ไทยหวั่น 'ยุโรป' ชูใบแดง!! กฎหมายคุ้มครองข้อมูลบุคคลมาตรฐานต่ำ

สมาคมความมั่นคงปลอดภัยระบบสารสนเทศ ห่วง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ไม่ได้มาตรฐานสหภาพยุโรป หวั่นไทยถูกปักธงแดงเหมือนกรณี ICAO และ IUU แถมน่ากลัวมากกว่า พ.ร.บ.ไซเบอร์

น.พ.สุธี ทุวิรัตน์ กรรมการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ และนักวิชาการอิสระ เปิดเผยกับ "ฐานเศรษฐกิจ" ว่า ร่างพระราชบัญญัติ (พ.ร.บ.) คุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... มีประเด็นสำคัญที่น่าเป็นห่วงและส่งผลกระทบต่อประเทศ คือ เรื่องมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล ยังด้อยกว่าข้อกำหนด The General Data Protection Regulation (GDPR) ของสหภาพยุโรป ทั้งข้อกำหนดหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลและการคุ้มครองสิทธิของบุคคลผู้เป็นเจ้าของข้อมูล ซึ่งจะส่งผลทำให้ประเทศไทยไม่ได้ถูกประกาศให้อยู่ในบัญชีรายชื่อประเทศที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เทียบเท่ากับอียู (Adequate Level of Data Protection Country List) ซึ่งอาจส่งผลกระทบต่อประเทศไทยรุนแรงกว่ากรณีที่องค์การการบินพลเรือนระหว่างประเทศ หรือ ICAO ให้ธงแดงประเทศไทย หรือ กรณีการใช้แรงงานประมงที่ผิดกฎหมายไร้การควบคุม หรือ IUU

 

[caption id="attachment_351394" align="aligncenter" width="503"] ©TheDigitalArtist[/caption]

น่ากลัวกว่า พ.ร.บ.ไซเบอร์
กฎหมายฉบับดังกล่าวยังมีความน่ากลัวและน่าเป็นห่วงมากกว่า พ.ร.บ.ความมั่นคงปลอดภัยทางไซเบอร์ เพราะมีผลกระทบกับคนไทยทุกคน ซึ่งกำลังจะเสนอต่อสภานิติบัญญัติแห่งชาติ (สนช.) เพื่อพิจารณาและประกาศบังคับใช้เป็นกฎหมาย โดยร่าง พ.ร.บ.ดังกล่าว มีประเด็นที่น่ากังวลกว่าร่าง พ.ร.บ.ไซเบอร์ เป็นอย่างมาก

ประเด็นการผูกขาดรวบอำนาจเบ็ดเสร็จเด็ดขาดของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และเลขาธิการมีอำนาจสั่งลงโทษปรับทางปกครองและไม่ต้องนำส่งรายได้ให้กระทรวงการคลัง ลักษณะเดียวกับ พ.ร.บ.ความมั่นคงปลอดภัยทางไซเบอร์ นอกจากนี้ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเลขาธิการมีอำนาจเหนือทุกกระทรวง และสั่งลงโทษปรับทางปกครอง บังคับใช้กับหน่วยงานรัฐ เอกชน และประชาชน ได้แบบเบ็ดเสร็จเด็ดขาด

 

[caption id="attachment_351396" align="aligncenter" width="503"] ©mohamed_hassan[/caption]

หวั่นอำนาจเบ็ดเสร็จ
ขณะที่ ประเด็นการตรวจสอบการบังคับใช้และการสั่งลงโทษปรับทางปกครอง กฎหมายให้อำนาจสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่มีฐานะเป็นหน่วยงานของรัฐที่ไม่ใช่ส่วนราชการ สอบสวนและสั่งลงโทษปรับทางปกครองกับหน่วยงานรัฐที่ละเมิดหรือทำผิดข้อกำหนดตามกฎหมายในการคุ้มครองข้อมูลส่วนบุคคล ซึ่งไม่เหมาะสม เพราะมีอำนาจเบ็ดเสร็จ สั่งลงโทษปรับทางปกครองกับหน่วยงานของรัฐและส่วนราชการทุกกระทรวง

ข้อเสนอแนะ คือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลน่าจะมีอำนาจหน้าที่ในการพิจารณาตรวจสอบเรื่องร้องเรียน และเมื่อพบว่า มีการล่วงละเมิดหรือปฏิบัติไม่ถูกต้อง ก็ดำเนินการกล่าวโทษฟ้องคดีต่อศาลยุติธรรมเพื่อสั่งลงโทษปรับ โดยจำเลยสามารถที่จะขอยอมความยุติการดำเนินคดีโดยการชำระค่าปรับทางปกครอง รวมทั้งเป็นตัวแทนฟ้องคดีต่อศาลแพ่ง เพื่อเรียกค่าเสียหายให้กับบุคคลเจ้าของข้อมูลส่วนบุคคลที่ถูกล่วงละเมิด

ส่วนประเด็นโทษปรับทางปกครองที่บังคับใช้กับเอกชน ในกฎหมายระบุให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีอำนาจหน้าที่ในการสอบสวนเรื่องร้องเรียน (มาตรา 69-74) และเลขาธิการสามารถใช้ดุลยพินิจปรับทางปกครอง (มาตรา 88) แบบเบ็ดเสร็จเด็ดขาด โดยไม่ผ่านกระบวนการยุติธรรม และรายได้จากค่าปรับทางปกครองก็ถือเป็นรายได้ของสำนักงานที่ไม่ต้องนำส่งกระทรวงการคลัง ส่วนบุคคลเจ้าของข้อมูลส่วนบุคคลที่ถูกล่วงละเมิดต้องไปฟ้องร้องคดีต่อศาลแพ่งเพื่อเรียกร้องค่าเสียหายด้วยตนเอง (มาตรา 75-76) ซึ่งไม่น่าจะถูกต้อง

ข้อเสนอแนะ คือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลน่าจะมีอำนาจหน้าที่ในการพิจารณาตรวจสอบเรื่องร้องเรียน และเมื่อพบว่า มีการล่วงละเมิดหรือปฏิบัติไม่ถูกต้องก็ดำเนินการกล่าวโทษฟ้องคดีต่อศาลยุติธรรม เพื่อสั่งลงโทษปรับ โดยจำเลยสามารถที่จะขอยอมความยุติการดำเนินคดีโดยการชำระค่าปรับทางปกครอง รวมทั้งเป็นตัวแทนฟ้องคดีต่อศาลแพ่ง เพื่อเรียกค่าเสียหายให้กับบุคคลเจ้าของข้อมูลส่วนบุคคลที่ถูกล่วงละเมิด




เสนอตั้งศาลพิเศษ
นอกจากนี้ ยังมีประเด็นการรับเรื่องร้องเรียนที่เป็นข้อพิพาทระหว่างประชาชน เนื่องจากเป็นการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่อยู่ทั้งในและนอกราชอาณาจักรไทย ดังนั้น จะมีกรณีที่มีการร้องเรียนล่วงละเมิดโดยผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล ที่เป็นบุคคลที่อยู่ในราชอาณาจักรไทย เกิดขึ้นทุกวันและมีจำนวนมากในแต่ละวัน ซึ่งข้อเสนอแนะ คือ บทบาทหน้าที่ของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลควรมีอำนาจหน้าที่ในการพิจารณาตรวจสอบเรื่องร้องเรียน แต่ควรจะมีการจัดตั้งศาลพิเศษ เพื่อพิจารณาคดีการละเมิดข้อมูลส่วนบุคคลระหว่างประชาชนเป็นการเฉพาะ โดยมีวัตถุประสงค์เพื่อลดขั้นตอนและความยุ่งยากในการฟ้องคดีและพยายามไกล่เกลี่ยข้อพิพาทระหว่างประชาชน เพื่อเป็นการอำนวยความยุติธรรมต่อประชาชนได้อย่างมีประสิทธิภาพ

 

[caption id="attachment_351398" align="aligncenter" width="503"] ©TheDigitalArtist[/caption]

ปรับตัวไม่ทัน 180 วัน
นอกจากนี้ มองว่าความไม่พร้อมของหน่วยงานรัฐ เอกชน และประชาชน ที่จะปฏิบัติตามกฎหมาย การที่หน่วยงานรัฐและเอกชนจะมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลให้ถูกต้องตามที่บัญญัติในร่างพระราชบัญญัติฉบับนี้ ต้องมีการปรับเปลี่ยนและปฏิรูปกระบวนการทำงานแบบถอนรากถอนโคน ซึ่งขัดแย้งกับวัฒนธรรมองค์กรและวิถีทางการดำรงชีวิตของคนไทยเป็นอย่างมาก ซึ่งการกำหนดระยะเวลาในการบังคับใช้ 180 วัน ไม่น่าที่จะเพียงพอ

ขณะที่ของอียู ซึ่งมีพื้นฐานการคุ้มครองข้อมูลส่วนบุคคลแบบเข้มงวดและเข้มข้นตาม EU DPD (Data Protection Directive) ซึ่งใช้มาตั้งแต่ปี 1996 (พ.ศ. 2539) จนถึงปี 2016 (พ.ศ. 2559) ยังให้ระยะเวลาในการปรับตัวมาใช้ GDPR นานถึง 2 ปี การรีบเร่งประกาศใช้โดยไม่ได้ทำการศึกษาถึงความพร้อมที่จะปฏิบัติตามกฎหมายของหน่วยงานของรัฐและเอกชน ผู้ประกอบการในทุกอุตสาหกรรม ทำให้ได้รับการคัดค้านและต่อต้านอย่างรุนแรงและกว้างขวาง


……………….
หนังสือพิมพ์ฐานเศรษฐกิจ ปีที่ 38 ฉบับที่ 3,420 วันที่ 22 - 24 พ.ย. 2561 หน้า 01-02

ข่าวที่เกี่ยวข้อง :
● ชี้ช่องจากทีมทูต | ปฏิกิริยาในยุโรปจากกรณี GDPR และแนวปฏิบัติในการโอนข้อมูล มายังประเทศที่ 3 นอกเขต EU (ตอนจบ)
● ปฎิกิริยาในยุโรปจากกรณี GDPR และแนวปฏิบัติในการโอนข้อมูล มายังประเทศที่ 3 นอกเขต EU (1)