ช่วงนี้หลายคนอาจได้ยินคำว่า GDPR บ่อยขึ้น GDPR ย่อมาจาก General Data Protection Regulation คือหลักคุ้มครองข้อมูลส่วนบุคคลแบบใหม่ยุโรป ที่สภาสหภาพยุโรปผ่านกฎหมายไปเมื่อปี 2016 และจะมีผลบังคับใช้ 25 พฤษภาคม 2018
GDPR เป็นมาตรฐานคุ้มครองข้อมูลใหม่แทนที่กฎหมายเดิมในยุโรปที่บังคับใช้มานานตั้งแต่ปี 1980 เพื่อให้ตอบรับกับเทคโนโลยีรับ-ส่ง และประมวลผลข้อมูลในยุคนี้
สาเหตุที่ต้องใช้เวลาถึง 2 ปี กว่าจะบังคับใช้กฎหมาย ทั้งที่ GDPR ผ่านสภามาตั้งแต่ปี 2016 นั้น ก็เพื่อให้องค์กรบริษัทห้างร้านต่างๆ มีเวลาปรับตัว และแน่ใจว่าองค์กรมีวิธีการเก็บ ถ่าย โอน ข้อมูลของลูกค้าอย่างถูกต้องตามหลัก GDPR จริงๆ ไม่เช่นนั้นอาจถูกปรับไม่เกิน 20 ล้านยูโร หรือไม่เกิน 4% ของรายได้รวมทั่วโลก ขึ้นกับอะไรสูงกว่า
ต้องบอกก่อนว่า GDPR ไม่ได้มารื้อหรือปฏิวัติหลักการเดิม เพียงแต่มาขยายความคุ้มครองข้อมูลส่วนบุคคลให้ชัดเจน เป็นมาตรฐานเดียวกันทั่วยุโรป และที่สำคัญ คือ คุ้มครองข้อมูลพลเมืองยุโรป ไม่ว่าข้อมูลจะวิ่งไปเก็บอยู่ที่ไหนของโลกก็ตาม
ยุโรปมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่แข็งแรงอยู่แล้ว กฎหมายด้านนี้ของยุโรปมักตั้งอยู่บนพื้นฐานร่วมกันเหล่านี้
GDPR มาขยับมาตรฐานคุ้มครองข้อมูลให้ชัดเจน และคุ้มครองเป็นการทั่วไป (General) ใช้เหมือนกันในทุกประเทศสมาชิกของ EU ซึ่งต่างจากก่อนหน้านี้ ที่ EU มีหลักการเบื้องต้นให้แล้วแต่ละประเทศไปร่างกฎหมายการดำเนินการและบทลงโทษกันเอาเอง
อีกสิ่งสำคัญที่ GDPR เข้ามาทำให้ชัดเจนคือการส่งข้อมูลระหว่างประเทศ ไม่ต้องสับสนอีกต่อไปว่าจะจัดการอย่างไร เพราะระบุชัดเจนว่า ผู้รับข้อมูล ซึ่งอาจจะเป็นบริษัทคลาวด์หรือบริษัทประมวลผลข้อมูล (data Processer) ที่แม้อยู่ต่างประเทศ นอกขอบเขตของประเทศสมาชิก EU ก็ต้องทำตามกฎ GDPR อยู่ดี
ความเปลี่ยนแปลงจาก GDPR โดยสรุปตามเว็บไซต์ทางการของ EU GDPR มีดังนี้
เจ้าหน้าที่่คุ้มครองข้อมูล มีหน้าที่ติดตามกิจกรรมประมวลผลข้อมูลขนาดใหญ่ และข้อมูลอ่อนไหว คุณสมบัติของ DPO คือ มีความรู้ความเชี่ยวชาญการจัดเก็บข้อมูล, รายงานการทำงานตรงต่อผู้บริหาร, ต้องไม่ทำงานอื่นที่อาจสร้างความขัดแย้งเรื่องผลประโยชน์
อาทิตย์ สุริยะวงศ์กุล จากเครือข่ายพลเมืองเน็ต
Blognone สัมภาษณ์ อาทิตย์ สุริยะวงศ์กุล จากเครือข่ายพลเมืองเน็ต พุดคุยเรื่องผลกระทบในไทยที่อาจเกิดขึ้นได้จากกฎใหม่ GDPR
คุณอาทิตย์ระบุว่า องค์กรที่มีลูกค้าเป็นพลเมืองยุโรป ต้องทำตาม GDPR และเป็นไปได้สูงมากว่าองค์กรไทยโดยเฉพาะการท่องเที่ยว โรงแรม ซึ่งเป็นภาคอุตสาหกรรมใหญ่ คงต้องทำตาม GDPR อย่างหลีกเลี่ยงได้ยาก
ผู้ประกอบการไทยจะลำบากขึ้น เพราะ GDPR กำหนดชัดเจนเรื่องการส่งออกข้อมูลไม่ว่าจะไปที่ประเทศใด ประเทศนั้นต้องมีกฎคุ้มครองที่เทียบเท่าหรือมากกว่า GDPR ถ้าไทยไม่มีกฎหมายที่ดีพอ นั่นหมายถึงการเสียโอกาสทางธุรกิจ คุณอาทิตย์กล่าว
คุณอาทิตย์ บอกเพิ่มเติมว่า อย่างไรก็ตาม GDPR ไม่ได้ปิดประตูตาย กรณีที่ประเทศปลายทางยังไม่มีกฎที่เทียบเท่า GDPR ผู้ที่เกี่ยวข้องทั้งหน่วยงานควบคุมข้อมูล, หน่วยงานประมวลผลข้อมูล ต้องมาทำสัญญากับหน่วยงานในไทย และพิสูจน์มาตรฐานป้องกันข้อมูลว่ามีประสิทธิภาพ พร้อมทั้งระบุผู้รับผิดชอบกรณีถ้ามีการละเมิดเกิดขึ้น
ปัญหาคือถ้าองค์กรยุโรปหนึ่งดีลกับลูกค้าไทยสิบเจ้า เท่ากับต้องร่างสัญญาสิบฉบับ ถ้ามีองค์กรอื่นเข้ามาเกี่ยวข้องอีก ก็ต้องเพิ่มจำนวนสัญญา และการทำสัญญาก็มีค่าใช้จ่ายของมันอยู่ ทำให้อุตสาหกรรมรายเล็กลำบาก ดังนั้น สุดท้ายแล้ววิธีที่ตรงไปตรงมาที่สุดคือ ประเทศไทยควรมีกฎหมายคุ้มครองข้อมูลที่เทียบเท่า GDPR
ภาพจาก EGA Facebook Sak Sake
ปัจจุบันประเทศไทย ยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่บังคับใช้เป็นการทั่วไป จะมีก็เพียงการคุ้มครองข้อมูลแบบแยกส่วน เช่น คุ้มครองข้อมูลส่วนบุคคลที่ใช้ในหน่วยงานราชการ มีบรรจุใน พ.ร.บ. ข้อมูลข่าวสาร 2540 เป็นข้อมูลสุขภาพ ก็ระบุใน พ.ร.บ. สุขภาพแห่งชาติ ข้อมูลการใช้บัตรเครดิต เรื่องข้อมูลส่วนบุคคลจะมีเขียนไว้ใน พ.ร.บ. ข้อมูลเครดิตแห่งชาติ
อย่างไรก็ตาม ไทยพยายามผลักดันร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลมา 20 ปีแล้ว
Blognone ได้พูดคุยกับ ดร. นคร เสรีรักษ์ อาจารย์ประจำวิทยาลัยการปกครองท้องถิ่น ม.ขอนแก่น และผู้ก่อตั้ง Privacy Thailand เล่าความเป็นมาของร่างกฎหมายไทยให้ฟังว่า แรกเริ่มเดิมที กฎหมายถูกผลักดันโดย NECTEC ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ
ดร. นคร เสรีรักษ์ อาจารย์ประจำวิทยาลัยการปกครองท้องถิ่น ม.ขอนแก่น และผู้ก่อตั้ง Privacy Thailand
ดร. นคร เล่าให้ฟังเพิ่มเติมว่า ร่างกฎหมายเริ่มมาชัดเจนตอนรัฐบาลของ อภิสิทธิ์ เวชชาชีวะ อดีตนายกรัฐมนตรี พ.ศ. 2549 รัฐบาลชุดอภิสิทธิ์ก็เสนอร่างกฎหมายเข้าสภา แต่หมดสมัยอภิสิทธิ์เสียก่อน จนกระทั่งมาในรัฐบาลของ ยิ่งลักษณ์ ชินวัตร ก็เกิดรัฐประหารเสียอีก รัฐบาลชุดคณะรักษาความสงบแห่งชาติ ได้หยิบร่างกฎหมายและส่งกลับไปสภา โดยให้ความเห็นว่าเป็นกฎหมายสำคัญต่อการปฏิรูปประเทศ คสช. จึงส่งกฎหมายไปให้ สำนักงานนิติบัญญัติแห่งชาติ (สนช.) พิจารณา
แต่การเกิดขึ้นของกระทรวงดิจิทัล ทำให้มีปัญหาขึ้นอีก เพราะ รมต. กระทรวงดิจิทัล ในขณะนั้นเสนอกฎหมายใหม่เข้าสภา 8 ฉบับ โดย 1 ใน 8 ฉบับ มีร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลอีกฉบับเข้ามา กลายเป็นว่ามีร่างกฎหมายเดียวกัน 2 ฉบับให้พิจารณา จนสุดท้ายร่างที่อาจจะได้ใช้จริงคือร่างของกระทรวงดิจิทัล มีการแก้ไขใหม่ รื้อใหม่ กลายเป็นร่างกฎหมายฉบับปัจจุบัน
คุณนคร สรุปสถานการณ์ร่างกฎหมายคุ้มครองข้อมูลในไทยว่า ความไม่มีเสถียรภาพทางการเมืองเป็นสาเหตุสำคัญที่ทำให้กระบวนการร่างกฎหมายล่าช้า
Blognone ได้ถามความเห็นจากทั้ง อาทิตย์ สุริยะวงศ์กุล เครือข่ายพลเมืองเน็ต และ ดร. นคร เสรีรักษ์ จาก Privacy Thailand เรื่องมาตรฐานกฎหมายไทย ทั้งสองคนให้ความเห็นไปในทางเดียวกันว่า กฎหมายไทยตอนนี้ยังไม่ได้มาตรฐานเทียบเท่า GDPR และมีหลายประเด็นที่น่าเป็นห่วง
เริ่มจาก คุณอาทิตย์ บอกว่า ในร่างกฎหมายที่พิจารณากันอยู่มีปัญหาสำคัญหลายประการ เริ่มจากนิยามคำว่า "ข้อมูลส่วนบุคคล" ก็ผิดแล้ว
มาตรา 5 ร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ……. กำหนดนิยาม "ข้อมูลส่วนบุคคล" ว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงการระบุเฉพาะชื่อ ตำแหน่ง สถานที่ทำงาน หรือที่อยู่ทางธุรกิจ และข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
ทำให้เกิดความสับสนว่า ชื่อ ตำแหน่ง สถานที่ทำงานฯ ทั้งที่เป็นข้อมูลชี้ตัวเราได้ แต่ไม่ได้เป็นข้อมูลส่วนบุคคลอย่างนั้นหรือ?
คุณอาทิตย์เล่าให้ฟังว่า ตอนที่ตนไปรับฟังความเห็นร่างกฎหมาย ทางผู้ร่างยกตัวอย่างกฎหมายสิงคโปร์ ที่ยกเว้นข้อมูลติดต่อสำหรับธุรกิจ (business contact) ไว้ แต่จริงๆ แล้ว สิงคโปร์เขียนเฉพาะเจาะจงกว่านี้ ข้อมูลติดต่อสำหรับธุรกิจในนิยามกฎหมายสิงคโปร์ คือ ชื่อ ตำแหน่ง สถานที่ติดต่อทางธุรกิจ ที่บุคคลมอบให้ไว้กับหน่วยงาน เพื่อเก็บไว้ติดต่อธุรกิจกับหน่วยงานนั้น และการให้ที่อยู่ติดต่อธุรกิจ ต้องเป็นไปเพื่อประโยชน์ที่ไม่ใช่เฉพาะประโยชน์ส่วนตัว
ในร่างกฎหมายปัจจุบันยังมีปัญหาเรื่องข้อยกเว้นอีกด้วย ในมาตรา 4 ระบุว่า พ.ร.บ. นี้ไม่ใช้บังคับแก่ใครบ้าง ปัญหาคือ กฎหมายนี้ไม่บังคับใช้แก่การดำเนินการทางศาสนา, กิจการสื่อสารมวลชน และ การดำเนินการกับข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบข้อมูลเครดิตทางธุรกิจ
คุณอาทิตย์บอกว่า "ข้อมูลศาสนา เป็นข้อมูลที่อ่อนไหว (sensitive information) ซึ่งในร่างกฎหมายมาตรา 22 ระบุชัดเจนว่าเป็นข้อมูลที่ห้ามเก็บ ไม่จำเป็นต้องมายกเว้นอีกครั้งในมาตรา 4 ส่วนข้อมูลเครดิต ถ้ากฎหมายเครดิตมีมาตรฐานเทียบเท่า GDPR อยู่แล้ว ก็ไม่เป็นปัญหา แต่กฎหมายหลักไม่ควรมีข้อยกเว้น เพราะมันจะกลายเป็นช่องโหว่ได้ กฎหมายไม่ควรซับซ้อน เพราะการทำตามกฎหมายจะได้ง่ายขึ้น
คุณอาทิตย์เล่าให้ฟังอีกว่า "อีกกิจการที่กฎหมายนี้ยกเว้นคือ สื่อสารมวลชน ซึ่งในสายตาประชาชน กิจการที่ละเมิดความเป็นส่วนตัวมากอย่างหนึ่งเลยคือสื่อ ถ้าสื่อได้รับการยกเว้นก็จะหมายความว่า สื่อสามารถเอาข่าวผมถูกหวยไปลงได้ ไม่ผิด แม้ผมจะไม่ยินยอม"
ด้าน ดร. นคร เสรีรักษ์ จาก Privacy Thailand ให้ความเห็นเกี่ยวกับร่างกฎหมายนี้ในประเด็นการส่งข้อมูลข้ามแดนที่เป็นเรื่องสำคัญที่สุด ร่างกฎหมายไทยระบุว่า "การส่งข้อมูลข้ามแดนให้เป็นไปตามหลักเกณฑ์ที่กรรมการกำหนด" แต่ขณะเดียวกัน กฎหมายเราก็ยังไม่มี กรรมการก็ยังไม่มี และยังไม่รู้ว่าหลักเกณฑ์จะมีหน้าตาอย่างไร ถ้าระหว่างนี้ต้องมีการส่งข้อมูลข้ามชาติขึ้นมา ทางยุโรปจะเห็นว่าร่างกฎหมายไทยแบบนี้ จะมีมาตรฐานเทียบเท่า GDPR หรือไม่?
องค์กรที่กำกับดูแลก็สำคัญเช่นกัน ถ้ากฎหมายอยู่กับหน่วยงานที่คุ้มครองดูแลสิทธิเสรีภาพ คุ้มครองผู้บริโภค สำนักงานคณะกรรมการข้อมูลข่าวสาร มันยังพอเห็นภาพว่ากฎหมายจะออกมาในโทนไหน
แต่พอกฎหมายไปอยู่กับกระทรวงดิจิทัล การกำกับดูแลจะเน้นความปลอดภัยเชิงวิศวกรรม ไอที เชิงเทคนิคมากกว่าหรือไม่ กับไปเอื่้อผู้ประกอบการมากกว่าหรือไม่ หรือถ้าถ้ากฎหมายไปอยู่ที่ฝ่ายความมั่นคง หรือกรรมการที่มาจากสายงานธุรกิจมากๆ ใครจะดูแลผู้บริโภค
ดร. นคร เล่าให้ฟังเพิ่มเติมว่า การคุ้มครองข้อมูลส่วนบุคคลไม่ใช่เรื่องความปลอดภัยทางกายภาพเท่านั้น แต่มีมิติของการคุ้มครองสิทธิพลเมืองด้วย ยกตัวอย่างร่างกฎหมายที่เสนอมาครั้งแรก ในร่างนั้นตัดหลักความยินยอม (consent) ที่เป็นหัวใจสำคัญของกฎหมายคุ้มครองข้อมูลส่วนตัวออกไป ซึ่งเป็นเรื่องอันตรายมาก เพราะส่งผลต่อความไว้ใจของผู้บริโภคโดยตรง
อย่างไรก็ตามในร่างฉบับปัจจุบันที่รับฟังความเห็นอยู่มีหลักการยินยอมแล้ว แต่ก็ยังไม่รู้ว่าจะเปลี่ยนอะไรอีกหรือไม่ เพราะร่างกฎหมายยังต้องผ่านอีกหลายขั้นตอน
ภาพจาก Shutterstock
เป็นที่แน่ชัดว่า GDPR มีผลกระทบอย่างมากต่อธุรกิจที่ต้องเกี่ยวข้องกับข้อมูลของประชากรยุโรป และเมื่อถึงเวลาบังคับใช้จริง จะส่งผลต่อบริการสำคัญอีกมาก ทั้งบริการด้านสุขภาพ, หรือบริการที่เกี่ยวข้องกับพลเมืองยุุโรปมากๆ เช่น ธุรกิจการบิน, ท่องเที่ยว, โรงแรม การปรับตัวให้สอดคล้องกับ GDPR เป็นโจทย์ใหญ่ที่ธุรกิจคงต้องเร่งหาทางเพื่อให้ดำเนินการต่อไปได้
มองอีกด้าน สังคมไทยอาจจะถึงเวลาตั้งคำถามการคุ้มครองสิทธิ์ในข้อมูลส่วนบุคคล ซึ่งเรายังพบว่าข้อมูลส่วนตัวที่เราให้หน่วยงานต่างๆ ไป ถูกใช้งานอย่างไม่เหมาะสม ทั้งการเผยแพร่สู่สาธารณะ การส่งต่อข้อมูลให้กับหน่วยงานที่เราไม่ได้ยินยอม ไปจนถึงเงื่อนไขขอใช้งานข้อมูลที่ฝังไว้ในข้อตกลงการใช้งานที่ยาวยืดและภาษาที่กำกวม เราคงต้องตั้งคำถามว่าคนไทยมีสิทธิ์จะควบคุมข้อมูลของตัวเองในระดับเดียวกับ GDPR ได้หรือยัง
Comments
ที่ทำงาน (ธุรกิจการบิน) ก็ประชาสัมพันธ์เรื่องนี้เหมือนกัน เห็นค่าปรับแล้วหนาวเลย
ถ้าบริษัทผมตั้งอยู่ในไทย แต่ไม่ได้ทำตามเค้าจะปรับได้ยังไงอ่ะครับ หร่ือว่ามีบทลงโทษยังไงครับ เพราะกฏหมาย EU ไม่น่าใช้ในไทยได้ สมมุติว่าเป็นเว็บ e-commerce ทั่วๆไปที่ส่งของไป EU ไรงี้อ่ะ
ผมเข้าใจว่ามันคือ บทลงโทษที่ต้องจ่ายเพื่อการไม่ถูกบล๊อคนะครับ
มันกระทบกับรายใหญ่มากกว่ารายเล็กๆ ลองปิด Facebook/Google/Instagram บนยุโรปทั้งทวีป มันก็คงเรื่องใหญ่พอที่จะควรทำให้ทำตามกฎหมายได้
ยังไม่นับการบีบบังคับบริษัทหรือประเทศในทางอื่น (แต่ถ้ามันบีบได้จริงบ้านเราก็คงไม่ใช่แบบนี้อีกเช่นกัน)
ลองปิดดูประชาชนอาจจะประท้วง
กฎหมายจะออกมาบีบให้คู่ค้าของเรา (ที่อยู่ในยุโรป) ไม่สามารถทำธุรกิจกับเราได้ครับ
ตัวอย่าง: agency ตั้งอยู่ในยุโรป จะขายตั๋วสายการบินไทย ต้องส่งข้อมูลลูกค้ามาให้
lewcpe.com, @wasonliw
เสียดาย ถ้ามี บล็อกเชน ระบบเหล่านี้ ก็ เป้นแค่ ตัวเสริมเฉยๆ
ทุกวันนี้ มิจฉาชีพ Call center, นายหน้าขายประกัน สินเชื่อ บัตรเครดิต บลาๆๆๆ
ยังโทรเข้ามาติดต่อทุกคนในครอบครัวผม เรื่อยๆ
ทั้งๆที่ ผมระมัดระวัง และสงวนความเป็นส่วนตัวมาก ในการให้เบอร์โทรศัพท์ แบะอีเมล์
จนแล้วจนรอด ก็โดนโทรมาอยู่ดี
ไม่น่าเชื่อว่า หน่วยงานเดียว ที่มีข้อมูลผมทั้งครอบครัวคือธนาคาร และมันก็ไปอยู่ในมือกลุ่มบุคคลเหล่านั้น ขนาดว่าแยกเบอร์ส่วนตัว กับเบอร์ทั่วไปแล้วนะ
ถ้าสยามประเทศ ผลัดกันกฏหมาย ลักษณะเดียวกันนี้ คลอดมาได้ ผมขอกราบงามๆ
According to the page: https://www.eugdpr.org/key-changes.html, it states the following:
"Penalties:
Under GDPR organizations in breach of GDPR can be fined up to 4% of annual global turnover or €20 Million (whichever is greater)."
According to Article 83 of GDPR, it also states the following: "5. Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 20 000 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher:"
In my humble opinion, the statement "หากพบว่าผิดกฎ องค์กรต้องจ่ายค่าปรับ 4% ของผลประกอบการรายได้ทั่วโลกทั้งหมด โดยมีเพดานสูงสุดคือ 20 ล้านยูโร " is misinterpreted.