หลักการคุ้มครองข้อมูลส่วนบุคคลตาม GDPR
GDPR หรือ General Data Protection Regulation คือ กฎหมายของสหภาพยุโรปที่ให้ความคุ้มครองข้อมูลส่วนบุคคลของพลเมือง
ในประเทศที่เป็นสมาชิกของสหภาพยุโรปทั้ง 28 ประเทศ กฎหมายฉบับนี้ถูกใช้บังคับเมื่อวันที่ 25 พ.ค. 2561 หลังจากผ่านการลงมติรับจากรัฐสภาของ EU ข้อมูลส่วนบุคคลตาม GDPR ได้แก่ ชื่อ รหัสบัตรประชาชนประจำตัว ข้อมูลที่อยู่ อีเมล์ รายละเอียดเกี่ยวกับธนาคาร IP address รวมถึงข้อมูลอื่น ๆ ที่สามารถสื่อถึงตัวบุคคลได้ เช่น ข้อมูลเกี่ยวกับสุขภาพร่างกาย สุขภาพจิตใจ ลักษณะทางพันธุกรรม ข้อมูลส่วนบุคคลนี้จะถูกปกป้องคุ้มครองจากการละเมิดขององค์กรและ ภาคเอกชนต่าง ๆ ทั้งนี้เนื่องจากประชาชนมีสิทธิคุ้มครองข้อมูลส่วนบุคคลของตนในพื้นที่ดิจิทัล ซึ่งถือว่าเป็นสิทธิพื้นฐาน โดย GDPR มีหลักเกณฑ์สำคัญดังต่อไปนี้
ประการที่ 1 นอกจาก GDRR จะใช้บังคับใช้ในกลุ่มประเทศ EU แล้ว ยังขยายการบังคับใช้ไปถึงประเทศที่อยู่นอกอาณาเขต EU ด้วย ทั้งนี้เพื่อการคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพสูงสุด ด้วยเหตุนี้องค์กรทั่วโลกรวมถึงประเทศไทยจะต้องคำนึงถึงการเก็บรักษา การประมวลผล การจัดเก็บข้อมูลส่วนบุคคลของประชาชนใน EU ให้เป็นไปตามหลักเกณฑ์ของ GDPR
ประการที่ 2 มีบทลงโทษองค์กรที่ฝ่าฝืนข้อกำหนด GPPR ที่สูง โดย GDPR กำหนดให้ปรับสูงสุด 20 ล้านยูโร หรือ 4%ของรายได้ทั้งหมดทั่วโลก ขึ้นอยู่กับว่าจำนวนใดจะสูงกว่ากันก็ให้ใช้จำนวนนั้น การฝ่าฝืนข้อกำหนด GDPR เช่น องค์กรไม่ได้รับความยินยอมจากลูกค้าในการประมวลผลข้อมูลส่วนบุคคล การไม่แจ้งเจ้าของข้อมูลหรือเจ้าหน้าที่เมื่อมีการรั่วไหลของข้อมูลส่วนบุคคล เป็นต้น
ประการที่ 3 GDPR กำหนด “สิทธิที่จะถูกลืม” (Right to be forgotten) กล่าวคือ เป็นสิทธิของผู้ให้ข้อมูลที่จะสั่งให้องค์กรทำการลบข้อมูลส่วนตัว เมื่อเห็นว่าองค์กรไม่มีความจำเป็นจะต้องเก็บไว้ อีกทั้งองค์กรยังต้องแจ้งการขอลบข้อมูลไปยังองค์กรอื่นที่ทำการคัดลอกข้อมูลเพื่อทำการลบต่อไป
ประการที่ 4 GDPR กำหนดให้เจ้าของข้อมูลหรือลูกค้ามีสิทธิที่จะได้รับแจ้งจากองค์กรเกี่ยวกับการประมวลผลข้อมูล เช่น มีการประมวลผลหรือไม่ การประมวลผลมีวัตถุประสงค์อย่างไร และหากมีการร้องขอ องค์กรต้องจัดหาสำเนาข้อมูลให้เจ้าของข้อมูลโดยไม่คิดค่าใช้จ่าย
ประการที่ 5 การขอความยินยอมในการเก็บข้อมูล จะต้องใช้ภาษาที่เข้าใจง่ายและชัดเจน ขณะเดียวกัน GDPR ก็กำหนดให้มีการถอนความยินยอมได้ทุกเมื่อและดำเนินการได้โดยสะดวก
ประการที่ 6 ในกรณีที่เกิดการรั่วไหลของข้อมูลหรือความเสียหายขึ้น องค์กรจะต้องทำการแจ้งข้อมูลต่อเจ้าหน้าที่รัฐภายใน 72 ชั่วโมง และองค์กรจะต้องแจ้งไปยังเจ้าของข้อมูลโดยไม่ชักช้าถึงการรั่วไหลของข้อมูลแล้วความเสียหายต่าง ๆ ที่เกิดขึ้น
สำหรับประเทศไทย หากมีภาคเอกชนหรือองค์กรติดต่อรับส่งข้อมูลส่วนตัวกับพลเมืองของ EU ทางระบบอิเล็กทรอนิกส์ ดังนี้ก็จะต้องปฏิบัติตามข้อกำหนดของ GDPR อย่างหลีกเลี่ยงไม่ได้ ด้วยเหตุนี้ประเทศไทยจึงจำเป็นต้องยกระดับการคุ้มครองข้อมูลส่วนบุคคลให้ทัดเทียมกับ GDPR
ปัจจุบันประเทศไทยมีกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล ดังต่อไปนี้
1.รัฐธรรมนูญแห่งราชอาณาจักรไทย พ.ศ.2560
มาตรา 4 ศักดิ์ศรีความเป็นมนุษย์ สิทธิ เสรีภาพ และความเสมอภาคของบุคคลย่อมได้รับความคุ้มครอง
มาตรา 32 บัญญัติว่า บุคคลย่อมมีสิทธิในความเป็นอยู่ส่วนตัว เกียรติยศ ชื่อเสียง และครอบครัว
การกระทำอันเป็นการละเมิดหรือกระทบต่อสิทธิของบุคคลตามวรรคหนึ่ง หรือการนำข้อมูลส่วนบุคคลไปใช้ประโยชน์ไม่ว่าทางใด ๆ จะกระทำมิได้ เว้นแต่โดยอาศัยอำนาจตามบทบัญญัติแห่งกฎหมายที่ตราขึ้นเพียงเท่าที่จำเป็นเพื่อประโยชน์สาธารณะ
2.พระราชบัญญัติข้อมูลข่าวสาร พ.ศ. 2540
มาตรา 4 ข้อมูลข่าวสารส่วนบุคคล หมายความว่า ข้อมูลข่าวสารเกี่ยวกับสิ่งเฉพาะตัวของบุคคล เช่น การศึกษา ฐานะการเงิน ประวัติสุขภาพ ประวิติอาชญากรรม หรือประวัติการทำงาน บรรดาที่มีชื่อของผู้นั้น หรือมีเลขหมายรหัส หรือสิ่งบอกลักษณะอื่นที่ทำให้รู้ตัวผู้นั้นได้ เช่นลายพิมพ์นิ้วมือ แผ่นบันทึกลักษณะเสียงของคนหรือรูปถ่าย และให้หมายความรวมถึงข้อมูลข่าวสารเกี่ยวกับสิ่งเฉพาะตัวของผู้ถึงแก่กรรมด้วย
3.ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ...
มาตรา 5 ข้อมูลส่วนบุคคล หมายความว่า ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม
มาตรา 25 ห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ หรือข้อมูลอื่นใดซึ่งกระทบความรู้สึกของผู้อื่นหรือประชาชนตามที่คณะกรรมการประกาศกำหนด โดยปราศจากความยินยอมจากเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้อง
จากกฎหมายข้างต้นเห็นได้ว่า กรอบในการคุ้มครองข้อมูลตามกฎหมายไทย ถูกกำหนดไว้อย่างกว้างๆ ต่างจากข้อกำหนดของ GDPR และเมื่อ GDPR ถูกใช้บังคับ แน่นอนว่าประเทศไทยย่อมได้รับผลกระทบ เนื่องจากกฎหมายฉบับนี้มุ่งคุ้มครองพลเมืองของ EU ไม่ว่าข้อมูลส่วนบุคคลนั้นจะถูกส่งไปที่ใดในโลก ธุรกิจที่อาจได้รับผลกระทบโดยตรง ได้แก่ ธุรกิจโรงแรม บริษัทท่องเที่ยว ธุรกิจสายการบิน โรงพยาบาล เนื่องจากมีการเก็บ ประมวลผล รักษาข้อมูลส่วนตัวของผู้ใช้บริการดังกล่าว ดังนี้ภาคเอกชนและองค์กรดังกล่าวจึงจำเป็นต้องปรับปรุงเงื่อนไขความปลอดภัยและความเป็นส่วนตัวให้เป็นไปตาม GDPR ทั้งนี้ด้วยเหตุที่มีบทกำหนดโทษที่รุนแรง
โดย...
ชญานี ศรีกระจ่าง
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์