GDRP คืออะไร? รู้จักร่างกฎหมายให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคฉบับใหม่ของ EU


ในช่วงกลางปี 2561 นี้ หลายคนที่ใช้งานเว็บไซต์หรือสื่อสังคมออนไลน์ อาจจะเห็นตัวย่อชุดหนึ่งบ่อยๆ นั่นคือคำว่า “GDPR” ซึ่งหลายคนอาจจะสงสัยว่า เจ้า GDRP คืออะไร? มีความสำคัญอย่างไร? วันนี้ Zcooby ขอแนะนำข้อมูลที่น่าสนใจนี้นะครับ

GDRP คืออะไร?

ย่อมาจากคำว่า General Data Protection Regulation เป็น หลักคุ้มครองข้อมูลส่วนบุคคลแบบใหม่ยุโรป ที่สภาสหภาพยุโรปผ่านกฎหมายไปเมื่อปี 2016 และจะมีผลบังคับใช้ 25 พฤษภาคม 2018

กฎหมายฉบับนี้ไม่เพียงแค่คุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อนามสกุล อีเมล เบอร์โทร หรือที่อยู่เท่านั้น แต่จะคุ้มครองข้อมูลใดๆ ก็ตามที่สามารถชี้กลับมายังตัวบุคคลได้ด้วยเช่นกัน ไม่ว่าจะเป็นสิ่งที่ใช้ระบุตัวตนบนโลกออนไลน์ (เช่น IP) หรืออัตลักษณ์บนโลกโซเชียล บริษัทใดก็ตามที่ถือครองข้อมูลเหล่านี้อยู่ จำเป็นต้อง “วางมาตรการควบคุมทั้งเชิงเทคนิคและเชิงการจัดการอย่างเหมาะสม” เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลทั้งหมดจะถูกจัดเก็บอย่างมั่นคงปลอดภัย


*********************************************

GDPR (General Data Protection Regulation)

GDPR เป็นกฎระเบียบของ EU ที่ออกมาเพื่อคุ้มครองประชาชนในกลุ่มประเทศ EU จากการที่ความเป็นส่วนตัวและข้อมูลส่วนบุคคลถูกล่วงละเมิดมากขึ้นในโลกยุคใหม่ที่ขับเคลื่อนด้วยข้อมูล เป็นการปรับปรุงมาตรการให้เหมาะสมกับสถานการณ์ที่แตกต่างไปจากเมื่อครั้งออกกฎ EU Directive เมื่อปี 1995

ความเปลี่ยนแปลงจากข้อกำหนดใน GDPR ที่สำคัญและได้รับความสนใจ หรือตระหนกตกใจกันมาก น่าจะเป็นบทลงโทษที่ระบุไว้ว่า การเก็บและประมวลผลข้อมูลส่วนบุคคลของประชาชน EU ที่ไม่ปฏิบัติตาม GDPR จะถูกปรับเป็นจำนวนเงินถึง 20 ล้านยูโร หรือ 2-4% ของรายได้ต่อปีทั่วโลก ขึ้นอยู่กับว่าวงเงินใดมากกว่า กฎระเบียบนี้มีผลใช้บังคับกับหน่วยงานที่อยู่ใน EU และรวมไปถึงหน่วยงานนอก EU

หลักการคุ้มครองข้อมูลยังคงเป็นไปตามมาตรฐานของ EU Directive โดยมีความเปลี่ยนแปลงที่สำคัญจากข้อกำหนดใน GDPR ดังนี้

1.ขอบเขตการบังคับใช้เชิงพื้นที่
GDPR บังคับใช้ในทุกหน่วยงานที่มีการประมวลผลข้อมูลส่วนบุคคลพลเมืองที่อาศัยอยู่ใน EU ไม่ว่าบริษัทจะตั้งอยู่ที่ไหน นั่นคือ GDPR บังคับใช้กับผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลใน EU ไม่ว่าการประมวลผลจะทำใน EU หรือไม่ก็ตาม โดยจะบังคับใช้กับทุกกิจกรรมที่เป็นการจำหน่ายสินค้าและบริการแก่พลเมือง EU และทุกกิจกรรมที่มีลักษณะการติดตามพฤติกรรมของพลเมืองที่เกิดขึ้นใน EU หากเป็นธุรกิจของประเทศอื่นที่ไม่ใช่สมาชิก EU (Non-EU Business) ก็ต้องดำเนินการแต่งตั้งผู้แทนใน EU ด้วย

2.บทลงโทษ
ในกรณีที่เกิดความเสียหายหรือการรั่วไหลของข้อมูล (Data Breach) หน่วยงานที่ไม่ปฏิบัติตามข้อกำหนดจะถูกปรับเป็นจำนวนเงินถึง 20 ล้านยูโร หรือ 2-4% ของรายได้ต่อปี

ขึ้นอยู่กับว่าวงเงินใดสูงกว่า ซึ่งเป็นโทษปรับสูงสุดในกรณีร้ายแรง เช่น การไม่ขอความยินยอมที่เหมาะสมเพียงพอในการประมวลผลข้อมูล หรือการปฏิบัติขัดหลักการ Privacy by Design บางกรณีมีโทษปรับ 2% เช่น กรณีการไม่มีการบันทึกข้อมูลอย่างเป็นระบบ การไม่แจ้ง Supervising Authority และเจ้าของข้อมูลเมื่อเกิดเหตุรั่วไหล หรือการไม่จัดทำ Privacy Impact Assessment

3.การให้ความยินยอม
หลักความยินยอมได้รับการยืนยันเข้มแข็งมากขึ้น โดยระบุว่าการขอความยินยอมต้องดำเนินการในรูปแบบที่เข้าใจได้และสามารถเข้าถึงได้สะดวก (Intelligible and easily access) ต้องแจ้งวัตถุประสงค์ของการประมวลผลข้อมูลในการขอคำยินยอม โดยการขอความยินยอมต้องมีความชัดเจน ใช้ภาษาที่ง่ายต่อการเข้าใจ นอกจากนี้การยกเลิกการให้ความยินยอมต้องก็ต้องดำเนินการได้ด้วยความสะดวก

************************************

สิทธิของเจ้าของข้อมูลภายใต้ GDPR

สิทธิที่จะได้รับแจ้งเมื่อเกิดความเสียหาย (Breach Notification)
ภายใต้ GDPR ถือว่าการแจ้งเป็นหน้าที่ที่ต้องปฏิบัติ เมื่อเกิดความเสียหายหรือการรั่วไหลของข้อมูล ซึ่งเกิดผลกระทบมีความเสี่ยงต่อสิทธิเสรีภาพของเจ้าของข้อมูล ทั้งนี้การแจ้งต้องดำเนินการภายใน 72 ชั่วโมง โดยผู้ประมวลผลต้องแจ้งต่อลูกค้าและผู้ควบคุมข้อมูลโดยไม่ชักช้าหลังจากเกิดความเสียหาย

สิทธิที่จะรู้และเข้าถึงข้อมูล (Right to Access)
เจ้าของข้อมูลมีสิทธิที่จะได้รับการแจ้งจากผู้ควบคุมข้อมูลว่า มีการประมวลผลข้อมูลหรือไม่ การประมวลผลดำเนินการที่ไหน มีวัตถุประสงค์อะไร และเมื่อร้องขอ ผู้ควบคุมข้อมูลจะต้องจัดหาสำเนาข้อมูลดังกล่าวให้เจ้าของข้อมูลในรูปแบบอิเล็กทรอนิกส์โดยไม่คิดค่าใช้จ่าย

ข้อกำหนดนี้เป็นการเปลี่ยนแปลงที่สำคัญในเรื่องความโปร่งใสของข้อมูลและเป็นการยืนยันความเข้มแข็งของเจ้าของข้อมูล

สิทธิที่จะขอให้ลบข้อมูล (Right to be Forgotten/Right to erase)
เจ้าของข้อมูลมีสิทธิ (1) ในการแจ้งให้ลบข้อมูล ระงับการเผยแพร่ หยุดการประมวลผลโดยบุคคลที่สาม (2) มีสิทธิในการแจ้งให้ลบข้อมูลที่ไม่มีส่วนเกี่ยวข้องตามวัตถุประสงค์ในการจัดเก็บครั้งแรก และ (3) มีสิทธิในการลบข้อมูลที่เจ้าของข้อมูลได้ยกเลิกความยินยอม

ทั้งนี้ผู้ควบคุมต้องใช้ดุลพินิจในการพิจารณาเปรียบเทียบสิทธิของเจ้าของข้อมูลกับประโยชน์สาธารณะในการมีอยู่ของข้อมูลนั้น

สิทธิที่จะได้รับข้อมูลเกี่ยวกับตัวเอง (Data Portability)
สิทธิที่จะได้รับข้อมูลเกี่ยวกับตัวเอง ในรูปแบบที่สามารถใช้งานได้ตามปกติรวมทั้งรูปแบบที่อ่านได้ด้วยเครื่องมือ/อุปกรณ์ (machine-readable format)

สิทธิที่จะได้รับความคุ้มครองตั้งแต่ต้น (Privacy by Design/Privacy by Default)
กำหนดให้มีการวางระบบความคุ้มครอง (Protection) ตั้งแต่ในโอกาสแรกของการออกแบบระบบ มากกว่าการมาเพิ่มการดำเนินการในภายหลัง โดยกำหนดว่าต้องมีการใช้มาตรการทางเทคนิคและการบริหารที่เหมาะสม โดยยึดหลักประสิทธิภาพ เพื่อให้เป็นไปตามข้อกำหนดและเป็นการคุ้มครองสิทธิเจ้าของข้อมูล

ผู้ควบคุมข้อมูลจะเก็บและประมวลผลข้อมูลได้เพียงเท่าที่จำเป็นเพื่อให้ภารกิจสำเร็จ (data minimization) และต้องมีการจำกัดการเข้าถึงข้อมูลโดยผู้ที่ไม่มีความเกี่ยวข้องใดๆ กับการประมวลผล

สิทธิที่จะได้รับการคุ้มครองโดยเจ้าหน้าที่รับผิดชอบ (Data Protection Officers: DPO)
ใช้ระบบการเก็บบันทึกข้อมูลภายในองค์กร (Internal Record Keeping) แทนระบบการรายงานต่อ Data Protection Authorities (DPA) และกำหนดให้มีการแต่งตั้ง DPO สำหรับผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลขนาดใหญ่ และมีภารกิจหลักในการติดตามและประมวลผลข้อมูลเป็นประจำและเป็นระบบ (Regularly and Systematic monitoring Data Subjects)

การแต่งตั้ง DPO ต้องคำนึงถึงคุณสมบัติด้านวิชาชีพและความเชี่ยวชาญด้านกฎหมายและภาคการปฏิบัติ โดยอาจแต่งตั้งเจ้าหน้าที่ภายในองค์กรหรือผู้ให้บริการภายนอก ต้องแจ้งข้อมูลการติดต่อกับทาง DPA และต้องมีทรัพยากรเหมาะสมกับการปฏิบัติภารกิจและพัฒนาความรู้ความเชี่ยวชาญของ DPO ทั้งนี้ DPO มีระบบรายงานต่อผู้บริหารระดับสูง และต้องไม่ทำหน้าที่อื่นที่อาจเป็นกรณีผลประโยชน์ทับซ้อน


Be the first to comment

Leave a comment

Your email address will not be published.


*


This site uses Akismet to reduce spam. Learn how your comment data is processed.