GDPR: มาตรฐานข้อมูลส่วนตัวล่าสุดจากอียู

ประชาไททำหน้าที่เป็นเวที เนื้อหาและท่าที ความคิดเห็นของผู้เขียน อาจไม่จำเป็นต้องเหมือนกองบรรณาธิการ

 

ความสนใจหรือความตระหนักรู้เรื่องความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยนับว่ามีอยู่ค่อนข้างน้อย โดยเฉพาะในโลกปัจจุบันที่คนไทยนิยมใช้โซเซียลมีเดียกันจนติดอันดับต้นๆ ของโลก การโพสต์และแชร์เรื่องราวส่วนตัวและการเปิดเผยข้อมูลส่วนบุคคลบนโลกออนไลน์เกิดขึ้นมากมายทุกๆ วัน โดยไม่เคยตระหนักถึงความสำคัญของสิทธิในความเป็นส่วนตัว ที่น่าห่วงกว่านั้นก็คือการไม่ตระหนักถึงอันตรายหรือความเสียหายที่จะเกิดจากการนำข้อมูลของเราไปใช้ประโยชน์ในทางไม่ชอบ จนพูดกันกันว่าความเป็นส่วนตัวไม่มีอีกแล้วหรือตายไปแล้วจากโลกดิจิทัลวันนี้

ระยะหลังๆ นี้ เริ่มมีการพูดถึงข้อมูลส่วนบุคคลกันมากขึ้น โดยเฉพาะในแวดวงผู้ประกอบธุรกิจเกี่ยวกับข้อมูล การติดต่อสื่อสาร และธุรกิจที่มีฐานข้อมูลส่วนบุคคลขนาดใหญ่ นั่นคือความกังวลต่อ GDPR ซึ่งเป็นข้อบังคับของสหภาพยุโรปเกี่ยวกับการเก็บและการประมวลผลข้อมูลส่วนบุคคล ที่กลัวกันมากก็เพราะบทลงโทษของผู้ที่ไม่ปฎิบัติตามหลักเกณฑ์ GDPR จะถูกปรับสูงถึง 20 ล้านยูโร ที่สำคัญคือจะมีผลบังคับใช้ในเดือนพฤษภาคม 2561 ที่กำลังจะมาถึง

จริงๆ แล้ว เรื่องการคุ้มครองข้อมูลส่วนบุคคลในระดับนานาชาติไม่ใช่เรื่องใหม่ เพราะมีพัฒนาการมากมายทั้งในกฎหมายต่างประเทศและในระดับกฎหมายหรือข้อตกลงระหว่างประเทศ

กฎหมายคุ้มครองข้อมูลในนานาประเทศอาจแตกต่างหรือมีมาตรฐานที่ไม่เท่าเทียมกัน แต่ในภาพรวมบทบัญญัติกฎหมายทั้งหลายนี้ตั้งอยู่บนพื้นฐานเดียวกัน คือ

1. ในการจัดเก็บข้อมูล ต้องมีการบอกกล่าวหรือการแจ้งให้เจ้าของข้อมูลทราบ ซึ่งหมายถึงการกำหนดขอบเขตและวัตถุประสงค์ของการประมวลผลข้อมูลที่แน่นอนชัดเจน

2. การคุ้มครองข้อมูลที่เป็นข้อมูลส่วนตัวที่มีลักษณะเฉพาะหรือมีความอ่อนไหวเป็นพิเศษ (Sensitive data) เป็นประเด็นที่ต้องให้ความคุ้มครองอย่างเคร่งครัด

3. การส่งข้อมูลระหว่างประเทศ (International data transfers or Transborder data flows) เป็นเรื่องที่ต้องให้ความสำคัญ โดยส่วนมากจะไม่ยินยอมให้มีการเข้าถึงข้อมูลหรือส่งข้อมูลออกไปยังประเทศที่ไม่มีการคุ้มครองข้อมูลในระดับมาตรฐานที่น่าพอใจ เช่นในกรณีการอนุญาตให้มีเสรีในการส่งข้อมูลภายในประเทศสมาชิกของสหภาพยุโรป และในขณะเดียวกันได้มีการห้ามการส่งข้อมูลของประเทศสมาชิกสหภาพยุโรป ไปยังประเทศที่ไม่ได้เป็นสมาชิก และประเทศซึ่งไม่มีมาตรการที่เพียงพอในการคุ้มครองข้อมูล

4. ส่วนมากบทบัญญัติคุ้มครองข้อมูลจะเริ่มต้นด้วยขอบเขตในการคุ้มครอง เช่น การเก็บข้อมูล ขอบเขตการประมวลผลข้อมูล ที่อาจมีได้ในระยะเวลาที่กำหนด รวมทั้งการมีมาตรการรักษาความปลอดภัยอย่างเพียงพอ ที่จะป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต โดยเฉพาะอย่างยิ่งข้อมูลที่มีการส่งด้วยวิธีการทางอิเล็กทรอนิกส์

5. สิทธิของเจ้าของข้อมูล ซึ่งได้แก่ สิทธิในการอนุญาตให้ใช้ข้อมูล สิทธิในการเข้าถึงข้อมูลของตนเอง สิทธิในการได้รับการแจ้งการใช้ข้อมูล สิทธิในการแก้ไขข้อมูลเมื่อพบว่าข้อมูลของตนมีความผิดพลาด และสิทธิในการได้รับการเยียวยาเมื่อได้รับความเสียหาย

6. การห้ามการกระทำบางอย่างในกิจกรรมบางอย่างบางประเภท เพื่อทำให้การคุ้มครองข้อมูลสำเร็จด้วยดี

สำหรับในระดับกฎหมายหรือข้อตกลงระหว่างประเทศ การคุ้มครองข้อมูลมีปรากฏในหลายเวที เช่น การคุ้มครองข้อมูลส่วนบุคคลตามปฏิญญาสากลว่าด้วยสิทธิมนุษยชน แนวทางขององค์การเพื่อความร่วมมือทางเศรษฐกิจและการพัฒนา (OECD) ข้อตกลงของรัฐสภาแห่งยุโรป ข้อบังคับสหภาพยุโรป แนวทางของสหประชาชาติ แนวทางตามกรอบความร่วมมือของ APEC แนวทางของอาเซียน และ TPP

EU Directive 95/46 เกิดขึ้นในปี 1995 เป็นบทบัญญัติที่มีผลบังคับระหว่างประเทศฉบับแรกที่ให้ความคุ้มครองข้อมูลส่วนบุคคล ที่ถูกสร้างขึ้นโดยประเทศสมาชิกสหภาพยุโรป ข้อบังคับนี้ให้การคุ้มครองข้อมูลส่วนบุคคลและเสรีภาพในการเคลื่อนไหวของข้อมูล ทั้งยังให้การรับรองว่าข้อมูลจะได้รับการคุ้มครองอย่างเท่าเทียมกันตลอดทั้งตลาดร่วมยุโรป โดยมีหลักการที่เป็นสาระสำคัญดังนี้

1. การรักษาคุณภาพของข้อมูล

2. มาตรการของการประมวลผลข้อมูลที่ชอบด้วยกฎหมาย

3. ข้อกำหนดในการประมวลผลข้อมูลพิเศษ/ข้อมูลที่อ่อนไหว (sensitive data)

4. สิทธิในการได้รับแจ้งการเก็บข้อมูลต่างๆ

5. สิทธิในการเข้าถึงข้อมูล

6. สิทธิในการคัดค้านการประมวลผล

7. การรักษาความปลอดภัยในการประมวลผลข้อมูล

8. การส่งผ่านข้อมูลส่วนบุคคลไปยังประเทศที่สาม

นอกจากการควบคุมการส่งข้อมูลภายในประเทศสมาชิกแล้ว สำหรับประเทศที่ไม่ได้เป็นสมาชิกสหภาพยุโรป หากจะทำการติดต่อรับ-ส่งข้อมูลกับประเทศสมาชิกสหภาพยุโรป ก็ต้องมีมาตรการการคุ้มครองข้อมูลที่เหมาะสมเป็นที่พอใจแก่สหภาพยุโรปด้วยเช่นกัน ซึ่งมาตรการที่เหมาะสมที่อียูได้ตั้งไว้ แม้กระทั่งประเทศสหรัฐอเมริกา ที่มีการค้าและการลงทุนกับประเทศสมาชิกสหภาพยุโรปมากที่สุด และมีการเคลื่อนไหวของข้อมูลข่าวสารมากที่สุด ก็ยังต้องพยายามหาวิธีการประนีประนอมเพื่อเป็นทางออกและแก้ไขปัญหาความขัดแย้งของทั้งสองฝ่าย

EU Directive 95/46 ใช้บังคับมานานกว่า 20 ปี และโดยที่โลกมีการเปลี่ยนแปลงอย่างมากในปัจจุบัน โดยเฉพาะบริบทการสื่อสารผ่านทางอิเล็กทรอนิกส์ มีการเติบโตพัฒนาอย่างรวดเร็วมาก จึงมีการปรับปรุงแก้ไข Directive ดังกล่าว ซึ่งในที่สุดรัฐสภาแห่งยุโรปก็ได้เห็นชอบ General Data Protection Regulation (GDPR) เมื่อ 14 เมษายน 2559 และจะมีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2561

เกี่ยวกับผู้เขียน: นคร เสรีรักษ์ เป็นอาจารย์ผู้สอนอยู่ที่วิทยาลัยการปกครองท้องถิ่น มหาวิทยาลัยขอนแก่น และเป็นผู้ก่อตั้ง PrivacyThailand

 

เท่าไรก็ได้ การสนับสนุนจากคุณ คือการร่วมสร้างและรักษาสื่อเสรี ‘ประชาไท’ ... ร่วมสนับสนุนเรา
โอนเงิน พร้อมเพย์ PromptPay "มูลนิธิสื่อเพื่อการศึกษาของชุมชน" 0993000060423
โอนเงิน PayPal คลิกที่นี่ https://paypal.me/prachatai (รายงานยอดบริจาคสนับสนุน)
ติดตามประชาไทอัพเดท ได้ที่:
เฟซบุ๊ก https://fb.me/prachatai
ทวิตเตอร์ https://twitter.com/prachatai
LINE ไอดี = @prachatai

แสดงความคิดเห็น

พื้นที่ประชาสัมพันธ์