หนึ่งในกฎหมายที่น่าจะกระทบกับชีวิตประจำวัน โดยเฉพาะเจ้าของเว็บหรือผู้ให้บริการต่างๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล คือพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่ครม. เพิ่งจะไฟเขียวผ่านร่างกฎหมายนี้ไปเพื่อดำเนินการออกกฎหมายต่อไป แล้วกฎหมายตัวนี้คืออะไร เกี่ยวข้องยังไงกับ GDPR (The General Data Protection Regulation) กฎหมายคุ้มครองข้อมูลส่วนบุคคลตัวใหม่ของยุโรป เรามาหาคำตอบกันครับ

ปัญหาเกิดเมื่อผู้ให้บริการถือข้อมูลส่วนบุคคลมากเกินไป

ปัจจุบันแทบทุกบริการในอินเทอร์เน็ตนั้นมีการเก็บข้อมูลส่วนตัวของเราไปทั้งนั้น ทั้งแบบผู้ใช้ตั้งใจให้ข้อมูลอย่างการสมัครใช้บริการต่างๆ ที่ต้องมีการให้ข้อมูลอีเมล หรือที่อยู่เพื่อจัดส่งสินค้า หรือแบบที่ผู้ใช้ไม่ได้ตั้งใจให้ข้อมูล เช่นการจัดเก็บ Cookie บันทึกการเข้าเว็บของผู้ใช้ หรืออย่างที่ facebook นำข้อมูลการคลิก การกดไลค์ต่างๆ ไปวิเคราะห์หาลักษณะ (Profiling) ของผู้ใช้คนนั้น เพื่อนำเสนอโฆษณาที่เหมาะสม

ข้อมูลมหาศาลของผู้ใช้เหล่านี้สามารถนำไปใช้ประโยชน์ได้หลายอย่าง นอกจากการวิเคราะห์ลักษณะผู้ใช้ที่ยกตัวอย่างไปแล้ว ใกล้ตัวหน่อยก็เอาเมลหรือเบอร์โทรมายิงสแปมใส่ หรือข้อมูลส่วนตัวเหล่านี้ถูกขายต่อให้บริการอื่นๆ นำไปใช้ประโยชน์ หรือใช้เทคโนโลยีเพื่อนำข้อมูลเหล่านี้มาติดตามสอดแนมผู้ใช้ ที่เลวร้ายที่สุดคือถูกขโมยตัวตน เอารายละเอียดชีวิตของคนอื่นมาสวมรอยเพื่อก่ออาชญกรรมหรือโจรกรรมข้อมูลทางการเงินไป

ซึ่งปัญหานี้ชัดเจนขึ้นมากในกรณีของ Cambridge Analytica ที่ข้อมูลผู้ใช้กว่า 87 ล้านบัญชีหลุดไปอยู่ในมือของบริษัทวิเคราะห์ด้านการเมือง ซึ่งถูกตั้งข้อสงสัยว่าทำให้ผลการเลือกตั้งในสหรัฐอเมริกาเปลี่ยนแปลงไป คนทั่วโลกจึงหันมาสนใจข้อมูลส่วนบุคคลในโลกไซเบอร์มากขึ้น (พี่มาร์ก ณ เฟซบุ๊กก็อ่วมไปไม่น้อยจากกรณีนี้ โดนวุฒิสภาสหรัฐอเมริกาเรียกไปสอบสวนออกทีวีจนกลายเป็นข่าวใหญ่ไปทั่วโลก)

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลของไทยมีสาระสำคัญอย่างไร

ครม. เห็นชอบร่างพ.ร.บ. คุ้มครองข้อมูลส่วนตัวฉบับนี้เมื่อวันที่ 22 พฤษภาคมที่ผ่านมา ซึ่งสาระสำคัญของพ.ร.บ. ฉบับนี้มีดังนี้

  1. กำหนดนิยามคำว่า “ข้อมูลส่วนบุคคล” ให้ชัดเจนว่าคือข้อมูลที่ทำให้ระบุตัวบุคคลนั้นได้ไม่ว่าจะทางตรงหรือทางอ้อม
  2. กำหนดสิทธิเจ้าของข้อมูล ให้ผู้ใช้มีสิทธิเข้าถึงข้อมูลส่วนตัวของตน พร้อมเปิดเผยที่มาของข้อมูล รวมถึงมีสิทธิแก้ไขข้อมูลให้ถูกต้อง และให้สิทธิ์เจ้าของระงับการใช้ข้อมูลหรือทำลายข้อมูลของตัวเองได้
  3. เมื่อเกิดการละเมิดข้อมูลส่วนบุคคล โดนแฮก หรือข้อมูลรั่วไหล ผู้ให้บริการต้องรีบแจ้งให้เจ้าของข้อมูลทราบ พร้อมรายงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลถึงมาตรการเยียวยา

ตอนนี้กระทรวงดีอีกำลังเตรียมความพร้อมในการจัดตั้ง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานที่มีความเชี่ยวชาญและอิสระในการทำงานเพื่อจัดการกับปัญหาข้อมูลส่วนบุคคลต่อไป พร้อมกันนี้ยังได้มีการเปิด ศูนย์การเรียนรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Knowledge Center: DPKC) ภายใต้การดำเนินงานของสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) หรือเอ็ดต้า เพื่อเป็นศูนย์กลางในการส่งเสริมการเรียนรู้ด้านการคุ้มครองข้อมูลส่วนบุคคลให้แก่หน่วยงาน องค์กร และประชาชนด้วย

แต่ก็ยังไม่มีกำหนดเวลาที่แน่ชัดออกมาว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จะเริ่มใช้เมื่อไหร่ มีระยะเวลาให้บริษัทต่างๆ ปรับตัวนานแค่ไหน และจะมีบทลงโทษอย่างไรออกมา

สหภาพยุโรปตื่นตัวเรื่องนี้มานาน จนพัฒนาเป็นกฎหมาย GDPR

สหภาพยุโรป ดินแดนที่จริงจังเรื่องความเป็นส่วนตัวมากเริ่มมองเห็นปัญหาที่จะเกิดขึ้นจากการเก็บข้อมูลจำนวนมหาศาลของบริษัทไฮเทคต่างๆ จึงเริ่มพูดคุยถึงการปรับปรุงกฎหมาย Data Protection Directive เดิมที่ใช้มาตั้งแต่ปี 1995 ให้ทันยุคมากขึ้น โดยเริ่มเห็นชอบร่างกฎหมายใหม่ในปี 2014 แล้วใช้เวลาทั้งปี 2015 เพื่อปรับแก้ร่างกฎหมาย GDPR (General Data Protection Regulation) แล้วจึงประกาศกฎหมายนี้ในปี 2016 โดยให้เวลา 2 ปีก่อนการบังคับใช้จริงในวันที่ 25 พฤษภาคม 2018 นี้ เพื่อให้บริษัทต่างๆ มีการปรับตัวให้สอดรับกับกฎระเบียบใหม่

ประเด็นสำคัญของกฎหมาย GDPR

กฎหมายนี้เพิ่มสิทธิ์ของเจ้าของข้อมูลให้สามารถจัดการกับข้อมูลตัวเองที่อยู่ในบริการต่างๆ ได้ เช่น

  • ต้องได้รับความยินยอมก่อนเก็บข้อมูลจากผู้ใช้เสมอ ต้องไม่ทำตัวเลือกว่ายินยอมเป็นค่าเริ่มต้น และต้องแสดงข้อตกลงในการใช้งานเหล่านี้ให้เด่นชัด เข้าใจง่าย
  • ผู้ใช้สามารถแจ้งแก้ไขข้อมูล หรือขอให้ลบข้อมูลของตัวเองได้เมื่อไม่ต้องการใช้งานแล้ว
  • ผู้ใช้สามารถแจ้งให้ผู้บริการโอนย้ายข้อมูลไปยังบริการอื่นๆ ได้

แล้วเมื่อเกิดการรั่วไหลของข้อมูล ต้องรายงานต่อเจ้าหน้าที่ที่เกี่ยวข้องภายใน 72 ชั่วโมงหลังจากทราบว่าเกิดการรั่วไหล และผู้ใช้ต้องได้รับการแจ้งให้ทราบถึงกรณีข้อมูลรั่วไหล และความเสียหายที่อาจเกิดขึ้นด้วย

ที่สำคัญคือกฎหมายนี้ค่าปรับสูงมากครับ ถ้าพบว่าฝ่าฝืนและผิดจริง ค่าปรับสูงสุด 20 ล้านยูโร (750 ล้านบาท) หรือ 4% ของผลประกอบการทั่วโลกของปีที่แล้ว (แล้วแต่ว่าจำนวนไหนจะสูงกว่า) บริษัทที่เข้าไปเกี่ยวข้องกับผู้ใช้ชาวยุโรปจึงต้องสนใจกฎหมายนี้มากๆ ซึ่งในช่วงสัปดาห์ที่ผ่านมาจะเห็นว่าแอปต่างๆ มีการอัปเดทเพื่อให้รองรับกฎหมายนี้ และบริการต่างๆ ก็มีการส่งเมลมาถึงผู้ใช้เพื่อเคลียร์เกี่ยวกับเงื่อนไข GDPR ที่ผู้ใช้ต้องรับทราบ ส่วนบริการสำหรับเว็บต่างๆ อย่าง Google Analytics ก็ให้ผู้ใช้ปรับรูปแบบการเก็บข้อมูลให้สอดคล้องกับกฎหมายตัวนี้

อ้างอิง: ศูนย์ความรู้เกี่ยวกับข้อมูลส่วนบุคคล โดย สพธอ.