วันศุกร์ที่ 15 มิถุนายน พ.ศ. 2561

ระเบียบเรื่องการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (GDPR) : ผลการบังคับใช้นอกสหภาพยุโรป

ในปี ค.ศ. 2016 สหภาพยุโรปได้ออกประกาศหลักเกณฑ์เกี่ยวกับการคุ้มครองข้อมูลเรียกว่า ระเบียบเรื่องการคุ้มครองข้อมูลทั่วไป (General Data Protection Regulation 2016/679 หรือนิยมเรียกว่า GDPR) ซึ่งมีผลใช้บังคับแล้วตั้งแต่วันที่ 25 พฤษภาคม 2561 แต่สิ่งที่ทำให้ระเบียบ GDPR นี้มีความสำคัญมากคือผลการใช้บังคับของข้อกำหนดดังกล่าวขยายไปยังนอกสหภาพยุโรปด้วย (Extra-territorial application) กล่าวคือระเบียบ GDPR มีผลใช้บังคับกับหน่วยงานหรือองค์กรที่ไม่ได้จัดตั้งในสหภาพยุโรปแต่ได้มีการเสนอขายสินค้าหรือให้บริการแก่บุคคลในสหาภพยุโรป หรือดำเนินการติดตามพฤติกรรมของบุคคลในสหภาพยุโรป

ดังนั้น หน่วยงานหรือองค์กรของไทย เช่น โรงแรรม ธนาคาร บริษัทท่องเที่ยว และผู้ให้บริการเว็บไซต์ที่จัดตั้งในประเทศไทยที่ได้เสนอขายสินค้าหรือให้บริการกับบุคคลที่ตั้งอยู่ในสหภาพยุโรปจะต้องประกันว่าแนวปฏิบัติและกระบวนการในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลของบุคคลสหภาพยุโรปต้องปฏิบัติตามหลักเกณฑ์ของระเบียบ GDPR ด้วย ซึ่งถือว่าเป็นความเสี่ยงประการหนึ่งเพราะอาจถูกลงโทษตามข้อกำหนด GDPR ได้ บทกำหนดโทษกรณีไม่ปฏิบัติตามระเบียบ GDPR คือโทษปรับสูงถึงร้อยละ 4 ของรายได้ทั่วโลกประจำปี หรือ €20,000,000 ซึ่งขึ้นอยู่กับอย่างใดสูงกว่า ซึ่งมีแนวทางในการกำหนดโทษปรับตามลำดับชั้น โดยจะใช้โทษปรับสูงสุดสำหรับการฝ่าฝืนที่ร้ายแรงที่สุด

โดยทั่วไป หน่วยงานหรือองค์กรของไทยไม่ได้มีที่ตั้งอยู่หรือปรากฎอยู่ในสหภาพยุโรปที่ไม่อาจเห็นความสำคัญในเรื่องนี้ว่ามีเสี่ยงสูงเพราะคิดว่าไม่น่าจะเป็นไปได้ว่าหน่วยงานคุ้มครองข้อมูลของยุโรปอาจลงโทษหน่วยงานหรือองค์กรที่ไม่ได้จัดตั้งหรือปรากฎในสหภาพยุโรป แต่เมื่อใดที่หน่วยงานหรืองอค์กรของไทยไปปรากฎตัวที่สหภาพยุโรป ความเสี่ยงในการถูกลงโทษก็จะเป็นจริงเพราะหน่วยงานหรือองค์กรของไทยเข้าไปอยู่ในเขตอำนาจรัฐของสหาภพยุโรปแล้ว

นอกจากนี้ หน่วยงานหรือองค์กรของไทยที่มีการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ควบคุมข้อมูลภายในสหภาพยุโรปอาจต้องประกันว่าแนวปฏิบัติและนโยบายตามหลักเกณฑ์ของระเบียบ GDPR ที่กำหนดว่าผู้ควบคุมข้อมูลในสหภาพยุโรปในการแต่งตั้งผู้ประมวลผลข้อมูลดังกล่าวต้องจัดให้กฃมีการประกันที่เพียงพอเพื่อปฏิบัติตามกระบวนการที่กำหนดไว้ตามระเบียบ GDPR และต้องประกันการคุ้มครองสิทธิของเจ้าของข้อมูล

 หลักเกณฑ์ที่สำคัญของระเบียบ GDPR
ระเบียบ GDPR กำหนดว่าข้อมูลส่วนบุคคลต้อประมวลผลตามหลักการดังต่อไปนี้
(a) ข้อมูลส่วนบุคคลต้องประมวลผลโดยชอบด้วยกฎหมาย เป็นธรรม และโปร่งใส
(b) ข้อมูลส่วนบุคคลต้องเก็บรวบรวมและใช้งานตามวัตถุประสงค์ที่เฉพาะเจาะจง ชัดเจน และชอบด้วยกฎหมายเท่านั้น
(c) การจัดเก็บข้อมูลส่วนบุคคลต้องดำเนินการตามเท่าที่จำเป็นเท่านั้น (data minimisation)
(d) ข้อมูลส่วนบุคคลที่เก็บรวบรวมต้องมีความถูกต้อง
(e) ข้อมูลต้องไม่จัดเก็บในรูปแบบที่สามารถระบุตัวตนได้ในระยะเวลาที่ยาวนานกว่าความจำเป็นตามวัตถุประสงค์ในการประมวลผลข้อมูล (storage limitation)
(f) ข้อมูลส่วนบุคคลต้องจัดเก็บและได้รับความคุ้มครองต่อการเข้าถึง การสูญหาย การถูกทำลาย หรือเสียหาย (integrity and confidentiality)

อนึ่ง ระเบียบ GDPR กำหนดให้สิทธิแก่บุคคลหลายประการตั้งแต่ สิทธิที่ได้รับแจ้ง สิทธิในการเข้าถึงข้อมูลของตนเอง สิทธิในการแก้ไขข้อมูลของตนเอง สิทธิในข้อมูลส่วนตัวที่จะถูกลืม สิทธินการจำกัดการประมวลผล และสิทธิในการย้ายข้อมูลของตนเอง เป็นต้น  ส่วนผู้ควบคุมข้อมูลต้องดำเนินการตามกฎหมายเมื่อได้รับการร้องขอจากเจ้าของข้อมูลโดยไม่ชักช้า (โดยทั่วไปคือ 1 เดือน) ระเบียบ GDPR  กำหนดแนวปฏิบัติใหม่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมทั้งความจำเป็นในการเก็บรักษาบันทึกของวิะีการประมวลผลข้อมูลส่วนบุคคล การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล ความจำเป็นในการดำเนินการประเมินผลกระทบการคุ้มครองข้อมูล และเงื่อนไขในการดูแลการคัดเลือกและความเกี่ยวพันกับผู้ประมวลผลข้อมูลมากขึ้น

หน่วยงานหรือองค์กรของไทยควรต้องดำเนินการที่เหมาะสมเพื่อปฏิบัติตามระเบียบ GDPR (โดยขึ้นอยู่กับระดับการเปิดเผย) เช่น
- การทบทวนแนวปฏิบัติและขั้นตอนการดำเนินการเพื่อประกันว่าการประมวลผลข้อมูลส่วนบุคคลทั้งหมดสอดคล้องกับหลักการที่กำหนดในระเบียบ GDPR
- การทบทวนแนวปฏิบัติ แนวปฏิบัติและขั้นตอนการดำเนินการให้เป็นไปตามสิทธิของเจ้าของข้อมูลตามที่กำหนดในระเบียบ GDPR
- การทบทวนนโยบายสิทธิส่วนตัว การคุ้มครองข้อมูลและการเก็บรักษาข้อมูลเพื่อประกันว่าบุคคลได้รับความคุ้มครองในระดับที่กำหนดไว้ในระเบียบ GDPR

อนึ่ง หน่วยงานหรือองค์กรของไทยที่เสนอบริการประมวลผลข้อมูลกับผู้ควบคุมข้อมูลในสหภาพยุโรปอาจต้องมีหน้าที่ประกันว่าได้ปฏิบัติตามหลักเกณฑ์ของระเบียบ GDPR ด้วย ส่วนบริษัทของไทยที่เสนอขายสินค้าหรือให้บริการกับหรือติดตามพฤติกรรมของบุคคลในสหภาพยุโรปควรต้องปฏิบัติตามให้สอกคล้องกับหลักเกณฑ์ตามระเบียบ GDPR เท่าที่จะปฏิบัติได้

ไม่มีความคิดเห็น:

แสดงความคิดเห็น