ยืดใช้ พ.ร.บ.คุ้มครองข้อมูลฯ ต่อลมหายใจธุรกิจ

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎหมายที่ว่าด้วยการกำหนดกฎข้อบังคับว่าเจ้าของข้อมูลส่วนบุคคลมีสิทธิใดบ้างเหนือข้อมูลนั้นๆ วางแนวทางการคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกนำไปใช้ในทางที่ละเมิดสิทธิของเจ้าของข้อมูล พร้อมกำหนดหน้าที่ที่องค์กรผู้ควบคุมข้อมูล และผู้ประมวลผลข้อมูล จะต้องมีมาตรฐานการจัดเก็บข้อมูลอย่างเหมาะสมและเพียงพอ เมื่อมีความจำเป็นต้องขอใช้ข้อมูลส่วนบุคคล เพื่อป้องกันความเสี่ยงที่จะมีผลกระทบไปถึงการรักษาความลับ (Confidentiality) ความถูกต้องสมบูรณ์ (Integrity) และความพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล ที่ก่อให้เกิดแนวโน้มให้เกิดผลกระทบเชิงลบหรือความเสียหายในระดับบุคคลหรือองค์กร และต้องกระทำเพื่อรักษาความมั่นคงปลอดภัยของข้อมูล รวมถึงในกรณีที่เกิดเหตุข้อมูลรั่วไหล

สาเหตุหลักที่ประเทศไทยต้องมี พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เนื่องจากสหภาพยุโรป (European Union: EU) ได้ออก GDPR (General Data Protection Regulation) เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล บังคับใช้เมื่อ 25 พฤษภาคม พ.ศ. 2561 ซึ่งนอกจากมีผลบังคับใช้แก่การส่งข้อมูลภายในประเทศสมาชิกสหภาพยุโรปแล้ว ผู้ประกอบการในไทยที่ต้องติดต่อ รับส่งข้อมูลส่วนบุคคลของประชาชนในประเทศที่เป็นสมาชิกสหภาพยุโรป (Cross-Border Data Transfer Issues) ก็ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมและเพียงพอ

ที่สำคัญความน่าเชื่อถือในมาตรการคุ้มครองข้อมูลส่วนบุคคลของประเทศ มีผลกระทบต่อการค้าระหว่างประเทศ และการทำธุรกิจระหว่างประเทศ หากประเทศไทยไม่มีกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ย่อมทำให้เสียโอกาสและความเชื่อมั่นจากกลุ่มประเทศในสหภาพยุโรป และอาจรวมไปถึงประชาคมโลกที่กำลังตื่นตัวเรื่อง Data Protection

โดยที่ผ่านมาเกิดปรากฏการณ์ข้อมูลรั่วไหลทั่วโลก อย่างกรณี การรั่วไหลของข้อมูลส่วนบุคคลของผู้ใช้เฟซบุ๊กหลายล้านบัญชี ส่วนในไทยล่าสุดเกิดเหตุการณ์การนำข้อมูลการสั่งซื้อสินค้าออนไลน์ทั้งเบอร์โทรศัพท์ และอีเมล ของผู้ใช้บริการมาเก็ตเพลสชื่อดัง 13 ล้านรายการ ออกมาประกาศขายบนเว็บไซต์ใต้ดิน หรือกรณี ผู้ให้บริการ บริการค้นหาร้านอาหาร ที่พัก สถานที่ท่องเที่ยว ชื่อดัง ที่ฐานข้อมูลผู้ใช้บริการ 4 ล้านคน ถูกแฮกไปวางขายในเว็บไซต์ใต้ดิน

ซึ่งข้อมูลเหล่านี้ส่วนบุคคลเหล่านี้อาจถูกนำไปใช้ในการก่ออาชญากรไซเบอร์ ถูกนำไปในทางผิดกฎหมาย เช่น เลขที่บัตรประชาชนถูกนำไปใช้ในการเปิดบัญชีเพื่อฉ้อโกงผู้อื่น คลิปส่วนตัวอาจทำให้โดนข่มขู่แบล็กเมล ใช้บัตรเครดิตรูดซื้อสินค้า ถูกโอนเงินจากบัญชีธนาคาร ถูกนำไปทำการตลาดต่อ ทำให้เราถูกรบกวนด้วยโฆษณาขายสินค้าและบริการต่างๆ และถูกปลอมแปลงตัวตน เอาไปแอบอ้างทำเรื่องที่เสียหายหรือผิดกฎหมาย

ล่าสุดที่ประชุมคณะรัฐมนตรี (ครม.) เมื่อวันที่ 5 พ.ค. 2564 เห็นชอบตามกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เสนอขยายเวลาบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลอีก 1 ปี เพื่อลดผลกระทบทุกกลุ่มที่เกี่ยวข้องทั้งหน่วยงานรัฐ ธุรกิจทุกขนาด และประชาชน ในสถานการณ์แพร่ระบาดของโควิด-19

ทำให้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จะมีผลใช้บังคับในวันที่ 1 มิถุนายน 2565 ซึ่งจากการขยายเวลาบังคับใช้ พ.ร.บ.ดังกล่าวทำให้องค์กร ที่คาดว่ามีมากกว่าครึ่ง โดยเฉพาะเอสเอ็มอี ที่ไม่มีความพร้อมในการปฏิบัติตามรายละเอียดของ พ.ร.บ.ดังกล่าว ได้มีเวลาในการเตรียมพร้อมในการพัฒนามาตรฐานจัดเก็บรวบรวม และใช้ข้อมูลส่วนบุคคลได้อย่างถูกต้องตามกฎหมาย สอดคล้องกับมาตรฐานสากล

ซึ่งระหว่างที่ พ.ร.บ.ดังกล่าวยังไม่มีผลบังคับใช้ ประชาชน ในฐานะผู้ใช้ ต้องรู้จักวิธีการปกป้องข้อมูลส่วนบุคคล โดยไม่โพสต์ข้อมูลส่วนบุคคลต่างๆ ที่สำคัญ ในอินเทอร์เน็ต รวมถึงรูปภาพหรือคลิปวิดีโอส่วนตัว, ตั้งค่าความเป็นส่วนตัวในบัญชีออนไลน์ต่างๆ เพื่อจำกัดวงผู้อ่านหรือนำข้อมูลไปใช้, ตั้งค่าและดูแลพาสเวิร์ดหรือรหัสผ่าน ให้มั่นคงปลอดภัย เช่น ตั้งให้ไม่ซํ้าในทุกบริการ ไม่บอกให้ทุกคนรู้ และไม่ง่าย นอกจากนั้นอาจใช้บริการ Password Manager และ เปิดใช้งานการล็อกอินแบบหลายชั้น เช่น การใช้ร่วมกับ OTP หรือการยืนยันตัวตนหลายปัจจัย

รวมถึงต้องระมัดระวังอีเมลหรือลิงก์หลอกลวงให้กรอกข้อมูลส่วนบุคคลต่างๆ หากไม่แน่ใจให้ติดต่อสอบถามกลับไปยังสถาบันการเงินหรือเว็บไซต์ที่ส่งมาหาโดยตรง , ไม่ทำธุรกรรมกับเว็บไซต์หรือบุคคลที่ไม่น่าเชื่อถือ และไม่ผูกบัตรเครดิตหรือบัญชีออนไลน์เป็นการถาวร ควรให้กรอกข้อมูลใหม่หรือยืนยันตัวตนทุกครั้ง และควรขอให้มีบริการแจ้งเตือนทุกครั้งที่มีการจ่ายเงินหรือใช้บัญชี

หากข้อมูลส่วนบุคคลถูกขโมยไปใช้ในทางที่ผิดกฎหมาย หรือมีความเสียหายเกิดขึ้นแล้ว ในเบื้องต้นให้แจ้งผู้เกี่ยวข้อง เช่น หากเป็นบัญชีธนาคารให้ติดต่อธนาคารโดยด่วน หากเป็นบัญชีสังคมออนไลน์ให้รายงานผู้ให้บริการว่าถูกขโมยข้อมูลและร่วมกันหาวิธีการแก้ไข จากนั้นให้เก็บรวบรวมหลักฐานที่เกี่ยวข้องเพื่อนำไปแจ้งความกับเจ้าหน้าที่เพื่อดำเนินคดี

นสพ.ฐานเศรษฐกิจ ปีที่ 41 หน้า 8 ฉบับที่ 3,677 วันที่ 9 - 12 พฤษภาคม พ.ศ. 2564