เช็กพร้อม-ก่อนใช้ กม.ป้องข้อมูลบุคคล

เช็กพร้อม-ก่อนใช้
กม.ป้องข้อมูลบุคคล

พล.อ.ประยุทธ์ จันทร์โอชา นายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงกลาโหม แสดงความเป็นห่วงกลุ่มมิจฉาชีพคอลเซ็นเตอร์ ที่ช่วงนี้ออกอาละวาดถี่ยิบ พฤติการณ์หลอกลวงเป้าหมายทั้งขู่ว่ากำลังถูกดำเนินคดี พร้อมเสนอความช่วยเหลือ หรือเสนอผลประโยชน์จูงใจต่างๆ หากเหยื่อหลงเชื่อต้องเสียทรัพย์สินเงินทอง สร้างความเดือดร้อน

พล.อ.ประยุทธ์ กำชับให้ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) สำนักงานตำรวจแห่งชาติ (สตช.) และหน่วยงานเกี่ยวข้องร่วมกันป้องกันและแก้ปัญหานี้เร่งด่วน

แต่ดูเหมือนจะเป็นการแก้ปัญหาที่ปลายเหตุ เพราะต้นตอการหลอกลวงของแก๊ง 18 มงกุฎ คือ การเข้าถึงตัวเหยื่อ เบอร์โทรศัพท์ ข้อมูลส่วนตัวของเป้าหมาย

คนกลุ่มนี้เข้าถึงได้อย่างไร

ทั้งที่บ้านเรามี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 หรือ พีดีพีเอ ชื่อบ่งบอกค่อนข้างชัดเจนว่าเป็นกฎหมายเพื่อคุ้มครองสิทธิเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต

ข้อมูลส่วนบุคคลมีอาทิ ชื่อ-นามสกุล หรือชื่อเล่น เลขประจำตัวประชาชน เลขหนังสือเดินทาง เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี เลขบัญชีธนาคาร เลขบัตรเครดิต ที่อยู่ อีเมล์ หมายเลขโทรศัพท์ และข้อมูลอื่นๆ อีกมากมาย

ปัญหาคือ กฎหมายฉบับนี้ประกาศในราชกิจจานุเบกษาและผลบังคับใช้เมื่อวันที่ 27 พฤษภาคม 2562 แต่ด้วยแนวทางปฏิบัติค่อนข้างซับซ้อนทำให้ถูกเลื่อนมาทุกปี

กระทั่งมากำหนดให้มีผลบังคับใช้อย่างเป็นทางในวันที่ 1 มิถุนายนนี้

ไปสำรวจความพร้อมของกฎหมายดังกล่าว “กิรติพงศ์ แนวมาลี” นักวิชาการอาวุโส สถาบันวิจัยเพื่อการพัฒนาประเทศไทย หรือทีดีอาร์ไอ ที่ติดตามกฎหมายดังกล่าว ระบุว่า ตอนนี้การคุ้มครองข้อมูลส่วนบุคคล มีเครื่องมือต่างๆ พร้อมหมดแล้ว ทั้งตัวกฎหมาย ภาคประชาชนเอกชนรับรู้ว่ามีกฎหมายฉบับนี้ และล่าสุดมีการตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เมื่อวันที่ 18 มกราคมที่ผ่านมา ทำหน้าที่กำหนดแนวปฏิบัติต่างๆ ตีความกฎหมาย ระงับข้อพิพาท

แต่ที่จะมีปัญหา คือ กฎหมายลำดับรอง แนวปฏิบัติต่างๆ ยังไม่ได้ประกาศใช้อย่างเป็นทางการ ซึ่งต้องรอคณะกรรมการเป็นผู้อนุมัติกฎหมายลำดับรอง เพื่อให้ผู้ที่ทำตามกฎหมายเข้าใจเนื้อหา เข้าใจรายละเอียดต่างๆ เพื่อไปวางแผนว่าองค์กรต้องวางระบบอย่างไรให้ถูกต้องตามกฎหมาย

ปัจจัยที่ท้าทายการบังคับใช้กฎหมาย นอกจากจะขึ้นอยู่กับกฎหมายลูกแล้ว ก็มีผลกระทบจากภาวะโรคโควิด-19 ทำให้ธุรกิจบางสาขาต้องแก้ปัญหาเฉพาะหน้าที่สำคัญ ซึ่งจะมีผลกระทบในการปรับตัว โดยเฉพาะธุรกิจขนาดเล็กเป็นปัญหาอย่างแน่นอน เพราะต้องปฏิบัติตามกฎหมาย ปรับปรุงระบบการเก็บข้อมูลลูกค้า การรับเรื่องร้องเรียนจากลูกค้า ซึ่งต้องลงทุน

อย่างไรก็ตาม ดูแล้วจะไม่มีการเลื่อนบังคับใช้กฎหมายออกไปอีกแน่นอน

ตัวกฎหมายพีดีพีเอจะกำหนดเป็นโครงสร้างหลักๆ ไว้ แต่ในทางรายละเอียดเชิงเทคนิคจะต้องมีการออกกฎหมายลูก ซึ่งทางกระทรวงดิจิทัลเพื่อเศรษฐกิจเเละสังคม (ดีอีเอส) มีการว่าจ้างมอบหมายหน่วยงานต่างๆ ให้ช่วยทำการยกร่างกฎหมายลูก รวมไปถึงแนวปฏิบัติต่างๆ ซึ่งมีทางจุฬาลงกรณ์มหาวิทยาลัย มหาวิทยาลัยต่างๆ รวมไปถึงทีดีอาร์ไอก็ได้รับมอบหมาย
ให้ช่วยจัดทำแนวปฏิบัติให้กับองค์กร ทั้งนี้ ก็รอให้ทางคณะกรรมการเป็นผู้อนุมัติเห็นชอบต่อไป

งานที่ทีดีอาร์ไอรับมอบหมาย ให้ช่วยจัดทำแนวปฏิบัติให้กับองค์กรธุรกิจทั้งหมด 7 สาขา ประกอบไปด้วย การขนส่งโลจิสติกส์ อีคอมเมิร์ซค้าปลีก อสังหาริมทรัพย์ การศึกษา การท่องเที่ยว สาธารณสุข และภาคราชการ เหตุผลที่จัดทำแยกเป็นสาขา เพราะว่าบริบทแต่ละสาขามีลักษณะตลาดที่แตกต่างกัน มีความเฉพาะของแต่ละสาขา

เช่น มีผู้มีส่วนได้ส่วนเสียจำนวนมาก มีจำนวนธุรกิจเอสเอ็มอีมาก เพราะธุรกิจเอสเอ็มอีไม่มีเจ้าภาพ ที่จะมาทำตัวแนวปฏิบัติให้ ไม่เหมือนกับธุรกิจธนาคาร ประกันภัย สายการบิน เพราะกลุ่มธุรกิจเหล่านี้มีการรวมกลุ่มจัดทำแนวปฏิบัติกันมาแล้ว พร้อมกับธุรกิจเอสเอ็มอียังขาดความพร้อม ไม่รู้ว่าถ้าจะปรับปรุงระบบภายในภายใต้กฎหมายพีดีพีเอจะต้องทำอย่างไร

โดยเนื้อหาแนวปฏิบัติในแต่ละอุตสาหกรรม กิจกรรมของธุรกิจไม่ว่าจะขนาดเล็ก กลาง ใหญ่ ต้องมี อย่างการเก็บข้อมูล กรอกใบสมัคร กิจกรรมที่ซอยย่อยลงไป แนวทางในการประมวลผลควรใช้ฐานกฎหมายอะไร ข้ออ้างอะไรในการเก็บข้อมูล เพราะโดยหลักถ้ามีการเก็บข้อมูลต้องขอความยินยอมการเก็บข้อมูล แต่กฎหมายก็มีข้อยกเว้น ถ้าเป็นการเก็บข้อมูลเพื่อประโยชน์ของลูกค้า อาจจะไม่ต้องขอความยินยอมทุกครั้ง ในแนวปฏิบัติก็จะระบุแต่ละสถานการณ์ที่สามารถเก็บข้อมูลได้โดยไม่ต้องขอความยินยอม

อย่างไรก็ตาม แนวปฏิบัติที่ทำมา ไม่ได้เป็นการบังคับ แต่เป็นไอเดียเพื่อนำไปประยุกต์ใช้ ถ้าธุรกิจมีวิธีการที่ดีกว่านี้ เช่นมีระบบการรักษาความปลอดภัยชั้นสูง ก็สามารถทำได้เลยไม่มีปัญหา เพียงแต่ว่าแนวปฏิบัติที่ออกมา จะเป็นแนวมาตรฐานขั้นต่ำที่ควรจะทำ

“แนวทางปฏิบัติ กฎหมายลูกต้องมีการประกาศออกมาก่อนที่จะบังคับใช้ในวันที่ 1 มิถุนายน 2565 โดยคณะกรรมการที่เพิ่งแต่งตั้งขึ้นมา งานเร่งด่วนก็คือการอนุมัติแนวทางปฏิบัติ กฎหมายลูกต่างๆ เพื่อให้ทันกับวันที่เริ่มมีการบังคับใช้”

ส่วนแก๊งมิจฉาชีพได้นำข้อมูลส่วนบุคคลของผู้ใช้บริการ เอาไปทำผิดกฎหมาย หรือนำไปทำเกินกว่าที่เจ้าของข้อมูลได้ให้ความยินยอมไว้ ประเด็นเหล่านี้ตามกฎหมายพีดีพีเอ ให้ความสำคัญกับบทบาทหน้าที่ของผู้ควบคุมข้อมูล หรือผู้ที่นำข้อมูลของเราไปใช้ รวมถึงผู้ประมวลผลข้อมูล หรือผู้ที่รับงานต่อจากผู้ควบคุมข้อมูล ไปทำการประมวลผล ทำการตลาด

ซึ่งบุคคล 2 หน้าที่นี้ต้องเก็บข้อมูล ใช้ข้อมูล ประมวลผลข้อมูล ทำงานข้อมูลตามที่กฎหมายพีดีพีเอกำหนดไว้ ถ้าหากไม่ทำตามมาตรฐานที่ถูกต้อง ก็จะมีความผิดตามกฎหมาย ทั้งโทษอาญาและโทษปรับ ซึ่งก็ต้องมีการป้องกันข้อมูลไม่ให้หลุดรั่ว รวมถึงการนำข้อมูลไปใช้โดยไม่ขอการอนุญาต ก็จะช่วยแก้ปัญหาเรื่องมิจฉาชีพได้ส่วนหนึ่ง

เกาะติดทุกสถานการณ์จาก
Line @Matichon ได้ที่นี่

LINE @Matichon