหากหลังจาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้ หากผู้ประกอบการนำข้อมูลไปใช้ในการแสวงหาผลกำไรโดยไม่ได้รับความยินยอม ก็จะมีความผิดทั้งทางแพ่งและอาญา
เมื่อ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีผลบังคับใช้ ภาคเอกชนเป็นภาคที่ต้องดูแลตัวเองมากที่สุด โดย พ.ร.บ.ฉบับนี้บังคับว่าหน่วยงานภาครัฐหรือเอกชนเองจะต้องดำเนินการใน 3 ส่วน ประกอบด้วย 1.บุคลากร โดยแต่ละองค์กรจะต้องมีการอบรมบุคลากรให้มีมาตรการในการเก็บรักษาความลับของลูกจ้าง ลูกค้า หรือบุคคลภายนอก
ทั้งนี้ หากเป็นองค์กรขนาดใหญ่ หรือจำเป็นต้องประมวลผลข้อมูลจำนวนมาก ต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อกำกับดูแลในเรื่องนี้ 2.กระบวนการ ซึ่งหลังจากมีผลบังคับใช้ ทุกที่จะต้องมีกระบวนการในการรับมือหากเกิดเหตุการณ์ข้อมูลลูกค้าหรือลูกจ้างรั่วไหล โดยต้องมีการแต่งตั้งคณะกรรมการในการกำกับดูแล รวมถึงมีการกำหนดขอบเขตการเข้าถึงข้อมูล เวลาจะใช้งานเป็นอย่างไร และ 3.มีเทคโนโลยีซอฟต์แวร์ที่สามารถรองรับปัญหาต่างๆ ได้
เนื่องจากกฎหมายฉบับนี้มีผลกระทบอย่างมาก ฉะนั้น โทษปรับจึงจะค่อนข้างสูง โดยเริ่มตั้งแต่ 1-5 ล้านบาท
“ขณะนี้รัฐบาลอยู่ระหว่างการจัดทำกฎกระทรวงเพื่อให้ทันเวลา เพราะกฎหมายฉบับนี้มีบทที่เขียนว่า สามารถเลื่อนระยะเวลาในเรื่องการออกกฎกระทรวงได้ แต่ไม่สามารถเลื่อนระยะเวลาการบังคับใช้กฎหมายได้ ทั้งนี้ มองว่าระยะเวลาก่อนกฎหมายมีผลบังคับใช้สั้นเกินไป เนื่องจากในสหภาพยุโรปใช้เวลาในการพัฒนาจีดีพีอาร์กว่า 10 ปี และกว่าที่จะมีผลบังคับใช้ให้ระยะเวลาถึง 2 ปี ขณะเดียวกันก็รู้สึกเป็นกังวลต่อวิสาหกิจขนาดกลางและขนาดย่อม (เอสเอ็มอี) ซึ่งมีอยู่กว่า 5 แสนราย ที่ยังรู้รายละเอียดในนี้น้อยมาก รัฐบาลจึงควรมีกระบวนการที่เป็นมาตรฐานหรือแบบฟอร์มสำเร็จรูปบางอย่าง เพื่อให้ภาคเอกชนสามารถนำไปใช้ได้ทันที เนื่องจากกฎหมายมีผลกระทบด้านความคุ้มครองกับประชาชนทุกคน”นายไพบูลย์กล่าวทิ้งท้าย
