รู้จัก GDPR กฎใหม่คุ้มครองข้อมูลยุโรป ข้อมูลเก็บที่ไหน กฎหมายตามไปคุ้มครองที่นั่น

By sunnywalker Writer on Tag: EU, Law, Privacy, GDPR
EU

ช่วงนี้หลายคนอาจได้ยินคำว่า GDPR บ่อยขึ้น GDPR ย่อมาจาก General Data Protection Regulation คือหลักคุ้มครองข้อมูลส่วนบุคคลแบบใหม่ยุโรป ที่สภาสหภาพยุโรปผ่านกฎหมายไปเมื่อปี 2016 และจะมีผลบังคับใช้ 25 พฤษภาคม 2018

GDPR เป็นมาตรฐานคุ้มครองข้อมูลใหม่แทนที่กฎหมายเดิมในยุโรปที่บังคับใช้มานานตั้งแต่ปี 1980 เพื่อให้ตอบรับกับเทคโนโลยีรับ-ส่ง และประมวลผลข้อมูลในยุคนี้

สาเหตุที่ต้องใช้เวลาถึง 2 ปี กว่าจะบังคับใช้กฎหมาย ทั้งที่ GDPR ผ่านสภามาตั้งแต่ปี 2016 นั้น ก็เพื่อให้องค์กรบริษัทห้างร้านต่างๆ มีเวลาปรับตัว และแน่ใจว่าองค์กรมีวิธีการเก็บ ถ่าย โอน ข้อมูลของลูกค้าอย่างถูกต้องตามหลัก GDPR จริงๆ ไม่เช่นนั้นอาจถูกปรับไม่เกิน 20 ล้านยูโร หรือไม่เกิน 4% ของรายได้รวมทั่วโลก ขึ้นกับอะไรสูงกว่า

ไอเดียตั้งต้นของกฎหมายคุ้มครองข้อมูลส่วนบุคคล และ GDPR

ต้องบอกก่อนว่า GDPR ไม่ได้มารื้อหรือปฏิวัติหลักการเดิม เพียงแต่มาขยายความคุ้มครองข้อมูลส่วนบุคคลให้ชัดเจน เป็นมาตรฐานเดียวกันทั่วยุโรป และที่สำคัญ คือ คุ้มครองข้อมูลพลเมืองยุโรป ไม่ว่าข้อมูลจะวิ่งไปเก็บอยู่ที่ไหนของโลกก็ตาม

ยุโรปมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่แข็งแรงอยู่แล้ว กฎหมายด้านนี้ของยุโรปมักตั้งอยู่บนพื้นฐานร่วมกันเหล่านี้

  • หน่วยงานควบคุมข้อมูลที่เจ้าของข้อมูลรับบริการ (data controller) ต้องได้รับความยินยอมจากเจ้าของข้อมูล (data subject) ในการจัดเก็บข้อมูล รวมทั้งต้องกำหนดขอบเขต วัตถุประสงค์ในการประมวลผลข้อมูลที่ชัดเจน
  • แต่ละประเทศต้องให้การคุ้มครองอย่างเคร่งครัดต่อข้อมูลที่อ่อนไหวเป็นพิเศษ เช่น ความคิดทางการเมือง ศาสนา ลัทธิ พฤติกรรมสุขภาพ พฤติกรรมทางเพศ การเป็นสมาชิกสหพันธ์ ประวัติอาชญากรรม เป็นต้น
  • การส่งข้อมูลไปต่างประเทศ หรือบริษัทที่อยู่ต่างประเทศ ผู้รับข้อมูลต้องมีการคุ้มครองข้อมูลมาตรฐานเดียวกับบริษัทในยุโรป
  • หน่วยงานควบคุมข้อมูลต้องกำหนดขอบเขต ระยะเวลาในการประมวลผล และมีมาตรการรักษาความปลอดภัยข้อมูลอย่างรัดกุม

GDPR มาขยับมาตรฐานคุ้มครองข้อมูลให้ชัดเจน และคุ้มครองเป็นการทั่วไป (General) ใช้เหมือนกันในทุกประเทศสมาชิกของ EU ซึ่งต่างจากก่อนหน้านี้ ที่ EU มีหลักการเบื้องต้นให้แล้วแต่ละประเทศไปร่างกฎหมายการดำเนินการและบทลงโทษกันเอาเอง

อีกสิ่งสำคัญที่ GDPR เข้ามาทำให้ชัดเจนคือการส่งข้อมูลระหว่างประเทศ ไม่ต้องสับสนอีกต่อไปว่าจะจัดการอย่างไร เพราะระบุชัดเจนว่า ผู้รับข้อมูล ซึ่งอาจจะเป็นบริษัทคลาวด์หรือบริษัทประมวลผลข้อมูล (data Processer) ที่แม้อยู่ต่างประเทศ นอกขอบเขตของประเทศสมาชิก EU ก็ต้องทำตามกฎ GDPR อยู่ดี

การเปลี่ยนแปลงสำคัญใน GDPR มีอะไรบ้าง

ความเปลี่ยนแปลงจาก GDPR โดยสรุปตามเว็บไซต์ทางการของ EU GDPR มีดังนี้

  • นิยามข้อมูลข้ามพรมแดนชัดเจน คือ การเปลี่ยนแปลงสำคัญที่สุดของ GDPR อย่างที่ได้กล่าวไปเบื้องต้น ทำให้ความสับสนของการจัดการข้อมูลข้ามแดนหายไป ไม่ต้องมานั่งพิจารณาว่าควรใช้กฎหมายฉบับไหน ประเทศใด เพราะผู้รับข้อมูลต้องทำตาม GDPR เท่ากันหมด
  • บทลงโทษแรงขึ้น หากพบว่าผิดกฎ องค์กรต้องจ่ายค่าปรับ 4% ของผลประกอบการรายได้ทั่วโลกทั้งหมด หรือกว่า 20 ล้านยูโร ตัวอย่างความผิดเช่น การได้ข้อมูลมาโดยเจ้าของข้อมูลไม่ได้ให้การยินยอม ซึ่งเกิดขึ้นแล้วกรณี Facebook 1, 2 บทลงโทษนี้จะบังคับใช้ทั้งหน่วยงานควบคุมข้อมูล และผู้ประมวลผลข้อมูล
  • การขอความยินยอมจากเจ้าของข้อมูลต้องเข้าใจง่าย เงื่อนไขการขอความยินยอมยาวเหยียดจะไม่มีอีกต่อไปแล้ว เพราะ GDPR บอกว่า คำขอความยินยอมต้องอ่านแล้วเข้าใจง่าย ใช้ภาษาที่รวบรัดชัดเจน เช่นเดียวกันกับการถอนความยินยอม ก็ต้องทำได้ง่ายเช่นกัน
  • การแจ้งเตือนเมื่อเกิดเหตุข้อมูลรั่ว หากพบว่าข้อมูลรั่วไหล หน่วยงานควบคุมข้อมูลและผู้ประมวลผลข้อมูลต้องแจ้งให้หน่วยงานกำกับดูแล และประชาชนทราบภายใน 72 ชั่วโมง
  • สิทธิของ data subject ใน GDPR ขยายขอบเขตสิทธิของเจ้าของข้อมูล ที่ data controller ต้องแจ้งเจ้าของข้อมูลว่าข้อมูลถูกใช้เอาไปทำอะไร เพื่อวัตถุประสงค์ใด และต้องจัดทำสำเนาข้อมูลให้กับเจ้าของข้อมูลในรูปแบบอิเล็กทรอนิกส์ โดยห้ามเก็บค่าใช้จ่ายเพิ่ม
  • สิทธิ์ที่จะถูกลืม (Right to be Forgotten) เจ้าของข้อมูลสามารถขอให้หน่วยงานควบคุมข้อมูลลบข้อมูลของตัวเองออกได้ นอกจากนั้นข้อมูลที่ไม่มีความเกี่ยวข้องกับจุดประสงค์ของการประมวลผล ก็ต้องเอาออกด้วย
    ให้ความสำคัญกับความเป็นส่วนตัวตั้งแต่การออกแบบ (Privacy by Design) คือการให้หน่วยงานควบคุมข้อมูลตระหนักความสำคัญของข้อมูล โดยเริ่มจากการออกแบบบริการที่คิดถึงการป้องกันข้อมูลตั้งแต่แรกเลย ไม่ใช่ออกแบบแล้ว ค่อยมาเพิ่มเรื่องการป้องกันข้อมูล และใช้มาตรการทางเทคนิคที่เหมาะสมและมีประสิทธิภาพในการป้องกันข้อมูล
  • ต้องมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ Data Protection Officers (DPO) จากเดิมที่องค์กรต้องแจ้งกิจกรรมการประมวลผลข้อมูลต่อหน่วยงานท้องถิ่น (Local Data Protection Authority) ที่เป็นข้อบังคับตามกฎหมายเดิม (Data Protection Act 1998) ภายใต้กฎ GDPR นี้ไม่ต้องแจ้งแล้ว แต่ต้องจ้างเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO เข้ามาในบริษัทเลย

เจ้าหน้าที่่คุ้มครองข้อมูล มีหน้าที่ติดตามกิจกรรมประมวลผลข้อมูลขนาดใหญ่ และข้อมูลอ่อนไหว คุณสมบัติของ DPO คือ มีความรู้ความเชี่ยวชาญการจัดเก็บข้อมูล, รายงานการทำงานตรงต่อผู้บริหาร, ต้องไม่ทำงานอื่นที่อาจสร้างความขัดแย้งเรื่องผลประโยชน์

GDPR เป็นกฎของยุโรป แล้วเกี่ยวกับคนไทยอย่างไร


อาทิตย์ สุริยะวงศ์กุล จากเครือข่ายพลเมืองเน็ต

Blognone สัมภาษณ์ อาทิตย์ สุริยะวงศ์กุล จากเครือข่ายพลเมืองเน็ต พุดคุยเรื่องผลกระทบในไทยที่อาจเกิดขึ้นได้จากกฎใหม่ GDPR

คุณอาทิตย์ระบุว่า องค์กรที่มีลูกค้าเป็นพลเมืองยุโรป ต้องทำตาม GDPR และเป็นไปได้สูงมากว่าองค์กรไทยโดยเฉพาะการท่องเที่ยว โรงแรม ซึ่งเป็นภาคอุตสาหกรรมใหญ่ คงต้องทำตาม GDPR อย่างหลีกเลี่ยงได้ยาก

ผู้ประกอบการไทยจะลำบากขึ้น เพราะ GDPR กำหนดชัดเจนเรื่องการส่งออกข้อมูลไม่ว่าจะไปที่ประเทศใด ประเทศนั้นต้องมีกฎคุ้มครองที่เทียบเท่าหรือมากกว่า GDPR ถ้าไทยไม่มีกฎหมายที่ดีพอ นั่นหมายถึงการเสียโอกาสทางธุรกิจ คุณอาทิตย์กล่าว

คุณอาทิตย์ บอกเพิ่มเติมว่า อย่างไรก็ตาม GDPR ไม่ได้ปิดประตูตาย กรณีที่ประเทศปลายทางยังไม่มีกฎที่เทียบเท่า GDPR ผู้ที่เกี่ยวข้องทั้งหน่วยงานควบคุมข้อมูล, หน่วยงานประมวลผลข้อมูล ต้องมาทำสัญญากับหน่วยงานในไทย และพิสูจน์มาตรฐานป้องกันข้อมูลว่ามีประสิทธิภาพ พร้อมทั้งระบุผู้รับผิดชอบกรณีถ้ามีการละเมิดเกิดขึ้น

ปัญหาคือถ้าองค์กรยุโรปหนึ่งดีลกับลูกค้าไทยสิบเจ้า เท่ากับต้องร่างสัญญาสิบฉบับ ถ้ามีองค์กรอื่นเข้ามาเกี่ยวข้องอีก ก็ต้องเพิ่มจำนวนสัญญา และการทำสัญญาก็มีค่าใช้จ่ายของมันอยู่ ทำให้อุตสาหกรรมรายเล็กลำบาก ดังนั้น สุดท้ายแล้ววิธีที่ตรงไปตรงมาที่สุดคือ ประเทศไทยควรมีกฎหมายคุ้มครองข้อมูลที่เทียบเท่า GDPR


ภาพจาก EGA [Facebook Sak Sake](https://www.facebook.com/photo.php?fbid=10210683531916211&set=a.1883976670902.2089391.1585922739&type=3&theater)

ประเทศไทยพร้อมหรือยัง กฎหมายไทยเคลื่อนไหวต่อเรื่องนี้ไปถึงไหนแล้ว

ปัจจุบันประเทศไทย ยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่บังคับใช้เป็นการทั่วไป จะมีก็เพียงการคุ้มครองข้อมูลแบบแยกส่วน เช่น คุ้มครองข้อมูลส่วนบุคคลที่ใช้ในหน่วยงานราชการ มีบรรจุใน พ.ร.บ. ข้อมูลข่าวสาร 2540 เป็นข้อมูลสุขภาพ ก็ระบุใน พ.ร.บ. สุขภาพแห่งชาติ ข้อมูลการใช้บัตรเครดิต เรื่องข้อมูลส่วนบุคคลจะมีเขียนไว้ใน พ.ร.บ. ข้อมูลเครดิตแห่งชาติ

อย่างไรก็ตาม ไทยพยายามผลักดันร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลมา 20 ปีแล้ว

Blognone ได้พูดคุยกับ ดร. นคร เสรีรักษ์ อาจารย์ประจำวิทยาลัยการปกครองท้องถิ่น ม.ขอนแก่น และผู้ก่อตั้ง Privacy Thailand เล่าความเป็นมาของร่างกฎหมายไทยให้ฟังว่า แรกเริ่มเดิมที กฎหมายถูกผลักดันโดย NECTEC ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ


ดร. นคร เสรีรักษ์ อาจารย์ประจำวิทยาลัยการปกครองท้องถิ่น ม.ขอนแก่น และผู้ก่อตั้ง Privacy Thailand

ดร. นคร เล่าให้ฟังเพิ่มเติมว่า ร่างกฎหมายเริ่มมาชัดเจนตอนรัฐบาลของ อภิสิทธิ์ เวชชาชีวะ อดีตนายกรัฐมนตรี พ.ศ. 2549 รัฐบาลชุดอภิสิทธิ์ก็เสนอร่างกฎหมายเข้าสภา แต่หมดสมัยอภิสิทธิ์เสียก่อน จนกระทั่งมาในรัฐบาลของ ยิ่งลักษณ์ ชินวัตร ก็เกิดรัฐประหารเสียอีก รัฐบาลชุดคณะรักษาความสงบแห่งชาติ ได้หยิบร่างกฎหมายและส่งกลับไปสภา โดยให้ความเห็นว่าเป็นกฎหมายสำคัญต่อการปฏิรูปประเทศ คสช. จึงส่งกฎหมายไปให้ สำนักงานนิติบัญญัติแห่งชาติ (สนช.) พิจารณา

แต่การเกิดขึ้นของกระทรวงดิจิทัล ทำให้มีปัญหาขึ้นอีก เพราะ รมต. กระทรวงดิจิทัล ในขณะนั้นเสนอกฎหมายใหม่เข้าสภา 8 ฉบับ โดย 1 ใน 8 ฉบับ มีร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลอีกฉบับเข้ามา กลายเป็นว่ามีร่างกฎหมายเดียวกัน 2 ฉบับให้พิจารณา จนสุดท้ายร่างที่อาจจะได้ใช้จริงคือร่างของกระทรวงดิจิทัล มีการแก้ไขใหม่ รื้อใหม่ กลายเป็นร่างกฎหมายฉบับปัจจุบัน

คุณนคร สรุปสถานการณ์ร่างกฎหมายคุ้มครองข้อมูลในไทยว่า ความไม่มีเสถียรภาพทางการเมืองเป็นสาเหตุสำคัญที่ทำให้กระบวนการร่างกฎหมายล่าช้า

ร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ยังอยู่ระหว่างพิจารณานี้ มีมาตรฐานเทียบเท่ากับ GDPR หรือไม่

Blognone ได้ถามความเห็นจากทั้ง อาทิตย์ สุริยะวงศ์กุล เครือข่ายพลเมืองเน็ต และ ดร. นคร เสรีรักษ์ จาก Privacy Thailand เรื่องมาตรฐานกฎหมายไทย ทั้งสองคนให้ความเห็นไปในทางเดียวกันว่า กฎหมายไทยตอนนี้ยังไม่ได้มาตรฐานเทียบเท่า GDPR และมีหลายประเด็นที่น่าเป็นห่วง

เริ่มจาก คุณอาทิตย์ บอกว่า ในร่างกฎหมายที่พิจารณากันอยู่มีปัญหาสำคัญหลายประการ เริ่มจากนิยามคำว่า "ข้อมูลส่วนบุคคล" ก็ผิดแล้ว

IMG_20180207_212628

มาตรา 5 ร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ……. กำหนดนิยาม "ข้อมูลส่วนบุคคล" ว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงการระบุเฉพาะชื่อ ตำแหน่ง สถานที่ทำงาน หรือที่อยู่ทางธุรกิจ และข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

ทำให้เกิดความสับสนว่า ชื่อ ตำแหน่ง สถานที่ทำงานฯ ทั้งที่เป็นข้อมูลชี้ตัวเราได้ แต่ไม่ได้เป็นข้อมูลส่วนบุคคลอย่างนั้นหรือ?

คุณอาทิตย์เล่าให้ฟังว่า ตอนที่ตนไปรับฟังความเห็นร่างกฎหมาย ทางผู้ร่างยกตัวอย่างกฎหมายสิงคโปร์ ที่ยกเว้นข้อมูลติดต่อสำหรับธุรกิจ (business contact) ไว้ แต่จริงๆ แล้ว สิงคโปร์เขียนเฉพาะเจาะจงกว่านี้ ข้อมูลติดต่อสำหรับธุรกิจในนิยามกฎหมายสิงคโปร์ คือ ชื่อ ตำแหน่ง สถานที่ติดต่อทางธุรกิจ ที่บุคคลมอบให้ไว้กับหน่วยงาน เพื่อเก็บไว้ติดต่อธุรกิจกับหน่วยงานนั้น และการให้ที่อยู่ติดต่อธุรกิจ ต้องเป็นไปเพื่อประโยชน์ที่ไม่ใช่เฉพาะประโยชน์ส่วนตัว

ในร่างกฎหมายปัจจุบันยังมีปัญหาเรื่องข้อยกเว้นอีกด้วย ในมาตรา 4 ระบุว่า พ.ร.บ. นี้ไม่ใช้บังคับแก่ใครบ้าง ปัญหาคือ กฎหมายนี้ไม่บังคับใช้แก่การดำเนินการทางศาสนา, กิจการสื่อสารมวลชน และ การดำเนินการกับข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบข้อมูลเครดิตทางธุรกิจ

คุณอาทิตย์บอกว่า "ข้อมูลศาสนา เป็นข้อมูลที่อ่อนไหว (sensitive information) ซึ่งในร่างกฎหมายมาตรา 22 ระบุชัดเจนว่าเป็นข้อมูลที่ห้ามเก็บ ไม่จำเป็นต้องมายกเว้นอีกครั้งในมาตรา 4 ส่วนข้อมูลเครดิต ถ้ากฎหมายเครดิตมีมาตรฐานเทียบเท่า GDPR อยู่แล้ว ก็ไม่เป็นปัญหา แต่กฎหมายหลักไม่ควรมีข้อยกเว้น เพราะมันจะกลายเป็นช่องโหว่ได้ กฎหมายไม่ควรซับซ้อน เพราะการทำตามกฎหมายจะได้ง่ายขึ้น

คุณอาทิตย์เล่าให้ฟังอีกว่า "อีกกิจการที่กฎหมายนี้ยกเว้นคือ สื่อสารมวลชน ซึ่งในสายตาประชาชน กิจการที่ละเมิดความเป็นส่วนตัวมากอย่างหนึ่งเลยคือสื่อ ถ้าสื่อได้รับการยกเว้นก็จะหมายความว่า สื่อสามารถเอาข่าวผมถูกหวยไปลงได้ ไม่ผิด แม้ผมจะไม่ยินยอม"

ด้าน ดร. นคร เสรีรักษ์ จาก Privacy Thailand ให้ความเห็นเกี่ยวกับร่างกฎหมายนี้ในประเด็นการส่งข้อมูลข้ามแดนที่เป็นเรื่องสำคัญที่สุด ร่างกฎหมายไทยระบุว่า "การส่งข้อมูลข้ามแดนให้เป็นไปตามหลักเกณฑ์ที่กรรมการกำหนด" แต่ขณะเดียวกัน กฎหมายเราก็ยังไม่มี กรรมการก็ยังไม่มี และยังไม่รู้ว่าหลักเกณฑ์จะมีหน้าตาอย่างไร ถ้าระหว่างนี้ต้องมีการส่งข้อมูลข้ามชาติขึ้นมา ทางยุโรปจะเห็นว่าร่างกฎหมายไทยแบบนี้ จะมีมาตรฐานเทียบเท่า GDPR หรือไม่?

องค์กรที่กำกับดูแลก็สำคัญเช่นกัน ถ้ากฎหมายอยู่กับหน่วยงานที่คุ้มครองดูแลสิทธิเสรีภาพ คุ้มครองผู้บริโภค สำนักงานคณะกรรมการข้อมูลข่าวสาร มันยังพอเห็นภาพว่ากฎหมายจะออกมาในโทนไหน

แต่พอกฎหมายไปอยู่กับกระทรวงดิจิทัล การกำกับดูแลจะเน้นความปลอดภัยเชิงวิศวกรรม ไอที เชิงเทคนิคมากกว่าหรือไม่ กับไปเอื่้อผู้ประกอบการมากกว่าหรือไม่ หรือถ้าถ้ากฎหมายไปอยู่ที่ฝ่ายความมั่นคง หรือกรรมการที่มาจากสายงานธุรกิจมากๆ ใครจะดูแลผู้บริโภค

ดร. นคร เล่าให้ฟังเพิ่มเติมว่า การคุ้มครองข้อมูลส่วนบุคคลไม่ใช่เรื่องความปลอดภัยทางกายภาพเท่านั้น แต่มีมิติของการคุ้มครองสิทธิพลเมืองด้วย ยกตัวอย่างร่างกฎหมายที่เสนอมาครั้งแรก ในร่างนั้นตัดหลักความยินยอม (consent) ที่เป็นหัวใจสำคัญของกฎหมายคุ้มครองข้อมูลส่วนตัวออกไป ซึ่งเป็นเรื่องอันตรายมาก เพราะส่งผลต่อความไว้ใจของผู้บริโภคโดยตรง

อย่างไรก็ตามในร่างฉบับปัจจุบันที่รับฟังความเห็นอยู่มีหลักการยินยอมแล้ว แต่ก็ยังไม่รู้ว่าจะเปลี่ยนอะไรอีกหรือไม่ เพราะร่างกฎหมายยังต้องผ่านอีกหลายขั้นตอน


ภาพจาก Shutterstock

ความท้าทายของธุรกิจ และสิทธิ์ของประชาชนคนไทย

เป็นที่แน่ชัดว่า GDPR มีผลกระทบอย่างมากต่อธุรกิจที่ต้องเกี่ยวข้องกับข้อมูลของประชากรยุโรป และเมื่อถึงเวลาบังคับใช้จริง จะส่งผลต่อบริการสำคัญอีกมาก ทั้งบริการด้านสุขภาพ, หรือบริการที่เกี่ยวข้องกับพลเมืองยุุโรปมากๆ เช่น ธุรกิจการบิน, ท่องเที่ยว, โรงแรม การปรับตัวให้สอดคล้องกับ GDPR เป็นโจทย์ใหญ่ที่ธุรกิจคงต้องเร่งหาทางเพื่อให้ดำเนินการต่อไปได้

มองอีกด้าน สังคมไทยอาจจะถึงเวลาตั้งคำถามการคุ้มครองสิทธิ์ในข้อมูลส่วนบุคคล ซึ่งเรายังพบว่าข้อมูลส่วนตัวที่เราให้หน่วยงานต่างๆ ไป ถูกใช้งานอย่างไม่เหมาะสม ทั้งการเผยแพร่สู่สาธารณะ การส่งต่อข้อมูลให้กับหน่วยงานที่เราไม่ได้ยินยอม ไปจนถึงเงื่อนไขขอใช้งานข้อมูลที่ฝังไว้ในข้อตกลงการใช้งานที่ยาวยืดและภาษาที่กำกวม เราคงต้องตั้งคำถามว่าคนไทยมีสิทธิ์จะควบคุมข้อมูลของตัวเองในระดับเดียวกับ GDPR ได้หรือยัง

ที่มา - EU GDPR, WIRED

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

mix5003 Mon, 05/03/2018 - 17:46

ถ้าบริษัทผมตั้งอยู่ในไทย แต่ไม่ได้ทำตามเค้าจะปรับได้ยังไงอ่ะครับ หร่ือว่ามีบทลงโทษยังไงครับ เพราะกฏหมาย EU ไม่น่าใช้ในไทยได้ สมมุติว่าเป็นเว็บ e-commerce ทั่วๆไปที่ส่งของไป EU ไรงี้อ่ะ

foizy Mon, 05/03/2018 - 23:24

ผมเข้าใจว่ามันคือ บทลงโทษที่ต้องจ่ายเพื่อการไม่ถูกบล๊อคนะครับ

มันกระทบกับรายใหญ่มากกว่ารายเล็กๆ ลองปิด Facebook/Google/Instagram บนยุโรปทั้งทวีป มันก็คงเรื่องใหญ่พอที่จะควรทำให้ทำตามกฎหมายได้

ยังไม่นับการบีบบังคับบริษัทหรือประเทศในทางอื่น (แต่ถ้ามันบีบได้จริงบ้านเราก็คงไม่ใช่แบบนี้อีกเช่นกัน)

Mike26 Wed, 07/03/2018 - 10:10

ทุกวันนี้ มิจฉาชีพ Call center, นายหน้าขายประกัน สินเชื่อ บัตรเครดิต บลาๆๆๆ
ยังโทรเข้ามาติดต่อทุกคนในครอบครัวผม เรื่อยๆ
ทั้งๆที่ ผมระมัดระวัง และสงวนความเป็นส่วนตัวมาก ในการให้เบอร์โทรศัพท์ แบะอีเมล์

จนแล้วจนรอด ก็โดนโทรมาอยู่ดี
ไม่น่าเชื่อว่า หน่วยงานเดียว ที่มีข้อมูลผมทั้งครอบครัวคือธนาคาร และมันก็ไปอยู่ในมือกลุ่มบุคคลเหล่านั้น ขนาดว่าแยกเบอร์ส่วนตัว กับเบอร์ทั่วไปแล้วนะ

ถ้าสยามประเทศ ผลัดกันกฏหมาย ลักษณะเดียวกันนี้ คลอดมาได้ ผมขอกราบงามๆ

yannarak Fri, 09/03/2018 - 08:47

According to the page: https://www.eugdpr.org/key-changes.html, it states the following:
"Penalties:
Under GDPR organizations in breach of GDPR can be fined up to 4% of annual global turnover or €20 Million (whichever is greater)."

According to Article 83 of GDPR, it also states the following: "5. Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 20 000 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher:"

  • http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679#d1e6226-1-1

In my humble opinion, the statement "หากพบว่าผิดกฎ องค์กรต้องจ่ายค่าปรับ 4% ของผลประกอบการรายได้ทั่วโลกทั้งหมด โดยมีเพดานสูงสุดคือ 20 ล้านยูโร " is misinterpreted.