ฟังชัด ๆ ภาคเอกชนกังวลเรื่องอะไร กับการบังคับใช้กฎหมาย PDPA

19 มิ.ย. 2565 | 16:41 น.
อัปเดตล่าสุด :20 มิ.ย. 2565 | 00:01 น.
959

จากที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีผลบังคับใช้แล้วตั้งแต่วันที่ 1 มิถุนายน 2565 มีเป้าหมายเพื่อสร้างความเชื่อมั่นให้กับประชาชน ว่าข้อมูลส่วนบุคคลจะถูกนำไปใช้อย่างเป็นธรรม โปร่งใส และได้รับการดูแลมิให้มีการนำข้อมูลไปใช้งานในทางที่ผิด

 

นอกจากนี้เพื่อยกระดับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของไทยให้ทัดเทียมนานาประเทศ ในมุมมองของผู้นำภาคเอกชนที่มีเครือข่ายสมาชิกกว่า 1 แสนรายทั่วประเทศ นายสนั่น  อังอุบลกุล ประธานกรรมการหอการค้าไทย และสภาหอการค้าแห่งประเทศไทย มีมุมมองอย่างไรนั้น ได้ให้สัมภาษณ์กับ “ฐานเศรษฐกิจ” คำต่อคำดังนี้

 

-พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล กับผลด้านบวกและด้านลบต่อผู้ประกอบการ

ตามที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 เป็นเรื่องที่ดี ที่มีการใช้เพื่อยกระดับมาตรฐานของประเทศไทยให้เป็นสากล

 

แต่ขณะนี้กฎหมายลำดับรองยังออกมาไม่ครบ อย่างไรก็ดี การที่มีกฎหมายลำดับรองทยอยออกมาเป็นเรื่องดี แต่หากไม่มีรายละเอียดของกฎหมายลำดับรองที่จำเป็นอย่างครบถ้วน จะเกิดการลงทุนในการปรับปรุงระบบที่ซ้ำซ้อนหรือไม่ถูกต้องได้  

 

โดยทำให้หน่วยงานภาครัฐและภาคเอกชน ตั้งแต่ธุรกิจขนาดเล็ก SME ไปจนถึงธุรกิจขนาดใหญ่ รวมทั้งประชาชนทั่วไป ต้องเก็บรวบรวม หรือเปิดเผยข้อมูลส่วนบุคคล ตามหลักเกณฑ์ วิธีการ และเงื่อนไขใน พ.ร.บ. ซึ่งมีรายละเอียดที่ซับซ้อน อีกทั้งต้องใช้เทคโนโลยีขั้นสูง เพื่อให้การคุ้มครองข้อมูลส่วนบุคคล ซึ่งจะก่อให้เกิดปัญหากับภาคธุรกิจได้  ผนวกกับปัญหาเศรษฐกิจในปัจจุบันอาจถือเป็นการซ้ำเติมผู้ประกอบการ ที่ทำให้เกิด การลงทุน การเปลี่ยนกระบวนการ และค่าใช้จ่ายมากขึ้น และซ้ำซ้อน

 

สนั่น  อังอุบลกุล

 

 

โดยภาคเอกชนห่วงการบังคับใช้โดยเฉพาะบทลงโทษ เนื่องด้วยกฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดโทษสูง ทั้งทางแพ่ง ทางปกครอง และอาญา ซึ่งมีโทษปรับและจำคุก แต่แนวปฏิบัติและหลักเกณฑ์ต่าง ๆ ยังไม่ชัดเจน  ทำให้ภาคธุรกิจมีความเสี่ยงสูงต่อการถูกลงโทษ ตามกฎหมายโดยไม่สมควร

 

อีกทั้งอาจเป็นโอกาสให้ผู้ไม่ประสงค์ดีใช้ช่องว่างของกฎหมายเพื่อสร้างความเดือดร้อนให้ผู้ประกอบการและประชาชน  โดยการหาประโยชน์ที่ไม่เหมาะสมจึงเป็นเหตุให้ภาคเอกชนต้องรับภาระเสี่ยงต่อความรับผิดทางกฎหมาย

 

ดังนั้น จึงต้องการให้ภาครัฐได้ทบทวนการบังคับใช้   โดยพิจารณาออกบทเฉพาะกาลในการยกเว้นการบังคับใช้บทลงโทษในกฎหมายดังกล่าวออกไป  โดยเฉพาะการเปิดเผยข้อมูลบางอย่างแล้วไปตีความเป็นความลับจะถูกลงโทษทางอาญา ซึ่งภาคเอกชนกลัวมาก คือ ทำอะไรผิดนิดเดียวกลายเป็นคดีอาญา อีกทั้งอยากให้มีกฎหมายลูกที่ชัดเจนด้วย

 

-หอการค้าฯและสภาหอการค้าฯ มีการดำเนินการเพื่อเตรียมความพร้อมสมาชิกในเรื่องนี้อย่างไร

จากการสำรวจข้อมูล โดยหอการค้าไทย และสภาหอการค้าแห่งประเทศไทย ร่วมกับมหาวิทยาลัยหอการค้าไทย ได้สำรวจความพร้อมของภาคธุรกิจในการดำเนินการตาม พ.ร.บ.การคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 สอบถามความเห็น 3,988 บริษัททั่วประเทศ แบ่งเป็น ภาคบริการ 42.3% และภาคอุตสาหกรรมและการสินค้า 57.7%

 

 

ฟังชัด ๆ ภาคเอกชนกังวลเรื่องอะไร กับการบังคับใช้กฎหมาย PDPA

 

สำหรับประเด็นความพร้อมในการดำเนินการตามกฎหมายดังกล่าว มีบริษัทที่ระบุว่าดำเนินการเสร็จแล้วเพียง 8% ดำเนินการเกือบเสร็จสมบูรณ์ 22% รวมทั้งอยู่ระหว่างการดำเนินการ 39% และยังไม่เริ่มดำเนินการ 31%

 

ส่วนเรื่องงบประมาณที่บริษัทใช้เตรียมความพร้อม พบว่าใช้งบประมาณในการอบรมพนักงานมากที่สุด 32.1% รองลงมาเป็นการพัฒนาเทคโนโลยีและกระบวนการภายใน 21.1% การซื้อซอฟต์แวร์การจัดการจากภายนอก 16.5% การจ้างที่ปรึกษาภายนอก 14.1%

 

นอกจากนี้ หัวข้อเตรียมความพร้อมที่ยากที่สุดใน PDPA พบว่า 36.8% การทำ RoPA (Records of Processing Activity) มากที่สุด 36.8% รองลงมาเป็น การให้แต่ละฝ่ายทำความเข้าใจ PDPA 12.1% และการทำเอกสารขอความยินยอม 11.3% เช่นกัน

 

สำหรับธุรกิจที่ได้รับผลกระทบมากสุด คือ ธุรกิจที่มีฐานข้อมูลลูกค้าในมือจำนวนมาก ทั้งธุรกิจบริการและการค้า โดยบริษัทขนาดใหญ่ที่มีเงินทุน ได้เตรียมความพร้อมรองรับการปรับระบบบ้างแล้วถือเป็นต้นทุนสูง ในขณะที่เอสเอ็มอีไม่มีเงินทุนปรับระบบตามกฎหมาย

 

-ประเด็นที่ยังเป็นข้อกังวลต่อการบังคับใช้กฎหมาย

เชื่อว่า ยุคแห่งความวุ่นวายและสับสนของ PDPA จะเกิดขึ้นแน่นอน เพราะหนึ่ง เป็นกฎหมายใหม่ กลายเป็นต้นทุนและองค์ความรู้ใหม่ที่ภาคธุรกิจทั้งหลายต้องรับมือ เช่น จะเกิดความเข้าใจผิด เข้าใจว่า PDPA เป็นเรื่องของลูกค้า จริง ๆ แล้วครอบคลุมข้อมูลส่วนบุคคลของทุก ๆ คนที่องค์กรเก็บ เรื่องที่ 2 คิดว่า PDPA เป็นเรื่องของไอที

 

แต่ความจริง PDPA ครอบคลุมทั้งเอกสาร สัญญา กระบวนการทำงาน ไอทีและไอซีที และเรื่องที่ 3 คิดว่า PDPA มอบให้ใครก็ได้ในองค์กรไปทำ แต่จริง ๆ แล้วผู้บริหาร กรรมการ และเจ้าของคือผู้ที่ต้องรับผิดชอบตามกฎหมายซึ่งมีโทษทั้งจำคุกสูงสุด 1 ปี และปรับไม่เกิน 5 ล้านบาท ทั้งสามเรื่องนี้ กำลังสร้างปัญหาระยะยาวแก่ภาคธุรกิจ

 

-สิ่งที่ผู้ประกอบการต้องเร่งดำเนินการเพื่อให้สอดรับกับการบังคับใช้กฎหมายนี้มีอะไรบ้าง

ต้องศึกษาข้อมูล และเข้าใจกฎหมายนี้ โดยจริง ๆ แล้วต้องอาศัยหน่วยงานที่กำกับดูและช่วยกัน ควรจัดสัมมนาอบรมให้ความรู้กับภาคธุรกิจและประชาชนให้มากขึ้น เนื่องจากขณะนี้มีการตีความกฎหมายไปคน ละทิศ คนละทางทำให้เกิดความสับสน และเป็นอุปสรรคต่อการปฏิบัติตามกฎหมาย

 

-ในการดำเนินการดังกล่าวมีต้นทุนเพิ่มขึ้นด้านไหน อย่างไรบ้าง

การจัดสรรงบประมาณไปกับการดำเนินการ PDPA ส่วนใหญ่จะเป็นเรื่องการอบรมพนักงาน , การพัฒนาเทคโนโลยีและกระบวนการภายใน , การซื้อซอฟต์แวร์การจัดการจากภายนอก, การจ้างที่ปรึกษาภายนอก, การอบรม DPO และผู้บริหารให้ได้ Certification  รวมถึงการเตรียมความพร้อมในด้านอื่น ๆ เป็นต้น

 

-มีข้อมูลว่าในการเตรียมพร้อมของผู้ประกอบการเพื่อดำเนินการให้สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลต้องใช้งบกว่า 5 หมื่นล้านบาท ค่าใช้จ่ายนี้มาจากค่าอะไรบ้าง

สภาหอการค้าแห่งประเทศไทย มองว่าเมื่อมีผลบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 แล้วผู้ประกอบการทั่วประเทศไทยราว 6-7 แสนราย จะต้องใช้เงินลงทุนระบบอย่างน้อย 50,000 ล้านบาท

 

ทั้งนี้ แบ่งเป็น ค่าใช้จ่ายในการจ้างทีมงานอบรมพนักงาน ค่าใช้จ่ายในการปรับระบบคอมพิวเตอร์ในการเชื่อมโยงข้อมูลของลูกค้า พร้อมกับการแจ้งลูกค้าเกี่ยวกับการปรับใช้ข้อมูล  ตามกฎหมายฉบับใหม่ เป็นต้น  

 

โดยภาคธุรกิจบริษัทใหญ่ที่มีเงินทุน ได้เตรียมความพร้อมรองรับการปรับระบบบ้างแล้ว และถือเป็นต้นทุนที่สูง แต่สำหรับกลุ่มของผู้ประกอบการธุรกิจขนาดกลางและขนาดเล็ก (SMEs) ซึ่งมีจำนวนมาก  จะไม่มีเงินทุนที่จะปรับระบบให้เป็นไปตามมาตรฐานของกฎหมาย