สรุปบทเรียน: การคุ้มครองข้อมูลคือวินัย ไม่ใช่ภาระ

ช่วงเช้าได้มีการถ่ายทอดประสบการณ์การดำเนินการด้าน PDPA จากองค์กรชั้นนำ เช่น บริษัท ปตท. จำกัด (มหาชน) ที่ใช้ระบบ GRC และทีม DPO อย่างเข้มข้น, ธนาคาร EXIM Bank การเดินหน้า PDPA ด้วยงบประมาณจำกัด และ “ฝัง” ระเบียบลงในทุกกระบวนการ และ ดร.สิทธินัย จันทรานนท์ ในฐานะของผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล ที่ศึกษากฎหมายตั้งแต่มีการประกาศ ที่เปิดเผยเทคนิคการสร้างความตระหนักรู้ในองค์กร

ในช่วงบ่าย วิทยากรได้ร่วมกันสะท้อนปัญหาเชิงโครงสร้างของการบังคับใช้ PDPA เช่น

• ช่องว่างในการกำกับผู้ให้บริการต่างประเทศ

• การตีความกฎหมาย PDPA ที่ถูกต้องและขอบเขตการบังคับใช้

• ความเข้าใจผิดในหลักการ Data Minimization และการขอข้อมูลเกินความจำเป็น

• ทิศทางของหน่วยงานกำกับดูแล (สคส.) และการสร้างอนาคตของสังคม Data Protection ไทยด้าน รศ.ดร.คณาธิป ทองรวีวงศ์ เสนอให้เร่งออกกฎหมายลำดับรองและแนวปฏิบัติ (Soft Law) เพื่อให้การบังคับใช้ PDPA เป็นไปอย่างชัดเจนและสมดุล ขณะที่ พ.ต.อ. ดร.สิริพล กุศลศิลป์วุฒิ เน้นย้ำว่าควรใช้ PDPA เป็นกฎหมายกลาง และยังเสริมว่าขณะนี้กำลังมีการสร้างแรงขับเคลื่อนให้กฎหมายเป็นไปอย่างมีรูปธรรม และยกระดับสู่มาตรฐานสากล

PDPA กับ AI: ไม่รอ “กฎหมายใหม่” แต่ต้องเริ่มจากความเข้าใจ

ประเด็นสำคัญที่ถูกพูดถึงมากที่สุดคือ ความสัมพันธ์ระหว่าง AI และ PDPA โดย อ.สันต์ภพ พรวัฒนะกิจ แนะให้ทุกองค์กรประเมิน “AI Impact Assessment” และ “DPIA” ควบคู่กันเพื่อควบคุมความเสี่ยงจากระบบอัตโนมัติ พร้อมเตือนผู้ประกอบการอย่าพึ่งพาคำตอบจาก AI มากเกินไป ในเรื่องกฎหมาย

ดร. อุดมธิปก ไพรเกษตร ย้ำว่า “PDPA ที่มีอยู่สามารถนำมาประยุกต์ใช้กับ AI ได้โดยไม่ต้องรอกฎหมาย AI ฉบับใหม่” และระบุว่า การเตรียมพร้อมขององค์กรวันนี้ จะช่วยลดความเสี่ยงในวันหน้า”