วันพฤหัสบดีที่ 24 พฤษภาคม พ.ศ. 2561

กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (แบบย่อ)

ปัจจุบันเป็นที่ยอมรับกันว่าข้อมูลถือเป็นสินค้าที่สำคัญในระบบเศรษฐกิจโลก แต่ด้วยพัฒนาการทางด้านเทคโนโลยีในยุคปัจจุบันทำให้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลล้าสมัยไม่สามารถให้ความคุ้มครองบุคคลเจ้าของข้อมูลได้อย่างเพียงพอ รวมทั้งไม่สามารถปกป้องจากความเสี่ยงที่เกิดจากการประมวลผลที่เกิดขึ้นได้ทั่วไปในยุคอินเทอร์เน็ตความเร็วสูง องค์การระหว่างประเทศ เช่น OECD, APEC, สภายุโรป และสหภาพยุโรปได้ตระหนักถึงความเสี่ยงดังกล่าวและมีความคิดริเริ่มในการออกหลักเกณฑ์ใหม่ ในส่วนของสหภาพยุโรปได้ออกเครื่องมือหลายประการในการให้ความคุ้มครองข้อมูล ที่สำคัญคือ ข้อกำหนดว่าด้วยการคุ้มครองข้อมูลทั่วไป หรือ General Data Protection Regulation (GDPR).


ข้อกำหนดว่าด้วยการคุ้มครองข้อมูลทั่วไปได้เพิ่มการให้ความคุ้มครองข้อมูลส่วนบุคคลด้วยการสร้างแนวปฏิบัติที่ดีเกี่ยวกับการคุ้มครองข้อมูลและการบริหารและให้ถือเป็นส่วนหนึ่งของความรับผิดชอบในการบริหารธุรกิจและหน้าที่ของคณะกรรมการบริษัท ข้อกำหนดได้กำหนดเพิ่มสิทธิใหม่แก่บุคคลและเพิ่มความคุ้มครอง และให้อำนาจแก่หน่วยงานกำกับดูแลในการตรวจสอบ ระงับ หรือห้ามกระบวนการประมวลผลและกำหนดโทษปรับสูงถึงร้อยละ 4ของรายได้ของบริษัท ข้อกำหนดดังกล่าวใช้แนวทางอิงความเสี่ยง กล่าวคือองค์กรต้องแสดงให้เห็นว่ามีแนวทางในการบริหารข้อมูลที่ดีและสร้างความเชื่อมั่นและความมั่นใจให้แก่ลูกค้า หากไม่สามารถปฏิบัติตามเงื่อนไขตามกฎหมายได้ก็จะต้องได้รับการลงโทษ ขอบเขตของขัอกำหนดคือใช้บังคับกับผู้ประกอบการที่จำหน่ายสินค้าหรือให้บริการกับผู้ที่อาศัยอยู่ในสหภาพยุโรป

การสร้างความรับรู้แก่เจ้าของข้อมูล
กฎหมายใหม่กำหนดภาระให้องค์กรต้องแสดงให้เห็นถึงการปฏิบัติตามกฎหมาย การสร้างความรับรู้เป้นสิง่จำเป็นที่ต้องสร้างและกระตุ้นโดยองค์กรต่างๆ ตั้งแต่คณะกรรมการและคณะผู้บริหารที่ต้องให้การสนับสนุนในเรื่องดังกล่าว องค์กรจำเป็นต้องมีการทบทวนกระบวนการประมวลผลข้อมูลส่วนบุคคลให้ทันสมัยสอดคล้องกับหลักการตามกฎหมายใหม่ รวมทั้งต้องระบุแหล่งของข้อมูลที่มาจากฝ่ายบุคลากร การเงิน และทางเทคนิคต้องดำเนินการด้วย การดำเนินการอย่างมีประสิทธิผลกับองค์กรใหม รวมทั้งการรายงานการละเมิดข้อมูลส่วนบุคคลและการส่งเสริมสิทธิ เช่น สิทธิในการเข้าถึงข้อมูลส่วนบุคคลของตนเอง

ความรับผิดชอบ
องค์กรต้องพิจารณาวัตถุประสงค์และวิธีการดำเนินการในการประมวลผลข้อมูล โดยเฉพาะผู้มีอำนาจควบคุม ซึ่งต้องมีความรับผิดชอบในการปฏิบัติตามกฎหมายและต้องสามารถแสดงให้เห็นว่า
(1) มีการปฏิบัติสอดคล้องตามหลักการของกฎหมาย
(2) มีมาตรการรักษาความปลอดภัยข้อมูลขององค์กรและทางเทคนิคที่เหมาะสมอย่างมีประสิทธิผลและมีการตรวจสอบสม่ำเสมอ และ
(3) นโยบายการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมได้รับการดำเนินการ
ในการพิจารณาว่าอะไรเป้นความเหมาะสมที่ผู้มีอำนาจควบคุมต้องดำเนินการต้องคำนึงถึงลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการประมวลผลและความคล้ายคลึงที่หลากหลายและความร้ายแรงของความเสี่ยงที่จะมีต่อสิทธิและเสรีภาพของบุคคล สำหรับการประเมินความเสี่ยงที่มีอยู่ในตัวมันเองกับความรับผิดชอบ การวิเคราะห์อย่างละเอียดของกระบวนการที่มีอยู่ในปัจจุบันควรดำเนินการตามนโยบายปัจจุบันและการะบวนการที่ประเมินเพื่อระบุว่ามีประสิทธิผลหรือไม่และจำเป้นต้องมีการปรับปรุงแก้ไขหรือเปลี่ยนแปลงหรือไม่

ทุกองค์กรต้องรู้หรือทราบว่ามีข้อมูลส่วนบุคคลใดบ้างที่มีการประมวลผลและต้องเข้าใจความเสี่ยงที่อาจเกิดขึ้นต่อเจ้าของข้อมูล  องค์กรต้องควรทราบด้วยว่าการทราบเหตุผลและเวลาการประมวลผล เจ้าของข้อมูลที่จะมีการประมวลผล ข้อมูลใดบ้างที่มีการประมวลผล วิธีการได้มาซึ่งข้อมูลส่วนบุคคล วิธีการและระยเวลาการจัดเก็บ และการโอนย้ายข้อมูลไปยังองคืกรอื่น และเหตุผลการโอนย้ายและสถานที่โอนไป และมาตรฐานการรักษาความปลอดภัยที่จำเป็นในการปฏิบัติตามกฎหมายใหม่

หลักการพื้นฐาน
การประมวลผลข้อมูลจำเป็นต้องมีการทบทวนต่อหลักากรที่มีการแก้ไข กล่าวคือข้อมูลส่วนบุคคลต้อง
- ได้รับการประมวลผลอย่างถูกต้องตามกฎหมายด้วยความโปร่งใสและเป็นธรรม
- ได้รับการเก็บรวบรวมเป็นการเฉพาะ ชัดเจน และมีวัตถุประสงค์ที่ชอบด้วยกฎหมาย และต้องไม่มีการประมวลผลนอกเหนือจากที่กำหนดและไม่สอดคล้องกับวัตถุประสงค์ดังกล่าว
- การจัดเก็บข้อมูลต้องดำเนินการอย่างเพียงพอ เกี่ยวข้อง และจำกัดเท่าที่จำเป็นและเกี่ยวข้องกับวัตถุประสงค์ที่จะนำไปดำเนิการประมวลผล
- การเก็บข้อมูลต้องถูกต้องและปรับปรุงให้ทันสมัยในทุกขั้นตอนต้องประกันว่าข้อมูลส่วนบุคคลที่ไม่ถูกต้องจะต้องได้รับการลบหรือแก้ไขโดยไม่ชักช้า
- ต้องจัดเก็ยไว้ในรูปที่อนุญาตให้สามารถระบุเจ้าของข้อมูลเท่าที่จำเป็นเพื่อวัตถุประสงค์ที่จะประมวลผลเท่านั้น
- การประมวลผลในลักษณะที่ต้องประกันการรักษาความปลอดภัยข้อมูลส่วนบุคคลที่เหมาะสม รวมถึงการคุ้มครองการประมวลผลที่ไม่ชอบด้วยกฎหมายและต้องไม่ให้เกิดความสูญหาย ถูกทำลาย หรือเสียหายโดยอุบัติเหตุ ด้วยการใช้มาตรการขององคืกรและทางเทคนิคที่เหมาะสม

ความโปร่งใส
ความโปร่งใสเป็นหลักการใหม่ที่เพิ่มเข้ามา โดยกำหนดทั้งภาระหน้าที่และสิทธิเพื่อประกันว่าบุคคลเข้าใจอะไรจะเกิดขึ้นกับข้อมูลส่วนบุคคลของตนเอง มีการเปลี่ยนแปลงอย่างมากจากเงื่อนไขในการประมวลผลในปัจจุบันทและมีแนวโน้มว่าต้องการทรัพยากรและความพยายามมากขึ้นในการปฏิบัติตามกฎหมาย หากผู้มีอำนาจควบคุมได้เก็บรวบรวมข้อมูลจากบุคคลหรือได้รับข้อมูลมาทางอ้อม จำเป้นต้องดำเนินการด้วยความโปร่งใส กล่าวคือผู้มีอำนาจควบคุมต้องให้ข้อมูลแก่บุคคลเจ้าของข้อมูลเกี่ยวกับกระบวนการในรูปแบบที่ถูกต้องกระชับ โปร่งใส และง่ายต่อการเข้าถึงด้วยภาษาที่ชัดเจนและง่าย โดยต้องประกอบด้วยข้อมูล ดังนี้   การระบุตัวตน รายละเอียดจุดติดต่อของผู้มีอำนาจควบคุมและผู้แทนในสหภาพยุโรป (ถ้ามี) รายละเอียดจุดติดต่อของเจ้าหน้าที่คุ้มครองข้อมูล วัตถุประสงค์และเงื่อนไขทางกฎหมายในการประมวลผล ผู้รับข้อมูล การโอนย้ายข้อมูลข้ามประเทศและมาตรการในการรักษาความปลอดภัย ระยะเวลาในการเก็บรักาาข้อมูล สิทธิของบุคคล รวมทั้งการเข้าถึง การปรับปรุงแก้ไข การคัดค้านความถูกต้องของข้อมูล และการโอนย้ายข้อมูลของเจ้าของข้อมูล สิทธิในการร้องเรียนต่อหน่วยงานที่มีอำนาจกำกับดูแล และการประมวลผลต้องได้นับความยินยอม และเจ้าของข้อมูลมีสิทธิเพิกถอนความยินยอมด้วย

การรักษาความปลอดภัยข้อมูล
ความรับผิดชอบในการดำเนินการมาตรการรักาาความปลอดภัยทางองค์กรและทางเทคนิคที่เหมาะสม  รวมถึงมาตรการดังนี้
- การปกปิดชื่อและการเข้ารหัสของข้อมูลส่วนบุคคล
- ความสามารถในการประกันความลับ ความมั่นคง ความมีใช้งาน และการหยืดหยุ่นของระบบการประมวลผลและบริการ
- ความสามารถในการจัดเก็บและการเข้าถึงข้อมูลส่วนบุคคลในเวลาที่ต้องการทั้งทางกายภาพและเทคนิค
- กระบวนการในการทดสอบ ประมวลผล และประเมินผลอย่างสม่ำเสมอเกี่ยวกับความมีประสิทธิผลของมาตรการทางเทคนิคและทางองค์กรในการประมวลผลข้อมูล หากสามารถแสดงให้เห็นการดำเนินการตามกฎหมายให้สอดคล้องกับเงื่อนไขกับประมวลจริยธรรมหรือแผนการรับรอง เมื่อมีการประมวลผลข้อมูลส่วนบุคคล ผู้มีอำนาจควบคุมต้องสามารถแสดงให้เห็นว่าได้รับความยินยอมจากเจ้าของข้อมูลที่จะมีการประมวลผลด้วย วิธีการที่จะได้รับความยินยอมต้องมีความชัดเจนในภาษาที่ใช้ในการได้รับความยินยอมและง่ายต่อการเข้าถึงและมีความแตกต่างที่ชัดเจนจากประเด็นเรื่องอื่น มิฉะนั้น ความยินยอมจะไม่สามารถอ้างความชอบด้วยกฎหมายได้ อนึ่งความยินยอมสามารถเพิกถอนได้ไม่ว่าเวลาใดและต้องอธิบายได้หากมีการขอรับความยินยอม และการเพิกถอนความยินยอมจะต้องง่ายต่อการเพิกถอน ดังนั้น ความยินยอมของเจ้าของข้อมูลเป็นเงื่อนไขสำคัญ

พนักงานเจ้าหน้าที่คุ้มครองข้อมูล
ผู้มีอำนาจควบคุมข้อมูลและผู้ประมวลผลต้องกำหนดหรือระบุตัวเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer) เมื่อมีการประมวลผลโดยเจ้าหน้าที่ของรัฐ กิจกรรมหลักของการประมวลผลกำหนดให้มีการดำเนินการสม่ำเสมอและมีการติดตามตรวจสอบอย่างเป็นระบบต่อเจ้าของข้อมูลขนาดใหญ่หรือกิจกรรมหลักของการประมวลผล รวมทั้งการประมวลผลข้อมูลขนาดใหญ่ของประเภทข้อมูลเฉพาะบางประเภท ตัวอย่างเช่น ข้อมูลด้านสุขภาพ เชื้อชาติ ความเห็นทางการเมือง และการกระทำผิดทางอาญา เป็นต้น

ทั้งนี้ อำนาจหน้าที่ของเจ้าหน้าที่คุ่้มครองข้อมูลมีดังนี้
- ต้องเกี่ยวพันกับการคุ้มครองข้อมูลส่วนบุคคล ควรต้องแจ้งและให้คำปรึกษาพันธะหน้าที่ การติดตามตรวจสอบ และต้องมีการจัดตั้งจุดประสานงานสำหรับเจ้าของข้อมูลและหน่วยงานที่มีอำนาจตรวจสอบ
- ต้องมีการจัดสรรทรัพยากรที่จำเป็นสำหรับการดำเนินการงานดังกล่าวที่เกี่ยวข้อง
- ต้องมีการสั่งการ ยกเลิกหรือลงโทษในการละเมิดหรือมีการกระทำขัดต่อหน้าที่
- ต้องรายงานโดยตรงต่อผู้บริหารสูงสุด
นอกจากนี้ เจ้าหน้าที่คุ้มครองข้อมูลต้องเป็นผู้เชี่ยวชาญที่มีความรู้ที่สามารถให้คำปรึกษาเรื่องนี้ได้ และที่สำคัญต้องไม่เป็นพนักงานขององค์กร

การรายงานการละเมิดข้อมูลส่วนบุคคล
หากมีการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น ผู้มีอำนาจควคบุมข้อมูลต้องมีหน้าที่เจ้าเตือนโดยไม่ชักช้าและหากเป็นไปได้ภายใน 72 ชั่วโมงตอ้งแจ้งหน่วยงานที่มีอำนาจตรวจสอบเว้นแต่การละเมิดดังกล่าวมีแนวโน้มไม่ได้ก่อให้เกิดความเสี่ยงต่อบุคคล ผู้มีอำนาจควบคุมต้องอธิบายลักษณะของการละเมิด รวมทั้งจำนวนของเจ้าของข้อมูลที่เกี่ยวข้องและบันทึกข้อมูลที่ดำเนินการ พร้อมให้รายละเอียดการติดต่อกับเจ้าหน้าที่คุ้มครองข้อมูลหรือจุดติดต่ออื่น และอธิบายผลที่อาจเกิดขึ้นของการละเมิดและมาตรการที่ช่วยลดความเสี่ยงหรือผลในทางลบจากการละเมิด

ข้อยกเว้นตามเงื่อนไขนี้คือหากข้อมูลที่ได้รับความคุ้มครองด้วยวิธีการเข้ารหัส ก็ไม่น่าจะถือว่ามีความเสี่ยงสูงหรือการแจ้งเตือนรายบุคคลไม่ได้สัดส่วนและใช้การประกาศต่อสาธารณะแทนอาจมีประสิทธิผลมากกว่า สิทธิที่มีอยู่เดิมของเจ้าของข้อมูลจะได้รับความคุ้มครองสูงขึ้นและเพิ่มสิทธิใหม่ๆ เข้าไปด้วย แต่ละสิทธิมีเงื่อนไขเฉพาะ และผู้มีอำนาจควบคุมต้องปฏิบัติตามโดยทันทีภายในหนึ่งเดือน

ประชาชนมีสิทธิเกี่ยวกับข้อมูลของตนเอง ดังนี้
- สิทธิที่จะได้รับการแจ้งเกี่ยวกับข้อมูลตนเอง
- สิทธิในการเข้าถึงข้อมูลตนเอง
- สิทธิในการตรวจสอบความถูกต้องของข้อมูลตนเอง
- สิทธิในการลบข้อมูลตนเองหรือสิทธิที่จะถูกลืม
- สิทธิในการจำกัดการประมวลผลข้อมูลตนเอง
- สิทธิในการปฏิเสธการประมวลผลข้อมูลตนเอง
- สิทธิในการโยกย้ายข้อมูลตนเอง
- สิทธิในการป้องกันการตัดสินใจรายบุคคลอัตโนมัติและตรวจสอบโปรไฟล์ข้อมูลตนเอง

ไม่มีความคิดเห็น:

แสดงความคิดเห็น