Thu. Oct 18th, 2018
GDPR นโยบายปกป้องข้อมูลส่วนบุคคลของ EU ที่ผู้ประกอบการต้องรู้

GDPR นโยบายปกป้องข้อมูลส่วนบุคคลของ EU ที่ผู้ประกอบการต้องรู้

จากกรณีที่ Mark Zuckerberg ซีอีโอของ Facebook ได้ออกมายอมรับว่าข้อมูลส่วนบุคคลของผู้ใช้บริการ Facebook ได้มีการรั่วไหลถึง 87 ล้านบัญชี แม้ข้อมูลส่วนใหญ่จะเป็นของผู้มีถิ่นอาศัยในสหรัฐอเมริกาแต่ก็มีข้อมูลกว่า 16 ล้านบัญชีที่เป็นของผู้ใช้งานทั่วโลกซึ่งก็ถือว่าเป็นข้อมูลที่ไม่น้อยเลยเดียว ภายหลังจากเกิดเหตุการณ์ดังกล่าว วุฒิสภาสหรัฐ ฯ จึงได้มีการสอบสวนไต่ความถึงกรณีข้อมูลส่วนบุคคลรั่วไหลครั้งนี้จากนายใหญ่เฟซบุ๊กโดยทันที

ต้นสายปลายเหตุของเรื่องนี้เริ่มต้นจาก Dr. Aleksandr Kogan ผู้ซึ่งเคยร่วมงานกับมหาวิทยาลัย Cambridge ได้พัฒนาแอปพลิเคชันที่มีจุดประสงค์เพื่อทำนายบุคลิกภาพของผู้ใช้งานเฟซบุ๊กที่มีชื่อว่า thisisyourdigitallife (This is Your Digital Life) โดยลักษณะการทำงานของแอป ฯ นี้จะเป็นคำถามทายใจ (Quiz) และอาศัยข้อมูลเชิงจิตวิทยามาอ้างอิง และเป็นที่ทราบกันดีว่าแอป ฯ ในแบบ Quiz กำลังได้รับความนิยมอย่างมาก ซึ่งเงื่อนไขการใช้งาน thisisyourdigitallife นั้น ผู้ใช้จะต้องให้ข้อมูลส่วนตัวตามที่แอป ฯ ร้องขอเพื่อที่จะนำข้อมูลดังกล่าวไปประมวลผล ไม่ว่าจะเป็นข้อมูล ชื่อ-สกุล เพศ ชื่อเล่น สิ่งที่ชอบ วันเดือนปีเกิด หรือ อีเมล เป็นต้น

ทว่าข้อมูลส่วนบุคคลทั้งหมดกลับถูกส่งต่อไปให้บริษัท Cambridge Analytica ซึ่งเป็นบริษัทที่รับทำงานวิจัยเพื่อการเลือกตั้ง โดยบริษัทได้นำข้อมูลดังกล่าวไปทำแคมเปญในการหาเสียงทางการเมือง ที่น่าตกใจก็คือ Cambridge Analytica ถูกสงสัยว่าได้นำข้อมูลส่วนบุคคลนี้ไปใช้ประโยชน์ในช่วงหาเสียงเลือกตั้งประธานาธิบดีสหรัฐครั้งที่ผ่านมา ซึ่งผลการเลือกตั้งก็ได้สร้างความประหลาดใจอย่างที่หลายคนทราบกันดี ข้อมูลดังกล่าวยังอาจจะถูกนำไปใช้กับการหาเสียงเพื่อการออกจากสหภาพยุโรปของสหราชอาณาจักร หรือ BREXIT อีกด้วย แน่นอนว่านอกจากจะถูกวุฒิสภาสหรัฐ ฯ สอบสวนแล้ว Mark Zuckerberg ยังถูกเชิญไปรับการไต่สวนจากรัฐสภายุโรปอีกด้วย

Facebook

จากกรณีดังกล่าวกลุ่มสหภาพยุโรป (European Union – EU) จึงได้หันกลับมาให้ความสำคัญของการปกป้องข้อมูลส่วนบุคคลของพลเมืองของตนทันที โดยเฉพาะอย่างยิ่งกลุ่มผู้ใช้งานที่ต้องให้ข้อมูลส่วนบุคคลแก่ธุรกิจหรือผู้ให้บริการออนไลน์ อันที่จริงแล้วก่อนหน้านั้น EU ได้กำหนดข้อบังคับระดับสากลที่เรียกกันว่า EU Directive 95/46 ในปี 1995 ซึ่งข้อบังคับดังกล่าวก็เพื่อที่จะควบคุมการส่งข้อมูลระหว่างกลุ่มประเทศสมาชิก ส่วนประเทศใดที่ไม่ได้อยู่ในกลุ่มก็จำเป็นต้องมีข้อปฏิบัติที่ต้องรองรับกับข้อบังคับนี้ด้วยเช่นเดียวกัน

20 ปีถัดมา ข้อบังคับ EU Directive 95/46 ได้ถูกนำกลับมาพิจารณาอีกครั้งภายใต้บริบทใหม่ เมื่อเทคโนโลยีโลกมีความเปลี่ยนแปลงไปจากเดิมอย่างมาก ในที่สุดข้อกำหนด The General Data Protection Regulation (GDPR) ก็ได้ถือกำเนิดขึ้นและได้ถูกประกาศใช้ไปตั้งแต่วันที่ 25 พฤษภาคม 2018

The General Data Protection Regulation (GDPR) คือ กฎหมายที่กำหนดมาเพื่อคุ้มครองข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป (EU) ไม่ว่าจะเป็นข้อมูล ชื่อ-สกุล เพศ ชื่อเล่น อีเมล สิ่งที่ชอบ วันเดือนปีเกิด ศาสนา เชื้อชาติ หมายเลขไอพี พิกัดภาพถ่าย ข้อมูลสุขภาพ หรือข้อมูลทางด้านการเงิน เป็นต้น ทั้งนี้ บทบัญญัติของข้อกฎหมายจะมีผลโดยตรงต่อผู้ประกอบการทั้งในยุโรปหรือนอกยุโรปที่ถือครองข้อมูลส่วนบุคคลของพลเมืองในสหภาพยุโรป ซึ่งหากผู้ประกอบการใดละเลยหรือไม่ปฏิบัติตามก็จะมีโทษค่อนข้างหนัก สำหรับบริษัทที่มีกิจการอยู่ทั่วโลก มีอัตราการปรับสูงสุดถึง 20 ล้านยูโร หรือ ปรับในสัดส่วน 4% ของรายได้ต่อปี แล้วแต่จำนวนใดจะสูงกว่า

ข้อกำหนดในเรื่องสิทธิของเจ้าของข้อมูลตามกฎ GDPR

ที่ผู้ประกอบการต้องรู้แม้ GDPR จะถูกกำหนดมาเพื่อเป็นข้อบังคับสำหรับผู้ประกอบการใน EU แต่สำหรับชาติที่อยู่นอกกลุ่มประเทศดังกล่าวหากต้องการที่จะค้าขายด้วยก็ต้องยอมรับข้อกำหนด GDPR ให้ได้ ซึ่งก็รวมไปถึงประเทศไทยด้วยเช่นกัน โดยเฉพาะการออกแบบระบบการจัดเก็บข้อมูลส่วนบุคคลของลูกค้าที่มาจากกลุ่มประเทศดังกล่าวให้มีความสอดคล้องและสนับสนุนในเรื่องสิทธิของเจ้าของข้อมูลตามข้อกำหนด ดังต่อไปนี้

  1. เจ้าของข้อมูลต้องได้รับแจ้งเมื่อข้อมูลสูญหาย ในกรณีที่ข้อมูลส่วนบุคคลของลูกค้ามีการรั่วไหล แม้จะเป็นเพียงบางส่วน ผู้ประกอบการจะต้องเร่งดำเนินการแจ้งไปยังเจ้าของข้อมูลภายใน 72 ชั่วโมง
  2. เมื่อผู้ให้บริการต้องการขอข้อมูลจากผู้ใช้บริการจะต้องใช้ภาษาที่เข้าใจง่าย ไม่วกวน หรือกำกวม จนอาจทำให้เข้าใจผิดได้
  3. เมื่อผู้ใช้บริการต้องการร้องขอข้อมูลของตนจากผู้ให้บริการ ผู้ให้บริการจะต้องส่งข้อมูลในรูปแบบของไฟล์ดิจิทัลเท่านั้นและผู้ใช้บริการสามารถนำข้อมูลดังกล่าวไปใช้งานต่อได้
  4. เมื่อผู้ใช้บริการร้องขอให้ผู้ให้บริการทำการลบข้อมูล ผู้ให้บริการจะต้องเร่งดำเนินการอย่างไม่มีเงื่อนไข
  5. ข้อมูลของผู้ใช้บริการสามารถส่งต่อให้ผู้ให้บริการรายอื่นได้ ซึ่งก็รวมไปถึงคู่แข่งของผู้ให้บริการรายนั้น ๆ ด้วยเช่นกัน หากเป็นความประสงค์ของผู้ใช้บริการ
  6. การป้องกันข้อมูลของผู้ใช้บริการจะต้องออกแบบมาตั้งแต่เริ่มต้นพัฒนาระบบบริการ
  7. ผู้ให้บริการต้องมีเจ้าหน้าที่คุ้มครองดูแลจัดการข้อมูลของผู้ใช้โดยตรง

เห็นได้ชัดว่า GDPR จะกระทบกับธุรกิจที่ต้องเก็บข้อมูลส่วนบุคคลของลูกค้าที่เป็นพลเมือง EU ทั้งหมด โดยเฉพาะธุรกิจการท่องเที่ยวและการโรงแรม หากผู้ให้บริการไม่ดำเนินการใด ๆ ก็ย่อมจะได้รับผลกระทบอย่างหลีกเลี่ยงไม่ได้ ซึ่งไม่แน่ว่าในอนาคต GDPR อาจจะกลายมาเป็นแนวทางในการกำหนดนโยบายการปกป้องข้อมูลส่วนบุคคลของทุกประเทศก็เป็นได้ ดังนั้น หากผู้ประกอบการเร่งประสานผู้เชี่ยวชาญเพื่อหาทางปรับปรุงรูปแบบในการให้บริการข้อมูลส่วนบุคคลแก่ผู้ใช้บริการ ก็ย่อมจะเป็นผลดีต่อกิจการในอนาคตอย่างแน่นอน