GDPR กับ PDPA

ถ้าต้องให้เปรียบเทียบกฎหมาย PDPA ของไทยกับรัฐสมาชิก (Member states) ของ GDPR
ผมขอเลือก ประเทศเยอรมัน กับ ประเทศอังกฤษ 

ประเทศสหพันธรัฐเยอรมัน

เยอรมันมีความสำคัญต่อเศรษฐกิจไทยโดยมีจำนวนนักลงทุน
ที่เข้ามาลงทุนในไทยเป็นอันดับ 6 ด้วยมูลค่าการลงทุน 6 พันล้าน*

เยอรมันเป็นต้นแบบประมวลกฎหมายแพ่ง และกฎหมายปกครองของไทย แม้ระยะหลังนักเรียนนิติศาสตร์ไทยจะนิยมไปเรียนที่อังกฤษและสหรัฐแทนเนื่องด้วยไม่มีข้อจำกัดด้านภาษา

เยอรมันถือว่าเป็น พี่ใหญ่ และเป็นผู้นำในยุโรปครับ
การบังคับใช้กฎหมาย GDPR ของเขาแบ่งเป็น 2 ระดับครับ

คือระดับ รัฐบาลมลรัฐ (State Level) บริหารงานโดย LfDI (Landesbeauftragter für Datenschutz) มีทั้งหมด 16 LfDI ตามจำนวนรัฐในเยอรมัน

LfDI มีอำนาจกำกับกิจการในรัฐของตนเอง เช่น โรงพยาบาลรัฐ, มหาวิทยาลัยในรัฐของตน,  บริษัทเอกชนที่มีสำนักงานใหญ่ หรือ SME ทั่วไปในรัฐนั้น โรงเรียน หน่วยงานท้องถิ่น  

ยกตัวอย่างนะครับ บริษัท SAP ผู้ให้บริการ Enterprise Software และ Cloud มี สำนักงานใหญ่ ที่เมือง Walldorf ในรัฐ Baden-Württemberg ก็จะอยู่ภายใต้การกำกับของ
LfDI Baden-Württemberg 

อีกระดับคือระดับ รัฐบาลกลาง (Federal Level) บริหารงานโดย BfDI (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) หรือ จะเรียกให้สั้นๆ ว่า Bundesdatenschutzbeauftragte …ไม่รู้ว่าสั้นยังไง

BfDI กำกับดูแลหน่วยงานระดับใดบ้าง?

1. หน่วยงานราชการระดับรัฐบาลกลาง (Federal public bodies)
เช่น: กระทรวงต่าง ๆ , หน่วยงานภายใต้รัฐสภาที่ตรากฎหมายกลาง, หน่วยงานมั่นคงของรัฐบางส่วน 

2. องค์กรที่ให้บริการโครงสร้างพื้นฐานสาธารณะระดับชาติ
เช่น Deutsche Telekom (ผู้ให้บริการโทรคมนาคม) , Deutsche Post (ผู้ให้บริการไปรษณีย์) หรือ Deutsche Bahn (ระบบรถไฟแห่งชาติ)

3. บริษัทเอกชนบางประเภทที่อยู่ภายใต้กฎหมายพิเศษของรัฐบาลกลาง
เช่น บริษัทที่อยู่ภายใต้กฎหมาย Telekommunikationsgesetz (TKG) หรือ Postgesetz

4. หน่วยงานที่ไม่ได้อยู่ภายใต้ LfDI ของแต่ละรัฐ
หากองค์กรไม่ได้อยู่ภายใต้เขตอำนาจของ LfDI (Landesbeauftragter) ก็จะอยู่ภายใต้ BfDI แทน

แนวทางการบังคับใช้ของ BfDI ภายใต้ GDPR นั้น
มีลักษณะโดยรวม ที่เป็นระดับ แข็งแรง (Robust) 
แต่ ผมจะใช้คำว่าไม่ได้เข้มงวดแบบก้าวร้าว (Robust but not aggressive)

BfDI บังคับใช้กฎหมาย GDPR โดยจะมุ่งเน้น
ไปที่ความเสี่ยงเชิงระบบ การเรียกหน่วยงาน 
หรือผู้ประกอบการมาสนทนาพูดคุย

และเน้นการบริหาร การเยียวยา ต่อเจ้าของข้อมูลส่วนบุคคล
มากกว่าไล่ปรับ โดย จะปรับเฉพาะเมื่อประมาทเลินเล่ออย่างชัดเจน
หรือการละเมิดโดยเจตนา เช่นกรณี Telecom ที่ ปรับ GDPR ครั้งแรกในเยอรมนี 9.5 ล้านยูโร

BfDI เน้นรายงานการตรวจสอบ (Audit) ครับ 
มีการพิจารณาคดีอย่างเป็นทางการ มีคําสั่งแก้ไข มีคําแนะนํา และจะใช้ค่าปรับเป็นทางเลือกสุดท้ายเท่านั้น เหมือนรูปแบบญี่ปุ่น (หรือจะพูดให้ถูกคือ รูปแบบญี่ปุ่นเหมือนรูปแบบเยอรมัน)

BfDI ในมุมการบังคับใช้กฎหมาย เมื่อมีการแบ่งอำนาจการบริหาร
จึงมักทำงานคู่กับ LfDI ในระดับมลรัฐ

ที่น่าแปลกใจสำหรับผมคือ
ชาติเยอรมันนั้นเป็นชนชาติที่ขึ้นชื่อเรื่องความเอาจริงเอาจัง
มีระเบียบ วินัยสูง เชื่อฟังปฏิบัติตามคำสั่ง 

แต่การบังคับใช้กฎหมาย GDPR ของ BfDI 
กลับไม่สุดโต่งแบบเข้มงวด ไล่ปรับ หรือป้องปรามด้วยความกลัว 

หากแต่เน้น ระบบ กระบวนการ หลักการการพูดคุย 
เน้นการกํากับดูแลเชิงรุก อย่างเป็นระบบ
มาตรการป้องกัน และการดําเนินการแก้ไขที่สมดุล

มุมมองผมเป็นรูปแบบของการบังคับใช้กฎหมายในระดับ เข้มแข็ง (Robust Level)

ประเทศสหราชอาณาจักรอังกฤษ

ต้นแบบกฎหมาย Common Law และต้นกำเนิดหลากหลายแนวความคิด
ประเทศอังกฤษ ในแง่ของปรัชญาการบังคับใช้แบบ GDPR เป็นรูปแบบ “เข้มงวดหนักแน่น” (Heavy Level)  และ ระดับเข้มแข็ง (Robust Level) ในต่างกรรมต่างวาระ ที่บริหารงานผ่านสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของสหราชอาณาจักรอังกฤษ (ICO)

ICO: วิธีการแบบผสม?

ครั้งหนึ่งเคยหนัก แต่ตอนนี้แข็งแกร่งอย่างระมัดระวังมากขึ้น
ช่วงแรกของการบังคับใช้กฎหมาย ICO เลือกบังคับใช้กฎหมายแบบ “เข้มงวดหนักแน่น” (Heavy Level) แหล่งข่าวด้าน Privacy และ Data Protection วิเคราะห์ว่าเกิดจากปัจจัยนโยบายผู้นำในยุคนั้นระหว่าง ปี 2016–2021

เช่น 
กรณีบริติชแอร์เวย์ (2018) ปรับ 20 ล้านปอนด์  หรือกรณีโรงแรม
แมริออท (2018) ปรับ 18.4 ล้านปอนด์

หลังจากกฎหมาย GDPR บังคับใช้ในอังกฤษได้ 5 ปี 
ใน ปี 2022 นั้น ICO มีผู้นำคนใหม่ชื่อ นายจอห์น เอ็ดเวิร์ดส์ (John Edwards) ซึ่งมีแนวคืดที่แตกต่างจากยุค 5 ปีแรก คือ

-มุ่งเน้นผลลัพธ์ที่แท้จริง: จอห์น เอ็ดเวิร์ดส์เน้นการกำกับดูแลที่สร้างผลกระทบเชิงบวกต่อชีวิตของผู้คน มากกว่าการเน้นตัวชี้วัดหรือเอกสารทางกฎหมาย 

-แนวคิดมนุษย์เป็นศูนย์กลาง: เขาเชื่อว่าการคุ้มครองข้อมูลไม่ใช่แค่เรื่องของเทคโนโลยีหรือกฎหมาย แต่เกี่ยวข้องกับความไว้วางใจ ความเท่าเทียม และศักดิ์ศรีของมนุษย์ 

-เปิดรับการมีส่วนร่วม: จอห์น เอ็ดเวิร์ดส์ให้ความสำคัญกับการรับฟังความคิดเห็นจากภาคธุรกิจ รัฐบาล และประชาชน เพื่อปรับปรุงนโยบายและแนวทางการทำงานของ ICO

จากแนวคิดเป็นนโยบาย

“ปฏิบัติได้จริงและได้สัดส่วน” — ระดับเข้มแข็ง (Robust Level) แต่ไม่ลงโทษมากเกินไป
มุ่งเน้นไปที่การป้องกัน คําแนะนํา และการลดค่าปรับสําหรับหน่วยงานของรัฐ

ICO ยุคหลัง Brexit เน้นประกาศการบังคับใช้, การตําหนิ, การตรวจสอบการคุ้มครองข้อมูล, แซนด์บ็อกซ์ด้านกฎระเบียบ, เอกสารคําแนะนํา

มีประเด็นสำคัญที่น่าสนใจคือ  เรื่อง Children’s Code, การปฏิรูปเทคโนโลยีโฆษณา, การจัดการ DSAR, การตรวจสอบนายหน้าข้อมูล

เป็นฝ่ายสนับสนุนธุรกิจ แต่เคารพสิทธิ และระมัดระวังที่จะไม่ยับยั้งนวัตกรรม 

บทสรุป: มองโลกมองเรา…ไทยควรอยู่ตรงไหนในการคุ้มครองข้อมูลส่วนบุคคล?

PDPA กับการเริ่มต้นแบบไทยๆ 

หลังจากการบังคับใช้ PDPA อย่างเต็มรูปแบบในปี 2565 ประเทศไทยได้รับเรื่องร้องเรียนเกี่ยวกับการละเมิดจํานวนข้อมูลส่วนบุคคล 1,048 เรื่อง และรายงานเหตุการณ์ข้อมูลรั่วไหล 610 กรณี อย่างไรก็ตาม การเปิดเผยข้อมูลเกี่ยวกับคําสั่งทางปกครองหรือบทลงโทษยังมีจํากัด จนกระทั่งในเดือนสิงหาคม 2567 คณะกรรมการผู้เชี่ยวชาญได้ออกคําสั่งปรับทางปกครองสูงสุด 7  ล้านบาทต่อบริษัทเอกชนรายหนึ่งที่ละเลยมาตรการรักษาความปลอดภัยของข้อมูล 

3 ปีการบังคับใช้ PDPA ในประเทศไทย 

ผมมองว่าไทยยังอยู่ในช่วงเริ่มต้น โดยเน้นการให้คําแนะนําและการส่งเสริมความเข้าใจมากกว่าการลงโทษที่รุนแรง

PDPA ของไทยจึงยังเหมือน “น้องใหม่” ที่ยังไม่มีการเปิดเผยค่าปรับอย่างเป็นทางการ มีแนวโน้มบังคับใช้แบบ very soft enforcement

พรบ.คุ้มครองข้อมูลฯ ไม่ได้เกิดมาเพื่อแค่ให้กลัวค่าปรับ แต่มันคือกระจกที่สะท้อนว่าองค์กรของเรามีความรับผิดชอบพอหรือยัง

หากประเทศไทยอยากจะยกระดับตนเองให้เป็นผู้เล่นอย่างน้อยในระดับผู้นำ ASEAN ก็ควรมีการเอาจริงเอาจังกับ การคุ้มครองข้อมูลส่วนบุคคล ส่งเสริมทั้งภาครัฐและเอกชนให้เตรียมตัว ปฏิบัติตาม PDPA ทั้งในมุมของ Document and Operation Compliance

เราอาจจะยังไม่โดดเด่นในเวที enforcement ระดับโลก..
แต่ในเวทีของ “ความเข้าใจประชาชน” และ “การขับเคลื่อนวัฒนธรรมการคุ้มครองข้อมูล” — 

ผมสังเกตว่าเริ่มมีเสียง เริ่มมีเรื่อง และเริ่มมีความหวังว่า…
สังคมไทยจะไม่ปล่อยให้ข้อมูลของใคร
กลายเป็นสินค้าลอยคว้างในทะเลดิจิทัลอีกต่อไป

*จากตัวเลข กรมพัฒนาธุรกิจการค้าตรวจสอบข้อมูล DBD DataWarehouse+