Chinese (Simplified)EnglishThai
Chinese (Simplified)EnglishThai

Chinese (Simplified)EnglishThai

เรื่องใหญ่ที่ทั้งโลกต้องรู้ GDPR กฎหมาย คุ้มครองข้อมูลส่วนบุคคล ต่อผู้ประกอบการ “ไทย”

GDPR คุ้มครองข้อมูลส่วนบุคคล

GDPR คืออะไร? ทำไมทั้งโลกต้องสนใจ

กฎหมาย คุ้มครองข้อมูลส่วนบุคคล

GDPR คือ General Data Protection Regulation ซึ่งมีผลบังคับใช้ออกโดยคณะกรรมการ EU เมื่อวันที่ 4 พฤษภาคม 2016 ซึ่งมีผลบังคับใช้วันที่ 25 พฤษภาคม 2562

GDPR เป็นเรื่องเกี่ยวกับกฎหมาย คุ้มครองข้อมูลส่วนบุคคล แล้วก็มาแทนที่ Directive ของปี 1995 โดยมีเจตนารมณ์คือเรื่องการ คุ้มครองข้อมูลส่วนบุคคล ในสหภาพยุโรป ให้เป็นไปในทิศทางเดียวกัน โดยบังคับใช้โดยตรงในยุโรปเลย ซึ่งโดยปกติแต่ละประเทศจะที่มีอำนาจปกครองตัวเอง คือออกกฎได้เอง ถ้าเป็น Directive สมัยก่อน 1995 แต่ละประเทศจะออกกฎแล้วก็ใช้ในประเทศของตัวเองแต่ว่า GDPR จะเปลี่ยนไปคือ ทันทีที่ EU ออกกฎนี้จะมีสภาพบังคับใช้ทั่วทุกประเทศใน EU ที่เป็นสมาชิกของ EU เองแล้วก็เพิ่มเรื่องความคุ้มครองให้กับแต่ละบุคคลแล้วก็มีเรื่อง Obligation ใหม่ๆเพิ่มขึ้นมาด้วย

คุ้มครองข้อมูลส่วนบุคคล

คำถามคือทำไม GDPR ถึงสำคัญจัง?

เริ่มเห็นภาพไหมครับว่าการประกอบธุรกิจของไทยสมัยนี้มันไม่ใช่ลักษณะการอยู่แค่ในประเทศแล้ว เพราะเรามี Internet เราสามารถขายของข้ามประเทศได้ ข้อมูลจากการที่เราขายของในการทำธุรกรรมระหว่างประเทศมัน Flow ตามด้วย และเมื่อมัน Flow ตาม ธุรกิจสมัยนี้มันจึงไม่มีเรื่องของ ขอบเขตดินแดนอีกต่อไปแล้ว ซึ่งในทางปฏิบัติหรือในความเป็นจริงนั้นกฎหมายก็เริ่มเติบโตตามไปด้วย โดยจะมีการพัฒนาด้านความคิด แล้วก็เริ่มมีการ คุ้มครองข้อมูลส่วนบุคคล ที่จะไม่มีเขตอำนาจรัฐมาเกี่ยวข้องสักเท่าไหร่แล้ว อันนี้คือการยกตัวอย่างให้เห็นภาพ 

เดิมสมัยโบราณแต่ละประเทศต่างดูแลตัวเองเพราะฉะนั้นกฎจึงไม่เท่ากัน บางประเทศหนักกว่าบางประเทศ 

ซึ่งเขาก็เริ่มเห็นแล้วว่าถ้าต้องส่งข้อมูลระหว่างประเทศใน EU ไปอีกประเทศหนึ่งท่านต้องอ่านกฎเพิ่มขึ้น แต่ว่าตอนนี้มันไม่ใช่แล้ว เพราะตอนนี้คือถ้าท่านทำตาม GDPR เป็นกฎหลัก จะมีผลบังคับใช้ในประเทศเลย ท่านสามารถออกกฎลูกภายในประเทศได้อีกนิดหน่อย Flow ของข้อมูลก็จะดีขึ้นไม่ต้องไปนั่งใช้กฎหมายหมด

DGPR พรบ.คุ้มครองข้อมูลส่วนบุคคล

Objective ของการออก GDPR คืออะไร?

กฎหมาย คุ้มครองข้อมูลส่วนบุคคล

มันคือการ Balance ทั้ง 2 ส่วน โดยส่วนแรกคือสิทธิส่วนบุคคลของแต่ละคน อย่าลืมว่าข้อมูลส่วนบุคคลเป็นสิทธิที่มันเกิดจากเสรีภาพทางความคิด, สิทธิในเนื้อตัวร่างกาย, เป็นสิทธิพื้นฐานของความเป็นมนุษย์ ที่เราจะสามารถรักษาข้อมูลของเรารักษาความลับของเราได้ กฎหมายนั้นคุ้มครองสิทธิส่วนบุคคลตรงนี้อยู่ แต่ในขณะเดียวกันถ้าคุ้มครองสิทธิของฉันมากเกินไป เช่นทุกอย่างต้องขออนุญาต เราก่อนที่จะเอาข้อมูลไปใช้ ธุรกิจจะไปต่อไม่ได้ !!

มันก็เลยมีหลักการที่ 2 เข้ามา Balance เพื่อให้เกิดการ Flow ของ Data คือให้ข้อมูลมันยังส่งต่อไปได้เรื่อยๆเพื่อให้มันไม่ต้องติดขัดอะไร

แล้วใน EU จากเดิมที่เคยต้องดูประเทศ ก็ไม่ต้องดูแล้วสามารถ Flow ได้เลยใน EU เพราะเขามองว่าจากตรงนี้ การทำธุรกรรม การทำธุรกิจเขาก็จะง่ายขึ้นเยอะ

กฎหมายคุ้มครองข้อมูลส่วนบุคคล

ต่อมาคือใครโดน GDPR บ้าง? 

อันแรกเลยเนื่องจากมันเป็นสิทธิส่วนบุคคล เพราะฉะนั้นข้อมูลที่จะต้องอยู่ภายใต้ GDPR คือข้อมูลของบุคคล “ข้อมูลของนิติบุคคลจะไม่โดน GDPR” เพราะต้องเป็นข้อมูลของเราเท่านั้นตัวอย่างเช่น 

นายธนกิจ,  email address อะไร, บ้านอยู่ที่ไหน, ชอบกินอะไร, ป่วยเป็นโรคอะไร นี่คือข้อมูลของนายธนกิจ แต่ถ้าจะบอกข้อมูลว่า บริษัท K&O อยู่ที่ไหน? มีกรรมการกี่ท่าน? อันนี้ไม่ใช่! เพราะไม่ถือว่าเป็นข้อมูลส่วนบุคคล มันเป็นเรื่องของบริษัท 

ต่อไปคือใครที่เป็น Data subject ได้บ้าง? คำตอบคือได้หมดเลยไม่ว่าจะเป็นเด็ก ผู้ใหญ่ ลูกจ้างในบริษัทของท่านเอง ก็มีสิทธิ์โดนถ้าได้ข้อมูลลูกจ้าง ท่านก็ต้องดูแลเขาด้วยเช่นเดียวกัน ข้อมูลกรรมการ, ข้อมูลผู้ถือหุ้น, ข้อมูลประชาชน, ข้อมูลลูกค้า, ข้อมูลผู้ให้บริการเป็นต้น 

อีกเรื่องนึงที่เพิ่มขึ้นมาคือ มีหลักการว่าเดิมกฎหมายเป็นของประเทศไหนก็มีผลบังคับใช้อยู่ที่ประเทศนั้นอยู่ในเขตอำนาจของประเทศนั้น GDPR มี Extraterritorial คืออำนาจนอกดินแดนซึ่งเดี๋ยวจะมาพูดถึงกัน

พรบ.คุ้มครองข้อมูลส่วนบุคคล

ต่อมาคือใครไม่โดน GDPR บ้าง? 

กฎหมาย คุ้มครองข้อมูลส่วนบุคคล

คนแรก Regel preson ที่กล่าวไปแล้วข้างต้นว่านิติบุคคลไม่โดน ต่อมาคือถ้าเป็นการใช้ข้อมูลในของบ้านของท่านเอง ใช้เพื่อบุคคลกันเองไม่เป็นไร เช่นถ้าเล่น Facebook ท่านใส่ข้อมูลสวัสดีคุณโบว์ คุณเจน วันนี้เป็นไงบ้าง? ไม่เป็นไรสามารถส่งข้อมูลคุยกันได้ปกติไม่มีปัญหา ไม่มีเรื่องของ Commercial ไม่มีเรื่องธุรกิจอันนี้ได้ แต่ถ้าเขาคุยเล่นกันอยู่แล้วมีบุคคลที่ 3 เอาข้อมูล House hold ข้อมูลที่คุยเล่นพวกนี้ไปประมวลผลแล้วทำต่อ อันนี้มีสิทธิ์โดน

ถัดไปมีใครไม่โดนอีก หน่วยงานรัฐที่จำเป็นต้องประมวลผลข้อมูล เพื่อประโยชน์ของความมั่นคงของรัฐก็ดี เรื่องของ Money laundering เรื่องฟอกเงินก็ดี อันนี้ก็ไม่โดนครับ และเรื่องสุดท้ายคือผู้ที่เสียชีวิตแล้วกฎหมาย GDPR ไม่ปรับใช้ด้วย ฟังดูแล้ว GDPR อาจดูตึงมากใช่ไหมครับ แต่ความจริงแล้วกฎหมายตัวนี้มันจะไม่ได้เปลี่ยน ลักษณะการใช้ชีวิตของท่านเท่าไหร่ คือถ้าสมมุติว่าเป็นเรื่องที่ปกติที่เราทำกันอยู่แล้ว กฎหมายไม่จำเป็นคุ้มครอง อย่างเช่นเรื่อง Security เรื่องอะไรที่มันเป็นเรื่องความเป็นรัฐมากๆ อย่างนี้กฎหมายก็ยังให้อิสระอยู่ ที่จะไม่เข้ามาก้าวก่ายซึ่งมันยังเป็นตามธรรมชาติอยู่

ทำไม GDPR ถึงสำคัญจัง?

GDPR มี 2 มาตราหลัก

มาตรา 3 วรรคแรกบอกว่าถ้าคุณมี Establishment คือมีการประกอบกิจการอยู่ใน EU ไม่ว่าคุณจะเป็น Data processor หรือเป็น Data controller จะต้องโดนกฎหมายนี้ด้วย

นั่นหมายความว่าถ้าใคร มีบริษัทอยู่ใน EU คุณต้องเริ่มระวังแล้ว แต่อาจจะไม่ได้ทุกกรณีนะครับ มันยังต้องดูเรื่อง Activity  ต้องดูเรื่องอื่นอีก GDPR เป็นเรื่องกฎหมายของบริบทคือต้องดูเนื้อหาดูการกระทำดู Content จริงๆต้องค่อยๆมานั่งดูกันว่าธุรกิจคุณทำอะไร คุณเก็บข้อมูลอะไร คุณเอาไปทำเพื่อประโยชน์อะไร แล้วคุณถึงจะเริ่มเห็นภาพว่าคุณโดนตาม GDPR ไหม

บทความต่อไปเราจะว่ากันต่อถึงเรื่องที่เป็น Hightligt เกี่ยวกับ GDPR  กรณีใดที่คนไทยโดนได้บ้าง? โปรดติดตามครับ

ขอบคุณรูปภาพสวยๆ จาก Freepik

*เรื่องน่าสนใจเกี่ยวกับ พรบ.คุ้มครองข้อมูลส่วนบุคคล

Related Articles