วงสัมมนาเชิงลึกโครงการแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพื่อรองรับการมีผลบังคับใช้ของ GDPR ที่สหภาพยุโรปได้ประกาศใช้ นิติจุฬาฯ ย้ำต้องเริ่มทันที ผิดกฎหมายข้อมูลส่วนบุคคล โทษปรับสูงถึง 20 ล้านยูโร
เมื่อวันที่ 2 ก.ค.ที่ผ่านมา ที่ห้องบอลรูม 2 โรงแรมอินเตอร์คอนติเนนตัล ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยา จัดสัมมนาเชิงลึกโครงการแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพื่อรองรับการมีผลบังคับใช้ของ GDPR ที่สหภาพยุโรปได้ประกาศใช้ หรือ EU General Data Protection Regulation โดยมี ดร.พิเชฐ ดุรงคเวโรจน์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานเปิดงานและปาฐกถาพิเศษ
รมว.ดิจิทัลเพื่อเศรษฐกิจและสังคม กล่าวว่า การคุ้มครองข้อมูลส่วนบุคคลไม่ใช่เรื่องใหม่ เพราะมีพัฒนาการมากมายทั้งในกฎหมายต่างประเทศและข้อตกลงระหว่างประเทศ โดยพัฒนาการขั้นล่าสุด ได้แก่ สหภาพยุโรปได้ประกาศใช้ GDPR ซึ่งเป็นการแก้ไขปรับปรุงหลักการคุ้มครองข้อมูลส่วนบุคคลฉบับเก่าให้มีผลบังคับใช้ตั้งแต่วันที่ 25 พ.ค. 2561 ที่ผ่านมา ทั้งนี้รัฐบาลได้เร่งรัดดำเนินการตามนโยบายดิจิทัล โดยได้ผลักดันร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลฯ ซึ่งได้รับความเห็นชอบจากคณะรัฐมนตรีแล้ว และกำลังอยู่ในกระบวนการนิติบัญญัติตามขั้นตอนที่อาจต้องใช้เวลาอีกประมาณ 6-7 เดือน ซึ่งในขณะนี้ก็ไม่อยากให้รอกฎหมาย แต่เราควรต้องเร่งสร้างมาตรฐานของเราขึ้นมา เพราะถึงอย่างไรก็ต้องมีระบบการรับรองมาตรฐานคุ้มครองข้อมูลส่วนบุคคล การที่จุฬาลงกรณ์มหาวิทยาลัยซึ่งเป็นหน่วยงานด้านการศึกษาและมีภารกิจในการให้ความรู้แก่ประชาชนได้ร่วมกันกับภาคเอกชนริเริ่มในเรื่องนี้จึงเป็นนิมิตหมายที่ดี ทันต่อสถานการณ์
ผศ.ดร.ปารีณา ศรีวนิชย์ คณบดีคณะนิติศาสตร์ จุฬาฯ กล่าวว่า ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัยเล็งเห็นความสำคัญและความจำเป็นที่ต้องจัดทำคู่มือแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพื่อรองรับการมีผลบังคับใช้ของ GDPR การจัดอบรมให้ความรู้และเผยแพร่แนวปฏิบัติฯ ที่จัดทำขึ้น จึงร่วมกันกับองค์กรภาครัฐและเอกชน ที่ต่างตระหนักถึงความสำคัญและความจำเป็นของเรื่องนี้ จัดให้มีโครงการจัดทำคู่มือแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพื่อรองรับการมีผลบังคับใช้ของ GDPR เพื่อให้เกิดการตระหนักรู้ของภาครัฐและภาคเอกชน และจัดทำแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลสำหรับผู้ประกอบการที่จะนำไปปฏิบัติอันจะเป็นประโยชน์ให้ผู้ประกอบการ อีกทั้งเป็นการเตรียมความพร้อมให้แก่ผู้ประกอบการไทยให้ทราบมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลล่าสุดและแนวปฏิบัติที่สามารถนำไปใช้ได้จริง
ผศ.ดร.ปิยะบุตร บุญอร่ามเรือง ที่ปรึกษา รมว.ดิจิทัลเพื่อเศรษฐกิจและสังคม และอาจารย์ประจำคณะนิติศาสตร์ จุฬาฯ เปิดเผยว่า ปัจจุบันคนไทยใช้สื่อสังคมออนไลน์และบริการทางอินเทอร์เน็ตต่างๆ เป็นอันดับต้นๆ ของโลก แต่มาตรการด้านความมั่นคงปลอดภัยทางไซเบอร์นั้นถือว่าไม่สู้ดีนัก โดยเฉพาะส่วนที่เกี่ยวกับมาตรการทางกฎหมายและความพร้อมของหน่วยงานต่างๆในประเทศ ที่ผ่านมาประเทศไทยตกเป็นข่าวถึงความไม่ปลอดภัยทางไซเบอร์ที่อื้อฉาว เช่น
- กรณีมหาวิทยาลัยธรรมศาสตร์ถูกใช้เป็นฐานการโจรกรรมข้อมูลจากบริษัท Sony Pictures
- กรณี ATM 21 แห่งของธนาคารออมสินถูกโจมตีด้วยมัลแวร์และขโมยเงินไป 12 ล้านบาท
- กรณี McAfee ตรวจสอบพบว่ามหาวิทยาลัยธรรมศาสตร์ถูกใช้เป็นฐานโจมตีทางไซเบอร์
- กรณี Niall Merrigan นักวิจัยด้านความปลอดภัย ที่คอยสำรวจและตรวจสอบการสร้างโฟลด์เดอร์Amazon S3 บนระบบ Cloud ซึ่งหลังจากสแกนเจอโฟลเดอร์ที่เปิดเอาไว้หรือไม่ได้ล็อค ก็จะเลือกเข้าไปดูโฟลด์เดอร์ที่มีข้อมูลเยอะๆ ว่าเก็บอะไรเอาไว้บ้าง ซึ่ง 1 ใน 1000 นั้นก็คือโฟลเดอร์เก็บข้อมูลลูกค้าของTruemove H
ในส่วนของประเทศไทยนั้น ยังไม่มีกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ส่งผลให้เกิดการเปิดเผยข้อมูลส่วนบุคคลมาก แม้รัฐบาลจะได้พยายามผลักดันให้มีการตรากฎหมายการคุ้มครองข้อมูลส่วนบุคคลเป็นเวลากว่า 10 ปีแล้ว แต่ความตระหนักรู้เรื่องความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยยังมีอยู่ค่อนข้างน้อยหรือไม่ได้รับความสนใจโดยสิ้นเชิง
“เมื่อปี 2015 Mr. Schrems นักศึกษากฎหมายชาวออสเตรีย อายุ 23 ปี ได้ไปศึกษากฎหมายคุ้มครองข้อมูลส่วนบุคคลในสหรัฐอเมริกา และได้ชนะคดี Facebook ในศาลแห่งยุโรปเป็นข่าวโด่งดัง ในกรณีการส่งข้อมูลส่วนบุคคลจากยุโรปไปยังสหรัฐอเมริกาที่มีระดับการคุ้มครองต่ำกว่า ทำให้สหภาพยุโรปต้องทบทวนกรอบ EU-US Privacy Shield ใหม่ในปี 2016 ปัจจุบัน Mr. Schrems ก่อตั้งองค์กรไม่แสวงหากำไรชื่อว่า noyb.eu (None of Your Business) เพื่อดำเนินการทางกฎหมายเกี่ยวกับการใช้ประโยชน์ข้อมูลส่วนบุคคลของผู้ประกอบการ ปัจจุบัน noyb.eu ได้ดำเนินการร้องเรียนต่อ Google และ Facebook ตามมาตรฐาน GDPR แล้ว และยังส่งผลให้กลุ่มต่างๆ เริ่มร้องเรียนในลักษณะเดียวกันเพิ่มขึ้นอย่างต่อเนื่อง” ผศ.ดร.ปิยะบุตร กล่าว
ทั้งนี้ สาระสำคัญของการประกาศใช้ GDPR (EU General Data Protection Regulation) โดยสหภาพยุโรป ซึ่งเป็นการแก้ไขปรับปรุงหลักการคุ้มครองข้อมูลส่วนบุคคลฉบับเก่าให้มีผลบังคับใช้ตั้งแต่วันที่ 25 พ.ค. 2561 ที่ผ่านมา สรุปได้ดังนี้
(1) กำหนดการใช้อำนาจนอกอาณาเขต (extraterritorial jurisdiction) คือ ข้อมูลส่วนบุคคลของสหภาพยุโรปอยู่ภายใต้ความคุ้มครองไม่ว่าจะอยู่ในที่ใดในโลก
(2) บทลงโทษสูงขึ้น โดยองค์กรที่กระทำผิดอาจต้องจ่ายค่าปรับสูงถึงอัตราร้อยละ 4 ของผลประกอบการรายได้ทั่วโลก
(3) การขอความยินยอมจากเจ้าของข้อมูลต้องชัดเจนและชัดแจ้ง (clear and affirmative consent)
(4) การแจ้งเตือนเมื่อเกิดเหตุข้อมูลรั่ว หากพบว่าข้อมูลรั่วไหล หน่วยงานผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลต้องแจ้งให้หน่วยงานกำกับดูแล และประชาชนทราบภายใน 72 ชั่วโมง
(5) ขอบเขตสิทธิของเจ้าของข้อมูล ผู้ควบคุมข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบว่าข้อมูลจะถูกใช้อย่างไร เพื่อวัตถุประสงค์ใด และต้องจัดทำสำเนาข้อมูลให้กับเจ้าของข้อมูลในรูปแบบอิเล็กทรอนิกส์ โดยห้ามเก็บค่าใช้จ่ายเพิ่ม
(6) สิทธิในการโอนข้อมูลไปยังผู้ประกอบการอื่น (Right to data portability)
(7) สิทธิที่จะถูกลืม (Right to be Forgotten) เจ้าของข้อมูลสามารถขอให้หน่วยงานควบคุมข้อมูลลบข้อมูลของตัวเองออกได้
นอกจากการควบคุมการส่งข้อมูลภายในประเทศสมาชิกสหภาพยุโรปแล้ว สำหรับประเทศที่ไม่ได้เป็นสมาชิกสหภาพยุโรป หากจะทำการติดต่อรับ-ส่งข้อมูลกับบุคคลของประเทศสมาชิก ก็ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมเพียงพอเช่นกัน ซึ่งเป็นเหตุให้ผู้ประกอบการไทยต้องปรับตัวเพื่อรองรับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลดังกล่าว ที่ผ่านมากว่า 20 ปีรัฐบาลได้ผลักดันให้มีกฎหมายการคุ้มครองข้อมูลส่วนบุคคลฯ มาโดยตลอด แต่ก็ยังไม่ประสบความสำเร็จ ยังต้องดำเนินการตามขั้นตอนการพิจารณาอีกหลายขั้นตอน ในขณะที่องค์กรเอกชนทั้งหลายต่างได้รับผลกระทบจากการบังคับใช้ GDPR และมีความกังวลต่อการดำเนินการจัดการข้อมูลในความครอบครองของตนเพื่อให้เป็นไปตามหลักเกณฑ์ดังกล่าว โดยเฉพาะอย่างยิ่งองค์กรที่กระทำผิดอาจต้องจ่ายค่าปรับสูงถึงอัตราร้อยละ 4 ของผลประกอบการรายได้ทั่วโลก โดยค่าปรับสูงสุดคิดเป็นมูลค่าถึง 20 ล้านยูโร
ผู้สนใจที่ข้อมูลโดยละเอียดในการสัมมนาครั้งนี้ ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย เปิดให้ดาวน์โหลดได้ที่ www.law.chula.ac.th/home/view.aspx?id=1096
