the coronation of king rama x
email Webmasster contact's email   phone to ETDA  0-2123-1234
TH | EN


เผยแพร่ 31.07.2018 (1 ปีที่ผ่านมา) | แก้ไขล่าสุด 15.11.2019 | อ่าน 26763

กฎหมาย GDPR ฉบับรวบรัด


อะไร อย่างไร เกี่ยวกับ GDPR

“General Data Protection Regulation” หรือเรียกด้วยอักษรย่อว่า GDPR เป็นกฎหมายของสหภาพยุโรปว่าด้วยมาตรการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล ซึ่งมีผลบังคับใช้วันที่ 25 พฤษภาคม พ.ศ. 2561 ที่ผ่านมา จึงอาจส่งผลกระทบต่อหลายฝ่าย โดยเฉพาะอย่างยิ่ง หน่วยงานต่าง ๆ ไม่ว่าภาครัฐ ภาคเอกชน หรือ ภาคธุรกิจที่มีการดำเนินการเกี่ยวกับการเก็บข้อมูลส่วนบุคคล หรือ การให้บริการออนไลน์แก่บุคคลที่อยู่ในสหภาพยุโรป ดังนั้น การเตรียมความพร้อมและทำความเข้าใจกฎหมาย GDPR จึงมีความจำเป็นเพื่อส่งเสริมการคุ้มครองข้อมูลส่วนบุคคลของภาคธุรกิจให้เทียบเท่ากับมาตรฐานสากล และป้องกันผลกระทบจากกฎหมายที่อาจเกิดขึ้นอีกด้วย

เนื่องจากการปฏิบัติให้สอดคล้องกับกฎหมาย GDPR มีหลายขั้นตอน เพื่อให้เข้าใจภาพรวมของกฎหมาย GDPR ได้ง่ายขึ้น ผู้อ่านสามารถทำความเข้าใจโดยเริ่มต้นจากสรุปย่อหลักสำคัญต่าง ๆ ดังนี้

ข้อมูลส่วนบุคคล (Personal Data)

ข้อมูลส่วนบุคคลตามนิยามของ GDPR คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม รวมถึงข้อมูลที่นำมารวมกันแล้วสามารถใช้ระบุอัตลักษณ์ของบุคคลได้

ตัวอย่างข้อมูลส่วนบุคคล

  • ชื่อ-นามสกุล
  • ที่อยู่บ้าน
  • อีเมล เช่น name.surname@company.com
  • หมายเลขบัตรประจำตัว
  • ข้อมูลที่ตั้ง (Location Data) เช่น ข้อมูลที่ตั้งจากโทรศัพท์เคลื่อนที่
  • IP Address
  • Cookie ID
  • หมายเลข ID เพื่อใช้ในการโฆษณาในโทรศัพท์เคลื่อนที่
  • เวชระเบียนและข้อมูลสุขภาพอื่น ๆ ซึ่งสามารถใช้ระบุอัตลักษณ์ของผู้ป่วยได้
  • พฤติกรรมการบริโภคสินค้า-บริการ

ตัวอย่างข้อมูลที่ไม่นับว่าเป็นข้อมูลส่วนบุคคล

  • หมายเลขจดทะเบียนบริษัท
  • อีเมล เช่น info@company.com
  • ข้อมูลนิรนาม

บทบาทของผู้เกี่ยวข้องกับการประมวลผลข้อมูล

GDPR ได้ให้คำจำกัดความและหน้าที่ของบทบาทของผู้เกี่ยวข้องกับการประมวลผลข้อมูลหลักไว้ 3 บทบาท ดังนี้

  1. ผู้ควบคุมข้อมูลส่วนบุคคล (Controller) คือ กำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูล ซึ่งโดยส่วนมากจะเป็นผู้ขอความยินยอมจากเจ้าของข้อมูล เช่น ผู้ให้บริการเว็บไซต์ต่าง ๆ
  2. ผู้ประมวลผลข้อมูลส่วนบุคคล (Processor) คือ ผู้ประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์และวิธีการของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งในทางปฏิบัติอาจเป็นบุคคลเดียวกับผู้ควบคุมข้อมูลส่วนบุคคลก็ได้ อนึ่ง “การประมวลผลข้อมูล” (Processing) ตามกฎหมาย GDPR นั้น ไม่ใช่เพียงแค่การวิเคราะห์ หรือ จัดการข้อมูลแบบทั่วไปเท่านั้น แต่ให้รวมถึงการบันทึกและจัดเก็บข้อมูลด้วย
  3. เจ้าของข้อมูลส่วนบุคคล (Data Subject)

ขอบเขตการบังคับใช้โดยสังเขป

หลักเกณฑ์ที่จะต้องพิจารณาต่อไปคือ การประมวลผลข้อมูลส่วนบุคคลกระทำ “ที่ใด” และข้อมูลส่วนบุคคลเป็น “ของใคร” ซึ่งกฎหมาย GDPR ได้กำหนดให้ “การประมวลผลข้อมูล” ในลักษณะต่อไปนี้ต้องตกอยู่ภายใต้ขอบเขตการบังคับใช้ของกฎหมาย GDPR ดังนี้

  1. “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” มีสถานประกอบการอยู่ภายในสหภาพยุโรป
  2. “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ไม่มีสถานประกอบการอยู่ภายในสหภาพยุโรป แต่การประมวลผลนั้นเกี่ยวข้องกับการเสนอสินค้าหรือบริการให้แก่บุคคลผู้พำนักในสหภาพยุโรป
  3. “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ไม่มีสถานประกอบการอยู่ภายในสหภาพยุโรป แต่การประมวลผลนั้นเกี่ยวข้องกับการเฝ้าสังเกตพฤติกรรมที่เกิดขึ้นในสหภาพยุโรป ทั้งนี้ หากมีการประมวลผลข้อมูลส่วนบุคคลนอกอาณาเขตของสหภาพยุโรป และประเทศนั้นมีผลผูกพันทางกฎหมายกับประเทศสหภาพยุโรป เช่น สนธิสัญญา จะตกอยู่ภายใต้ขอบเขตการบังคับใช้ของ GDPR เช่นเดียวกัน

หลักการขอ “ความยินยอม” (Consent)

เมื่อการประมวลผลข้อมูลส่วนบุคคลตกอยู่ภายใต้ขอบเขตการบังคับใช้กฎหมาย GDPR ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องปฏิบัติตามหลักพื้นฐานในการประมวลผลข้อมูลส่วนบุคคล เช่น ต้องประมวลผลข้อมูล “โดยชอบด้วยกฎหมาย” เป็นธรรม และโปร่งใสต่อเจ้าของข้อมูล ซึ่งการประมวลผลข้อมูลจะชอบด้วยกฎหมายหรือไม่นั้น ต้องพิจารณาจาก “ความยินยอม” (Consent) ซึ่งเป็นหัวใจสำคัญของการคุ้มครองข้อมูลส่วนบุคคล

ตามกฎหมาย GDPR นั้น การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล จะต้องเป็นไปตามหลักเกณฑ์ทั้ง 4 ข้อ ต่อไปนี้

  1. เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมอย่างเสรี (Freely given) หมายถึง เจ้าของข้อมูลมีทางเลือกในการตัดสินใจว่าจะให้หรือไม่ให้ข้อมูลส่วนใดบ้าง และการไม่ให้ความยินยอมในส่วนนั้นต้องไม่ทำให้เกิดผลเสียแก่เจ้าของข้อมูลส่วนบุคคล
  2. มีวัตถุประสงค์ที่เฉพาะเจาะจงในการขอความยินยอม (Specific) หมายถึง การประมวลผลข้อมูลนต้องเป็นไปเพื่อวัตถุประสงค์ที่แจ้งเจ้าของข้อมูลส่วนบุคคลเท่านั้น
  3. แจ้งการประมวลผลข้อมูลให้เจ้าของข้อมูลส่วนบุคคลทราบ (Informed) หมายถึง เจ้าของข้อมูลส่วนบุคคลต้องทราบแล้วว่าจะมีการประมวลผลนั้น ๆ ก่อนให้ความยินยอม
  4. เจ้าของข้อมูลต้องแสดงความยินยอมอย่างไม่กำกวม (Unambiguous) หรือ เป็นการแสดงออกโดยชัดเจน ต้องปราศจากความลังเลสงสัยในการตีความว่าเป็นการกระทำของเจ้าของข้อมูลหรือไม่ เช่น การกดอัปโหลดภาพบัตรประจำตัวประชาชน การลงลายมือชื่ออิเล็กทรอนิกส์

Privacy by Design

กฎหมาย GDPR กล่าวถึงหลักการ Privacy by Design คือ ฝ่ายผู้ควบคุมข้อมูลต้องคำนึงถึงสิทธิความเป็นส่วนตัวของเจ้าของข้อมูลตั้งแต่ขั้นออกแบบ คงไว้ตลอดกระบวนการที่ตามมา ซึ่งสามารถประยุกต์ใช้ได้ทั้งในบริบทของการพัฒนาระบบ ผลิตภัณฑ์ บริการ แผนธุรกิจ ฯลฯ โดยเรื่อง Privacy by Design นี้มีอยู่ในกระบวนการทางวิศวกรรมบางสาขาและปฏิบัติกันมานานพอสมควรแล้ว แต่ไม่เคยมีการบัญญัติไว้เป็นกฎหมายแน่ชัดมาก่อนจนกระทั่งกฎหมาย GDPR มีผลบังคับใช้

กฎหมาย GDPR ไม่ได้กล่าวถึงหน้าที่ผู้ประมวลผลข้อมูลในหลักการ Privacy by Design อย่างแน่ชัด แต่ระบุว่าผู้ควบคุมข้อมูลต้องเลือกผู้ประมวลผลข้อมูลที่ปฏิบัติตามมาตรการทางเทคนิคและทางการจัดการองค์กรที่เหมาะสมและเพียงพอต่อการคุ้มครองความเป็นส่วนตัวของเจ้าของข้อมูล

นักพัฒนาจำนวนมากมักอ้างอิงถึงหลักการพื้นฐาน 7 ประการ ดังนี้

  1. กันไว้ดีกว่าแก้ (Proactive not reactive; preventative not remedial) ผู้ออกแบบต้องป้องกันมากกว่าแก้ไข คือ คาดคะเนถึงเหตุการณ์ที่ไม่พึงประสงค์และสุ่มเสี่ยงต่อความเป็นส่วนตัวของผู้ใช้ แล้วดำเนินมาตรการการป้องกันไว้ก่อนที่จะเกิดขึ้นจริง เริ่มต้นจากการตระหนักถึงคุณประโยชน์ของการปฏิบัติตามนโยบายความเป็นส่วนตัวที่เข้มข้น ยึดมั่นในการใช้มาตรการสูงสุดในการคุ้มครองความเป็นส่วนตัว
  2. ตั้งเป็นค่าตั้งต้น (Privacy as the Default Setting) การคุ้มครองข้อมูลส่วนบุคคลจะต้องเป็นไปโดยอัตโนมัติและยังคงอยู่แม้ผู้ใช้ไม่ได้กระทำการใดเพิ่มเติม หากระบุการใช้ข้อมูลส่วนบุคคลไว้ไม่ชัดเจน จะต้องใช้มาตรการคุ้มครองขั้นสูงสุดเป็นมาตรฐานตั้งต้น
  3. ฝังอยู่ในแม่แบบ (Privacy Embedded into Design) มาตรการความเป็นส่วนตัวจะต้องรวมอยู่ในแม่แบบและสถาปัตยกรรมอย่างกลมกลืน มิใช่เพียงอุปกรณ์เสริมในภายหลังเพื่อสอดคล้องกับกฎหมาย
  4. ยังคงเต็มประสิทธิภาพ (Full Functionality — Positive-Sum, not Zero-Sum) นอกจากความเป็นส่วนตัวที่ออกแบบจะเป็นไปตามข้อกำหนดทางกฎหมายแล้ว จะต้องไม่ลดทอนประสิทธิภาพการทำงานของระบบ ผู้ใช้ไม่ต้องเลือกสิทธิประโยชน์ประการใดประการหนึ่ง อาทิ ระหว่างความเป็นส่วนตัวกับความปลอดภัย ในขณะที่สามารถได้รับสิทธิประโยชน์ทั้งสองได้
  5. จากต้นจรดปลาย (End-to-End Security — Lifecycle Protection) ความเป็นส่วนตัวต้องฝังตัวอยู่ในระบบ เริ่มใช้งานตั้งแต่ก่อนเก็บข้อมูล และมีผลต่อเนื่องตลอดอายุการเก็บรักษาข้อมูล เพื่อสร้างความมั่นใจว่าข้อมูลทั้งหมดได้รับการคุ้มครองและถูกทำลายทิ้งเมื่อสิ้นสุดการใช้งาน
  6. ประจักษ์และโปร่งใส (Visibility and Transparency — Keep it Open) ผู้มีส่วนได้ส่วนเสียทุกคนจะต้องได้รับแจ้งถึงมาตรการทางธุรกิจและเทคโนโลยีที่ใช้เพื่อให้บรรลุวัตถุประสงค์ที่แจ้งไว้ และอนุญาตให้ขอตรวจสอบได้ กรรมวิธีทั้งหมดต้องโปร่งใสทั้งต่อผู้ใช้และผู้ให้บริการ
  7. ผู้ใช้คือศูนย์กลาง (Respect for User Privacy — Keep it User-Centric) ผู้ออกแบบและผู้ให้บริการต้องให้ความสำคัญต่อความเป็นส่วนตัวของผู้ใช้เป็นสำคัญ โดยมีมาตรการ เช่น แจ้งเตือนตามความเหมาะสม และจัดสรรตัวเลือกความเป็นส่วนตัว (Privacy Option) ที่ใช้งานง่าย

ดาวน์โหลดอินโฟกราฟิกความละเอียดสูงได้ที่
pdf / jpg

ติดตามข้อมูลข่าวสารเรื่องการคุ้มครองข้อมูลส่วนบุคคล อีกมากมายที่ https://www.etda.or.th/content/personal-data-protection-by-etda

Tags: GDPR