the coronation of king rama x
email Webmasster contact's email   phone to ETDA  0-2123-1234
TH | EN


เผยแพร่ 23.08.2018 (11 เดือนที่ผ่านมา) | แก้ไขล่าสุด 16.07.2019 | อ่าน 3660

GDPR: Practical Guideline เพื่อปรับตัวให้เข้ากับแนวทางการคุ้มครองข้อมูลส่วนบุคคลในกระแสโลก


จากเวทีแบ่งปันเพื่อรู้จัก GDPR ทั้งความรู้เบื้องต้น ความรู้เชิงลึก และคำถามจากผู้เข้าร่วม ETDA Knowledge Sharing Class

ในงาน "FUTURE ECONOMY & INTERNET GOVERNANCE : BIG CHANGE TO BIG CHANCE" โดย สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) กระทรวงดิจิทัลเพื่อเศรษฐกิจเพื่อสังคม หรือ ETDA (เอ็ตด้า) ก้าวสู่ปีที่ 8 ได้เปิดเวที Knowledge Sharing Class เรื่อง GDPR: Practical Guideline เพื่อแชร์ความรู้ให้ผู้สนใจ โดยได้รับเกียรติจาก รศ. คณาธิป ทองรวีวงศ์ อดีตคณบดีนิติศาสตร์ มหาวิทยาลัยเซนต์จอห์น ร่วมเวที เมื่อวันที่ 24 กรกฎาคม 2561

การพูดคุยครั้งนี้แบ่งออกเป็น 3 ส่วน ได้แก่ ส่วนที่ 1 ความรู้เบื้องต้นเกี่ยวกับ GDPR ส่วนที่ 2 ความรู้เชิงลึกเกี่ยวกับ GDPR และ ส่วนที่ 3 คำถามจากผู้เข้าร่วม Knowledge Sharing Class

“General Data Protection Regulation” หรือเรียกด้วยอักษรย่อว่า GDPR เป็นกฎหมายของสหภาพยุโรปว่าด้วยมาตรการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล ซึ่งมีผลบังคับใช้วันที่ 25 พฤษภาคม 2561 ที่ผ่านมา โดยใจความแล้วตัวกฎหมายฉบับนี้ไม่ได้เป็นเรื่องใหม่ แต่เป็นกฎหมายที่พัฒนามาจาก “Directive 95/46/EC” (Data Protection Directive) ที่บังคับใช้ในสหภาพยุโรปมาตั้งแต่ปี 2538 เพื่อให้สามารถบังคับใช้ได้ครอบคลุมมากขึ้นในมิติต่าง ๆ ของชีวิต

 

ความรู้เบื้องต้นเกี่ยวกับ GDPR

ข้อมูลส่วนบุคคล (Personal Data)

ข้อมูลส่วนบุคคลตามนิยามของ GDPR คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-นามสกุล หมายเลขโทรศัพท์ ที่อยู่ ฯลฯ

บทบาทของผู้เกี่ยวข้องกับข้อมูลส่วนบุคคล

กฎหมาย GDPR แยกบทบาทของผู้เกี่ยวข้องหลักเอาไว้ ดังนี้

  • เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ ผู้ที่เป็นเจ้าของข้อมูลส่วนบุคคล
  • ผู้ควบคุมข้อมูลส่วนบุคคล (Controller) คือ ผู้กำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูล ที่อาจเป็นเจ้าของธุรกิจหรือผู้ให้บริการ
  • ผู้ประมวลผลข้อมูลส่วนบุคคล (Processor) คือ ผู้ประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์และวิธีการของผู้ควบคุมข้อมูลส่วนบุคคล

ในทางปฏิบัติ ผู้ควบคุมข้อมูลส่วนบุคคลอาจเป็นรายเดียวกับผู้ประมวลข้อมูลส่วนบุคคลก็ได้ โดยคำว่า “Processing” (“การประมวลผล”) ในกฎหมาย GDPR นั้น ไม่ได้จำกัดเพียงการวิเคราะห์หรือจัดการข้อมูลแบบทั่วไปเท่านั้น แต่รวมถึงการบันทึกและจัดเก็บข้อมูล ตลอดจนการทำข้อมูลไปใช้เพื่อให้บรรลุวัตถุประสงค์หนึ่ง ๆ ด้วย

ขอบเขตการบังคับใช้

สามารถจำแนกออกได้เป็น 3 กรณีหลัก ดังนี้

  • “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” มีสถานประกอบการอยู่ภายในสหภาพยุโรป

แต่หากไม่มีสถานประกอบการในสหภาพยุโรป กฎหมายนี้ก็มีผลบังคับใช้ในกรณีที่

  • “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ทำการประมวลผลที่เกี่ยวข้องกับการเสนอสินค้าหรือบริการให้แก่บุคคลผู้พำนักในสหภาพยุโรป
  • “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” มีการประมวลผลที่เกี่ยวข้องกับการเฝ้าสังเกตพฤติกรรมที่เกิดขึ้นในสหภาพยุโรป

ทั้งนี้ ไม่ได้หมายความถึงเพียงข้อมูลในระบบอินเทอร์เน็ต แต่ยังครอบคลุมถึงชีวิตประจำวัน เช่น ไม่สามารถแอบถ่ายภาพผู้อื่นมาใช้แอบอ้างหรือนำข้อมูลที่อยู่บนกล่องพัสดุไปรษณีย์ของผู้อื่นมาใช้

หลักการขอ “ความยินยอม” (Consent)

ตามกฎหมาย GDPR นั้น การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลจะต้องเป็นไปตามหลักเกณฑ์ทั้ง 4 ข้อ ดังต่อไปนี้

  • เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมอย่างเสรี (Freely Given) หมายถึง เจ้าของข้อมูลมีทางเลือกในการตัดสินใจว่าจะให้หรือไม่ให้ข้อมูลส่วนใดบ้าง โดยไม่ถูกบีบบังคับจากสภาพแวดล้อมรอบข้าง เช่น เจ้านายจะเอาข้อมูลของลูกจ้างไปใช้โดยบังคับลูกจ้างทางอ้อมให้ต้องยินยอม จะถือว่าเป็นการยินยอมอย่างไม่เสรี
  • มีวัตถุประสงค์ที่เฉพาะเจาะจงในการขอความยินยอม (Specific) หมายถึง การประมวลผลข้อมูลต้องเป็นไปเพื่อวัตถุประสงค์ที่แจ้งเจ้าของข้อมูลส่วนบุคคล
  • แจ้งการประมวลผลข้อมูลให้เจ้าของข้อมูลส่วนบุคคลทราบ (Informed) หมายถึง เจ้าของข้อมูลส่วนบุคคลต้องทราบแล้วว่าจะมีการประมวลผลนั้น ๆ
  • เจ้าของข้อมูลต้องแสดงความยินยอมอย่างไม่กำกวม (Unambiguous) หรือเป็นการแสดงออกโดยชัดเจน ไม่ต้องตีความ ซึ่ง GDPR และสหภาพยุโรปก็ไม่ได้ให้ตัวอย่างที่ชัดเจนไว้ จนทั้งหน่วยงานและเว็บไซต์มากมายตีความแตกต่างกันไป

สิทธิของเจ้าของข้อมูล

โดยมากสิทธิต่าง ๆ ที่เขียนในกฎหมาย GDPR ก็ล้วนแต่อยู่ในหลักการที่เป็นสิทธิพื้นฐานของสหภาพยุโรปอยู่แล้ว ดังเช่น

  • สิทธิในการได้รับแจ้งข้อมูล (Right to be Informed) เจ้าของข้อมูลส่วนบุคคลมีสิทธิได้รับการแจ้งข้อมูลจากผู้ควบคุมข้อมูลว่าข้อมูลส่วนบุคคลของตนถูกนำไปใช้เพื่อการใด มีข้อมูลใดถูกนำไปใช้บ้าง ข้อมูลที่ถูกรวบรวมไปจะถูกเก็บไว้ที่ใดบ้างและนานเท่าใด
  • สิทธิในการเข้าถึงข้อมูล (Right of Access) เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอว่าข้อมูลส่วนบุคคลของตนถูกประมวลผลอย่างไร
  • สิทธิในการแก้ไขข้อมูลให้ถูกต้อง (Right to Rectification) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอแก้ไขข้อมูลส่วนบุคคลของตนให้ถูกต้องและเป็นปัจจุบัน
  • สิทธิในการลบ (Right to Erasure) สิทธินี้รู้จักกันในชื่อ “สิทธิในการถูกลืม (Right to be Forgotten)” คือ เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอให้ผู้ควบคุมข้อมูลลบข้อมูลส่วนบุคคลของตน โดยแนวคิดนี้เกิดจากที่ชาวยุโรปคนหนึ่งเคยถูกตัดสินว่ามีความผิดและได้รับการลงโทษทางกฎหมายด้วยการจำคุกไปแล้ว แต่ประวัติของตนยังมีบันทึกความผิดเดิมอยู่ จึงได้เรียกร้องขอให้ลบบันทึกนั้นออก
  • สิทธิในการจำกัดการประมวลผลข้อมูล (Right to Restriction of Processing) เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการร้องขอให้องค์กรจำกัดการประมวลผลข้อมูล โดยผู้เก็บข้อมูลสามารถเก็บข้อมูลส่วนบุคคลต่อไปได้ แต่ไม่สามารถนำไปประมวลผลข้อมูลได้อีกต่อไป เว้นแต่เจ้าของข้อมูลจะให้ความยินยอมหรือได้รับการยกเว้นตามที่กฎหมายกำหนด
  • สิทธิในการโอนย้ายข้อมูล (Right to Data Portability) เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการได้รับข้อมูลส่วนบุคคลของตนเองที่เคยให้แก่ผู้ควบคุมข้อมูล ในรูปแบบที่สามารถอ่านและเข้าใจได้อย่างแพร่หลาย และมีสิทธิ์ที่จะโอนข้อมูลของตนไปยังผู้ควบคุมข้อมูลรายอื่น ซึ่งเจ้าของข้อมูลมีสิทธิขอให้โอนโดยตรงได้หากสามารถกระทำได้ในทางปฏิบัติ
  • สิทธิในการคัดค้าน (Right to Object) เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูล
  • สิทธิในการคัดค้านการตัดสินใจแทนโดยอัตโนมัติ (Right on Automated Individual Decision-Making, including Profiling) เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะคัดค้านการตัดสินใจโดยอิงจากการประมวลผลโดยอัตโนมัติรวมถึง profiling ซึ่งมีผลทางกฎหมายหรือส่งผลกระทบอย่างยิ่งยวดต่อเจ้าของข้อมูล ยกเว้นในบางกรณี เช่น การตัดสินใจนั้นจำเป็นต่อการปฏิบัติตามข้อสัญญา การตัดสินใจนั้นได้รับอนุญาตจากกฎหมายของสหภาพยุโรปหรือรัฐสมาชิก หรือได้รับความยินยอมที่ชัดเจนจากเจ้าของข้อมูล
  • และสิทธิอื่น ๆ ที่ส่วนใหญ่ไม่ถือเป็นสิทธิใหม่ที่กฎหมายของสหภาพยุโรปให้การคุ้มครอง

บทลงโทษ

นอกเหนือจากการปรับเงินบริษัท 10 ล้านยูโร หรือ 2% ของรายได้ทั่วโลก ขึ้นกับว่าจำนวนใดมากกว่า และ การปรับเงิน 20 ล้านยูโร หรือ 4% ของรายได้ทั่วโลก ขึ้นกับจำนวนใดมากกว่าแล้ว ยังมีการลงโทษในแบบที่ลดหลั่นลงมาอีก โดยหน่วยงานของสหภาพยุโรปจะพิจารณาแนวทางการคุ้มครองข้อมูลส่วนบุคคล หรือความร่วมมือของบริษัทที่ให้ต่อหน่วยงานของสหภาพยุโรปด้วย  

 

ความรู้เชิงลึกเกี่ยวกับ GDPR

Data Protection Officer

หลักการ GDPR กำหนดให้ทุกบริษัทต้องมี Data Protection Officer หรือ DPO แต่ตำแหน่งนี้สามารถมอบให้ใครดำรงตำแหน่งก็ได้ ซึ่งหากคุณทำคนเดียวก็สามารถแต่งตั้งตนเองได้

การบังคับใช้ GDPR ต่อบริษัทที่ให้บริการโดยไม่คิดค่าใช้จ่าย

หากตรงกับขอบเขตการบังคับใช้ข้อใดใน 3 ข้อ ก็จะมีผลบังคับใช้ แต่จะบังคับอย่างไร ลงโทษอย่างไรก็เป็นอีกประเด็น

การขายข้อมูลของลูกค้า

สามารถทำได้ถ้าขอความยินยอมจากเจ้าของข้อมูลแล้ว ซึ่งในขั้นนี้ เจ้าของข้อมูลก็มีสิทธิจะยกเลิกการให้ความยินยอมได้ทุกเมื่อ แต่ในทางปฏิบัติ หากมีการนำข้อมูลไปประมวลผลหรือขายต่อ เจ้าของข้อมูลก็ไม่ทราบได้

ข้อยกเว้นในการเปิดเผยข้อมูลส่วนบุคคล

GDPR กำหนดข้อยกเว้นการเปิดเผยข้อมูลส่วนบุคคลเอาไว้ เช่น หากตำรวจต้องการบันทึกข้อมูลส่วนบุคคลของเรา เราก็ไม่สามารถปฏิเสธได้ เพราะการดำเนินคดีเกี่ยวกับสาธารณประโยชน์จะได้รับการยกเว้น

Blockchain

วิทยากรไม่สันทัดเรื่อง Blockchain ในเชิงเทคนิค แต่ยังเห็นว่า GDPR และ Blockchain มีหลักการคล้ายคลึงกันในด้านการขอความยินยอมและ Blockchain ที่ให้บริการแบบนิรนามก็จะไม่เป็นการละเมิดกฎหมาย GDPR ด้วย

แอปพลิเคชันในโทรศัพท์มือถือ

ข้อมูลที่ผู้ใช้กรอกลงในแอปพลิเคชันต่าง ๆ นั้น มีหลายรายการที่สามารถระบุตัวตนของผู้ใช้ได้ แต่แอปพลิเคชันเหล่านี้ก็ได้ขอความยินยอมจากผู้ใช้ไว้ก่อน เพียงแต่คนทั่วไปไม่ได้อ่านให้ครบก่อนตกลงให้ความยินยอม บางแอปพลิเคชันก็ปรับค่าความเป็นส่วนตัวได้ยาก มีความซับซ้อน สิ่งสำคัญคือผู้ใช้ต้องมีตระหนักและระมัดระวังกันเอง

การเรียกร้องสิทธิ

ในความจริงแล้ว มีทนายความฟ้องร้องบริษัทต่าง ๆ ในเรื่องนี้อยู่บ่อยครั้ง จึงค่อยข้างมีชื่อเสียงในการเป็นทนายความด้านการคุ้มครองข้อมูลส่วนบุคคล ส่วนตัววิทยากรมองว่าการฟ้องร้องดำเนินคดีกฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้นสามารถทำได้มากมายหลายกรณี ขึ้นอยู่กับว่าเจ้าของข้อมูลส่วนบุคคลจะตรวจสอบการให้บริการของบริษัทเหล่านี้หรือไม่ หรือเลือกที่จะรับบริการไปตามปกติ

ข้อมูลที่มีความอ่อนไหว (Sensitive Data)

สหภาพยุโรปได้กำหนดข้อมูลที่มีความอ่อนไหวไว้ เช่น เชื้อชาติ ศาสนา เพศวิถี เนื่องด้วยบริบททางประวัติศาสตร์ของทวีปยุโรปเองที่เคยมีการนำข้อมูลเหล่านี้ไปใช้ในทางรุนแรงมากมาย

การคุ้มครองข้อมูลส่วนบุคคลของเยาวชน

สหภาพยุโรปจะมีกฎหมาย GDPR เป็นแนวทางดำเนินการให้ประเทศสมาชิก แต่หากกฎหมายท้องถิ่นในแต่ละประเทศมีกำหนดกฎเกณฑ์ของตน ก็สามารถบังคับใช้ให้แตกต่างได้โดยไม่ขัดกัน กฎหมาย GDPR ถือว่าเยาวชนที่อายุต่ำกว่า 16 ปีจะต้องมีผู้ปกครองเป็นผู้ให้ความยินยอมในการนำข้อมูลส่วนบุคคลของเยาวชนไปใช้ ในกรณีที่ประเทศสมาชิกมีข้อกำหนดอายุที่ต่ำกว่านั้นก็สามารถบังคับใช้ได้

 

คำถามจากผู้เข้าร่วม Knowledge Sharing Class

คำถาม: กฎหมาย GDPR เริ่มมาได้อย่างไร ทำไมสหภาพยุโรปจึงใส่ใจเรื่องนี้

คำตอบ: ชาวยุโรปมีแนวคิดเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลมาตั้งแต่ในยุคกลางแล้ว เนื่องจากคนต้องการเริ่มต้นชีวิตใหม่หลังจากถูกลงโทษ

คำถาม: บริษัทเอกชนทั่วไปที่ทำแอปพลิเคชันใช้งานผ่านโทรศัพท์มือถือจะมีวิธีขอความยินยอมแบบรวมในทุกรูปแบบการนำข้อมูลไปใช้หรือไม่

คำตอบ: GDPR บังคับให้การขอความยินยอมต้องอ่านง่าย ไม่กำกวม และไม่ให้รวมการกดให้คำยินยอมของหลายวัตถุประสงค์ไว้ในหน้าเดียว

คำถาม: ในกรณีที่บริษัทให้บริการแก่ลูกค้าที่เป็นชาวยุโรป แต่บริษัทนั้นไม่ได้ทำตามกฎ GDPR จะมีเกณท์การบังคับใช้ระหว่างประเทศอย่างไร

คำตอบ: บริษัทอาจถูกปรับ หรือตักเตือน แต่การลงโทษซึ่งต้องทำโดยใช้อำนาจทางกระบวนการยุติธรรมนั้นอาจต้องบังคับใช้ทางอ้อม ทั้งทางการค้า และ การเมืองระหว่างประเทศ

คำถาม: บริษัทตั้งอยู่ในไทยแต่เป็นบริษัทลูกของบริษัทยุโรป อยู่ภายใต้ GDPR หรือไม่

คำตอบ: บริษัทส่วนมากที่อยู่ภายใต้สหภาพยุโรปมักทำตามแนวปฏิบัติของ GDPR อยู่แล้ว แต่หากยังไม่ปฏิบัติตาม ก็สามารถติดต่อบริษัทแม่ได้ว่ามีแนวทางอย่างไร

คำถาม: หากบริษัทไทย มีเว็บไซต์ภาษาไทยและอังกฤษจะถือว่ามุ่งเสนอขายสินค้าและบริการหรือไม่

คำตอบ: เจตนามุ่งขายสินค้าหรือบริการต้องพิจารณาการใช้ภาษา ซึ่งหากเว็บไซต์เป็นภาษาอังกฤษ ก็สามารถโต้แย้งได้ว่าเป็นภาษาสากล และยังมีวิธีการประเมินอื่นประกอบกัน เช่น สกุลเงิน หรือ ระบุสัญชาติของลูกค้า ซึ่งหากลูกค้ามาใช้เอง เราจะไม่มีความผิด

คำถาม: ผู้ประกอบการควรรับทราบโทษของการไม่ปฏิบัติตาม GDPR อะไรบ้าง

คำตอบ: โทษที่มักจะได้ยินจากสื่อต่าง ๆ คือ การปรับเงิน 20 ล้านยูโร หรือ 4% จากรายได้ทั่วโลก ซึ่งยังไม่มีผู้ใดโดนปรับจนบัดนี้ โทษมีการลดหลั่นกันไปตามประสิทธิภาพในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน ส่วนจะบังคับใช้ในประเทศนอกสหภาพยุโรปอย่างไร ยังต้องรอติดตามข่าวสาร แต่คาดว่าน่าจะมีการกดดันทางการค้าและการเมือง

คำถาม: กฎหมายไทยมีตำรวจและศาลเป็นผู้บังคับใช้ แล้วใครเป็นผู้ควบคุมหรือลงโทษในยุโรป

คำตอบ: ยุโรปมีหน่วยงานท้องถิ่นที่ขึ้นตรงกับสหภาพยุโรปในแต่ละพื้นที่ของประเทศต่าง ๆ ที่เป็นรัฐสมาชิก

ข้อมูลเพิ่มเติม ติดต่อ "ศูนย์การเรียนรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Knowledge Center: DPKC)" โทร. 02 123 1234 ต่อ ศูนย์ DPKC ภายใต้ ETDA

ติดตามทุกสาระความรู้ของ DPKC ได้ที่ https://www.etda.or.th/dpkc