อย่าชะล่าใจ? กฎหมายคุ้มครองข้อมูลส่วนบุคคลเขย่าโลกธุรกิจ
- สิงหาคม 15, 2019
- Posted by: Parwinee Piyapongpaisarn
- Category: Articles-TH
ตัวตนบนโลกออนไลน์ที่เราทิ้งไว้ไม่ว่าจะเป็น ชื่อ-นามสกุล ภาพถ่าย ที่อยู่ เบอร์โทรศัพท์ หรือแม้แต่ข้อมูลส่วนบุคคลอื่นๆ กลายเป็นสิ่งที่มีค่าสำหรับธุรกิจมากขึ้นเรื่อยๆ เพราะบริษัทเหล่านี้ สามารถนำข้อมูลส่วนตัวของเราไปใช้ประโยชน์ในทางการค้าโดยนำไปประมวลผล และวิเคราะห์เพื่อทำการตลาด โฆษณา หรือแม้กระทั่งขายข้อมูลของเราให้แก่ผู้ที่ต้องการ โดยที่เจ้าของข้อมูลอย่างเราๆ อาจไม่เคยทราบเลย นี่จึงเป็นที่มาของกฎหมายเกี่ยวกับการคุ้มครองสิทธิและข้อมูลส่วนบุคคล เช่น กฎหมายไซเบอร์ซิเคียวริตี้ของสาธารณรัฐประชาชนจีน กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหพันธรัฐรัสเซีย และที่กำลังเป็นที่กล่าวถึงอยู่ในเวลานี้คือ กฎหมายคุ้มครองสิทธิและข้อมูลส่วนบุคคล หรือ “จีดีพีอาร์” ของสหภาพยุโรป หรือ “อียู” (The European Union’s General Data Protection Regulation: GDPR) ที่เพิ่งมีผลบังคับใช้ไปเมื่อวันที่ 25 พฤษภาคม 2561 ที่ผ่านมา
กฎเกณฑ์ต่างๆ ที่องค์กรต้องปฏิบัติตามในการเก็บข้อมูลข้ามพรมแดน
(ที่มา: 2018 Global State of Information Security® Survey (GSISS), PwC)
กระแสของกฎหมายจีดีพีอาร์ที่ประกาศออกมาได้สร้างความตื่นตัวให้กับธุรกิจทั่วโลกเป็นอย่างมาก เพราะนอกเหนือจากค่าปรับสำหรับผู้ที่ฝ่าฝืนที่สูงถึง 4% ของผลประกอบการทั่วโลกต่อปี (Global turnover) แล้ว การหลีกเลี่ยงที่จะไม่จัดเก็บข้อมูลของประชากรยุโรปที่มีมากกว่า 500 ล้านคนใน 28 ประเทศยังเป็นเรื่องที่ยากมาก ตราบใดที่ผู้ประกอบการยังทำธุรกิจกับประเทศในกลุ่มสหภาพยุโรป หรือทำการค้าขายและให้บริการกับประชากรในกลุ่มประเทศเหล่านี้
ยิ่งในยุคที่การใช้งานอินเทอร์เน็ตแบบไร้พรมแดนทำให้การเคลื่อนย้ายข้อมูลทำได้ง่ายเพียงปลายนิ้ว ปัจจัยนี้ยิ่งเป็นตัวเร่งให้ประเทศอื่นๆ ลุกขึ้นมาประกาศใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของตัวเองอย่างต่อเนื่องอีกด้วย นี่จึงเป็นสิ่งที่ท้าทายผู้บริหารธุรกิจไปทั่วโลก เพราะต้องเตรียมตัวให้พร้อมต่อการต้องปฏิบัติตามกฎหมายใหม่ของประเทศตน แถมยังต้องคอยติดตามการเคลื่อนไหวของกฎหมายดิจิทัลของทั่วโลกด้วย
ล่าสุดประเทศไทยเองได้เดินหน้าผลักดันร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จนกระทั่งล่าสุดเข้าสู่การพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.) ไปเมื่อช่วงปลายปีที่ผ่านมา โดยแนวทางปฏิบัติของร่างพ.ร.บ. ฉบับนี้ มีหลายส่วนที่คล้ายคลึงกับกฎหมายจีดีพีอาร์ แต่อาจจะมีความแตกต่างกันบ้างในรายละเอียดของข้อกฎหมาย เช่น ข้อกำหนดเวลาการบังคับใช้ บทลงโทษ หรือข้อยกเว้นต่างๆ
โดยสาระสำคัญของกฎหมายฉบับนี้ที่ดิฉันอยากหยิบยกมาเล่าสู่กันฟัง ได้แก่
- การขอความยินยอม การเก็บรวบรวม การใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับการยินยอมจากเจ้าของข้อมูล โดยต้องมีการยอมรับเป็นลายลักษณ์อักษร หรือ ผ่านทางระบบอิเล็กทรอนิกส์ และเจ้าของต้องมีสิทธิเพิกถอนการยินยอมเมื่อไหร่ก็ได้
- วัตถุประสงค์ในการใช้ข้อมูล ต้องแจ้งเจ้าของข้อมูลถึงวัตถุประสงค์ในการเก็บ ใช้ หรือ เปิดเผย และต้องไม่ใช้ข้อมูลนอกเหนือจากวัตถุประสงค์ที่แจ้ง รวมถึงต้องมีมาตรการความปลอดภัยในการเก็บรักษาข้อมูลนั้นๆ เพื่อป้องกันไม่ให้เกิดการรั่วไหลของข้อมูล
- การรักษาความปลอดภัยของข้อมูล ต้องมีมาตรการรักษาความปลอดภัยของข้อมูลที่ถูกเก็บรักษาในประเทศ หรือกรณีการโอนย้ายข้อมูลไปนอกประเทศ ประเทศปลายทางต้องมีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลที่เพียงพอ และจะต้องมีการจัดทำรายงานวัดผลการป้องกันข้อมูลตามกฎหมายด้วย
- เจ้าของข้อมูลมีสิทธิในการเข้าถึงข้อมูลของตนเอง โดยเจ้าของมีสิทธิในการเข้าถึง แก้ไข บันทึก ลบ และควบคุมข้อมูลของตนเองที่องค์กรต่างๆ จะนำไปใช้งาน
- บทลงโทษมีทั้งโทษอาญา ทางแพ่ง และทางปกครอง หากมีการฝ่าฝืนมีโทษจำคุกตั้งแต่ 6 เดือนถึง 1 ปี และโทษปรับทางปกครองตั้งแต่ 5 แสนบาทถึง 5 ล้านบาท
ท่านผู้อ่านคงเห็นแล้วว่า การคุ้มครองข้อมูลส่วนบุคคล กลายเป็นแนวโน้มที่ทุกประเทศทั่วโลกให้ความสำคัญและเป็นเรื่องยากที่ผู้ประกอบการจะหลีกเลี่ยงไม่ดำเนินการตามไม่ว่าจะเป็นธุรกิจขนาดเล็ก กลาง หรือใหญ่ และไม่ว่าจะอยู่ในกลุ่มอุตสาหกรรมไหน โดยเฉพาะอย่างยิ่ง ธุรกิจอีคอมเมิร์ซที่มีเครือข่าย หรือทำการตลาดภายนอกประเทศ ยิ่งต้องศึกษาทำความเข้าใจกฎหมายนี้ให้รอบด้านทั้งการคุ้มครองข้อมูล ความปลอดภัยของข้อมูล และ การเปิดเผยข้อมูล โดยล่าสุด PwC ได้จัดทำ Global State of Information Security® Survey 2018 ซึ่งระบุว่า ความท้าทายของการต้องปฏิบัติตามกฎระเบียบข้อบังคับและจริยธรรมทางด้านดิจิทัลที่สำคัญที่สุด 3 อันดับแรก ได้แก่ การต้องตระหนักรู้ถึงการพัฒนาของกฎระเบียบข้อบังคับใหม่ๆ อยู่ตลอดเวลา (41%) ตามมาด้วยการต้องปฏิบัติตามกฎระเบียบข้อบังคับที่มีอยู่ในปัจจุบันให้ได้ (37%) และสุดท้าย การต้องเตรียมความพร้อมสำหรับกฎระเบียบข้อบังคับที่จะเกิดขึ้นในอนาคต (34%)
เช่นเดียวกับธุรกิจไทย ที่วันนี้ไม่สามารถนิ่งนอนใจได้อีกต่อไป แม้ว่าร่างพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลของไทยจะยังไม่มีผลบังคับใช้ แต่ผู้ประกอบการที่กำลังหรือต้องการขยายตลาด ควบรวมกิจการ หรือประกอบธุรกิจในประเทศที่มีกฎหมายจีดีพีอาร์ดังที่กล่าวมา ต้องปฏิบัติตามกฎข้อบังคับนี้อย่างเคร่งครัด ซึ่งวันนี้ดิฉันมีคำแนะนำสำหรับการเตรียมตัวเบื้องต้น ดังนี้
- ศึกษากฎหมายและประเมินผลกระทบต่อธุรกิจ องค์กรต้องทำการสำรวจตัวเองว่า มีการเก็บข้อมูลอะไรจากลูกค้าหรือผู้ใช้งานบ้างหรือไม่อย่างไร และนำข้อมูลเหล่านั้นไปใช้เพื่อวัตถุประสงค์อะไรบ้าง มีการส่งต่อ หรือเปิดเผยข้อมูลที่มีให้กับองค์กรอื่นหรือบุคคลที่สามหรือไม่ และอย่าลืมที่จะประเมินธุรกิจของตนเองด้วยว่า ได้รับผลกระทบด้านใดจากข้อกฎหมายบ้าง
- การขอความยินยอมจากเจ้าของข้อมูล องค์กรต้องมีกระบวนการในการแจ้งวัตถุประสงค์ที่ชัดเจนในการเก็บข้อมูล และขอความยินยอม (Consent) จากเจ้าของข้อมูลนั้นๆ ก่อนที่จะนำข้อมูลเหล่านั้นมาจัดเก็บในฐานข้อมูลของตน นอกจากนี้ ยังต้องมีมาตรการรักษาความปลอดภัยและนโยบายป้องกันข้อมูลส่วนตัวของลูกค้าที่มีประสิทธิภาพ โดยอาจปรึกษาหรือจ้างทีมผู้เชี่ยวชาญให้เข้ามาช่วยดูว่า ได้มีการฝ่าฝืนกฎและข้อบังคับใดไปบ้างหรือเปล่า รวมถึงช่วยจัดทำระบบรักษาความปลอดภัยทางไซเบอร์ หรือจัดทำแผนในการรับมือหากมีการรั่วไหลของข้อมูล
สิ่งที่ดิฉันกล่าวมา เป็นเพียง Checklist เบื้องต้นสำหรับภาคธุรกิจเท่านั้น ส่วนกระบวนการดำเนินงานนั้น อาจมีความซับซ้อนและแตกต่างกันไปตามประเภทของธุรกิจ ตลาด และฐานข้อมูล ซึ่งการมีทีมงานที่มีความเชี่ยวชาญทั้งในด้านกฎหมาย และด้านเทคโนโลยี จะเป็นอีกแนวทางหนึ่งที่จะช่วยให้ผู้ประกอบการจัดการกับความท้าทายในเรื่องนี้ได้อย่างรวดเร็วและมีประสิทธิภาพ ก่อนจากกันไป ดิฉันอยากย้ำให้ธุรกิจไทยเตรียมตัวและตื่นตัวกับร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฉบับนี้ตั้งแต่วันนี้ เพราะนี่ไม่ใช่เรื่องไกลตัวอีกต่อไปแล้ว ยิ่งท่านมีการจัดการความเสี่ยงด้านข้อมูลดีเท่าไหร่ ย่อมส่งผลดีต่อธุรกิจทั้งในด้านชื่อเสียงและภาพลักษณ์ ความปลอดภัย รวมทั้งยังได้รับความไว้วางใจทางด้านดิจิทัล (Digital trust) จากผู้บริโภคไปครองด้วย
ข้อมูลอ้างอิง
ร่างกฎหมายเศรษฐกิจดิจิทัล, สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.): https://ictlawcenter.etda.or.th/de_laws/detail/de-laws-data-privacy-act
2018 Global State of Information Security® Survey (GSISS): The journey to digital trust, PwC: https://www.pwc.com/us/en/services/consulting/assets/journey-to-digital-trust.pdf