นายวิศิษย์ศักดิ์ อรุณสุรัตน์ภักดี ทนายความหุ้นส่วน (Partner) บริษัท อาร์ แอนด์ ที เอเชีย (ประเทศไทย) จำกัด กล่าวในการเสวนาหัวข้อ "LEGAL in ACTION:พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล" ว่า จากการที่ทางการเลื่อนบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลบางหมวดออกไปอีก 1 ปี จะช่วยให้ธุรกิจเอสเอ็มอี และกลุ่มสตาร์ทอัพมีเวลาเตรียมความพร้อมได้มากขึ้น เพราะในช่วงวิกฤติโควิด-19 ที่เกิดขึ้น อาจทำให้การปรับปรุงกระบวนการทำงานในระบบสารสนเทศของผู้ประกอบการบางรายเกิดการติดขัด โดยเฉพาะด้านระบบและบุคคลากร ประกอบกับเกิดอุปสรรคด้านเศรษฐกิจชะลอตัว ทำให้กลุ่มเอสเอ็มอีต้องชะลอการลงทุนปรับปรุงระบบงานเพื่อรองรับการปฏิบัติตามกฎหมายดังกล่าว
ขณะที่ในช่วงวิกฤติที่เกิดขึ้นนี้ กลุ่มสตาร์ทอัพบางรายพยายามสร้างนวัตกรรมที่จะนำมาใช้ประโยชน์ในการป้องกันการแพร่ระบาดของเชื้อไวรัสโควิด-19 ซึ่งอาจจำเป็นต้องเข้าถึงข้อมูลบุคคล ดังนั้น หากมีผลบังคับใช้ทันทีทั้งหมดในเดือน พ.ค.นี้ตามกำหนดเดิมจะมีความเสี่ยงในการทำผิดกฎหมายเกิดขึ้นเป็นจำนวนมากได้
นายวิศิษย์ศักดิ์ กล่าวว่า สาระสำคัญใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ส่งผลทั้งทางตรงและทางอ้อมต่อการดำเนินธุรกิจ เพราะลูกค้าหรือเจ้าของข้อมูลส่วนบุคคลมีสิทธิปกป้องข้อมูลส่วนบุคคลเพื่อความปลอดภัยของตนเอง มีสิทธิป้องกันภาคธุรกิจในการนำข้อมูลส่วนตัวไปใช้โดยไม่ได้รับอนุญาต ทำให้ภาคธุรกิจจำเป็นต้องรู้ข้อเท็จจริงเกี่ยวกับกฎหมายฉบับนี้เพื่อป้องกันและลดปัญหาที่อาจเกิดขึ้นได้ในอนาคต เพราะกฎหมายได้กำหนดบทลงโทษไว้
ปัจจุบัน ผู้ประกอบธุรกิจตั้งแต่สตาร์ทอัพ จนถึงธุรกิจขนาดใหญ่ มีความต้องการข้อมูลส่วนบุคคลเป็นอย่างมาก เพราะหากรวบรวมข้อมูลได้จำนวนมาก (Big Data) ก็ช่วยสร้างมูลค่าเพิ่มให้กับธุรกิจได้มหาศาล เนื่องจากสามารถนำไปต่อยอดให้เกิดประโยชน์ในด้านต่าง ๆ เช่น ช่วยให้ขายสินค้าได้ตรงกับกลุ่มเป้าหมาย แสวงหาการเติบโตแบบก้าวกระโดด แต่เมื่อกฎหมายดังกล่าวมีผลบังคับใช้ ผู้ประกอบการต้องให้ความสำคัญและมีหน้าที่รับผิดชอบข้อมูลนั้นด้วย
ทั้งนี้ การดำเนินธุรกิจภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะต้องคำนึง 2 เรื่อง ได้แก่ ผู้ประกอบการต้องกำหนดเป็นมาตรการและนโยบายประกาศให้ภายในองค์กรรับทราบว่าข้อมูลส่วนบุคคลทั้งหมดที่รวบรวมไว้จะไม่ถูกคัดลอกหรือนำไปใช้งานนอกเหนือจากวัตถุประสงค์ของเจ้าของข้อมูล ซึ่งจะต้องมีเจ้าหน้าที่ดูแลข้อมูลโดยเฉพาะ พร้อมปรับปรุงด้านเทคโนโลยีให้สามารถรองรับบริหารจัดการข้อมูลให้รั่วไหลออกไป หากองค์กรใดไม่มีเทคโนโลยีมารองรับและทำให้สามารถเข้าถึงข้อมูลสำคัญได้ จะเป็นสิ่งสะท้อนว่าการบริหารจัดการยังไม่มีประสิทธิภาพ อันจะนำไปสู่ความเสี่ยงที่เป็นโทษทางกฎหมายทั้งทางอาญา และทางแพ่งได้
สำหรับบทลงโทษของกฎหมายคุ้มครองข้อมูลส่วนบุคคล แบ่งเป็น 3 ประเภท ได้แก่ บทลงโทษทางอาญา ในกรณีที่องค์กรธุรกิจหรือผู้ที่รับผิดชอบดูแลข้อมูล ทำให้เจ้าของข้อมูลเกิดความเสียหาย มีโทษจำคุกสูงสุด 1 ปี และโทษปรับสูงสุด 1 ล้านบาท รวมถึงบทลงโทษทางปกครอง ซึ่งรัฐบาลสามารถสั่งปรับองค์กรที่ไม่ปฎิบัติตามข้อกฎหมายได้ โดยกำหนดบทลงโทษปรับสูงสุด 5 ล้านบาท
ส่วนบทลงโทษทางแพ่ง หากมีกรณีลูกค้าร้องเรียนว่าได้รับความเสียหายจากการนำข้อมูลส่วนบุคคลไปใช้ในกรณีต่างๆ เช่น การนำข้อมูลเกี่ยวข้องกับสุขภาพของบุคคลหลุดออกไป ทำให้บุคคลนั้นไม่สามารถไปทำอะไรบางอย่างได้ มีผลกระทบเกิดความเสียหาย ซึ่งในฝั่งบุคคลเองก็ต้องมีหลักฐานสามารถนำมาพิสูจน์ว่าได้รับความเสียหายอย่างไร ต้องการเรียกร้องค่าเสียหายเป็นมูลค่าเท่าใด เป็นต้น
ด้านผู้บริโภคหรือลูกค้าต้องให้ความสำคัญและระมัดระวังข้อมูลส่วนตัวและคนในครอบครัว เพื่อไม่ให้ถูกนำไปใช้ประโยชน์ทางธุรกิจจนก่อให้เกิดความเสียหายตามมา ซึ่งตามหลักกฎหมายครอบคลุมการถูกดึงข้อมูลส่วนตัวจากระบบอินเทอร์เน็ต เช่น กรณีเจ้าของข้อมูลเข้าเว็บไซต์หนึ่งและอนุญาตให้ใช้คุ้กกี้ ซึ่งคุ้กกี้ก็จะเป็นตัวดึงข้อมูลไป แม้ว่าขั้นตอนแรกอาจยังไม่ทราบชื่อ แต่อย่างน้อยได้เห็น IP Address ที่เชื่อมโยงไปถึงข้อมูลส่วนตัวได้
นอกจากนี้ ยังคุ้มครองไปถึงข้อมูลประเภทที่เกี่ยวข้องกับกายภาพ (Biometrics) ไม่ว่าจะเป็นลายนิ้วมือ ม่านตา หรือเสียง ซึ่งข้อมูลประเภทนี้เป็นข้อมูลส่วนบุคคลเช่นเดียวกัน ซึ่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ถือเป็นสิ่งที่สำคัญที่ผู้ประกอบการและผู้บริโภคจำเป็นต้องศึกษาให้รอบคอบ เพื่อป้องกันความเสี่ยงที่มีโอกาสในการละเมิดนำข้อมูลของตนเองในการนำไปใช้ประโยชน์ได้