ไทยหวั่น"ยุโรป"ชูใบแดง

กฎหมายคุ้มครองข้อมูลบุคคลมาตรฐานต่ำ
          ห่วงอำนาจสำนักงานเบ็ดเสร็จ
          สมาคมความมั่นคงปลอดภัยระบบสารสนเทศ ห่วง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ไม่ได้มาตรฐานสหภาพยุโรป หวั่นไทยถูกปักธงแดงเหมือนกรณี ICAO และ IUU แถมน่ากลัวมากกว่า พ.ร.บ.ไซเบอร์
          น.พ.สุธี ทุวิรัตน์ กรรมการ สมาคมความมั่นคงปลอดภัยระบบสารสนเทศ และนักวิชาการอิสระ เปิดเผยกับ "ฐานเศรษฐกิจ" ว่า ร่างพระราชบัญญัติ(พ.ร.บ.)คุ้มครองข้อมูลส่วนบุคคล พ.ศ.  มีประเด็นสำคัญที่น่าเป็นห่วง และส่งผลกระทบต่อประเทศ คือ เรื่องมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล ยังด้อยกว่าข้อกำหนด The General Data Protection Regulation (GDPR)ของสหภาพยุโรป  ทั้งข้อกำหนดหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคล และการคุ้มครองสิทธิของบุคคลผู้เป็นเจ้าของข้อมูล ซึ่งจะส่งผลทำให้ประเทศไทยไม่ได้ถูกประกาศให้อยู่ในบัญชี รายชื่อประเทศที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เทียบเท่ากับอียู (Adequate Level of Data Protection Country List) ซึ่งอาจส่งผลกระทบต่อประเทศไทยรุนแรงกว่ากรณีที่องค์การการบินพลเรือนระหว่างประเทศ หรือ ICAO ให้ธงแดงประเทศไทย หรือกรณีการใช้แรงงานประมงที่ผิดกฎหมายไร้การควบคุม หรือ IUU
          น่ากลัวกว่าพ.ร.บ.ไซเบอร์
          กฎหมายฉบับดังกล่าวยังมีความน่ากลัวและน่าเป็นห่วงมากกว่า พ.ร.บ.ความมั่นคงปลอดภัยทางไซเบอร์  เพราะมีผลกระทบกับคนไทยทุกคน ซึ่งกำลังจะเสนอต่อสภานิติบัญญัติแห่งชาติ ( สนช.) เพื่อพิจารณาและประกาศบังคับใช้เป็นกฎหมาย โดย ร่างพ.ร.บ.ดังกล่าว มีประเด็นที่น่ากังวลกว่า ร่าง พ.ร.บ.ไซเบอร์ เป็นอย่างมาก
          ประเด็นการผูกขาดรวบอำนาจเบ็ดเสร็จเด็ดขาดของ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และเลขาธิการ มีอำนาจสั่งลงโทษปรับทางปกครอง และไม่ต้องนำส่งรายได้ให้กระทรวงการคลัง ลักษณะเดียวกับ พ.ร.บ.ความมั่นคงปลอดภัยทางไซเบอร์ นอกจากนี้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และเลขาธิการ มีอำนาจเหนือทุกกระทรวง และสั่งลงโทษปรับทางปกครอง บังคับใช้กับหน่วยงานรัฐ เอกชน และประชาชน ได้แบบเบ็ดเสร็จเด็ดขาด
          หวั่นอำนาจเบ็ดเสร็จ
          ขณะที่ประเด็นการตรวจสอบการบังคับใช้และการสั่งลงโทษปรับทางปกครอง กฎหมายให้อำนาจสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่มีฐานะเป็นหน่วยงานของรัฐที่ไม่ใช่ส่วนราชการ สอบสวนและสั่งลงโทษปรับทางปกครอง กับหน่วยงานรัฐที่ละเมิดหรือทำผิดข้อกำหนดตามกฎหมายในการคุ้มครองข้อมูลส่วนบุคคล ซึ่งไม่เหมาะสม เพราะมีอำนาจเบ็ดเสร็จสั่งลงโทษปรับทางปกครองกับหน่วยงานของรัฐและส่วนราชการทุกกระทรวง
          ข้อเสนอแนะ คือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล น่าจะมีอำนาจหน้าที่ในการพิจารณาตรวจสอบเรื่อง ร้องเรียน และเมื่อพบว่ามีการล่วงละเมิดหรือปฏิบัติไม่ถูกต้อง ก็ดำเนินการกล่าวโทษฟ้องคดีต่อศาลยุติธรรมเพื่อสั่งลงโทษปรับ โดยจำเลยสามารถที่จะขอยอมความยุติการดำเนินคดีโดยการชำระค่าปรับทางปกครอง รวมทั้งเป็นตัวแทนฟ้องคดีต่อศาลแพ่ง เพื่อเรียกค่าเสียหายให้กับบุคคลเจ้าของข้อมูลส่วนบุคคลที่ถูกล่วงละเมิด
          ส่วนประเด็นโทษปรับทางปกครองที่บังคับใช้กับเอกชน ในกฎหมายระบุให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีอำนาจหน้าที่ในการสอบสวนเรื่องร้องเรียน (มาตรา 69 - 74) และเลขาธิการสามารถใช้ดุลยพินิจปรับทางปกครอง (มาตรา 88) แบบเบ็ดเสร็จเด็ดขาด โดยไม่ผ่านกระบวนการยุติธรรม และ รายได้จากค่าปรับทางปกครองก็ถือเป็นรายได้ของสำนักงานที่ไม่ต้องนำส่งกระทรวงการคลัง ส่วนบุคคลเจ้าของข้อมูลส่วนบุคคลที่ถูกล่วงละเมิด ต้องไปฟ้องร้องคดีต่อศาลแพ่งเพื่อเรียกร้องค่าเสียหายด้วยตนเอง (มาตรา 75-76) ซึ่งไม่น่าจะถูกต้อง
          ข้อเสนอแนะ คือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล น่าจะมีอำนาจหน้าที่ในการพิจารณาตรวจสอบเรื่องร้องเรียน และเมื่อพบว่ามีการล่วงละเมิดหรือปฏิบัติไม่ถูกต้อง ก็ดำเนินการกล่าวโทษฟ้องคดีต่อศาลยุติธรรมเพื่อสั่งลงโทษปรับ โดยจำเลยสามารถที่จะขอยอมความยุติการดำเนินคดีโดยการชำระค่าปรับทางปกครอง รวมทั้งเป็นตัวแทนฟ้องคดีต่อศาลแพ่ง เพื่อเรียกค่าเสียหายให้กับบุคคลเจ้าของข้อมูลส่วนบุคคลที่ถูกล่วงละเมิด
          เสนอตั้งศาลพิเศษ
          นอกจากนี้ยังมีประเด็นการรับเรื่องร้องเรียน ที่เป็นข้อพิพาทระหว่างประชาชน เนื่องจากเป็นการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่อยู่ทั้งในและนอกราชอาณาจักรไทย ดังนั้นจะมีกรณีที่มีการร้องเรียนล่วงละเมิดโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ที่เป็นบุคคลที่อยู่ในราชอาณาจักรไทย เกิดขึ้นทุกวันและมีจำนวนมากในแต่ละวัน ซึ่งข้อเสนอแนะ คือบทบาทหน้าที่ของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ควรมีอำนาจหน้าที่ในการพิจารณาตรวจสอบเรื่องร้องเรียน แต่ควรจะมีการจัดตั้งศาลพิเศษ เพื่อพิจารณาคดีการละเมิดข้อมูลส่วนบุคคลระหว่างประชาชนเป็นการเฉพาะ โดยมีวัตถุประสงค์เพื่อลดขั้นตอนและความยุ่งยากในการฟ้องคดีและพยายามไกล่เกลี่ยข้อพิพาทระหว่างประชาชน เพื่อเป็นการอำนวยความยุติธรรมต่อประชาชนได้อย่างมีประสิทธิภาพ
          ปรับตัวไม่ทัน180วัน
          นอกจากนี้มองว่าความไม่พร้อมของหน่วยงานรัฐ เอกชน และประชาชน ที่จะปฏิบัติตามกฎหมาย การที่หน่วยงานรัฐและเอกชน จะมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลให้ถูกต้องตามที่บัญญัติในร่างพระราชบัญญัติฉบับนี้ ต้องมีการปรับเปลี่ยนและปฏิรูปกระบวนการทำงานแบบถอนรากถอนโคน ซึ่งขัดแย้งกับวัฒนธรรมองค์กรและวิถีทางการ ดำรงชีวิตของคนไทยเป็นอย่างมาก ซึ่งการกำหนดระยะเวลาในการบังคับใช้ 180 วัน ไม่น่าที่จะเพียงพอ
          ขณะที่ของอียู ซึ่งมีพื้นฐานการคุ้มครองข้อมูลส่วนบุคคลแบบเข้มงวดและเข้มข้นตาม EU DPD (Data Protection Directive) ซึ่งใช้มาตั้งแต่ปี 1996 จนถึงปี 2016 ยังให้ระยะเวลาในการปรับตัวมาใช้ GDPR นานถึง 2 ปี การรีบเร่งประกาศใช้โดยไม่ได้ทำการศึกษาถึงความพร้อมที่จะปฏิบัติตามกฎหมาย ของหน่วยงานของรัฐ และเอกชน ผู้ประกอบการ ในทุกอุตสาหกรรม ทำให้ได้รับการคัดค้านและต่อต้านอย่างรุนแรงและกว้างขวาง