หากไม่มีอะไรเปลี่ยนแปลง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA จะมีผลบังคับใช้ ในวันที่ 1 มิ.ย. พ.ศ. 2565 นี้ ซึ่งจะส่งผลให้องค์กรธุรกิจต้องปรับตัวครั้งใหญ่ และเพื่อให้การดำเนินการเป็นไปอย่างถูกต้องคล่องตัว จำเป็นต้องได้รับคำแนะนำจากบริษัทที่ปรึกษาที่ด้านกฎหมายที่มีประสบการณ์
นายวิชัย สมบูรณ์โชคพิศาล หุ้นส่วนฝ่ายกฎหมายของมาซาร์สในประเทศไทย เปิดเผยว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA ระบุให้มีข้อปฏิบัติเกี่ยวกับข้อมูลส่วนบุคคลขึ้นในองค์กร โดยกำหนดให้ต้องมีระบบการจัดเก็บและตรวจสอบการใช้ข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลประจำองค์กร ซึ่งมีหน้าที่ประสานข้อมูลกับเจ้าหน้าที่รัฐ แจ้งให้เจ้าของข้อมูลทราบถึงสิทธิ และการจัดการข้อมูลที่จัดเก็บ ทั้งในส่วนของลูกจ้าง คู่ค้าทางธุรกิจ ซึ่งขั้นตอนการดำเนินงานเหล่านี้ต้องจัดทำให้เสร็จก่อนจะได้ประกาศบังคับตามกฎหมาย ในวันที่ 1 มิ.ย. พ.ศ. 2565 เพื่อให้เป็นไปตามข้อปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ทั้งนี้ บริษัทหรือองค์ธุรกิจอยู่ในฐานะผู้ควบคุม และประมวลผลข้อมูล มีหน้าที่ต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ ถึงวัตถุประสงค์ในการจัดเก็บข้อมูล การดำเนินการเก็บข้อมูล รายละเอียดการเก็บ การนำไปใช้ และต้องระบุระยะเวลาในการเก็บ นอกจากนี้การนำไปใช้ การโอน การลบข้อมูล และการแสดงต่อเจ้าหน้าที่รัฐ ต้องได้รับความยินยอมจากเจ้าของข้อมูล ตามสิทธิตามกฎหมาย หากมีการจัดการข้อมูลส่วนบุคคลนอกเหนือสิทธิตามกฎหมาย และการนำไปใช้อย่างไม่ถูกต้อง บริษัทและกรรมการจะถูกลงโทษตามกฎหมาย ส่วนบุคคลใดถูกละเมิดสิทธิในข้อมูลก็จะได้รับการเยียวยาตามมาตราการที่กฎหมายระบุไว้
“ พรบ.ฉบับนี้มีความละเอียดอ่อนมาก ในการเริ่มต้นดำเนินการ ต้องการการลงทุนด้านเทคโนโลยีที่สามารถตอบสนองผลสัมฤทธิ์ได้ พร้อมทั้งต้องจัดเตรียมบุคลากร ที่รับมีความรู้ด้านกฎหมาย ด้านไอที และด้านการจัดการข้อมูล เป็นต้น จึงไม่ใช่เรื่องง่าย สำหรับผู้ที่ขาดประสบการณ์ และความเชี่ยวชาญ ในการเริ่มต้นจำเป็นต้องให้ผู้มีความรู้ความสามารถเข้ามาช่วยในการดำเนินการ และเนื่องจากเป็นกฎหมายใหม่ในประเทศไทย ดังนั้นเพื่อป้องกันความเสี่ยง และจำกัดความเสียหายหากเกิดความผิดพลาดที่อาจเกิดขึ้น และลดขั้นตอนความยุ่งยากต่าง ๆ ควรขอคำแนะนำปรึกษาจากผู้เชี่ยวชาญเกี่ยวกับกฎหมายด้านนี้โดยเฉพาะ”
นายวิชัย ยังกล่าวอีกว่า บริษัทมาซาร์ส ในประเทศไทย มีประสบการณ์จากการให้บริการตามข้อบัญญัติ GDPR (General Data Protection Regulation 2016/679) ซึ่งเป็นข้อบังคับในกฎหมายของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ความเป็นส่วนตัวกับหน่วยงานและองค์กร ที่ระบุถึงการถ่ายโอนข้อมูลส่วนบุคคลนอกเขต EU และ EEA ด้วย มาซาร์ส ประเทศไทย เป็นหนึ่งในเครือข่ายบริษัทชั้นนำด้านการให้บริการด้านกฎหมาย รวมทั้งปรึกษาทางการเงิน และบัญชี ระดับโลก โดยมีสำนักงานใหญ่อยู่ที่ประเทศฝรั่งเศสของสหภาพยุโรป
โดยบัญญัติ GDPR มีเป้าหมายเพื่อการปกป้องพลเมืองของสหภาพยุโรปทั้งหมดจากการโดนละเมิดความเป็นส่วนตัว และที่สำคัญ GDPR ก็จำต้องใช้บังคับสำหรับข้อมูลส่วนบุคคลของคนชาติยุโรปที่อาศัย และทำงานในประเทศไทยอย่างหลีกเลี่ยงไม่ได้ โดยเฉพาะในกรณีที่มีการแลกเปลี่ยน รับส่งข้อมูลระหว่างไทยกับประเทศในสหภาพยุโรป เพื่อคุ้มครองความปลอดภัยของข้อมูลส่วนตัวของผู้ใช้งาน เป็นต้น เพื่อตอบรับกระแสของการใช้อินเทอร์เน็ต อย่างธุรกิจ E-commerce การโฆษณาและ Digital Marketing
“บัญญัติ GDPR ของสหภาพยุโรปนั้นมีการบังคับใช้มาได้ 2-3 ปี แล้วแต่ถือเป็นสิ่งใหม่สำหรับภูมิภาคเอเชีย รวมทั้งประเทศไทย จึงจำเป็นต้องเลือกบริษัทที่ปรึกษา อย่างมาซาร์ส ประเทศไทย ที่มีประสบการณ์และเชี่ยวชาญ ด้านคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ มาซาร์สมีสำนักงานอยู่ในกว่า 90 ประเทศทั่วโลก ปัจจุบันมีลูกค้าเกือบ 2,000 รายทั่วโลก รวมทั้งบริษัทกว่า 30% ที่อยู่ในตลาดหลักทรัพย์ของฝรั่งเศส และอีกกว่า 140 บริษัทในประเทศจีน นอกจากนี้ บริษัทยังให้บริการลูกค้าที่เป็นธุรกิจเอกชนและธุรกิจครอบครัวมากกว่า 50,000 ราย ซึ่งมีทั้งลูกค้าบุคคล ลูกค้าที่เป็นธุรกิจสตาร์ทอัพ ไปจนถึงบริษัทข้ามชาติเก่าแก่อีกด้วย” นายวิชัย กล่าว
สำหรับรายละเอียดเพิ่มเติม ดูได้ที่ https://www.mazars.co.th/Home/Insights/Doing-Business-in-Thailand/Legal/Personal-Data-Protection-Act-Published หรือ https://www.mazars.co.th/