ความเปลี่ยนแปลง หลังบังคับใช้ PDPA ครบ 1 ปี
1 มิถุนายน พ.ศ. 2565 คือวันแรกที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ถูกบังคับใช้อย่างเป็นทางการ ถือเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล และความเป็นส่วนตัวของข้อมูลฉบับแรก ครั้งนี้ Security Pitch จะพาทุกท่านไปย้อนรอยกันว่า ตลอด 1 ปีที่ผ่านมา ประเทศไทยมีความเปลี่ยนแปลงอย่างไรบ้าง หลังการประกาศใช้กฎหมายฉบับนี้
เรียกได้ว่า 1 ปีที่ผ่านมา เป็นปีที่ท้าทายสำหรับองค์กร และหน่วยงานต่าง ๆ เพราะนับตั้งแต่มีการบังคับใช้กฎหมาย องค์กรต่าง ๆ ก็ต้องปรับตัวครั้งใหญ่ โดยเฉพาะองค์กรที่มีการจัดเก็บข้อมูลส่วนบุคคลอยู่เป็นจำนวนมาก รวมถึงต้องจัดตั้งคณะทำงานเพื่อให้สอดคล้องกับกฎหมายฉบับนี้ แต่ก็ยังมีบางองค์กรที่ยังมีแนวคิดว่าการปฏิบัติตามกฎหมาย PDPA ยังไม่ใช่สิ่งที่จำเป็น สิ้นเปลืองงบประมาณ หรือยังไม่รู้ว่าฝ่ายใดต้องเป็นผู้รับผิดชอบ ส่วนหนึ่งก็เพราะบุคลากรในองค์กรเองยังขาดความรู้ความเข้าใจ และขาดการตระหนักรู้เกี่ยวกับกฎหมาย ด้วยเหตุนี้องค์กรจำนวนไม่น้อยจึงยังไม่สามารถบริหารจัดการข้อมูลส่วนบุคคล และความเป็นส่วนตัวได้สอดคล้องกับกฎหมาย 100%
ช่วง 1 ปีที่ผ่านมา ยังเกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลหลายครั้ง แต่ครั้งที่ใหญ่ และสร้างความตระหนักรู้เรื่อง กฎหมายฉบับนี้มากที่สุด ก็คือ เหตุการณ์ข้อมูลประชาชนไทย 55 ล้านคนถูกแฮ็กโดย 9near มีการประกาศขายข้อมูลบนดาร์กเว็บ เหตุการณ์ครั้งนี้ไม่เพียงแต่ทำให้คนกลับมาสนใจเรื่องความปลอดภัยของข้อมูลส่วนบุคคล แต่ยังเป็นแรงกระเพื่อมที่สำคัญทำให้องค์กรต่าง ๆ ทั้งในภาครัฐ และภาคเอกชน หันกลับมาให้ความสนใจกับความเป็นส่วนตัว และกฎหมายฉบับนี้มากขึ้น อย่างไรก็ตามจากเหตุการณ์ดังกล่าว ก็ยังไม่มีข้อสรุปที่ชัดเจน แต่ก็ทำให้คนทั่วไปทราบว่า ข้อมูลส่วนบุคคลของตนเองมีความสำคัญ รวมถึงได้รู้ว่าหน่วยงานใดที่ทำการควบคุมดูแลกฎหมายคุ้มครองข้อมูลส่วนบุคคลอยู่
ล่าสุดเมื่อเดือนพฤษภาคมที่ผ่านมายังมีข่าว ศาลแพ่งมีนบุรีสั่งฟ้องบริษัทบริหารสินทรัพย์และพวก ในข้อหาละเมิดข้อมูลส่วนบุคคล โดยในกรณีนี้ผู้เสียหายได้ทำการเรียกร้องค่าเสียหายเพียง 25 สตางค์ เนื่องจากต้องการให้เป็นคดีตัวอย่าง และเป็นบรรทัดฐานให้คนในสังคมตื่นตัวที่จะรักษาสิทธิส่วนบุคคล
เหตุการณ์เหล่านี้ยังแสดงให้เห็นว่ามีเพียงคนบางกลุ่มในสังคมเท่านั้นที่มีความรู้ความเข้าใจ และตระหนักถึงสิทธิของตัวเองในเรื่องข้อมูลส่วนบุคคล และยังมีคนอีกจำนวนไม่น้อยที่ยังไม่เข้าใจในกฎหมายฉบับนี้ ส่วนหนึ่งอาจเป็นเพราะภาครัฐไม่ได้มีการให้ความรู้ความประชาชนมากพอ อีกทั้งนิสัยของคนไทยคือจะไม่ตื่นตัวหากไม่เกิดเรื่องขึ้นกับตัวเอง หรือ คนใกล้ตัว ส่วนในภาคของธุรกิจ อาจเป็นเพราะยังไม่มีการฟ้องร้องด้วยอัตราค่าเสียหายที่สูงมากพอ องค์กรจึงยังไม่จัดสรรงบสำหรับการปรับเปลี่ยนการบริหารจัดการข้อมูลในองค์กร
ดังนั้น หากต้องการให้ประชาชนมีความรู้ความเข้าใจ และตื่นรู้ด้านความปลอดภัยของข้อมูลส่วนบุคคลมากขึ้น ภาครัฐควรให้ความรู้ และส่งเสริมให้ประชาชนกล้าที่จะเรียกร้องสิทธิในข้อมูลส่วนบุคคลของตนเอง ส่วนในภาคธุรกิจ หากต้องการให้องค์กรต่าง ๆ สามารถนำกฎหมายฉบับนี้มาใช้ได้อย่างเต็มประสิทธิภาพ ก็อาจต้องรอให้มีเหตุการณ์ฟ้องร้องที่รุนแรง และมีโทษสูง ออกมาให้ได้เห็นก่อนจึงจะช่วยให้องค์กรตื่นตัวได้ในที่สุด