ฟังชัด ๆ ภาคเอกชนกังวลเรื่องอะไร กับการบังคับใช้กฎหมาย PDPA
จากที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีผลบังคับใช้แล้วตั้งแต่วันที่ 1 มิถุนายน 2565 มีเป้าหมายเพื่อสร้างความเชื่อมั่นให้กับประชาชน ว่าข้อมูลส่วนบุคคลจะถูกนำไปใช้อย่างเป็นธรรม โปร่งใส และได้รับการดูแลมิให้มีการนำข้อมูลไปใช้งานในทางที่ผิด
นอกจากนี้เพื่อยกระดับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของไทยให้ทัดเทียมนานาประเทศ ในมุมมองของผู้นำภาคเอกชนที่มีเครือข่ายสมาชิกกว่า 1 แสนรายทั่วประเทศ นายสนั่น อังอุบลกุล ประธานกรรมการหอการค้าไทย และสภาหอการค้าแห่งประเทศไทย มีมุมมองอย่างไรนั้น ได้ให้สัมภาษณ์กับ “ฐานเศรษฐกิจ” คำต่อคำดังนี้
-พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล กับผลด้านบวกและด้านลบต่อผู้ประกอบการ
ตามที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 เป็นเรื่องที่ดี ที่มีการใช้เพื่อยกระดับมาตรฐานของประเทศไทยให้เป็นสากล
แต่ขณะนี้กฎหมายลำดับรองยังออกมาไม่ครบ อย่างไรก็ดี การที่มีกฎหมายลำดับรองทยอยออกมาเป็นเรื่องดี แต่หากไม่มีรายละเอียดของกฎหมายลำดับรองที่จำเป็นอย่างครบถ้วน จะเกิดการลงทุนในการปรับปรุงระบบที่ซ้ำซ้อนหรือไม่ถูกต้องได้
โดยทำให้หน่วยงานภาครัฐและภาคเอกชน ตั้งแต่ธุรกิจขนาดเล็ก SME ไปจนถึงธุรกิจขนาดใหญ่ รวมทั้งประชาชนทั่วไป ต้องเก็บรวบรวม หรือเปิดเผยข้อมูลส่วนบุคคล ตามหลักเกณฑ์ วิธีการ และเงื่อนไขใน พ.ร.บ. ซึ่งมีรายละเอียดที่ซับซ้อน อีกทั้งต้องใช้เทคโนโลยีขั้นสูง เพื่อให้การคุ้มครองข้อมูลส่วนบุคคล ซึ่งจะก่อให้เกิดปัญหากับภาคธุรกิจได้ ผนวกกับปัญหาเศรษฐกิจในปัจจุบันอาจถือเป็นการซ้ำเติมผู้ประกอบการ ที่ทำให้เกิด การลงทุน การเปลี่ยนกระบวนการ และค่าใช้จ่ายมากขึ้น และซ้ำซ้อน
โดยภาคเอกชนห่วงการบังคับใช้โดยเฉพาะบทลงโทษ เนื่องด้วยกฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดโทษสูง ทั้งทางแพ่ง ทางปกครอง และอาญา ซึ่งมีโทษปรับและจำคุก แต่แนวปฏิบัติและหลักเกณฑ์ต่าง ๆ ยังไม่ชัดเจน ทำให้ภาคธุรกิจมีความเสี่ยงสูงต่อการถูกลงโทษ ตามกฎหมายโดยไม่สมควร
อีกทั้งอาจเป็นโอกาสให้ผู้ไม่ประสงค์ดีใช้ช่องว่างของกฎหมายเพื่อสร้างความเดือดร้อนให้ผู้ประกอบการและประชาชน โดยการหาประโยชน์ที่ไม่เหมาะสมจึงเป็นเหตุให้ภาคเอกชนต้องรับภาระเสี่ยงต่อความรับผิดทางกฎหมาย
ดังนั้น จึงต้องการให้ภาครัฐได้ทบทวนการบังคับใช้ โดยพิจารณาออกบทเฉพาะกาลในการยกเว้นการบังคับใช้บทลงโทษในกฎหมายดังกล่าวออกไป โดยเฉพาะการเปิดเผยข้อมูลบางอย่างแล้วไปตีความเป็นความลับจะถูกลงโทษทางอาญา ซึ่งภาคเอกชนกลัวมาก คือ ทำอะไรผิดนิดเดียวกลายเป็นคดีอาญา อีกทั้งอยากให้มีกฎหมายลูกที่ชัดเจนด้วย
-หอการค้าฯและสภาหอการค้าฯ มีการดำเนินการเพื่อเตรียมความพร้อมสมาชิกในเรื่องนี้อย่างไร
จากการสำรวจข้อมูล โดยหอการค้าไทย และสภาหอการค้าแห่งประเทศไทย ร่วมกับมหาวิทยาลัยหอการค้าไทย ได้สำรวจความพร้อมของภาคธุรกิจในการดำเนินการตาม พ.ร.บ.การคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 สอบถามความเห็น 3,988 บริษัททั่วประเทศ แบ่งเป็น ภาคบริการ 42.3% และภาคอุตสาหกรรมและการสินค้า 57.7%
สำหรับประเด็นความพร้อมในการดำเนินการตามกฎหมายดังกล่าว มีบริษัทที่ระบุว่าดำเนินการเสร็จแล้วเพียง 8% ดำเนินการเกือบเสร็จสมบูรณ์ 22% รวมทั้งอยู่ระหว่างการดำเนินการ 39% และยังไม่เริ่มดำเนินการ 31%
ส่วนเรื่องงบประมาณที่บริษัทใช้เตรียมความพร้อม พบว่าใช้งบประมาณในการอบรมพนักงานมากที่สุด 32.1% รองลงมาเป็นการพัฒนาเทคโนโลยีและกระบวนการภายใน 21.1% การซื้อซอฟต์แวร์การจัดการจากภายนอก 16.5% การจ้างที่ปรึกษาภายนอก 14.1%
นอกจากนี้ หัวข้อเตรียมความพร้อมที่ยากที่สุดใน PDPA พบว่า 36.8% การทำ RoPA (Records of Processing Activity) มากที่สุด 36.8% รองลงมาเป็น การให้แต่ละฝ่ายทำความเข้าใจ PDPA 12.1% และการทำเอกสารขอความยินยอม 11.3% เช่นกัน
สำหรับธุรกิจที่ได้รับผลกระทบมากสุด คือ ธุรกิจที่มีฐานข้อมูลลูกค้าในมือจำนวนมาก ทั้งธุรกิจบริการและการค้า โดยบริษัทขนาดใหญ่ที่มีเงินทุน ได้เตรียมความพร้อมรองรับการปรับระบบบ้างแล้วถือเป็นต้นทุนสูง ในขณะที่เอสเอ็มอีไม่มีเงินทุนปรับระบบตามกฎหมาย
-ประเด็นที่ยังเป็นข้อกังวลต่อการบังคับใช้กฎหมาย
เชื่อว่า ยุคแห่งความวุ่นวายและสับสนของ PDPA จะเกิดขึ้นแน่นอน เพราะหนึ่ง เป็นกฎหมายใหม่ กลายเป็นต้นทุนและองค์ความรู้ใหม่ที่ภาคธุรกิจทั้งหลายต้องรับมือ เช่น จะเกิดความเข้าใจผิด เข้าใจว่า PDPA เป็นเรื่องของลูกค้า จริง ๆ แล้วครอบคลุมข้อมูลส่วนบุคคลของทุก ๆ คนที่องค์กรเก็บ เรื่องที่ 2 คิดว่า PDPA เป็นเรื่องของไอที
แต่ความจริง PDPA ครอบคลุมทั้งเอกสาร สัญญา กระบวนการทำงาน ไอทีและไอซีที และเรื่องที่ 3 คิดว่า PDPA มอบให้ใครก็ได้ในองค์กรไปทำ แต่จริง ๆ แล้วผู้บริหาร กรรมการ และเจ้าของคือผู้ที่ต้องรับผิดชอบตามกฎหมายซึ่งมีโทษทั้งจำคุกสูงสุด 1 ปี และปรับไม่เกิน 5 ล้านบาท ทั้งสามเรื่องนี้ กำลังสร้างปัญหาระยะยาวแก่ภาคธุรกิจ
-สิ่งที่ผู้ประกอบการต้องเร่งดำเนินการเพื่อให้สอดรับกับการบังคับใช้กฎหมายนี้มีอะไรบ้าง
ต้องศึกษาข้อมูล และเข้าใจกฎหมายนี้ โดยจริง ๆ แล้วต้องอาศัยหน่วยงานที่กำกับดูและช่วยกัน ควรจัดสัมมนาอบรมให้ความรู้กับภาคธุรกิจและประชาชนให้มากขึ้น เนื่องจากขณะนี้มีการตีความกฎหมายไปคน ละทิศ คนละทางทำให้เกิดความสับสน และเป็นอุปสรรคต่อการปฏิบัติตามกฎหมาย
-ในการดำเนินการดังกล่าวมีต้นทุนเพิ่มขึ้นด้านไหน อย่างไรบ้าง
การจัดสรรงบประมาณไปกับการดำเนินการ PDPA ส่วนใหญ่จะเป็นเรื่องการอบรมพนักงาน , การพัฒนาเทคโนโลยีและกระบวนการภายใน , การซื้อซอฟต์แวร์การจัดการจากภายนอก, การจ้างที่ปรึกษาภายนอก, การอบรม DPO และผู้บริหารให้ได้ Certification รวมถึงการเตรียมความพร้อมในด้านอื่น ๆ เป็นต้น
-มีข้อมูลว่าในการเตรียมพร้อมของผู้ประกอบการเพื่อดำเนินการให้สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลต้องใช้งบกว่า 5 หมื่นล้านบาท ค่าใช้จ่ายนี้มาจากค่าอะไรบ้าง
สภาหอการค้าแห่งประเทศไทย มองว่าเมื่อมีผลบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 แล้วผู้ประกอบการทั่วประเทศไทยราว 6-7 แสนราย จะต้องใช้เงินลงทุนระบบอย่างน้อย 50,000 ล้านบาท
ทั้งนี้ แบ่งเป็น ค่าใช้จ่ายในการจ้างทีมงานอบรมพนักงาน ค่าใช้จ่ายในการปรับระบบคอมพิวเตอร์ในการเชื่อมโยงข้อมูลของลูกค้า พร้อมกับการแจ้งลูกค้าเกี่ยวกับการปรับใช้ข้อมูล ตามกฎหมายฉบับใหม่ เป็นต้น
โดยภาคธุรกิจบริษัทใหญ่ที่มีเงินทุน ได้เตรียมความพร้อมรองรับการปรับระบบบ้างแล้ว และถือเป็นต้นทุนที่สูง แต่สำหรับกลุ่มของผู้ประกอบการธุรกิจขนาดกลางและขนาดเล็ก (SMEs) ซึ่งมีจำนวนมาก จะไม่มีเงินทุนที่จะปรับระบบให้เป็นไปตามมาตรฐานของกฎหมาย