รมว.ดีอี เผย แม้ยังไม่ชัดเจนว่ากฎหมาย GDPR จะสามารถบังคับใช้นอกยุโรปได้หรือไม่ แต่ก็เตรียมพร้อมรับมือเต็มที่ เร่งเชิญตัวแทนอียูทำความเข้าใจร่วมกันช่วงต้นเดือนหน้า ส่วน กม. ข้อมูลฯ ของประเทศไทยแม้ยังไม่มีการบังคับใช้ ด้าน ETDA ชี้คนยุโรปเที่ยวไทยเป็นอันดับสอง กว่า 6 ล้านคน เม็ดเงินสะพัดเกือบ 5 แสนล้านบาท จึงจำเป็นต้องศึกษา และให้ความรู้เกี่ยวกับ GDPR อย่างละเอียด เพื่อไม่ให้เสียเปรียบ และถูกกดดันจากประเทศอื่น
นายพิเชฐ ดุรงคเวโรจน์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดเผยว่า กฎหมายคุ้มครองข้อมูลส่วนบุคคล General Data Protection Regulation: GDPR ของสหภาพยุโรป ที่จะมีผลบังคับใช้ในวันที่ 25 พ.ค. 2561 ประเทศไทยก็ตื่นตัวเพื่อตั้งรับเหมือนกับประเทศอื่นๆ เช่นกัน
“ที่ผ่านมา ยังไม่เคยมีประเทศไหนที่มีการออกกฎหมายอย่างจริงจังแบบนี้มาก่อน และไม่แน่ใจว่า การบังคับใช้กฎหมายระหว่างประเทศจะใช้ได้หรือไม่ ซึ่งโดยปกติแล้ว WTO หรือ สหประชาชาติ จะเป็นองค์กรที่คอยประสานเรื่องระหว่างประเทศ ดังนั้น ต้นเดือน มิ.ย. กระทรวงดีอี จะเชิญตัวแทนอียู มาชี้แจงทำความเข้าใจเกี่ยวกับกฎหมายดังกล่าว”
สำหรับประเทศไทย หนึ่งในร่างกฎหมายฉบับสำคัญในการพัฒนาประเทศ รองรับเศรษฐกิจและสังคมดิจิทัล คือ ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นกฎหมายที่จะสามารถดูแลคุ้มครองข้อมูลส่วนบุคคลในการดำเนินงานของทุกภาคส่วนที่เกี่ยวข้องทั้งหน่วยงานภาครัฐ และภาคเอกชน รวมถึงประชาชนทั่วไป ประกอบกับผลกระทบที่อาจเกิดขึ้นจากการมีผลบังคับใช้ของ GDPR อาจส่งผลกระทบต่อการดำเนินธุรกิจของผู้ประกอบการไทย
โดยเฉพาะผู้ประกอบการออนไลน์ ในกรณีที่มีการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของพลเมืองยุโรปตามเงื่อนไขที่ GDPR กำหนด
ส่งผลให้ทุกภาคส่วนจำเป็นต้องเตรียมความพร้อมสำหรับการดูแลข้อมูลส่วนบุคคล เพื่อให้สอดคล้องกับหลักการของกฎหมาย และพร้อมรับมือกับผลกระทบที่อาจเกิดขึ้นจากการมีผลใช้บังคับของ GDPR ด้วย
ทั้งนี้ ประเทศไทยยังขาดกฎหมายกลางในการดูแลข้อมูลส่วนบุคคล ซึ่งแม้ปัจจุบันจะมีกฎหมายหลายฉบับที่มีเนื้อหาเกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลอยู่บ้าง แต่หลักการของกฎหมายฉบับต่างๆ เหล่านี้เป็นเพียงการคุ้มครองข้อมูลส่วนบุคคลเฉพาะบางเรื่อง และกฎหมายบางฉบับให้ความคุ้มครองข้อมูลส่วนบุคคลไม่ครบถ้วน จึงยังเกิดช่องว่างในการคุ้มครองข้อมูลส่วนบุคคล
***ทำงานร่วม EDTA คุ้มครองข้อมูลส่วนบุคคลของประเทศ
กระทรวงดีอี จึงมอบหมายให้สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ ETDA จัดสัมมนาเรื่อง “ร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล และผลกระทบจาก GDPR เราควรเตรียมพร้อมอย่างไร” เมื่อวันที่ 18 พ.ค. 2561 เพื่อสร้างความเข้าใจในหลักการและแนวทางการคุ้มครองข้อมูลส่วนบุคคล และสามารถรับรู้เรื่อง GDPR ที่จะมีผลบังคับใช้ ซึ่งอาจส่งผลกระทบอยู่บ้าง พร้อมกับเสนอแนะแนวทางการเตรียมความพร้อม และการรับมือ เพื่อให้เห็นทิศทาง และความสำคัญในการผลักดันกฎหมาย (ร่าง) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
ในระหว่างที่รอกฎหมาย คุ้มครองข้อมูลส่วนบุคคลบังคับใช้ ซึ่งคาดว่าจะมีผลบังคับใช้ภายในปีหน้านั้น กระทรวงได้มอบหมายให้ ETDA ตั้ง ศูนย์ Data Protection Knowledge Center (DPKC) คู่ขนาน เพื่อสร้างความรู้ความเข้าใจ และความตระหนักในการดูแลข้อมูลส่วนบุคคลให้ประชาชน เพื่อสนับสนุนภารกิจด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศขึ้น
“กฎหมาย GDPR ของสหภาพยุโรป ที่กำหนดหลักเกณฑ์การคุ้มครองข้อมูลส่วนบุคคลของคนในสหภาพยุโรป ที่ให้เจ้าของข้อมูลสามารถควบคุมข้อมูลของตนได้ดียิ่งขึ้น ซึ่งหลักเกณฑ์ดังกล่าวยังขยายขอบเขตไปถึงการประมวลผลข้อมูลส่วนบุคคลของคนยุโรป ที่อยู่นอกเขตสหภาพยุโรปด้วย”
เรื่องดังกล่าวก่อให้เกิดความกังวลอย่างมาก แม้จะยังไม่ชัดเจนว่าจะรูปแบบการบังคับตามกฎหมายดังกล่าวนอกเขตสหภาพยุโรป จะเป็นอย่างไร เพราะหากธุรกิจไม่มีมาตรการดูแลข้อมูลส่วนบุคคลที่เพียงพอ อาจเกิดข้อติดขัดในการดำเนินธุรกิจอันกระทบระบบเศรษฐกิจในภาพรวมได้
ดังนั้น การที่ประเทศไทย ยังไม่มีกฎหมายเพื่อคุ้มครองคุ้มครองข้อมูลส่วนบุคคล และไม่มีมาตรฐานที่เทียบเท่าสากล จึงอาจเป็นอุปสรรคสำคัญทางการค้าการลงทุน หรือการพัฒนาประเทศในยุคที่โลกสามารถเชื่อมโยงกันอย่างไร้พรมแดน และอาจถูกกดดันจากต่างประเทศ ดังนั้น จึงจำเป็นต้องผลักดันให้ประเทศมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีความเข้มแข็ง และสามารถต่อสู้ในเวทีระหว่างประเทศได้อย่างทัดเทียม
ทั้งนี้ ประเทศไทยยังขาดกฎหมายกลางในการดูแลข้อมูลส่วนบุคคล ซึ่งแม้ปัจจุบันจะมีกฎหมายหลายฉบับที่มีเนื้อหาเกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลอยู่บ้าง แต่หลักการของกฎหมายฉบับต่างๆ เหล่านี้เป็นเพียงการคุ้มครองข้อมูลส่วนบุคคลเฉพาะบางเรื่อง และกฎหมายบางฉบับให้ความคุ้มครองข้อมูลส่วนบุคคลไม่ครบถ้วน จึงยังเกิดช่องว่างในการคุ้มครองข้อมูลส่วนบุคคล
***ทำงานร่วม EDTA คุ้มครองข้อมูลส่วนบุคคลของประเทศ
กระทรวงดีอี จึงมอบหมายให้สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ ETDA จัดสัมมนาเรื่อง “ร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล และผลกระทบจาก GDPR เราควรเตรียมพร้อมอย่างไร” เมื่อวันที่ 18 พ.ค. 2561 เพื่อสร้างความเข้าใจในหลักการและแนวทางการคุ้มครองข้อมูลส่วนบุคคล และสามารถรับรู้เรื่อง GDPR ที่จะมีผลบังคับใช้ ซึ่งอาจส่งผลกระทบอยู่บ้าง พร้อมกับเสนอแนะแนวทางการเตรียมความพร้อม และการรับมือ เพื่อให้เห็นทิศทาง และความสำคัญในการผลักดันกฎหมาย (ร่าง) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
ในระหว่างที่รอกฎหมาย คุ้มครองข้อมูลส่วนบุคคลบังคับใช้ ซึ่งคาดว่าจะมีผลบังคับใช้ภายในปีหน้านั้น กระทรวงได้มอบหมายให้ ETDA ตั้ง ศูนย์ Data Protection Knowledge Center (DPKC) คู่ขนาน เพื่อสร้างความรู้ความเข้าใจ และความตระหนักในการดูแลข้อมูลส่วนบุคคลให้ประชาชน เพื่อสนับสนุนภารกิจด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศขึ้น
“กฎหมาย GDPR ของสหภาพยุโรป ที่กำหนดหลักเกณฑ์การคุ้มครองข้อมูลส่วนบุคคลของคนในสหภาพยุโรป ที่ให้เจ้าของข้อมูลสามารถควบคุมข้อมูลของตนได้ดียิ่งขึ้น ซึ่งหลักเกณฑ์ดังกล่าวยังขยายขอบเขตไปถึงการประมวลผลข้อมูลส่วนบุคคลของคนยุโรป ที่อยู่นอกเขตสหภาพยุโรปด้วย”
เรื่องดังกล่าวก่อให้เกิดความกังวลอย่างมาก แม้จะยังไม่ชัดเจนว่าจะรูปแบบการบังคับตามกฎหมายดังกล่าวนอกเขตสหภาพยุโรป จะเป็นอย่างไร เพราะหากธุรกิจไม่มีมาตรการดูแลข้อมูลส่วนบุคคลที่เพียงพอ อาจเกิดข้อติดขัดในการดำเนินธุรกิจอันกระทบระบบเศรษฐกิจในภาพรวมได้
ดังนั้น การที่ประเทศไทย ยังไม่มีกฎหมายเพื่อคุ้มครองคุ้มครองข้อมูลส่วนบุคคล และไม่มีมาตรฐานที่เทียบเท่าสากล จึงอาจเป็นอุปสรรคสำคัญทางการค้าการลงทุน หรือการพัฒนาประเทศในยุคที่โลกสามารถเชื่อมโยงกันอย่างไร้พรมแดน และอาจถูกกดดันจากต่างประเทศ ดังนั้น จึงจำเป็นต้องผลักดันให้ประเทศมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีความเข้มแข็ง และสามารถต่อสู้ในเวทีระหว่างประเทศได้อย่างทัดเทียม
ด้านนางสุรางคณา วายุภาพ ผู้อำนวยการ ETDA กล่าวว่า นักท่องเที่ยวยุโรปเป็นนักท่องเที่ยวที่เดินเข้ามาในประเทศไทยเป็นอันดับสอง จากสถิติพบว่าในปี 2560 มีชาวยุโรปเข้ามาในประเทศไทย จำนวน 6.5 ล้านคน สร้างรายได้เข้าประเทศ 4.8 แสนล้านบาท
หลักการสำคัญของ GDPR คือ การเก็บข้อมูลส่วนบุคคลที่จัดเก็บต้องได้รับความยินยอมอย่างอิสระ ชัดเจน, มีการแจ้งวัตถุประสงค์ให้เข้าใจง่าย, ต้องแจ้งแก้ไข ลบ หรือหยุดการประมวลผล เมื่อไม่จำเป็นต้องเก็บ หรือไม่ประสงค์ให้นำข้อมูลไปใช้ และเพิ่มมาตรการแจ้งเหตุเมื่อข้อมูลไหลภายใน 72 ชั่วโมง หากไม่ปฏิบัติตามอาจถูกปรับ 4% ของผลประกอบการ หรือ 20 ล้านยูโร
อย่างไรก็ตาม ประเทศไทยก็มีการจัดตั้งสำนักงานคณะกรรมการข้อมูลส่วนบุคคล (ชั่วคราว) และศูนย์ DPKC เพื่อรับมือกับสิ่งที่จะเกิดขึ้นก่อนกฎหมายไทยจะประกาศใช้ โดยได้เริ่มหาบุคลากรมาทำงานเริ่มต้นก่อน 20 คน เมื่อมีสำนักงานตามกฎหมาย คาดว่าจะมีบุคลากรประมาณ 200 คน จากคนทุกภาคส่วน ซึ่งคณะกรรมการของสำนักงาน กระทรวงดีอี จะเป็นผู้คัดเลือก
สำหรับการสัมมนา “ร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล และผลกระทบจาก GDPR เราควรเตรียมพร้อมอย่างไร” เพื่อสร้างความตระหนัก และความเข้าใจ ให้คนไทยได้ตื่นตัวและเห็นความสำคัญในเรื่องของการดูแลข้อมูลส่วนบุคคล และความเป็นส่วนตัว เพราะการคุ้มครองข้อมูลส่วนบุคคล นอกจากจะเป็นสิทธิขั้นพื้นฐานตามกฎหมายรัฐธรรมนูญแล้ว ยังมีความเชื่อมโยงกับการรักษาความมั่นคงปลอดภัยไซเบอร์ด้วย
โดยเฉพาะอย่างยิ่ง การทำธุรกรรมต่างๆ ในปัจจุบัน หรือการให้บริการของหน่วยงานภาครัฐ และเอกชน ต่างใช้ระบบออนไลน์ หรือเทคโนโลยีดิจิทัลมากขึ้น หากหน่วยงานไม่ว่าทั้งรัฐ หรือเอกชน ได้มีมาตรการการคุ้มครองข้อมูลส่วนบุคคลสำหรับการทำธุรกรรม และการให้บริการดิจิทัลต่างๆ แล้ว ย่อมส่งผลต่อความน่าเชื่อถือของหน่วยงาน และของประเทศอีกด้วย
นอกจากนี้ ถ้าระบบการให้บริการทางออนไลน์อันใดอันหนึ่งถูกโจมตี (Cyber Attack) จนทำให้ข้อมูลส่วนบุคคลของผู้ใช้บริการรั่วไหล (Data Breach) และได้รับความเสียหาย ย่อมกระทบต่อความเชื่อมั่นในการทำธุรกรรมหรือการใช้บริการอย่างแน่นอน จึงจำเป็นอย่างยิ่งที่จะต้องจัดให้มีระบบและมาตรการรักษาความมั่นคงปลอดภัยเพื่อป้องกันการโจมตีในรูปแบบต่างๆ
ขณะเดียวกัน ก็ต้องรักษาความสมดุลระหว่างการคุ้มครองข้อมูลส่วนบุคคล (Data Protection) กับการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity) เพื่อมิให้กระทบกระเทือนต่อความเชื่อมั่นของผู้ใช้บริการว่า หน่วยงานผู้ให้บริการจะไม่ละเมิดความเป็นส่วนตัวของผู้ใช้บริการในข้อมูลส่วนบุคคล และขณะเดียวกันก็ให้บริการด้วยระบบที่มีความมั่นคงปลอดภัย ความเชื่อมั่นเหล่านี้ล้วนส่งผลต่อระบบเศรษฐกิจของประเทศด้วย
นอกจากนี้ ถ้าระบบการให้บริการทางออนไลน์อันใดอันหนึ่งถูกโจมตี (Cyber Attack) จนทำให้ข้อมูลส่วนบุคคลของผู้ใช้บริการรั่วไหล (Data Breach) และได้รับความเสียหาย ย่อมกระทบต่อความเชื่อมั่นในการทำธุรกรรมหรือการใช้บริการอย่างแน่นอน จึงจำเป็นอย่างยิ่งที่จะต้องจัดให้มีระบบและมาตรการรักษาความมั่นคงปลอดภัยเพื่อป้องกันการโจมตีในรูปแบบต่างๆ
ขณะเดียวกัน ก็ต้องรักษาความสมดุลระหว่างการคุ้มครองข้อมูลส่วนบุคคล (Data Protection) กับการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity) เพื่อมิให้กระทบกระเทือนต่อความเชื่อมั่นของผู้ใช้บริการว่า หน่วยงานผู้ให้บริการจะไม่ละเมิดความเป็นส่วนตัวของผู้ใช้บริการในข้อมูลส่วนบุคคล และขณะเดียวกันก็ให้บริการด้วยระบบที่มีความมั่นคงปลอดภัย ความเชื่อมั่นเหล่านี้ล้วนส่งผลต่อระบบเศรษฐกิจของประเทศด้วย
