วันที่ 25 กรกฎาคม 2565 เวลา 8.30 – 12.00 น. นายกรวิชญ์ ทุมมานนท์ เจ้าหน้าที่สมาคมฯ เข้าร่วมงานสัมมนา หัวข้อ “PDPA บังคับใช้...อะไรที่ต้องพร้อม” จัดโดยหอการค้าไทยและสภาหอการค้าแห่งประเทศไทย ผ่านระบบ Zoom Meeting โดยมีสาระสำคัญ ดังนี้

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act: PDPA)  เป็นกฎหมายที่ถูกสร้างมาเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลของทุกคน รวมถึงการจัดเก็บข้อมูลและนำไปใช้โดยไม่ได้แจ้งให้ทราบ และไม่ได้รับความยินยอมจากเจ้าของข้อมูล

โดยกฎหมายนี้ได้เริ่มบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 ให้ความคุ้มครองข้อมูล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งอาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้

PDPA ทำให้ผู้ประกอบการ องค์กร และบริษัทต่างๆ ต้องปรับเปลี่ยนกระบวนการเก็บรวบรวมและนำข้อมูลส่วนตัวของเจ้าของข้อมูลไม่ว่าจะเป็น ลูกค้า พนักงานในองค์กร หรือบุคคลใดๆ ที่เกี่ยวข้องให้เป็นไปตามหลักปฏิบัติของ PDPA

PDPA มีวัตถุประสงค์ให้ประชาชนมีความปลอดภัยในการใช้บริการ การค้า การติดต่อดำเนินการที่นำข้อมูลส่วนบุคคลให้ไว้กับหน่วยงานหรือร้านค้าใดๆ ได้รับการปกป้องอย่างดีที่สุด โดยหน่วยงานที่เก็บข้อมูลต้องจัดเก็บข้อมูลตามหลักการ แนวปฏิบัติ เป็นแบบแผนตาม PDPA รวมถึงทำตามกฎหมายลูกที่ทยอยประกาศให้ประชาชนศึกษาและภาคธุรกิจได้นำไปปรับใช้

นอกจากนี้ เมื่อมีการเก็บข้อมูลที่เป็นระบบแล้ว จะต้องมีการทำลายเอกสารที่เป็นขั้นตอน เพื่อป้องกันไม่ให้ข้อมูลรั่วไหล เช่น หากทิ้งข้อมูลโดยที่ยังไม่ได้ทำลายเอกสารอาจถูกมิจฉาชีพนำไปใช้ รวมถึงมีผู้นำข้อมูลไปขายให้แก๊งคอลเซ็นเตอร์ ซึ่งต่อจากนี้กฎหมายฉบับนี้จะให้ความคุ้มครอง โดยผู้เก็บรักษาข้อมูลจะนำไปใช้ หรือทำให้เกิดความเสียหายแก่ประชาชนไม่ได้

PDPA เป็นหัวใจสำคัญในการสร้างความเชื่อมั่นสำหรับการค้าและการลงทุนในระบบดิจิทัล เพราะถ้ามีความเชื่อมั่นจะทำให้การค้าการลงทุนเติบโต หากประชาชนไม่เชื่อมั่น ไม่ยอมให้ข้อมูล เศรษฐกิจการค้าจะลดลง อีกทั้งยังเป็นกฎหมายสากลที่หลายประเทศทั่วโลกได้ปรับใช้ 

ทั้งนี้ เมื่อมีความมั่นคงและความเชื่อมั่นแล้ว เชื่อว่าจะสร้างเป้าหมายให้เศรษฐกิจเติบโต และจะสร้างให้การค้าการขายดีขึ้น ส่งผลให้เศรษฐกิจเติบโตมากขึ้นผ่านการใช้กฎหมายควบคู่กับการนำระบบดิจิทัลเข้ามาผนวกใช้ โดยตั้งเป้าหมายในอีก 4-5 ปีข้างหน้าเศรษฐกิจดิจิทัลจะเติบโตถึง 30% หากร่วมมือกันผลักดันใช้กฎหมายการส่งเสริมการลงทุน และผู้ประกอบการปรับตัวให้สามารถแข่งขันได้ ทั้งในประเทศและในระดับโลก 

หลังจากประกาศใช้ PDPA เกิดกระแสวิพากษ์วิจารณ์ผ่านโซเชียลมิเดียที่อาจสร้างความเข้าใจคลาดเคลื่อน ทั้งที่จริงๆ แล้วจุดประสงค์หลักคือจัดเก็บข้อมูลส่วนบุคคลของประชาชน และประชาชนมีสิทธิปกป้องข้อมูลของตน อีกทั้งสามารถฟ้องร้องได้หากได้รับการละเมิดข้อมูลส่วนบุคคล ขณะเดียวกันภาครัฐและภาคธุรกิจที่มีการใช้ประโยชน์ข้อมูลเพื่อธุรกิจต้องปฏิบัติตามแนวทางของกฎหมายอย่างเคร่งครัด ซึ่งกฎหมายลูกได้ประกาศใช้แล้ว 6 ฉบับจาก 8 ฉบับ มีแนวทางให้ดำเนินการเพื่อลดปัญหาข้อมูลรั่วไหล

สำหรับภาคธุรกิจที่มีความกังวลต่อกฎหมาย เรื่องการลงโทษทางอาญา เนื่องจากมีการลงโทษโดยการจำคุกสูงสุด 1 ปี ซึ่งโทษอาญามี 2 กรณีที่ต้องรู้ 

1.โทษอาญาเป็นเรื่องของข้อมูลอ่อนไหวที่ชัดเจนโดยในกฎหมายได้ระบุไว้ เช่น ข้อมูลสุขภาพ ข้อมูลความเชื่อทางศาสนา ข้อมูลรสนิยมทางเพศ หากผู้ประกอบการธุรกิจไม่ได้นำข้อมูลไปใช้ หรือเผยแพร่จะไม่โดนโทษทางอาญา 

2. กรณีที่จะโดนโทษทางอาญาไม่ใช่สำนักงานคุ้มครองฯ เป็นผู้สั่งลงโทษ แต่ศาลจะเป็นผู้พิจารณาถึงเจตนา หากไม่มีเจตนาเมื่อโดนฟ้องร้องอย่างไรก็ไม่ได้รับโทษตามกฎหมาย แต่ต้องนำหลักฐานมาพิสูจน์ว่าไม่มีเจตนาล่วงละเมิดข้อมูลส่วนบุคคลที่นำไปขาย หรือใช้ประโยชน์นอกเหนือจากที่ตกลงไว้

ขณะที่โทษทางแพ่ง หากมีการละเมิดสิทธิก็อาจมีการฟ้องร้องเกิดขึ้นได้ ซึ่งอยู่ภายใต้ดุลพินิจของศาล แต่ช่วงระหว่างนี้ยังเป็นช่วงการปรับตัว จึงอยู่ระหว่างการดำเนินงานและมีข้อยกเว้นให้บางกรณีดังกฎหมายปรากฏให้บางธุรกิจ เช่น SMEs มีข้อยกเว้นในการปรับใช้กฎหมาย

ทั้งนี้ การดำเนินกฎหมายเพื่อไม่ให้เป็นภาระแก่ประชาชน และภาคธุรกิจ สามารถติดต่อทางสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เพื่อให้ข้อมูลและแนวทางปฏิบัติตามกฎหมายได้

PDPA มีส่วนสำคัญในการประกอบธุรกิจสำหรับ SMEs อยู่มาก แม้ช่วงแรกจะมีการคัดค้านเพราะจะสร้างภาระต่อ SMEs ให้ปรับตัวอย่างมาก ขณะเดียวกันภาคธุรกิจรายใหญ่อาจไม่ได้รับผลกระทบมากนัก ซึ่งการออกกฎหมายลูกโดยนำขนาดองค์กรและรายได้มากำหนดเงื่อนไขยังคงเป็นปัญหา เนื่องจากการทำธุรกิจมีขึ้นมีลง รายได้จึงอาจไม่คงที่ การแบกรับภาระการลงทุนทำระบบให้สอดรับกับกฎหมายของ SMEs ให้ครบทั้งหมดยังเป็นไปได้ยาก 

สมาพันธ์เอสเอ็มอีไทยมีข้อเสนอแนะแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ดังนี้

1. เร่งออกกฎหมายระดับรอง

2.จัดทําหรือสนับสนุนกํารจัดทําแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลให้แก่ SMEs แต่ละหมวดธุรกิจและแต่ละฟังก์ชั่นธุรกิจของ SMEs

3. จัดทําหรือสนับสนุนการจัดทําตัวอย่างเอกสาร (Template) ที่ SMEs แต่ละหมวดธุรกิจ และแต่ละฟังก์ชั่นธุรกิจของ SMEs ต้องใช้

4. ลดหย่อนภาษีสําหรับกํารปฏิบัติตาม PDPA ของภาคธุรกิจ

5. สนับสนุนงบประมาณสําหรับการปฎิบัติตาม PDPA ให้แก่ SMEs

6. สร้างแรงจูงใจให้ SMEs ปฏิบัติตาม PDPA

7. สร้างแรงจูงใจให้องค์กรที่มีผู้ค้าและลูกค้าจํานวนมาก ส่งเสริมให้ความรู้ความเข้าใจด้าน PDPA แก่ลูกค้าหรือคู่ค้า

8. จัดอบรมให้ความรู้แก่นิสิตนักศึกษา ที่เข้ําสู่ตลาดแรงงานกว่า 400,000 คนต่อปี ได้มีความรู้และความเข้าใจเกี่ยวกับ PDPA