โปรดอัพเดตเบราว์เซอร์

เบราว์เซอร์ที่คุณใช้เป็นเวอร์ชันเก่าซึ่งไม่สามารถใช้บริการของเราได้ เราขอแนะนำให้อัพเดตเบราว์เซอร์เพื่อการใช้งานที่ดีที่สุด

ไอที ธุรกิจ

ความคืบหน้า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล อิง GDPR มากขึ้น แต่เอกชนกังวลเพราะมีโทษอาญาด้วย

blognone

อัพเดต 20 ก.ย 2561 เวลา 09.39 น. • เผยแพร่ 20 ก.ย 2561 เวลา 09.30 น. • sunnywalker

วันที่ 11 กันยายน กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดให้ภาคสังคมเข้ารับฟังเวทีประชาพิจารณ์ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล สถานะตอนนี้คือคณะกรรมการกฤษฎีกาได้แก้ไขกลับมาแล้ว ขั้นต่อไปคือเข้าสู่การพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.)

ร่าง พ.ร.บ.ฉบับแก้ไขโดยคณะกรรมการกฤษฎีกา มีการอ้างอิงหลักการ GDPR หรือกฎใหม่คุ้มครองข้อมูลส่วนบุคคลยุโรปเพิ่มหลายจุด แต่มีบางจุดที่ภาคเอกชนกังวลคือ การให้อำนาจเลขา สพธอ. (หน่วยงานที่มาทำหน้าที่เป็นผู้กำกับดูแล ช่วงก่อนตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมาทำหน้าที่) ในการตัดสินโทษปรับและสามารถใช้ดุลยพินิจได้นั้นสมควรหรือไม่, ค่าปรับถูกรวมเข้าเป็นรายได้ของหน่วยงาน regulator ไม่นำไปรวมกับรายได้แผ่นดิน, รวมถึงการเพิ่มโทษอาญาเข้ามาทำให้ธุรกิจรู้สึกมีความเสี่ยง

หลักการสำคัญบางประการใน ร่าง พ.ร.บ. ที่คณะกรรมการกฤษฎีกาแก้ไข

นิยาม จากเดิมที่นิยาม "ข้อมูลส่วนบุคคล" ไม่รวมที่อยู่ทางธุรกิจ ฉบับแก้ไขได้ตัดข้อแม้ออก และแก้ไขเป็น ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวคนได้ ไม่ว่าทางตรง ทางอ้อม

(ซ้ายฉบับเก่า ขวาฉบับคณะกรรมการกฤษฎีกาแก้ไข) มีระยะเวลาบังคับใช้หลังประกาศเร็วขึ้น จาก 1 ปี เป็น 180 วัน ปรับสัดส่วนคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เป็นกรรมการโดยตำแหน่ง 5 คน (จากเดิม 8 คน) กรรมการโดยการสรรหา 9 คน (จากเดิม 5 คน) เพิ่มการมีส่วนร่วมจากภาคส่วนที่เกี่ยวข้อง ในกฎหมายระบุว่าจะแต่งตั้งจาก ผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการคุ้มครองข้อมูลส่วนบุคคล, ด้านการคุ้มครองผู้บริโภค, เทคโนโลยีสารสนเทศและการสื่อสาร, สังคมศาสตร์ และกฎหมายสุขภาพ ที่มาของคณะกรรมการสรรหา ประกอบด้วย นายกรัฐมนมนตรีแต่งตั้ง 2 คน, ประธานรัฐสภา แต่งตั้ง 2 คน, ผู้ตรวจการแผ่นดินแต่งตั้ง 2 คน คณะกรรมการสิทธิมนุษยชนแห่งชาติ แต่งตั้ง 2 คน เปลี่ยนอัตราโทษ จาก 1-5 แสนบาท เป็น 1-5 ล้านบาท ยกตัวอย่างบางส่วนในร่าง พ.ร.บ. ที่อิง GDPR เพิ่มเข้ามา

GDPR Article 8 ว่าด้วยเงื่อนไขที่เกี่ยวข้องกับความยินยอมของเด็ก มีการเพิ่มเติมการขอความยินยอมจากเด็กและผู้ไร้ความสามารถในร่างกฎหมายมาตราที่ 20 GDPR Article 9 ว่าด้วยเรื่องข้อมูลอ่อนไหว มีข้อมูลอะไรบ้างที่ห้ามนำไปประมวลผล

ข้อเสนอแนะและความกังวล

ความกังวลบางประการที่ภาคธุรกิจและสังคมมีต่อ ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ความเห็นจาก สุธี ทุวิรัตน์ กรรมการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ ระบุว่า การให้อำนาจเลขาสำนักงานคุ้มครองข้อมูลส่วนบุคคลในการกำหนดโทษโดยใช้ดุลยพินิจได้เป็นเรื่องน่ากังวลอย่างยิ่ง

ที่สำคัญคือ สำนักงานฯ มีสิทธิ์ถือหุ้นในบริษัทเอกชนด้วย (มาตรา 44 วงเล็บ 4 ระบุว่าสำนักงานคุ้มครองข้อมูลส่วนบุคคลสามารถถือหุ้น เข้าเป็นหุ้นส่วน หรือเข้าร่วมทุนกับนิติบุคคลอื่นในกิจการที่เกี่ยวกับวัตถุประสงค์ของสำนักงาน)

สิทธินัย จันทรานนท์ data protection officer หรือเจ้าหน้าที่คุ้มครองข้อมูลของการบินไทย ที่ถือว่าเป็นองค์กรแรกๆ ของไทยที่ตื่นตัวเรื่องการคุ้มครองข้อมูลส่วนบุคคล ระบุว่าร่างนี้มีความสมบูรณ์กว่าร่างก่อนหน้า หลายอย่างรับเอาหลัก GDPR มา แต่ไม่แน่ใจว่าครบถ้วนถูกต้องหรือไม่ นอกจากเอกชนแล้ว หน่วยงานราชการก็ต้องทำงานให้สอดคล้องหลักคุ้มครองข้อมูลส่วนบุคคลด้วย

นายสิทธินัย เน้นเรื่องการใส่โทษอาญา เข้าไปทั้งที่กฎหมายนี้เป็นกฎหมายใหม่นั้นเป็นเรื่องสมควรหรือไม่ เพราะแม้แต่ GDPR ยังมีแค่โทษปรับทางแพ่ง ไม่มีอาญาหรือจำคุก ถ้าเป็นเช่นนี้ จะทำให้ธุรกิจดำเนินงานภายใต้ความเสี่ยงโทษอาญาทันที

(หมายเหตุ: ในร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หมวดกำหนดโทษ มีการระบุโทษอาญาเข้ามาด้วย สรุปได้ว่าถ้าผู้ถือครองข้อมูลเปิดเผยข้อมูลโดยไม่ขอความยินยอมก็จะเจอโทษปรับไม่เกิน 1 ล้านบาท และจำคุกไม่เกิน 1 ปี หรือทั้งจำทั้งปรับ)

ภาพจาก กระทรวงดีอี

เนื่องจากนิยามข้อมูลส่วนบุคคลไม่ได้มีพูดถึงข้อมูลปกปิดตัวตน (เช่น ข้อมูลเซอร์เวย์ถามความเห็น) จึงมีข้อเสนอแนะจากผู้เข้าร่วมฟังคนหนึ่งว่า ควรอธิบายให้ชัดในกฎหมายว่าข้อมูลที่ปกปิดตัวตนแล้วถือว่าเป็นข้อมูลส่วนบุคคลหรือไม่ แต่จากการตีความทางกฎหมายแล้วนั้นไม่ถือว่าเป็นข้อมูลส่วนบุคคล เพราะเกรงจะกระทบการทำบิ๊กดาต้า

เมธา สุวรรณสาร นายกสมาคม TISA ถามว่า หน่วยงานกำกับที่ตั้งขึ้นใหม่นี้จะมีอำนาจกำกับทั้งรัฐและเอกชนหรือไม่ ถ้ามี เท่ากับมีอำนาจกำกับ แบงค์ชาติ กลต.หรือไม่ ถ้าเป็นเช่นนั้น จะถือเป็นการซ้ำซ้อนกับหน่วยงานเหล่านั้น สร้างภาระให้หน่วยงานกำกับ จึงมองว่า ผู้กำกับดูแลควรมีหน้าที่แค่กำกับจริงๆ ไม่ใช่ลงไปจัดการ เพราะเทคโนโลยีมันเปลี่ยนเร็วกว่าหน่วยงานกำกับจะตามทัน กล่าวคือไม่ควรกำกับมาก แต่ควรวางแค่กรอบก็พอ

กระทรวงดีอีจะพยายามนำความเห็นไปหารือในขั้น สนช. พิจารณา

นางอัจฉรินทร์ พัฒนพันธ์ชัย ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เน้นย้ำถึงการจัดรับฟังความเห็นในวันนี้ (11 กันยายน) ว่า เป็นวัตถุประสงค์ของกระทรวงที่จะให้สังคมรับฟัง เพราะกระทรวงไม่สามารถปรับแก้ไขในร่างนี้ได้แล้ว ซึ่งจะรวบรวมความเห็นเข้าไปในขั้นตอนการหารือถกเถียงในขั้น สนช. พิจารณาได้ถ้ามีโอกาส

อ่านร่างกฎหมายเพิ่มเติม

ร่าง พ.ร.บ. ฉบับเต็ม ข้อเปรียบเทียบระหว่างร่าง พ.ร.บ. ก่อนและหลังคณะกรรมการกฤษฎีกาแก้ไข

0 0
reaction icon 0
reaction icon 0
reaction icon 0
reaction icon 0
reaction icon 0
reaction icon 0