ความคืบหน้า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล อิง GDPR มากขึ้น แต่เอกชนกังวลเพราะมีโทษอาญาด้วย

By sunnywalker Writer on Tag: Thailand, Law, GDPR
Thailand

วันที่ 11 กันยายน กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดให้ภาคสังคมเข้ารับฟังเวทีประชาพิจารณ์ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล สถานะตอนนี้คือคณะกรรมการกฤษฎีกาได้แก้ไขกลับมาแล้ว ขั้นต่อไปคือเข้าสู่การพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.)

ร่าง พ.ร.บ.ฉบับแก้ไขโดยคณะกรรมการกฤษฎีกา มีการอ้างอิงหลักการ GDPR หรือกฎใหม่คุ้มครองข้อมูลส่วนบุคคลยุโรปเพิ่มหลายจุด แต่มีบางจุดที่ภาคเอกชนกังวลคือ การให้อำนาจเลขา สพธอ. (หน่วยงานที่มาทำหน้าที่เป็นผู้กำกับดูแล ช่วงก่อนตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมาทำหน้าที่) ในการตัดสินโทษปรับและสามารถใช้ดุลยพินิจได้นั้นสมควรหรือไม่, ค่าปรับถูกรวมเข้าเป็นรายได้ของหน่วยงาน regulator ไม่นำไปรวมกับรายได้แผ่นดิน, รวมถึงการเพิ่มโทษอาญาเข้ามาทำให้ธุรกิจรู้สึกมีความเสี่ยง

หลักการสำคัญบางประการใน ร่าง พ.ร.บ. ที่คณะกรรมการกฤษฎีกาแก้ไข

  • นิยาม จากเดิมที่นิยาม "ข้อมูลส่วนบุคคล" ไม่รวมที่อยู่ทางธุรกิจ ฉบับแก้ไขได้ตัดข้อแม้ออก และแก้ไขเป็น ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวคนได้ ไม่ว่าทางตรง ทางอ้อม

    (ซ้ายฉบับเก่า ขวาฉบับคณะกรรมการกฤษฎีกาแก้ไข)
  • มีระยะเวลาบังคับใช้หลังประกาศเร็วขึ้น จาก 1 ปี เป็น 180 วัน
  • ปรับสัดส่วนคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เป็นกรรมการโดยตำแหน่ง 5 คน (จากเดิม 8 คน) กรรมการโดยการสรรหา 9 คน (จากเดิม 5 คน) เพิ่มการมีส่วนร่วมจากภาคส่วนที่เกี่ยวข้อง ในกฎหมายระบุว่าจะแต่งตั้งจาก ผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการคุ้มครองข้อมูลส่วนบุคคล, ด้านการคุ้มครองผู้บริโภค, เทคโนโลยีสารสนเทศและการสื่อสาร, สังคมศาสตร์ และกฎหมายสุขภาพ
  • ที่มาของคณะกรรมการสรรหา ประกอบด้วย นายกรัฐมนมนตรีแต่งตั้ง 2 คน, ประธานรัฐสภา แต่งตั้ง 2 คน, ผู้ตรวจการแผ่นดินแต่งตั้ง 2 คน คณะกรรมการสิทธิมนุษยชนแห่งชาติ แต่งตั้ง 2 คน
  • เปลี่ยนอัตราโทษ จาก 1-5 แสนบาท เป็น 1-5 ล้านบาท

ยกตัวอย่างบางส่วนในร่าง พ.ร.บ. ที่อิง GDPR เพิ่มเข้ามา

  • GDPR Article 8 ว่าด้วยเงื่อนไขที่เกี่ยวข้องกับความยินยอมของเด็ก มีการเพิ่มเติมการขอความยินยอมจากเด็กและผู้ไร้ความสามารถในร่างกฎหมายมาตราที่ 20
  • GDPR Article 9 ว่าด้วยเรื่องข้อมูลอ่อนไหว มีข้อมูลอะไรบ้างที่ห้ามนำไปประมวลผล
    ในนิยามข้อมูลอ่อนไหวในร่างกฎหมายไทย ได้เพิ่มข้อมูลสหภาพแรงงาน ชีวภาพ พันธุกรรมเข้ามาในหมวดนี้ด้วย จากเดิมที่มีแค่ เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติ อาชญากรรม และข้อมูลสุขภาพ
  • GDPR Article 45,46,47 ว่าด้วยการโอนข้อมูลข้ามประเทศและโอนข้อมูลภายในองค์กร ในร่างกฎหมายมีการแก้ไขให้ชัดเจนขึ้นว่าถ้าประเทศปลายทางมีมาตรฐานดีหรือไม่ดีพอ และได้แจ้งความยินยอมเจ้าของข้อมูลแล้วก็สามารถทำได้ และเพิ่มเติมหลักการให้ความคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร หากมีนโยบายที่ได้รับการตรวจสอบและรับรองจากสำนักงานก็สามารถโอนข้อมูลไปยังต่างประเทศได ้

ข้อเสนอแนะและความกังวล

ความกังวลบางประการที่ภาคธุรกิจและสังคมมีต่อ ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ความเห็นจาก สุธี ทุวิรัตน์ กรรมการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ ระบุว่า การให้อำนาจเลขาสำนักงานคุ้มครองข้อมูลส่วนบุคคลในการกำหนดโทษโดยใช้ดุลยพินิจได้เป็นเรื่องน่ากังวลอย่างยิ่ง

ที่สำคัญคือ สำนักงานฯ มีสิทธิ์ถือหุ้นในบริษัทเอกชนด้วย (มาตรา 44 วงเล็บ 4 ระบุว่าสำนักงานคุ้มครองข้อมูลส่วนบุคคลสามารถถือหุ้น เข้าเป็นหุ้นส่วน หรือเข้าร่วมทุนกับนิติบุคคลอื่นในกิจการที่เกี่ยวกับวัตถุประสงค์ของสำนักงาน)

สิทธินัย จันทรานนท์ data protection officer หรือเจ้าหน้าที่คุ้มครองข้อมูลของการบินไทย ที่ถือว่าเป็นองค์กรแรกๆ ของไทยที่ตื่นตัวเรื่องการคุ้มครองข้อมูลส่วนบุคคล ระบุว่าร่างนี้มีความสมบูรณ์กว่าร่างก่อนหน้า หลายอย่างรับเอาหลัก GDPR มา แต่ไม่แน่ใจว่าครบถ้วนถูกต้องหรือไม่ นอกจากเอกชนแล้ว หน่วยงานราชการก็ต้องทำงานให้สอดคล้องหลักคุ้มครองข้อมูลส่วนบุคคลด้วย

นายสิทธินัย เน้นเรื่องการใส่โทษอาญา เข้าไปทั้งที่กฎหมายนี้เป็นกฎหมายใหม่นั้นเป็นเรื่องสมควรหรือไม่ เพราะแม้แต่ GDPR ยังมีแค่โทษปรับทางแพ่ง ไม่มีอาญาหรือจำคุก ถ้าเป็นเช่นนี้ จะทำให้ธุรกิจดำเนินงานภายใต้ความเสี่ยงโทษอาญาทันที

(หมายเหตุ: ในร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หมวดกำหนดโทษ มีการระบุโทษอาญาเข้ามาด้วย สรุปได้ว่าถ้าผู้ถือครองข้อมูลเปิดเผยข้อมูลโดยไม่ขอความยินยอมก็จะเจอโทษปรับไม่เกิน 1 ล้านบาท และจำคุกไม่เกิน 1 ปี หรือทั้งจำทั้งปรับ)


*บรรยากาศการประชุมชี้แจงและรับฟังความคิดเห็นเกี่ยวกับร่างกฎหมาย*
ภาพจาก กระทรวงดีอี

เนื่องจากนิยามข้อมูลส่วนบุคคลไม่ได้มีพูดถึงข้อมูลปกปิดตัวตน (เช่น ข้อมูลเซอร์เวย์ถามความเห็น) จึงมีข้อเสนอแนะจากผู้เข้าร่วมฟังคนหนึ่งว่า ควรอธิบายให้ชัดในกฎหมายว่าข้อมูลที่ปกปิดตัวตนแล้วถือว่าเป็นข้อมูลส่วนบุคคลหรือไม่ แต่จากการตีความทางกฎหมายแล้วนั้นไม่ถือว่าเป็นข้อมูลส่วนบุคคล เพราะเกรงจะกระทบการทำบิ๊กดาต้า

เมธา สุวรรณสาร นายกสมาคม TISA ถามว่า หน่วยงานกำกับที่ตั้งขึ้นใหม่นี้จะมีอำนาจกำกับทั้งรัฐและเอกชนหรือไม่ ถ้ามี เท่ากับมีอำนาจกำกับ แบงค์ชาติ กลต.หรือไม่ ถ้าเป็นเช่นนั้น จะถือเป็นการซ้ำซ้อนกับหน่วยงานเหล่านั้น สร้างภาระให้หน่วยงานกำกับ จึงมองว่า ผู้กำกับดูแลควรมีหน้าที่แค่กำกับจริงๆ ไม่ใช่ลงไปจัดการ เพราะเทคโนโลยีมันเปลี่ยนเร็วกว่าหน่วยงานกำกับจะตามทัน กล่าวคือไม่ควรกำกับมาก แต่ควรวางแค่กรอบก็พอ

กระทรวงดีอีจะพยายามนำความเห็นไปหารือในขั้น สนช. พิจารณา

นางอัจฉรินทร์ พัฒนพันธ์ชัย ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เน้นย้ำถึงการจัดรับฟังความเห็นในวันนี้ (11 กันยายน) ว่า เป็นวัตถุประสงค์ของกระทรวงที่จะให้สังคมรับฟัง เพราะกระทรวงไม่สามารถปรับแก้ไขในร่างนี้ได้แล้ว ซึ่งจะรวบรวมความเห็นเข้าไปในขั้นตอนการหารือถกเถียงในขั้น สนช. พิจารณาได้ถ้ามีโอกาส

อ่านร่างกฎหมายเพิ่มเติม

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

waroonh Thu, 20/09/2018 - 17:25

ก็ดีนะครับ อย่างเคส ที่พ่อค้ารถมือสองขับรถปาดหน้า แล้วโทรไปให้ ใครซักคนเปิดฐานข้อมูลกองทะเบียนเอาชื่อนามสกุล ที่อยู่คู่กรณี มาขู่อ่ะครับ ปรับไปเลย ล้านนึง แล้วจำคุกด้วย เหมาะสมมากครับ

Gored Thu, 20/09/2018 - 18:11

ไม่มีโทษอาญานี่แหละถึงไม่กลัวจังถ้าสีแต่ค่าปรับใครก็ยอมจ่ายสิแลกกับผลประโยชน์ที่ได้มันก็คุ้ม ที่กลัวไม่ใช่อะไรก็แค่เสียผลประโยชน์เอาเปรียบประชาชนมานานพอจะควบคุมทำเป็นร้อง

hydrojen Fri, 21/09/2018 - 10:45

สุดท้ายตอนทำธุรกรรม ก็บังคับให้ เปิดเผย ให้ บ.ในเครืออยู่ดี
เหมือนบังคับซื้อประกันตอนกู้นั้นแหละ

Virusfowl Sun, 23/09/2018 - 03:21

tracking no. ของบริการขนส่งสินค้านี่ก็เปิดเผยข้อมูลผู้ใช้ (โดยอ้อม) พอสมควรเลย โดยเฉพาะเจ้าที่ไม่เป็นเลขสุ่ม

iDan Tue, 25/09/2018 - 22:39

tracking no. หลายๆ เจ้า ก็เป็นเลขสุ่มที่เป็น check digi นะครับ ก็เดาค่อนข้างยากอยู่ แต่ที่แน่ ๆ การเอา tracking no. ของลูกค้ามาโพสต์บนหน้าเว็บ หน้าเฟสว่า ส่งแล้วนะ ติดตามเอาเองนะ อันนี้เนี่ยไม่ค่อยโอเคนะครับ รู้หมดว่าชื่อ-แซ่อะไร อยู่จังหวัดไหน? รู้หมด