นายอุดมธิปก ไพรเกษตร ประธานกรรมการบริหาร บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด และผู้ก่อตั้งสื่อ พีดีพีเอ ไทยแลนด์ เปิดเผยว่า ขณะนี้เป็นช่วงสุญญากาศของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 หรือ กฎหมายคุ้มครองข้อมูลส่วนบุคคล (พีดีพีเอ) เป็นเหตุผู้ปฏิบัติงานและผู้บริหารของหน่วยงานต่าง ๆ ไม่ตระหนักเรื่องการคุ้มครองข้อมูล และคิดว่าไม่ต้องรับผิดชอบความเสียหายที่เกิดขึ้น แต่หลังจาก 1 มิ.ย.นี้ มีการบังคับกฎหมาย จะทำให้ทุกองค์กรต้องมีการมอบนโยบายการคุ้มครองข้อมูลส่วนบุคคลให้พนักงานที่เกี่ยวข้องรับทราบและปฏิบัติ มีการระบุรายละเอียดและหน้าที่การทำงานออกมาอย่างชัดเจน พนักงานต้องรับรู้ตั้งแต่เริ่ม ถ้าเกิดข้อผิดพลาดจนเกิดความเสียหายร้ายแรง เกิดการร้องเรียน การเรียกความเสียหายทางแพ่งและทางอาญา องค์กรสามารถบอกเลิกจ้างได้ในทันที พร้อมทั้งเรียกร้องความเสียหายตามหลังได้ บทลงโทษนี้ต้องมีการเตรียมการตั้งแต่เริ่ม มิเช่นนั้นผู้บริหารองค์กรก็ต้องรับผิด 100%
“ปัจจุบันการซื้อขายข้อมูลจากการละเมิดยังถูกเอาผิดไม่ได้เต็มที่ โดยที่ผู้ถูกละเมิดไม่สามารถสืบค้นข้อมูลย้อนหลังของแหล่งที่มาได้ แต่ถ้ากฎหมายมีการบังคับใช้แล้ว อย่างเช่น ผู้เสียหายจากกรณีข้อมูลสอบทีแคสหลุดนี้ สามารถใช้สิทธิตามกฎหมาย ให้มหาวิทยาลัยที่ทำข้อมูลรั่วไหลออกมาเยียวยาค่าเสียหายได้ โดยการฟ้องร้องผ่านสำนักงานคุ้มครองข้อมูลส่วนบุคคล หรือฟ้องศาลได้โดยตรง”
นายอุดมธิปก กล่าวต่อว่า ถือเป็นปัญหาของหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลจำนวนมาก ถ้าไม่สร้างระบบการจัดเก็บข้อมูลที่ดีพอ ไม่มีแนวทางปฏิบัติและกฎเกณฑ์การกำกับที่ชัดเจน เมื่อเกิดความเสียหายแล้วจึงค่อยมาตระหนัก จะเกิดเหตุการณ์แบบนี้กับหน่วยงานราชการอื่นต่อไป ซึ่งข้อมูลที่รั่วไหลก็มักจะเกิดจากความประมาทของเจ้าหน้าที่ แม้จะมีระบบไอทีราคาแพงอยู่ในมือก็ไม่สามารถป้องกันได้
ด้านนายสันต์ภพ พรวัฒนะกิจ ผู้เชี่ยวชาญกฎหมายแรงงาน ที่ปรึกษาและวิทยากรด้านพีดีพีเอ สถาบันพัฒนาและทดสอบทักษะดิจิทัล กล่าวว่า ก่อนกฎหมายคุ้มครองข้อมูลส่วนบุคคลบังคับใช้ องค์กรต้องรีบปรับปรุงรายละเอียดสัญญา ข้อบังคับการทำงานระหว่างนายจ้างและลูกจ้าง ถ้าไม่ดำเนินการก็จะส่งผลต่อการคุ้มครองข้อมูลส่วนบุคคล เวลาเกิดความเสียหายนายจ้างจะเลิกจ้าง หรือจะลงโทษทางวินัย อาจฝ่าฝืนข้อบังคับเกี่ยวกับการทำงาน แต่ถ้าข้อมูลหลุดรั่วออกไปเกิดจากการที่พนักงานมีหน้าที่ในการเฝ้าระวังเกิดความประมาทเลิ่นเล่อจริง ก็ทำให้เป็นเหตุเลิกจ้างตามมาตรา 119 อนุ 3 ของกฎหมายคุ้มครองแรงงานได้
ด้านกระบวนการดำเนินคดี หากเกิดการหลุดรั่วของข้อมูลส่วนบุคคลออกไป เจ้าของข้อมูลส่วนบุคคลสามารถเลือกใช้สิทธิ์ในการร้องเรียนต่อคณะกรรมการร้องเรียนข้อมูลส่วนบุคคลได้ คณะกรรมการจะเริ่มดำเนินการสืบสวนสอบสวน ตั้งแต่กระบวนการการทำงานขององค์กรที่ทำข้อมูลหลุดรั่ว ว่าได้ทำหน้าที่ตามที่กฎหมายกำหนดแล้วหรือยัง และสามารถตรวจสอบถึงลูกจ้างกับคนที่รับจ้างนั้นมีบทบาทหน้าที่ มีความรับผิดชอบ และมีความประมาทเลิ่นเล่อในการทำงานมากน้อยแค่ไหน
นอกจากองค์กรจะเสียเวลา เสียค่าใช้จ่าย ในการเข้าไปให้ปากคำกับพนักงานสอบสวน ต้องไปตรวจสอบข้อเท็จจริง เข้าไปตรวจสอบยืนยัน ซึ่งถ้าการสอบสวนระบุว่ามีปัญหา องค์กรจะต้องรับผิดชอบตามมาตรา 81 แม้องค์กรจะสามารถไล่พนักงานนั้นออกได้เลย แต่ผู้บริหารก็ยังต้องรับผิดชอบสูงสุดอยู่ดี
