'ข้อมูลส่วนบุคคล' สำคัญแค่ไหน ตามกฎหมาย GDPR ยุโรป
ทำความรู้จัก GDPR หรือ General Data Protection Regulation กฎหมายของสหภาพยุโรป หรือ อียู (EU) ที่ให้ความคุ้มครองข้อมูลส่วนบุคคลของพลเมืองและบังคับใช้มา 2 ปีแล้ว และข้อมูลส่วนบุคคลตามมาตรฐานยุโรปมีอะไรบ้าง
ยุโรปเป็นหนึ่งในภูมิภาคที่ให้ความสำคัญกับเรื่องข้อมูลส่วนตัวมากที่สุดในโลก และได้บังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับล่าสุดที่เรียกว่า GDPR มีผลครอบคลุมประเทศสมาชิก EU ทั้ง 28 ประเทศ หลังผ่านความเห็นชอบจากรัฐสภายุโรป เมื่อวันที่ 25 พ.ค. 2561
GDPR ย่อมาจาก “General Data Protection Regulation” เป็นกฎหมายของสหภาพยุโรปว่าด้วยมาตรการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล ซึ่งส่งผลกระทบและมีผลบังคับใช้ต่อหลายฝ่าย โดยเฉพาะอย่างยิ่ง หน่วยงานต่าง ๆ ไม่ว่าภาครัฐ ภาคเอกชน หรือ ภาคธุรกิจที่มีการดำเนินการเกี่ยวกับการเก็บข้อมูลส่วนบุคคล หรือ การให้บริการออนไลน์แก่บุคคลที่อยู่ใน EU
ดังนั้น การทำความเข้าใจกฎหมาย GDPR จึงมีความจำเป็นเพื่อส่งเสริมการคุ้มครองข้อมูลส่วนบุคคลของภาคธุรกิจให้เทียบเท่ากับมาตรฐานสากล และป้องกันผลกระทบจากกฎหมายที่อาจเกิดขึ้นอีกด้วย
ข้อมูลส่วนบุคคลตามที่ GDPR กำหนดไว้ ได้แก่ ชื่อ, เลขบัตรประจำตัวประชาชน, ที่อยู่, อีเมล, IP Address และข้อมูลอื่น ๆ ที่สามารถสื่อถึงตัวบุคคลได้ เช่น ข้อมูลเกี่ยวกับสุขภาพร่างกาย สุขภาพจิตใจ ลักษณะทางพันธุกรรม หมายความว่า หากมีอย่างใดอย่างหนึ่งในกลุ่มนี้ เช่น IP Address หลุดสู่ภายนอก เท่ากับว่ามีข้อมูลส่วนตัวของเจ้าของข้อมูลรั่วไหลด้วย
- 6 หลักเกณฑ์สำคัญ
ขณะเดียวกัน ข้อมูลส่วนบุคคลเหล่านี้จะได้รับการปกป้องจากการละเมิดขององค์กรและภาคเอกชนต่าง ๆ เนื่องจากประชาชนมีสิทธิคุ้มครองข้อมูลส่วนบุคคลของตนในโลกดิจิทัลซึ่งถือว่าเป็นสิทธิพื้นฐาน และเพื่อให้เข้าใจภาพรวมของกฎหมาย GDPR ง่ายขึ้น เนื่องจากการปฏิบัติให้สอดคล้องกับกฎหมายนี้มีหลายขั้นตอน จึงขอสรุปหลักเกณฑ์สำคัญไว้ดังต่อไปนี้
หลักเกณฑ์ที่ 1 นอกจากใช้บังคับใช้ในกลุ่มประเทศ EU แล้ว GDPR ยังขยายการบังคับใช้ไปถึงประเทศที่อยู่นอกอาณาเขตด้วย เพื่อการคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพสูงสุด ด้วยเหตุนี้ องค์กรทั่วโลก รวมถึงในไทย จะต้องคำนึงถึงการเก็บรักษา การประมวลผลการจัดเก็บข้อมูลส่วนบุคคลของประชาชนใน EU ให้เป็นไปตามข้อกำหนดของ GDPR
หลักเกณฑ์ที่ 2 องค์กรที่ฝ่าฝืนข้อกำหนด GDPR จะถูกลงโทษขั้นรุนแรง โดยกำหนดค่าปรับสูงสุดถึง 20 ล้านยูโร หรือ 4% ของรายได้ทั้งปีทั่วโลก ขึ้นอยู่กับว่าจำนวนใดจะสูงกว่ากันก็ให้ใช้จำนวนนั้น การฝ่าฝืนข้อกำหนด GDPR เช่น องค์กรไม่ได้รับความยินยอมจากลูกค้าในการประมวลผลข้อมูลส่วนบุคคล การไม่แจ้งเจ้าของข้อมูลหรือเจ้าหน้าที่เมื่อมีการรั่วไหลของข้อมูลส่วนบุคคล เป็นต้น
หลักเกณฑ์ที่ 3 GDPR กำหนด “สิทธิที่จะถูกลืม” (Right to be forgotten) กล่าวคือเป็นสิทธิของผู้ให้ข้อมูลที่จะสั่งให้องค์กรทำการลบข้อมูลส่วนตัว เมื่อเห็นว่าองค์กรไม่มีความจำเป็นจะต้องเก็บไว้อีกทั้งองค์กรยังต้องแจ้งการขอลบข้อมูลไปยังองค์กรอื่นที่ทำการคัดลอกข้อมูลเพื่อทำการลบต่อไป
หลักเกณฑ์ที่ 4 GDPR กำหนดให้เจ้าของข้อมูลหรือลูกค้ามีสิทธิที่จะได้รับแจ้งจากองค์กรเกี่ยวกับการประมวลผลข้อมูล เช่น มีการประมวลผลหรือไม่ การประมวลผลมีวัตถุประสงค์อย่างไร และหากมีการร้องขอ องค์กรต้องจัดหาสำเนาข้อมูลให้เจ้าของข้อมูลโดยไม่คิดค่าใช้จ่าย
หลักเกณฑ์ที่ 5 การขอความยินยอมในการเก็บข้อมูล จะต้องใช้ภาษาที่เข้าใจง่ายและชัดเจน ขณะเดียวกัน GDPR ก็กำหนดให้มีการถอนความยินยอมได้ทุกเมื่อ และดำเนินการได้โดยสะดวก
หลักเกณฑ์ที่ 6 ในกรณีที่เกิดการรั่วไหลของข้อมูลหรือความเสียหายขึ้น องค์กรจะต้องทำการแจ้งข้อมูลต่อเจ้าหน้าที่รัฐภายใน 72 ชั่วโมง และองค์กรจะต้องแจ้งไปยังเจ้าของข้อมูลโดยไม่ชักช้าถึงการรั่วไหลของข้อมูลแล้วความเสียหายต่าง ๆ ที่เกิดขึ้น
สำหรับประเทศไทย หากมีภาคเอกชนหรือองค์กรติดต่อรับส่งข้อมูลส่วนตัวกับพลเมืองของ EU ทางระบบอิเล็กทรอนิกส์ ก็จะต้องปฏิบัติตามข้อกำหนดของ GDPR อย่างเลี่ยงไม่ได้
- กรณีตัวอย่าง
ในปี 2562 สายการบินบริติช แอร์เวย์ กลายเป็นเจ้าแรกที่ถูกปรับกรณีทำข้อมูลของลูกค้ารั่วไหลตามกฎหมาย GDPR เป็นจำนวน 183 ล้านปอนด์ (กว่า 7,000 ล้านบาท) นับเป็นค่าปรับสูงที่สุดในประวัติศาสตร์ หลังจากในปี 2561 สายการบินดังกล่าวถูกแฮกเกอร์เจาะระบบเว็บไซต์และแอพพลิเคชั่นของสายการบิน จนข้อมูลส่วนบุคคล รวมถึงข้อมูลทางการเงินของลูกค้าราว 4 แสนคนถูกขโมยไป
ไม่ใช่แค่บริษัทเอกชนเท่านั้นที่ถูกปรับ แม้แต่หน่วยงานรัฐอย่างกรมสรรพากรของบัลแกเรียก็โดนเหมือนกัน หลังถูกแฮกเกอร์นิรนามส่งลิงก์สำหรับดาวน์โหลดข้อมูลของผู้เสียภาษีขนาด 11 กิกะไบต์ที่กรมสรรพากรควรได้ครอบครองแต่เพียงผู้เดียวมาเย้ยว่า ขณะนี้กรมสรรพากรบัลแกเรียตกเป็นเหยื่อของการจารกรรมข้อมูลแล้ว ทำให้ในเวลาต่อมา หน่วยงานนี้มีโอกาสถูกปรับสูงถึง 20 ล้านยูโร หรือ 4% ของรายได้รวมทั้งปี
การจารกรรมข้อมูลไม่ได้เกิดจากบุคคลภายนอกเพียงอย่างเดียว อย่างกรณีของทวิตเตอร์ที่อดีตพนักงาน 2 คนของบริษัทถูกจับกุมในข้อหาสอดแนมข้อมูลผู้ใช้งานทวิตเตอร์กว่า 1,000 บัญชี ถือเป็นเหตุการณ์จารกรรมข้อมูลที่เกิดโดยภัยคุกคามจากบุคคลภายใน (Insider Threat) ถึงแม้จะจับตัวผู้กระทำผิดได้ แต่ความเสียหายก็ได้เกิดขึ้นเป็นที่เรียบร้อยแล้ว
นอกจากบริษัท หรือองค์กรขนาดใหญ่แล้ว ผู้ประกอบการรายย่อยก็ต้องระวังเหมือนกัน เนื่องจากในความหมายของข้อมูลส่วนบุคคลครอบคลุมถึงทุกอย่างตั้งแต่ ชื่อ-นามสกุล, เบอร์โทรศัพท์, อีเมล, เลขบัตรประชาชน, สถานที่เช็คอิน, IP Address หรือแม้แต่ข้อมูลปลีกย่อยอื่น ๆ ก็ยังถือเป็นข้อมูลส่วนบุคคลด้วยเช่นกัน
-----------------------------------------------
อ้างอิง: ETDA, หลักการคุ้มครองข้อมูลส่วนบุคคลตาม GDPR, 'ข้อมูลรั่ว' ครองแชมป์ที่สุดแห่งภัยไซเบอร์ปี 2562