พ.ร.บ.PDPA มาแน่ 1 มิ.ย.นี้

นายเธียรชัย ณ นคร ประธานกรรมการ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (พ.ศ.2562) หรือ PDPA (Personal Data Protection Act (B.E.2562) จะมีผลบังคับใช้ในวันที่ 1 มิ.ย. 2565 นี้แน่นอน เพราะจนถึงขณะนี้ยังไม่มีสัญญาณจากฝั่งการเมืองว่าจะชะลอหรือเลื่อนออกไปก่อน หลังจากที่ได้เลื่อนการประกาศใช้มาแล้ว 2 ปี อย่างไรก็ตาม ขณะนี้การจัดตั้งสำนักงานคุ้มครองข้อมูลส่วนบุคคล รวมทั้งว่าจ้างกำลังคนซึ่งคาดว่าจะมีประมาณ 200 คนกำลังอยู่ระหว่างดำเนินงาน รวมทั้งการร่างกฎหมายลูกอีกกว่า 30 ฉบับ คาดว่าน่าจะเสร็จสิ้นภายในเดือน ก.ย.2565

“เบื้องต้นการบังคับใช้กฎหมายในวันที่ 1 มิ.ย.นี้ จะเป็นการสร้างความตระหนักรู้และถือเป็นการเดินหน้านับ 1 สำหรับประเทศไทยที่จะมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประชาชน โดยกฎหมายจะบังคับใช้ทั้งกับหน่วยงานเอกชนและราชการ แต่การทำงานน่าจะควบคู่ไปกับกฎหมายอื่นๆ ที่เกี่ยวข้องด้วย ส่วนธุรกิจขนาดกลางและย่อม หรือเอสเอ็มอีนั้น เบื้องต้นจะได้รับการผ่อนปรน แต่ก็ต้องคุ้มครองข้อมูลส่วนบุคคลให้ได้มาตรฐานขั้นต่ำ เช่น การควบคุมการเข้าถึงข้อมูล (Access Control) หรือการเก็บ log file ย้อนหลัง เป็นต้น”
ทั้งนี้ เนื้อหาหลักของ พ.ร.บ. PDPA คือการกำหนดให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะต้องได้รับการยินยอมจากเจ้าของข้อมูลหรือตามที่มีการบัญญัติไว้ในกฎหมาย โดยจะต้องมีการบอกกล่าวถึงวัตถุประสงค์ในการนำข้อมูลไปใช้ และใช้ตรงตามวัตถุประสงค์ที่ระบุ อีกทั้งยังให้ความสำคัญกับการให้สิทธิแก่ “เจ้าของข้อมูลส่วนบุคคล” ที่สามารถขอให้เปลี่ยนแปลง แก้ไข ขอสำเนา ขอให้ลบได้ หากไม่ขัดกับหลักการหรือข้อกฎหมายใดๆ และองค์กรที่ได้ข้อมูลส่วนบุคคลมาจะต้องมีมาตรการและมาตรฐานในการบริหารจัดการดูแลข้อมูลเหล่านี้อย่างเหมาะสมและปลอดภัย

“หลังกฎหมาย PDPA มีผลบังคับใช้ การนำข้อมูลส่วนบุคคลของลูกค้าไปขาย ถือว่ามีความผิดทันที รวมทั้งการทำข้อมูลลูกค้าหลุด ซึ่งหากพิสูจน์แล้วว่าเกิดจากการรักษาข้อมูลที่ไม่ได้มาตรฐาน สำนักงานสามารถใช้อำนาจปกครองเรียกค่าปรับตามกฎหมาย ซึ่งอยู่ในระดับ 500,000- 5 ล้านบาท รวมทั้งยังมีโทษทางอาญาจำคุกสูงสุด 1 ปี หรืออย่างกรณีแก๊งคอลเซ็นเตอร์ หาก สามารถตรวจสอบได้ว่าได้เบอร์โทรศัพท์ลูกค้ามาจากการซื้อหรือข้อมูลหลุดรั่วไปทางใด ก็สามารถร้องเรียนมาทางสำนักงานเพื่อตรวจสอบได้”.