จริงครับ สวัสดีครับนี่เป็นบทความแรกสั้นๆ จากบริษัท Lexnetix ที่เขียนขึ้นมาเพื่อให้องค์กรต่าง ๆ ในประเทศไทยเกิดความตระหนักต่อกฎหมาย PDPA ที่เพิ่งจะมีการบังคับใช้วันที่ 1 มิถุนายน 65 ที่ผ่านมา หลาย ๆ ท่านคงมีความสงสัยว่า “PDPA ประกาศใช้อย่างจริงจังแล้วหรือ” “ประกาศใช้แล้วก็คงตื่นตัวกันช่วงแรก หลังจากนั้นคงไม่มีใครสนใจ” หรือในทำนองที่ว่า “ตัวกฎหมายเองออกมาเมื่อ 2 ปีที่แล้ว ยังเลื่อนมาเรื่อย ๆ อีกสักพักก็คงเลื่อนไปอีก” ซึ่งไม่ใช่เรื่องแปลกเลย ที่หลาย ๆ ท่านมองภาพกฎหมาย PDPA ในลักษณะนี้ ดังนั้นเองทาง Lexnetix จะอธิบายให้เห็นภาพว่า จะเกิดความเสียอย่างไร ถ้าไม่ทำ PDPA เพื่อเป็นไปในเชิงความรู้และความเข้าใจ
กฎหมายถูกแบ่งความรับผิดไว้ 3 รูปแบบคือ ความรับผิดอาญา ความรับผิดทางแพ่ง และความรับผิดทางปกครอง และกฎหมายเองอยู่ภายใต้การดูแลของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส.
ซึ่งหลาย ๆ ท่านก็คงสงสัยว่า แล้วจะโดนโทษปรับอย่างไร ถ้าทาง สคส. ไม่เข้ามาตรวจสอบ คำตอบก็คือ ทาง สคส. ไม่สามารถเข้าไปตรวจสอบองค์กร ในประเทศไทยได้หมด และไม่สามารถทราบได้เลยว่า องค์กรใดในประเทศยังไม่ปฏิบัติตาม PDPA แต่เมื่อใดก็ตามที่เกิดเหตุการณ์ร้องเรียน แจ้งเหตุละเมิดหรือการรั่วไหลของข้อมูลขึ้น ตอนนั้นเองจะเป็นเวลาที่ทาง สคส. เข้าไปตรวจสอบการทำงานขององค์กรนั้น ๆ ว่า ได้มีการปฏิบัติตาม PDPA แล้วหรือไม่ หากไม่ปฏิบัติก็จะโดนโทษปรับตามกรณีที่ไม่ปฏิบัติเหมือน Infographic ที่แสดงไว้ ซึ่งในตัวบุคคลที่จะโดนโทษ ก็คือผู้บริหารและองค์กร ในฐานะที่ไม่สั่งการให้ปฏิบัติตามกฎหมายจนทำให้เกิดความเสียหายขึ้นมา
อย่างไรก็ตามในปัจจุบัน สคส. ก็ไม่ได้บังคับใช้ PDPA อย่างเข้มงวด เนื่องจากอยู่ในช่วงเวลาที่ให้ องค์กรในประเทศไทย ค่อย ๆ ปรับตัวและปฏิบัติตามแนวทางที่กฎหมายวางไว้ แต่หากองค์กรเริ่มวางแนวทางให้เป็นไปตาม PDPA ตั้งแต่ตอนนี้นอกจากองค์กรจะพ้นผิดเมื่อ สคส. บังคับใช้กฎหมายอย่างจริงจังแล้ว องค์กรยังจะได้รับความเชื่อมั่นในการใช้ข้อมูลส่วนบุคคลจากเจ้าของข้อมูล ในทางกลับกันหากองค์กรไม่ปฏิบัติตามเมื่อเกิดความเสียหายขึ้นนอกจากชื่อเสียงขององค์กรจะเสื่อมเสีย ยังต้องปรับโทษทางอาญา และโทษปรับที่มีมูลค่าสูงมากเมื่อเทียบกับการปฏิบัติตามกฎหมายแต่เนิ่นๆ หากสงสัยว่า การปฏิบัติตาม PDPA ต้องทำอย่างไร ติดตามในบทความถัดไป หรือส่งอีเมลมาเพื่อสอบถามได้ที่ [email protected]