30 มิ.ย. 2565 โคแฟค (ประเทศไทย) ร่วมกับ สำนักงานกองทุนสนับสนุนการสร้างเสริมสุขภาพ (สสส.) สำนักข่าวไทยพีบีเอส สภาองค์กรของผู้บริโภค เครือข่ายพลเมืองเน็ต สมาคมนักข่าวนักหนังสือพิมพ์แห่งประเทศไทย สภาการสื่อมวลชนแห่งชาติ Thai PBS ChangeFusion มูลนิธิฟรีดิชเนามัน และ Centre for Humanitarian Dialogue (HD) จัดงานเสวนานักคิดดิจิทัล ครั้งที่ 22 “สิทธิดิจิทัล กับ การคุ้มครองข้อมูลส่วนตัว ภายใต้ PDPA” โดยเป็นงานรูปแบบออนไลน์ ถ่ายทอดสดผ่านเฟซบุ๊กแฟนเพจ “Cofact โคแฟค” , Thai PBS” , และ “สภาองค์กรของผู้บริโภค”
น.ส.สุภิญญา กลางณรงค์ ผู้ร่วมก่อตั้งโคแฟค (ประเทศไทย) กล่าวว่า หัวข้อที่หยิบยกมาพูดคุยกันในครั้งนี้ว่าด้วย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมาย PDPA ซึ่งเป็นกฎหมายใหม่และมีความซับซ้อน และหากนับจากวันแรกที่กฎหมายมีผลบังคับใช้ คือวันที่ 1 มิ.ย. 2565 ก็จะครบ 30 วันพอดี เวทีนี้จึงเป็นการระดมมุมมองเกี่ยวกับปัญหาและข้อคิดเห็น เพื่อนำไปสู่การเปิดมุมมองใหม่ๆ รวมถึงเป็นข้อเสนอแนะเชิงนโยบายถึงผู้เกี่ยวข้อง เป็นโอกาสดีในการสร้างความเข้าใจกับสังคม เพราะเรื่องนี้เกี่ยวข้องกับทั้งภาคเอกชน ภาครัฐและพลเมือง
“หัวข้อในวันนี้ตั้งไว้กว้างมาก สิทธิดิจิทัล กับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งมันก็เป็นเรื่องใหม่ที่บางทีอาจยังไม่มีบทสรุปในตัวของมันเอง แต่ว่าเป็นเรื่องที่เราอาจต้องหาจุดสมดุล ในการที่เราจะปกป้องคุ้มครองสิทธิส่วนบุคคล ขณะเดียวกันก็ไม่ได้ลิดรอนเสรีภาพที่จะใช้หรือนำเสนอข้อมูลข่าวสารในภาพรวมในยุคดิจิทัล ซึ่งก็เป็นความท้าทายของทุกประเทศ ว่าแล้วจุดสมดุลมันอยู่ตรงไหน? อย่างไร?” น.ส.สุภิญญา กล่าว
นางเบญจมาภรณ์ ลิมปิษเฐียร ผู้ช่วยผู้จัดการกองทุน สสส. กล่าวว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งเป็นกฎหมายป้องกันการละเมิดข้อมูลส่วนบุคคล ที่เริ่มมีผลบังคับใช้ตั้งแต่วันที่ 1 มิ.ย. 2565 เป็นต้นมา หลายคนอาจสงสัยว่าอะไรที่เป็นข้อมูลส่วนบุคคลบ้าง ซึ่งมีเป็นจำนวนมาก ตั้งแต่เชื่อ ที่อยู่ หมายเลขโทรศัพท์ รูปถ่าย บัญชีธนาคาร ฯลฯ ซึ่งในช่วงสถานการณ์โรคระบาดโควิด-19 ก็เป็นเวลาได้เตรียมตัว เพราะการทำงานและการประชุมต่างๆ ดำเนินการผ่านเทคโนโลยีดิจิทัล
เช่น ในอดีตเวลาไปติดต่อหน่วยงานของรัฐ จะมีเพียงการถ่ายสำเนาและเซ็นรับรองสำเนา แต่ปัจจุบันมีหลากหลายรูปแบบ เริ่มส่งเป็นแบบอิเล็กทรอนิกส์มากขึ้น มีการถ่ายภาพดูหน้าในการยืนยันตัวบุคคล จากนั้นพอเริ่มดำเนินการตั้งแต่วันที่ 1 มิ.ย. 2565 หลายองค์กรก็เริ่มตื่นตัว เริ่มมีการดูข้อมูลพื้นฐาน เรื่องเจ้าของข้อมูลส่วนบุคคลมีอย่างไรบ้าง แต่ละองค์กรมีการตั้ง Data Controller หรือผู้ควบคุมข้อมูลส่วนบุคคล ทำหน้าที่เหมือนผู้ดูแลระบบ โดยจัดเก็บข้อมูลส่วนบุคคลที่ได้รับการยิมยอม
“สสส. ร่วมกับพหุภาคี ทั้งโคแฟค คณะกรรมการผู้ทรงคุณวุฒิด้านการคุ้มครองข้อมูลส่วนบุคคล คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ผู้ก่อตั้ง PDPA Thailand คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย รวมถึงสภาองค์กรผู้บริโภค มีอีกหลายภาคี ร่วมกันจัดเวทีครั้งนี้ขึ้นเพื่อเป็นการเปิดพื้นที่ให้มีการพูดคุยแลกเปลี่ยน สอบถามและซักถามเพื่อทำให้เรามีความเข้าใจ แล้วก็สามารถสื่อสารกับเพื่อนๆ หรือชุมชนที่เราทำงานร่วมกันอยู่ได้ จะทำให้เกิดสังคม ในการสร้างสังคมที่มีสุขภาวะในยุคของข้อมูลข่าวสาร และยุคที่เราจะเป็นพลเมืองที่มีการตื่นรู้ และมีความรับผิดชอบร่วมกัน” นางเบญจมาภรณ์ กล่าว
จากนั้นเป็นการเผยแพร่ “ผลการวิเคราะห์สื่อสังคมออนไลน์ ประเด็น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล” โดย นายกล้า ตั้งสุวรรณ ประธานเจ้าหน้าที่บริหาร (CEO) บริษัท ไวซ์ไซท์ (ประเทศไทย) เปิดเผยว่า ผลวิเคราะห์ดังกล่าวเก็บข้อมูลระหว่างวันที่ 1 พ.ค.-20 มิ.ย. 2565 ผ่านโปรแกรม Zocail Eye ซึ่งพัฒนาเพื่อรวบรวมข้อมูลการพูดคุยหรือกระแสที่เกิดขึ้นบนโลกออนไลน์ สำหรับให้ลูกค้าหรือประชาชนเข้าใจบริบทของสังคมในช่วงเวลาหนึ่ง โดยหัวข้อนี้เก็บรวบรวมข้อความที่มีการโพสต์ผ่านสื่อสังคมออนไลน์ (Social Media) ประมาณ 14,000 ข้อความ
พบว่า การพูดคุยประเด็น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมาย PDPA เริ่มพบในวันที่ 10 พ.ค. 2565 เป็นต้นมา เพราะในเวลานั้นค่อนข้างแน่นอนแล้วว่าจะไม่มีการเลื่อนกำหนดการเริ่มบังคับใช้กฎหมายออกไปอีก จากนั้นวันที่ 27 พ.ค. 2565 หรือราว 1 สัปดาห์ก่อนถึงวันกฎหมายมีผลบังคับใช้ เพจต่างๆ เริ่มให้ข้อมูลความรู้เกี่ยวกับกฎหมาย PDPA
ต่อมาวันที่ 1 มิ.ย. 2565 อันเป็นวันแรกที่กฎหมายมีผลบังคับใช้ จะเห็นท่าทีขององค์กรต่างๆ ในการปรับตัวรับกฎหมายมากขึ้น จากนั้นก็เริ่มมีกรณีที่เป้นปัญหาตามมา เช่น กรณีพลเมืองดีไปถ่ายคลิปวีดีโอชายหนุ่มทำร้ายร่างกายแฟนสาวแล้วเผยแพร่ผ่านโลกออนไลน์ ทั้งนี้ โดยสรุปแล้วนับตั้งแต่ วันที่ 1 พ.ค.-20 มิ.ย. 2565 การเติบโตของกระแสความสนใจประเด็น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เพิ่มสูงขึ้นร้อยละ 90 ซึ่งไม่น่าแปลกใจเพราะเป็นเรื่องใหม่
เมื่อดูช่องทางในการสื่อสารประเด็นกฎหมาย PDPA พบว่า เฟซบุ๊กและทวิตเตอร์ เป็น 2 แพลตฟอร์มที่ครองสัดส่วนรวมกันถึงร้อยละ 80 ที่ผู้คนเลือกใช้ในการสื่อสารเรื่องนี้ โดยบุคคลทั้งที่เป็นคนมีชื่อเสียงในสังคมและคนธรรมดาทั่วไป ครองสัดส่วนการพูดถึงกฎหมาย PDPA รวมกันที่ร้อยละ 75 ขณะที่ระดับองค์กรอยู่ที่ร้อยละ 25 ส่วนความคิดเห็นต่อกฎหมายก็มีทั้งเชิงบวก ที่มองว่ากฎหมายช่วยคุ้มครองสิทธิส่วนบุคคล และเชิงลบ เช่น ทำให้ผู้ประกอบการบังคับยินยอมให้เก็บข้อมูลก่อนแล้วค่อยไปยกเลิกภายหลัง หรือส่งผลกระทบต่อพลเมืองดี เป็นต้น
นายกล้า กล่าวต่อไปว่า ในประเด็นความคาดหวังของประชาชนต่อภาคส่วนต่างๆ ในประเด็น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หากเป็นสื่อมวลชน ประชาชนคาดหวังให้สื่อผลิตเนื้อหาให้ความรู้เพื่อสร้างความเข้าใจกฎหมายนี้มากขึ้น เพราะมีเรื่องที่ผู้คนเข้าใจผิดเกิดขึ้นจำนวนมาก ในขณะที่องค์กรภาคเอกชน ประชาชนคาดหวังให้ทุกองค์กรปฏิบัติตามกฎหมาย PDPA เพราะถาคเอกชนเป็นองค์กรที่มีโอกาสละเมิดกฎหมายนี้มากที่สุด ทั้งนี้ ตนเป็นห่วงประเด็นต่างๆ ที่สังคมสงสัย ซึ่งควรถูกทำให้กระจ่างโดยเร็วเพื่อไม่ให้เรื่องที่เข้าใจผิดลุกลามบานปลาย
“ประชาชนตื่นตัวเรื่องกฎหมาย PDPA แน่นอน มีการพูดถึงชัดเจน แล้วก็การตื่นรู้ แต่เขาอาจจะไม่ได้รู้อย่างถูกต้อง เขารู้แค่ว่า PDPA ถูกบังคับใช้แล้ว ประชาชนบางส่วนยังเกิดความเข้าใจผิด และบางคำถามไม่ได้รับคำตอบที่ถูกต้องด้วย มันก็จะทำให้สังคมไปทางไหนก็ไม่รู้ ไม่แน่ใจว่าเราจะไปกันถูกทางหรือเปล่า องค์กรที่เกี่ยวข้องสามารถสร้างการตระหนักรู้ในเรื่องนี้ได้ แต่ยังตอบข้อสงสัยเรื่องกฎหมาย PDPA ค่อนข้างน้อย” นายกล้า ระบุ
ประธานเจ้าหน้าที่บริหาร บริษัท ไวซ์ไซท์ (ประเทศไทย) ยังกล่าวอีกว่า การสร้างความตระหนักรู้ (Awareness) ยังทำได้มากกว่านี้ โดยเฉพาะการอธิบายประเด็นที่ประชาชนสงสัย สุดท้ายสื่อมวลชนถูกคาดหวังให้เป็นแหล่งความรู้ เพราะประชาชนยังหวังพึ่งบทบาทสื่อในการเรียนรู้เรื่องราวต่างๆ รวมถึงการไขข้อข้องใจหรือแก้สิ่งที่เข้าใจผิด นอกจากนี้ยังพบปฏิกิริยาของสังคม ที่เมื่อเกิดข้อสงสัยขึ้นแต่ไม่มีผุ้ใดให้ความกระจ่างได้ ก็จะมีการทำ “มีม (Meme)” หรือภาพล้อเลียนตลกขบขัน ซึ่งสะท้อนความคาดหวังที่ไม่ได้รับการตอบสนอง
ในช่วงของการเสวนา ดร.นพ.นวนรรน ธีระอัมพรพันธุ์ อาจารย์คณะแพทยศาสตร์ โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล ในฐานะกรรมการผู้ทรงคุณวุฒิในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กล่าวว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะออกมาตั้งแต่ปี 2562 และตามกำหนดการเดิมจะมีผลบังคับใช้ในวันที่ 27 พ.ค. 2563 แต่ด้วยสถานการณ์โรคระบาดโควิด-19 ซึ่งมีข้อจำกัดต่างๆ รัฐบาลจึงประกาศเลื่อนการบังคับใช้
ทำให้ในช่วงเวลา 2 ปีที่ผ่านมาไม่มีการแต่งตั้ง คกก.คุ้มครองข้อมูลส่วนบุคคล ทั้งที่ในช่วง 2 ปีนี้ ควรเป็นเวลาที่ผู้เกี่ยวข้องได้ทำความเข้าใจและสร้างความตระหนักในกฎหมาย กระทั่งในปัจจุบันก็ยังไม่มี สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เกิดขึ้นอย่างเป็นทางการ โดยระหว่างที่ยังไม่มีนั้นกฎหมายให้ สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ทำหน้าที่ไปพลางก่อน
ซึ่งการจะมี สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เกิดขึ้นได้จำเป็นต้องมีการแต่งตั้งคณะกรรมการกำกับสำนักงาน มีการประชุมเพื่อออกกฎระเบียบหรือประกาศต่างๆ ที่เกี่ยวข้องกับการบริหารองค์กร ขณะเดียวกัน กฎหมายยังมีความซับซ้อนเพราะกล่าวถึงคณะกรรมการไว้หลายชุด นอกจาก คกก.คุ้มครองข้อมูลส่วนบุคคล ที่เป็นคณะกรรมการเชิงนโยบาย ทำหน้าที่ออกระเบียบและวินิจฉัยตีความ แล้วยังมีคณะกรรมการกำกับสำนักงาน ที่มีหน้าที่กำหนดกฎระเบียบขององค์กร และคณะกรรมการผู้เชี่ยวชาญ ทำหน้าที่พิจารณาข้อร้องเรียน
ขณะเดียวกัน สำนักงานปลัดกระทรวงดีอีเอส ซึ่งทำหน้าที่ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ต้องออกกฎหมายลูก หรือกฎหมายลำดับรอง ซึ่งปัจจุบัน คกก.คุ้มครองข้อมูลส่วนบุคคล ได้ตั้งคณะอนุกรรมการเพือกลั่นกรองร่างกฎหมายดังกล่าว ซึ่งทางสำนักงานได้เตรียมร่างไว้ ที่ผ่านมามีการประชุมกันแทบทุกสัปดาห์ตั้งแต่เดือน มี.ค. 2565 แต่ก็อยากให้ประชาชนเข้าใจว่าเหตุที่ต้องใช้เวลาเพราะการพิจารณากฎหมายต้องทำอย่างรอบคอบ
ส่วนประเด็นที่ก่อนหน้านี้มีเสียงเรียกร้องให้เลื่อนการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ออกไปอีก 1 ปี เนื่องนี้คณะกรรมการก็มีทั้งข้อถกเถียงและการรับฟังความคิดเห็นจากทุกฝ่าย ทั้งผู้ที่มองว่าเวลายังไม่เหมาะสมเพราะกิจการต่างๆ เพิ่งเผชิญปัญหาทั้งจากโควิด-19 และเศรษฐกิจ อีกทั้งยังไม่มีกฎหมายลูกจึงอาจไม่มีความพร้อม และผู้ที่มองว่าหากเลื่อนออกไปเท่ากับยังไม่มีกฎหมายมาปกป้องข้อมูลส่วนบุคคลจากการละเมิด แต่ท้ายที่สุดก็ได้ข้อสรุปว่าจะไม่เลื่อนอีก
“คณะกรรมการตกลงกันว่า Tone (ความเข้ม) ของการบังคับใช้จะไม่ได้เข้มข้น ต้องขอทำความเข้าใจว่าเราพิจารณาตามเหตุและผล ต่อข้อจำกัดต่างๆ หากมีอะไรที่เป็นข้อร้องเรียนเกิดขึ้นมา มีอะไรที่ไม่ได้เป็นเจตนาทำอะไร ยกตัวอย่างอะไรที่มันดูน่าเกลียด เช่น เจตนาเอาข้อมูลไปให้แก๊งคอลเซ็นเตอร์ อาจจะดูน่าเกลียดชัดเจน แต่ถ้าไม่ใช่กรณีแบบนั้น ก็คงเป็นกรณีแบบที่เราเข้าใจได้ว่าการบังคับใช้อาจจะเป็นการตักเตือน หรือการสั่งให้แก้ไขให้ถูกต้อง มากกว่าจะไปลงโทษปรับ ลงโทษอะไรต่างๆ” ดร.นพ.นวนรรน กล่าว
น.ส.ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ให้ความเห็นว่า เหตุที่เกิดความสับสนหรือเข้าใจผิดขึ้นในประเด็นการบังคับใช้กฎหมาย PDPA เพราะ 1.ความซับซ้อนของกฎหมาย ต้องยอมรับว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ค่อนข้างซับซ้อนกว่าเมื่อเทียบกับกฎหมายอีกหลายเรื่อง 2.กฎหมายใช้บังคับกับทุกภาคส่วนแบบเดียวกัน ทั้งที่รูปแบบการจัดเก็บและใช้ข้อมูลของแต่ละอาชีพแตกต่างกัน เช่น คนทำงานในห้องแล็บ ในกิจการโทรคมนาคม ในภาคการตลาด เป็นต้น
3.ในความเป็นจริงสังคมไทยก็ไม่ได้ให้ความสำคัญกับเรื่อง “ความเป็นส่วนตัว (Privacy)” มากนัก แม้จะรู้สึกรำคาญบ้างแต่ก็ไม่ได้คุ้นชินกับการเคารพความเป็นส่วนตัวซึ่งกันและกัน แต่กฎหมาย PDPA ที่ออกมาใหม่นั้นคาดหวังกับสังคมอย่างมาก นอกจากเข้าใจกฎหมายแล้วยังต้องปรับเปลี่ยนพฤติกรรมในการปฏิบัติต่อกัน 4.ความไม่มั่นใจของประชาชนที่มีต่อการบังคับใช้กฎหมาย ซึ่งไม่ใช่เฉพาะ PDPA แต่เป็นภาพรวมว่าด้วยหลักนิติรัฐ-นิติธรรมในบ้านเมือง ที่ต้องยอมรับว่าถูกตั้งคำถามตลอดมา เพราะมีตัวอย่างทั้งการกลั่นแกล้ง หรือการลงโทษที่ไม่ได้สัดส่วน
และ 5.การอธิบายกฎหมายแบบ “ขู่ให้กลัว” หมายถึงการอธิบายโดยเน้นว่าหากฝ่าฝืนจะต้องเจอบทลงโทษอย่างไรบ้าง ซึ่งดูเหมือนจะเป็นความเคยชินของสังคมไทยที่ผู้คนเติบโตมากับการใช้อำนาจ เช่น การเลี้ยงด้วยไม้เรียว ดังนั้นเมื่อมีกฎหมายใหม่ๆ ออกมา สิ่งแรกที่แต่ละคนจะคิดก่อนคือทำอย่างไรจะไม่ถูกตีหรือถูกลงโทษ แทนที่จะคิดว่ากฎหมายใหม่สามารถสร้างโอกาสใหม่ๆ กับตัวเราได้อย่างไรบ้าง หรือทำให้คนในสังคมเคารพกันและกันได้อย่างไรบ้าง โดยสรุปคือการอธิบายแบบขู่ให้กลัว ทำให้คนมองกฎหมายในแง่ลบมากกว่าแง่บวก
“ทำอย่างไรจะไม่ให้คนรู้สึกลบหรือระแวงกฎหมายจนเกินไป ก็มีข้อเสนอ 1.องค์กรผู้บังคับใช้ต้องพยายามสื่อสารให้ดีว่ามันจะทำอย่างไร 2.เวลาต้องบังคับใช้ ถ้ามันจะต้องใช้ไม้เรียวกันจริงๆ ไม้เรียวไม่ใช่ Option (ทางเลือก) แรก มันต้องเป็น Option ว่าทำผิดแล้วแก้ไขได้ไหม ทำอย่างไรจะแก้ไขได้ แล้วเรามี Lesson Learn (บทเรียน) ร่วมกันว่าต้องแก้แบบนี้ แล้วบริษัทหรือองค์กรอื่นๆ ที่ทำพลาดเหมือนกันก็แก้ไปพร้อมกัน คือมันต้องอาศัยความเข้าใจของ Regulator (หน่วยงานกำกับดูแล) แต่คิดว่า Regulator เข้าใจแล้วว่าในช่วงต้นๆ ของการบังคับใช้กฎหมาย มันต้องเน้นเรื่องของการ Educate (ให้ความรู้) กัน เรียนรู้ไปด้วยกัน” น.ส.ฐิติรัตน์กล่าว
ดร.อุดมธิปก ไพรเกษตร ผู้ก่อตั้งสื่อ PDPA Thailand / CEO บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด / CEO สถาบันพัฒนาและทดสอบทักษะดิจิทัล DDTI ตั้งข้อสังเกตว่า ในมุมของประชาชนนั้น ประชาชนยังไม่ได้รับความรู้ด้านการใช้สิทธิตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ทั้งการเข้าถึงและการร้องเรียน โดยหาก สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ไม่มีกลไกรองรับ และประชาชนไม่สามารถใช้สิทธิได้เนื่องจากไม่มีช่องทางหรือวิธีการ ท้ายที่สุดกฎหมายฉบับนี้ก็จะถูกลืม
อีกด้านหนึ่ง ในมุมของผู้ประกอบการ วันนี้แม้กฎหมายบังคับใช้และบทลงโทษและกลไกต่างๆ ก็ยังไม่ชัดเจน อีกทั้งยังไม่มีคณะกรรมการผู้เชี่ยวชาญซึ่งสำคัญมาก ดังนั้นแม้ต่อไปจะออกกฎหมายลูกว่าด้วยมาตรการและโทษทางปกครองก็ไม่มีประโยชน์ตราบใดที่ไม่มี คกก.ผู้เชี่ยวชาญ อนึ่ง ที่ผ่านมาด้วยความเข้าใขผิดของภาคธุรกิจ ทำให้มีความพยายามต่างๆ เช่น การขอเลื่อนการบังคับใช้กฎหมาย PDPA ออกไปอีก การขอให้งดเว้นโทษทางอาญาไว้ก่อน ไปจนถึงการหาทางเข้าไปมีส่วนร่วมในกลไกคณะกรรมการ
“คณะกรรมการผู้เชี่ยวชาญ ก็น่าจะเป็นอีกสมรภูมิหนึ่งที่คิดว่าทุกฝ่ายพยายามเข้าไปมีบทบาทในนั้น เพราะถ้าดูจากกฎหมายแล้วอำนาจ คกก.ผู้เชี่ยวชาญ จะเป็นคนชี้ขาดว่าท้ายที่สุดแล้วการบังคับใช้กฎหมายฉบับนี้จะเป็นไปแบบไหน-อย่างไร ไม่ใช่ชุด คกก.คุ้มครองข้อมูลส่วนบุคคล ไม่ใช่ชุด คกก.กำกับสำนักงาน แต่เป็น คกก.ผู้เชี่ยวชาญ ผมคิดว่าในส่วนของภาคประชาชนเองหรือนักวิชาการ น่าจะต้องติดตามเรื่องนี้และเอาใจใส่ ไม่เช่นนั้นเราอุตส่าห์ได้กฎหมายที่ดีๆ ฉบับหนึ่งแล้ว แต่กฎหมายจะดีต่อไปได้ก็ต่อเมื่อทุกภาคส่วนมีส่วนร่วม” ดร.อุดมธิปก กล่าว
ดร.สลิลธร ทองมีนสุข อาจารย์คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย กล่าวว่า เจตนารมณ์ของกฎหมาย PDPA คือต้องการรักษาสมดุลระหว่างการใช้ประโยชน์ข้อมูลกับการคุ้มครองสิทธิความเป็นส่วนตัวไม่ให้ถูกละเมิดมากจนเกินไป ขณะเดียวกันในประเด็นโทษทางอาญา จริงๆ แล้วไม่ใช่เรื่องง่ายที่จะถูกลงโทษทางอาญาตามกฎหมายนี้ เพราะมีเพียงไม่กี่เรื่องเท่านั้นที่เข้าข่าย เช่น ข้อมูลประเภทที่มีความอ่อนไหว ซึ่งหากหลุดรั่วออกไปอาจทำให้บุคคลถูกดูหมิ่นเกลียดชัง
ขณะที่ประเด็นความสนใจของภาคธุรกิจ จากประสบการณ์ที่เข้าไปช่วยงานของ สถาบันวิจัยเพื่อการพัฒนาประเทศไทย (TDRI) ทำคู่มือสำหรับธุรกิจขนส่งในการปฎิบัติตามกฎหมาย PDPA เมื่อปี 2564 พบว่า หากเป็นกิจการขนาดใหญ่และขนาดกลาง ผู้ประกอบการจะตื่นตัวมาก เพราะหวั่งเกรงบทลงโทษ เช่น ตั้งคณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคลขึ้นมาภายในองค์กร จัดอบรมสร้างความตระหนักรู้เกี่ยวกับกฎหมาย PDPA ให้กับพนักงานในองค์กร หรือบางองค์กรถึงขั้นลงทุนส่งพนักงานไปฝึกอบรมกับหลักสูตรของต่างประเทศ
มีการสำรวจและประมวลผลว่าในองค์กรมีการจัดเก็บข้อมูลอะไรบ้าง หรือข้อมูลส่วนบุคคลถูกจัดเก็บไว้ที่ใดบ้าง อ้างฐานประมวลผลใดบ้าง วางมาตรการทั้งทางเทคนิคและการบริหารองค์กร ตลอดจนพัฒนาเว็บไซต์สำหรับเปิดเป็นช่องทางร้องเรียน ซึ่งเป็นความคืบหน้าที่ดี แต่ในทางกลับกัน ผู้ประกอบการขนาดเล็กยังขาดความเข้าใจ เช่น เคยได้รับคำถามว่าการแจ้งกับความยินยอมต่างกันอย่างไร หรือมีผู้ที่เข้าใจว่าต้องขอความยินยอมในทุกกรณี เป็นต้น
ดร.สลิลธร ยังยกตัวอย่างหนึ่งในเรื่องที่มีความกังวลกันมากคือ “ข้อมูลจากกล้องวงจรปิด (CCTV)” เช่น ติด CCTV ไว้ในบ้าน ต้องติดป้ายคำเตือนว่ามีกล้องหรือไม่ หรือในกิจการภาคขนส่ง มีการใช้ CCTV อาทิ สถานีรถไฟฟ้า ทางด่วน ทั้งเพื่อการรักษาความปลอดภัยและการจัดเก็บค่าบริการ การที่ผู้ให้บริการจัดเก็บและใช้ข้อมูลจาก CCTV ต้องขอความยินยอมหรือไม่ แต่หากมาดูข้อกฎหมายที่ระบุเงื่อนไขที่ไม่ต้องขอความยินยอม ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 24 จะมีการกล่าวถึงฐานประโยชน์โดยชอบธรรมของผู้ควบคุมข้อมูลหรือบุคคลที่ 3
“ถ้าจะเข้าฐานนี้ได้ มันจะต้องดู 3 อย่าง 1.เจ้าของข้อมูลเขาคาดหมายได้ไหม เช่น เมื่อผ่านทางด่วนก็ต้องคาดหมายได้อยู่แล้วว่ามันมีกล้องติดอยู่ หรือไปเดินห้าง ไปสถานีรถไฟฟ้า คนที่ใช้บริการเขาก็คาดหมายได้อยู่แล้วว่ามันมีการเก็บข้อมูลผ่าน CCTV 2.ความเสี่ยง เจ้าของข้อมูลมีความเสี่ยงอะไรหรือไม่ที่ CCTV มันติดและจับ ที่ดูมันก็ไม่ได้มีความเสี่ยงอะไรมากมาย และ 3.ที่สำคัญคือผู้ควบคุมข้อมูลหรือผู้ประกอบการ ต้องดูว่ามีมาตรการอะไรไหมที่จะช่วยลดความเสี่ยงให้กับเจ้าของข้อมูลส่วนบุคคล” ดร.สลิลธร ระบุ
ดร.สลิลธร อธิบายเพิ่มเติมในประเด็นกล้องวงจรปิดว่า แม้ไม่ต้องขอความยินยอมแต่ก็ต้องแจ้งเจ้าของข้อมูลส่วนบุคคลด้วย ซึ่งหากไปดูแนวปฏิบัติในกลุ่มสหภาพยุโรป (EU) หรือในประเทศสิงคโปร์ ว่าด้วยการใช้ CCTV อย่างถูกต้องตามกฎหมาย โดยสรุปคือ หากเป็นพื้นที่สาธารณะ การติดตั้งกล้องวงจรปิดสามารถทำได้โดยให้ติดป้ายเตือนในจุดที่มองเห็นได้ง่ายว่าบริเวณนี้มีการติด CCTV ในจุดก่อนเข้าสู่พื้นที่นั้น แต่ไม่ต้องถึงขั้นบอกละเอียดว่าติดกล้องไว้จุดใดบ้าง
นายอาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานเครือข่ายพลเมืองเน็ต / อนุกรรมการด้านการสื่อสาร โทรคมนาคมและเทคโนโลยีสารสนเทศ สภาองค์กรของผู้บริโภค เรียกร้องให้ประชาชนร้องเรียนผ่านกลไกต่างๆ ที่มี หากไม่ได้รับความเป็นธรรมหรือถูกเอารัดเอาเปรียบ เช่น กรณีสินค้าและบริการ ร้องเรียนที่สำนักงานคณะกรรมการคุ้มครองผู้บริโภค (สคบ.) ซึ่งการร้องเรียนเป็นประโยชน์ 1.ผู้ประกอบการรับทราบปัญหา 2.เป็นการทดสอบกลไกกำกับดูแลว่ามีข้อบกพร่องต้องปรับปรุงหรือไม่ ดังนั้นอยากเห็นภาพแบบเดียวกันกับช่องทางของกฎหมาย PDPA
“ใครอยู่วงการพัฒนาซอฟท์แวร์ หรือวงการออกแบบผลิตภัณฑ์ต่างๆ มันจะมีไอเดียของการทดสอบกันตั้งแต่เนิ่นๆ คือไม่ต้องรอให้ผลิตภัณฑ์สำเร็จเสร็จสิ้นสมบูรณ์ มันไม่มีคำว่าสมบูรณ์ คือทุกอย่างมันก็ค่อยๆ พัฒนากันไป ถ้าอยากให้เห็นจุดบกพร่องเร็วขึ้นเราก็ต้องรีบใช้งานมันเสียแต่เนิ่นๆ แล้วพอเราทดลองใช้งานมันไป พบว่ากลไกร้องเรียนแบบนี้ร้องเรียนไปแล้วล่าช้ามาก หรือแบบฟอร์มที่ให้กรอกไม่ครอบคลุมสิ่งที่เราประสบพบเจอมา สิ่งเหล่านี้มันเป็น Feedback (เสียงสะท้อน) เพื่อนำไปสู่การพัฒนากลไกร้องเรียนได้” นายอาทิตย์ กล่าว
อย่างไรก็ตาม นายอาทิตย์ แสดงความกังวล กรณี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 4 ที่เปิดช่องให้มีการออกพระราชกฤษฎีกา มาเพื่อยกเว้นการบังคับใช้กฎหมายฉบับนี้ได้เป็นรายกิจการหรือกิจกรรม ซึ่งผู้มีอำนาจในการออกพระราชกฤษฎีกา คือรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม อีกทั้งการออกพระราชกฤษฎีกายังไม่ต้องรับฟังความคิดเห็นจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ซึ่งใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 4 ด้านหนึ่งตัวกฎหมายฉบับนี้ระบุข้อยกเว้นในการบังคับใช้กฎหมายไว้แล้ว 6 ข้อ แต่อีกด้านหนึ่งกลับให้อำนาจรัฐมนตรีสามารถออกข้อยกเว้นเพิ่มได้อีก ทำให้แม้จะบอกว่า คกก.คุ้มครองข้อมูลส่วนบุคคล สามารถทำงานได้อย่างเป็นอิสระ แต่ขอบเขตการทำงานก็สามารถถูกบีบให้แคบลงเมื่อใดก็ได้ด้วยอำนาจของรัฐมนตรี ในอนาคตกฎหมายก็อาจไม่เหลือสภาพที่สามารถใช้งานได้อีก
“ผมคิดว่าเป็นเรื่องอันตราย นี่เป็น พ.ร.บ. ที่ออกโดยสภาผู้แทนราษฎร ซึ่งโดยไอเดียก็คือผู้แทนปวงชน คือเลือกตั้งเข้ามา เป็นอำนาจนิติบัญญัติ แต่ฝ่ายบริหาร รัฐมนตรีสามารถใช้กฎหมายลำดับรอง พระราชกฤษฎีกาเป็นการออกกฎหมายโดยฝ่ายบริหาร มาทำให้กฎหมายที่ออกโดยฝ่ายนิติบัญญัติไม่เหลือสภาพการใช้ไปทั้งหมดเลย ถ้าเรายอมให้มีลักษณะแบบนี้เกิดขึ้นกับกฎหมายฉบับนี้ คือกฎหมายคุ้มครองข้อมูลส่วนบุคคล เป็นไปได้เหมือนกันว่ากฎหมายฉบับใดๆ ในอนาคตก็จะถูกใช้เทคนิคนี้ได้อีกเหมือนกัน เท่ากับไอเดียเรื่องการแบ่งแยกอำนาจ ตุลากร นิติบัญญัติ บริหาร มันไม่เหลือแล้ว” นายอาทิตย์ ระบุ
ในช่วงท้ายของงานเสวนา ผศ.ดร.เอื้อจิต วิโรจน์ไตรรัตน์ ที่ปรึกษาโคแฟค (ประเทศไทย) กล่าวว่า ในช่วง 1 เดือนของการประกาศใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีหลายองค์กรจัดกิจกรรมที่เกี่ยวข้องกับกฎหมายดังกล่าว แต่การเสวนาในครั้งนี้ให้มุมมองที่น่าสนใจ และเป็นมุมมองด้านการปกป้องคุ้มครองผู้บริโภค ซึ่งก็คือประชาชนทั่วไป ทั้งในมิติความรู้ เข้าใจชัดเจนและมีรูปธรรมตามมา และแม้จะพบจุดอ่อนของกฎหมายนี้อยู่บ้าง เช่น เข้าใจยาก ต้องตีความ หรือมีข้อสังเกตในบางมาตรา แต่ในภาพรวมถือเป็น พ.ร.บ. ที่มีความสำคัญและจำเป็น
“สิ่งที่มีความรู้สึกในนามส่วนตัวและในนามโคแฟคด้วย ฟังท่านพูดกันแล้วประหนึ่งว่า ความมีประโยชน์ของ พ.ร.บ. นี้จะชัดเจนมากขึ้นเมื่อมีการประยุกต์ใช้กับสถานการณ์จริง ดังนั้นเป็นเหมือนกับความต้องการของสังคมหรือผู้บริโภคในทีเหมือนกัน จะมีใครที่ไปตามดูว่าเมื่อมีการประกาศบังคับใช้แล้ว ตัวที่ให้คุณให้โทษต่อการดำเนินชีวิตของประชาชนคนทั่วไปเป็นอย่างไรบ้าง” ผศ.ดร.เอื้อจิต กล่าว