นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) กล่าวว่า ที่ประชุมคณะรัฐมนตรี  มีมติเห็นชอบในหลักการ (ร่าง) พระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (ฉบับที่ ..) พ.ศ. .... เพื่อแก้ไขเพิ่มเติมพระราชกฤษฎีกาฯ พ.ศ. 2563 ในส่วนที่กำหนดระยะเวลาใช้บังคับ ทำให้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จะมีผลใช้บังคับในวันที่ 1 มิถุนายน 2565 

           ทั้งนี้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายกลางที่กำหนด หลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคล เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพ สร้างความเป็นไปตามมาตรฐานสากล และมีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดอย่างเหมาะสมแต่จากสถานการณ์การแพร่ระบาดของโควิด-19 ที่ยังคงมีอยู่อย่างต่อเนื่องและรุนแรงยิ่งขึ้น ส่งผลกระทบต่อเศรษฐกิจและสังคมโดยรวมเป็นอย่างมาก 

            ดังนั้น หากกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้ทั้งฉบับ จะทำให้หน่วยงานภาครัฐและภาคเอกชน ตั้งแต่ธุรกิจขนาดใหญ่-เล็ก รวมทั้งประชาชนทั่วไป ถ้ามีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องดำเนินการตามหลักเกณฑ์ วิธีการ และเงื่อนไขในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีรายละเอียดมากและซับซ้อน และต้องใช้เทคโนโลยีขั้นสูงเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพรวมทั้งมีการกำหนดโทษปรับทางปกครอง ความรับผิดทางแพ่งและทางอาญาด้วย โดยในสถานการณ์โควิด-19 จะเป็นการเพิ่มภาระและความยากลำบากให้กับทุกกลุ่มที่อยู่ภายใต้การบังคับใช้ของกฎหมายฉบับนี้

           “ที่ผ่านมาภาคธุรกิจประกอบด้วย สภาอุตสาหกรรมแห่งประเทศไทย สภาหอการค้าแห่งประเทศไทย และกลุ่มสมาคมด้านการท่องเที่ยว ได้ร่วมกันขอให้รัฐบาลบรรเทาผลกระทบที่จะเกิดขึ้นจากความไม่พร้อมในการปฏิบัติตามรายละเอียดของกฎหมายฉบับนี้ ดีอีเอส จึงได้นำเสนอเข้าสู่การพิจารณาของ ครม. และได้รับความเห็นชอบให้ขยายเวลาบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ไปอีก 1 ปี” นายชัยวุฒิกล่าว

           โดย พ.ร.ฎ. กำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2563 ซึ่งมีผลให้ยกเว้นการบังคับใช้กฎหมายบางหมวดกับกิจการ 22 ประเภทไปจนถึง 31 พฤษภาคม 2564 จะขยายเวลาบังคับใช้ไปเป็นปี 2565 

           อย่างไรก็ตาม ในระหว่างนี้ผู้ควบคุมข้อมูลส่วนบุคคล ยังคงต้องปฏิบัติตามมาตรฐานรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่กระทรวงดิจิทัลฯ ประกาศกำหนด โดยต้องจัดให้มีมาตรการเรื่องการเข้าถึงและการควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) และแจ้งมาตรการดังกล่าวพร้อมสร้างความตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล ให้แก่บุคลากรและผู้เกี่ยวข้องทราบเพื่อให้ปฏิบัติตามโดยเคร่งครัด

          ทั้งนี้ ดีอีเอส ได้จัดทำร่างกฎหมายลำดับรอง และร่างแผนแม่บทการส่งเสริมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งผ่านการรับฟังความเห็นสาธารณะไว้แล้ว รวมทั้งอยู่ระหว่างการจัดทำแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล