แชร์

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล : ความหวังของสังคมไทย

อัพเดทล่าสุด: 24 ต.ค. 2024
403 ผู้เข้าชม

อย่างไรก็ตาม ผู้เขียนเชื่อว่าผู้ประกอบการรายใหญ่ของประเทศ ภาคอุตสาหกรรมต่าง ๆ และกลุ่มธุรกิจที่อยู่ภายใต้การกำกับดูแลหรือการอนุญาตของหน่วยงานรัฐ เช่น บริษัทจดทะเบียนในตลาดหลักทรัพย์ กลุ่มธุรกิจสถาบันการเงิน กลุ่มธุรกิจประกันภัย กิจการโทรคมนาคม หรือ รัฐวิสาหกิจต่าง ๆที่เป็นผู้ใช้ข้อมูลส่วนบุคคลรายใหญ่ของประเทศที่มีฐานลูกค้าหรือผู้ใช้บริการจำนวนมากต่างได้รับทราบและตระหนักถึงความสำคัญของการสร้างธรรมภิบาลของการใช้ข้อมูลส่วนบุคคลภายในองค์กร ให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เป็นอย่างดี รวมถึงเข้าใจถึงความจำเป็นของประเทศไทยในการที่จะต้องมีการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ให้สอดคล้องกับมาตรฐานสากล เพื่อให้ประเทศไทยเป็นประเทศผู้นำเข้าข้อมูลได้โดยที่ไม่มีข้อจำกัดทางการค้า หรือถูกทำให้สูญเสียความสามารถในการแข่งขันหรือโอกาสต่าง ๆ อันเนื่องมาจากสภาพไม่พร้อมใช้บังคับของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

ในโอกาสที่มีการแต่งตั้งคณะกรรมการที่มีอำนาจหน้าที่ตามกฎหมายครบถ้วนแล้ว ผู้เขียนในฐานะเจ้าของข้อมูลส่วนบุคคลคนหนึ่งที่กฎหมายฉบับนี้ได้บัญญัติรับรองและยืนยันสิทธิในความเป็นส่วนตัวเอาไว้ จึงขอฝากความหวังไปยังคณะกรรมการทุกท่าน ให้เร่งดำเนินการเพื่อสร้างความเชื่อมั่นต่อการที่ประเทศไทยจะมีการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลไปในทิศทางเดียวกับหลาย ๆ  ประเทศที่ได้นำ GDPR หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปมาเป็นต้นแบบในการตรากฎหมาย 

โดยเฉพาะในการเป็นกฎหมายที่คุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลจากการกระทำที่ไม่ชอบด้วยกฎหมาย ไม่เฉพาะเพียงแต่กรณีที่เกิดเหตุการณ์ข้อมูลรั่วไหลเท่านั้น แต่ยังรวมถึงการมีฐานทางกฎหมายในการประมวลผล การใช้ข้อมูลให้น้อยที่สุด สอดคล้องกับวัตถุประสงค์ที่ชอบด้วยกฎหมายและเพียงเท่าที่จำเป็นเท่านั้น และประการสำคัญ ความโปร่งใส ในการประมวลผลข้อมูลส่วนบุคคล

แต่การมีคณะกรรมการอาจไม่ใช่ แก้วสารพัดนึก ที่จะมาช่วยสร้างและเปลี่ยนพฤติกรรมการใช้ ข้อมูลในระบบธุรกิจได้ภายในระยะเวลาอันสั้น คณะกรรมการเองก็จำเป็นอย่างยิ่งที่ต้องให้ แนวทาง หรือ Guideline ที่ชัดเจนแก่ผู้เกี่ยวข้องว่าอะไรทำได้ หรือทำไม่ได้ 

เพราะต้องยอมรับว่าแม้แต่ในสหภาพยุโรปที่มีการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในระดับสหภาพมาตั้งแต่ปี 1995 ก่อนจะมาปรับปรุงครั้งใหญ่ในปี 2016 ก็ยังมีข้อถกเถียงและการตีความต่าง ๆ จำนวนมากเกี่ยวกับสภาพการบังคับใช้ของกฎหมาย พฤติกรรมต่าง ๆ ที่เกี่ยวเนื่องกับการใช้ข้อมูล 

เอาแค่ว่า อะไรบ้างคือ ความยินยอม ที่ชอบด้วยกฎหมาย ใครคือ ผู้ควบคุมข้อมูลส่วนบุคคล ใครคือ ผู้ประมวลผลข้อมูลส่วนบุคคล หรือ ข้อมูลส่วนบุคคล หมายความรวมถึงอะไรบ้าง ยังต้องมีการตีความกันยืดยาว มีการออก Guideline จำนวนมากจากหน่วยงานบังคับใช้กฎหมายเพื่อสร้างกติการ่วมกันในการประมวลผลข้อมูลส่วนบุคคล 

ดังนั้น ประเทศไทยที่ไม่เคยมีประสบการณ์ในการบังคับใช้กฎหมายลักษณะนี้เลยยิ่งมีความต้องการที่จะได้ข้อแนะนำและทิศทางจากคณะกรรมการอย่างมาก

ผู้เขียนจึงเห็นว่า ภารกิจแรก ๆ ที่มีความสำคัญเป็นอันดับต้น ๆ ของคณะกรรมการ น่าจะมีดังนี้
(1)สร้างความเชื่อมั่นต่อสาธารณะว่ากฎหมายจะถูกใช้บังคับในวันที่ 1 มิถุนายน 2565 อย่างเป็นธรรมและไม่มีเหตุผลและความจำเป็นที่จะต้องเลื่อนการบังคับใช้กฎหมายอีกต่อไป เพราะผู้ที่ไม่ปรับตัวก็จะยังคงไม่ปรับตัวต่อไป เนื่องจากเชื่อว่ากฎหมายจะไม่ใช้บังคับ (ท่านต้องทำลายความเชื่อนี้)
(2)เร่งสร้างความชัดเจนในการบังคับใช้กฎหมาย โดยเฉพาะการมีกฎหมายลำดับรองที่จำเป็นต่อการดำเนินงานของภาคส่วนที่เกี่ยวข้อง
(3)สร้างความเชื่อมั่นและความตระหนักรู้ถึงสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยเฉพาะการให้ความรู้แก่กลุ่มผู้บริโภคและภาคประชาสังคม
(4)ในช่วงที่อาจจะยังขาดความชัดเจนในบางเรื่อง Enforcement Priority ของคณะกรรมการจะไปในทิศทางไหน เช่น องค์กรอาจจะมี Privacy Notice แล้วแต่ยังอาจจะไม่ถูกต้องครบถ้วน มีการปรับปรุงกระบวนการทำงานแล้ว แต่ก็อาจจะยังมีบางส่วนหรือหลายส่วนที่อาจจะไม่สมบูรณ์ กรณีแบบนี้ หากมีการร้องเรียนคณะกรรมการจะดำเนินการอย่างไร เป็นต้น
(5)จัดตั้งสำนักงานฯ ตามเงื่อนไขที่กฎหมายกำหนดเพื่อให้มีหน่วยธุรการซึ่งจะเข้ามาผลักดันและส่งเสริมการทำงานของคณะกรรมการ

ระบบเศรษฐกิจดิจิทัลของประเทศไทยจะไปในทิศทางไหน การคุ้มครองสิทธิในความเป็นส่วนตัวของพลเมืองจะเป็นไปตามแนวทางสากลได้หรือไม่ ขึ้นอยู่กับกรรมการทุกท่านในการสามารถสร้างสมดุลของการบังคับใช้กฎหมาย ระหว่าง free flow of data และ right to data privacy ซึ่งไม่ใช่เรื่องง่าย แต่คือสิ่งที่ทุกท่านอาสามาทำให้สำเร็จ.

 

Ref:  https://www.bangkokbiznews.com/columnist/983518
คอลัมน์ : Tech, Law and Security 


ศุภวัชร์ มาลานนท์
มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี


พรชัย วิสุทธิศักดิ์
มหาวิทยาลัยเชียงใหม่


สุทธิชัย งามชื่นสุวรรณ
มหาวิทยาลัยสงขลานครินทร์

Tags :
การคุ้มครองข้อมูลส่วนบุคคล
GDPR
บทความที่เกี่ยวข้อง
คุณสมบัติของ Data Protection Officer และหน้าที่ขององค์กร
คุณสมบัติของ Data Protection Officer และหน้าที่ขององค์กร
คุณสมบัติของ DPO และหน้าที่ขององค์กรผู้ประกอบการควรสรรหา DPO ที่เป็นผู้มีความรู้ความเข้าใจทั้งทางด้านกฎหมาย เทคโนโลยี และลักษณะของกิจการ
13 ส.ค. 2024
การเก็บข้อมูลเกี่ยวกับโควิด 19 ของพนักงานทำได้หรือไม่
การเก็บข้อมูลเกี่ยวกับโควิด 19 ของพนักงานทำได้หรือไม่
มาตรการบังคับให้บุคคลต้องแสดงข้อมูลการฉีดวัคซีนโควิด 19 หรือแสดงผลตรวจเชื้อโควิด 19 ก่อนเข้ามาในสถานที่ เป็นประเด็นถกเถียงในสังคมไทย
6 ส.ค. 2024
OLVG กรณีศึกษาเหตุข้อมูลรั่วไหลของโรงพยาบาล
OLVG กรณีศึกษาเหตุข้อมูลรั่วไหลของโรงพยาบาล
การรั่วไหลของข้อมูลการรักษาคนไข้ในโรงพยาบาล OLVG ถูกสั่งปรับมากถึง 440,000 EUR เป็นกรณีศึกษาถึงการย่อหย่อนในมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล
1 ก.ค. 2024
เว็บไซต์นี้มีการใช้งานคุกกี้ เพื่อเพิ่มประสิทธิภาพและประสบการณ์ที่ดีในการใช้งานเว็บไซต์ของท่าน ท่านสามารถอ่านรายละเอียดเพิ่มเติมได้ที่ ประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) และ นโยบายคุกกี้
เปรียบเทียบสินค้า
0/4
ลบทั้งหมด
เปรียบเทียบ
Powered By MakeWebEasy Logo MakeWebEasy