นายเธียรชัย ณ นคร ประธานกรรมการ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (พ.ศ.2562) หรือ PDPA (Personal Data Protection Act (B.E.2562) จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน2565 นี้แน่นอน หลังจากที่ได้เลื่อนการประกาศใช้มาแล้ว 2 ปี โดยเร่งเดินหน้าให้ความรู้ และสร้างความตระหนักในเรื่องสิทธิ์ของเจ้าของข้อมูลส่วนบุคคลแก่ประชาชน และส่งเสริมให้องค์กรภาครัฐและเอกชน ตระหนักถึงการต้องปฏิบัติตามกฎหมายฉบับนี้ ซึ่งเนื้อหาหลักของกฎหมายฉบับนี้ คือ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด จะต้องมีการขอจากเจ้าของข้อมูลส่วนบุคคลหรือตามที่มีการบัญญัติไว้ในกฎหมายฉบับนี้ จะต้องมีการบอกกล่าวถึงวัตถุประสงค์ในการนำข้อมูลไปใช้ และใช้ตรงตามวัตถุประสงค์ที่ระบุ อีกทั้งยังให้ความสำคัญกับการให้สิทธิแก่ “เจ้าของข้อมูลส่วนบุคคล” ที่สามารถขอให้เปลี่ยนแปลง แก้ไข ขอสำเนา ขอให้ลบได้ หากไม่ขัดกับหลักการหรือข้อกฎหมายใด ๆ และองค์กรที่ได้ข้อมูลส่วนบุคคลมาจะต้องมีมาตรการ และมาตรฐานในการบริหารจัดการดูแลข้อมูลเหล่านี้อย่างเหมาะสมและปลอดภัย
ประเทศไทยมีความจำเป็นที่จะต้องมีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เพราะการคุ้มครองข้อมูลส่วนบุคคลเป็นหลักสากลที่ประเทศต่างๆให้ความสำคัญ โดยเฉพาะคู่ค้าสำคัญของประเทศไทยที่ต่างนำหลักการคุ้มครองข้อมูลส่วนบุคคลมาตราเป็นกฎหมายเพื่อคุ้มครองประชาชนในประเทศของตนเอง เริ่มจากสหภาพยุโรป มีกฎหมายชื่อ General Data Protection Regulation หรือ GDPR บังคับใช้ไปตั้งแต่ปี 2561 ทำให้ประเทศต่างๆเริ่มมีกฎหมายลักษณะเดียวกัน เช่นสิงคโปร์ มาเลเซีย อินโดนีเซีย ฟิลิปปินส์ ญี่ปุ่น เกาหลีใต้ ไต้หวัน ฮ่องกง และจีน ขณะเดียวกันประเทศไทยมีการละเมิดข้อมูลส่วนบุคคลเพิ่มมากขึ้น และองค์กรต่างๆไม่ตระหนักถึงการรักษาความปลอดภัยของข้อมูลที่เก็บจากประชาชนหรือลูกค้าของตน ทำให้ข้อมูลมีการรั่วไหลออกไปยังผู้ที่ไม่ประสงค์ดีต่อเจ้าของข้อมูลส่วนบุคคล
การมีกฎหมาย PDPA นอกจากจะช่วยในการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลแล้ว ยังทำให้องค์กรที่เก็บข้อมูลส่วนบุคคลต้องมีการทบทวนถึงความจำเป็นของการเก็บ ประมวลผลและใช้ข้อมูลว่ามีความจำเป็นมากน้อยเพียงใด ต้องให้ความสำคัญกับข้อมูลส่วนบุคคลว่าได้มาอย่างไร เก็บรักษาอย่างไร และใช้อย่างไร เพื่อลดต้นทุนในการบริหารจัดการ การเก็บ ประมวลผล และใช้ รวมทั้งให้สิทธิแก่เจ้าของข้อมูลและการรักษาความปลอดภัยของข้อมูล ซึ่งจะทำให้องค์กรสามารถใช้ประโยชน์จากข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพในระยะยาว
“ขณะเดียวกันความเป็นสากลของการคุ้มครองข้อมูลส่วนบุคคลที่ระบุใน PDPA ยังเป็นเครื่องมือหนึ่งที่จะช่วยให้การทำธุรกิจที่อาศัยข้อมูลผ่านสื่อและอุปกรณ์ดิจิทัลระหว่างไทยกับประเทศต่างๆเป็นไปโดยราบรื่นและมีฐานะที่เท่าเทียมกัน และทำให้ไม่ว่าองค์กรต่างๆที่อยู่ต่างประเทศ หากมีการเก็บข้อมูลคนในประเทศไทย ต้องปฏิบัติตามกฎหมายฉบับนี้ ถ้าเราทำให้ต่างประเทศมั่นใจในมาตรการ สิ่งที่ตามมาคือความมมั่นใจในการลงทุน ” นายเธียรชัย กล่าว
มีหลายๆองค์กรกังวลกับกฎหมายฉบับนี้ว่ามีบทลงโทษที่มากเกินไป เช่นการลงโทษทางอาญาที่มีโทษจำคุกสูงสุด 1 ปี หรือโทษทางปกครองที่ปรับได้ถึง 5 ล้านบาท และคิดว่าการลงโทษแบบนี้ในต่างประเทศไม่มี ซึ่งโดยข้อเท็จจริงแล้วหลายๆประเทศในอาเซียนมีบทลงโทษทางอาญาเช่นกัน ส่วนโทษทางปกครองนั้นทางคณะกรรมการกำลังยกร่างเพื่อกำหนดโทษแบบจากเบาไปหาหนัก เพื่อไม่ให้สร้างความตระหนกแก่องค์กรต่างๆมากเกินไป
“ กฎหมายจำเป็นต้องบังคับใช้วันที่ 1 มิ.ย. แต่ขออย่าได้กังวล เพราะสำนักงานกำลังทำกรอบแนวทางในการพิจารณาแนวทางที่เหมาะสมเพื่อใช้ประกอบในการวินิจฉัย สำหรับช่วงก่อนวันที่ 1 มิ.ย.นี้ ทางคณะกรรมการจะทยอยประกาศกฎหมายรองที่จะทำให้เกิดความชัดเจนในการปฎิบัติซึ่งจะทำให้องค์กรต่างๆปรับตัวเข้าสู่การใช้ PDPA ได้อย่างราบรื่น ”