กม.คุ้มครองข้อมูลส่วนบุคคลใหม่อียู จะมีผลต่อผู้ประกอบการไทย?

สำหรับร่างกฎหมายให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคฉบับใหม่ คือ General Data Protection Regulation (GDPR) ซึ่งเมื่อกระบวนการบัญญัติกฎหมายของทั้งคณะมนตรีแห่งสหภาพยุโรปและรัฐสภายุโรปในขั้นต่อไปเสร็จสิ้นภายในประมาณเดือนมีนาคมหรือเมษายนในปีนี้แล้ว กฎหมายฉบับนี้จะมีผลบังคับใช้อย่างสมบูรณ์ภายในเวลาประมาณ 2 ปีข้างหน้า และจะมีผลบังคับใช้แทนกฎหมายฉบับปัจจุบัน คือ EU Data Protection Directive ที่บังคับใช้โดยหน่วยงานกำกับดูแลของแต่ละประเทศสมาชิกมาตั้งแต่ปี 2538

ร่างกฎหมายฉบับนี้มีข้อกำหนดให้ธุรกิจต่างๆ โดยเฉพาะอย่างยิ่งธุรกิจบริการทางอินเทอร์เน็ตต้องปฏิบัติตามมาตรการต่างๆ ที่เพิ่มความเข้มงวดในการคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคเช่น การกำหนดให้ธุรกิจใดๆ ที่มีกิจกรรมหลักเกี่ยวข้องกับการประมวลข้อมูลส่วนบุคคลของลูกค้าต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer) และการกำหนดให้ธุรกิจที่มีข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้บริการต้องระบุเงื่อนไขการใช้งานที่เกี่ยวข้องกับสิทธิส่วนบุคคลด้วยภาษาที่ชัดเจน และเข้าใจง่ายพร้อมทั้งต้องขอรับความยินยอมจากผู้ใช้บริการในการจัดเก็บ และใช้งานข้อมูลดังกล่าว โดยธุรกิจต่างๆ ไม่สามารถสรุปจากการที่ของลูกค้าไม่โต้แย้งเงื่อนไข หรือการกรอกแบบฟอร์มยอมรับเงื่อนไขการใช้บริการให้แก่ลูกค้าล่วงหน้าว่า เป็นการให้ความยินยอมโดยลูกค้า

หนึ่งในหลายมาตรการใหม่ที่อียูจะกำหนดให้ใช้ภายใต้ร่างกฎหมายฉบับนี้ คือมาตรการการคุ้มครอง “สิทธิที่จะถูกลืม” (rights to be forgotten) โดยสิทธินี้เป็นสิทธิที่ศาลยุติธรรมแห่งสหภาพยุโรปได้ตีความและชี้ชัดในคำพิพากษาเมื่อปี 2557 ว่า“สิทธินี้เป็นสิทธิของผู้บริโภคในยุโรป และมีผลให้ผู้ให้บริการใดๆ ที่มีข้อมูลส่วนบุคคลในอินเทอร์เน็ตที่ไม่มีความเกี่ยวข้อง ล้าสมัย หรือไม่มีความสำคัญใดๆ อีกต่อไป จำเป็นต้องลบข้อมูลดังกล่าวตามคำร้องของบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้นๆ”

มาตรการคุ้มครองสิทธิที่จะถูกลืมและการคุ้มครองสิทธิข้อมูลส่วนบุคคลของอียูอื่นๆ อาจดูเหมือนว่าจะส่งผลกระทบต่อบริษัทผู้ให้บริการทางอินเทอร์เน็ตรายใหญ่ เช่น Facebook หรือ Google ที่เป็นคู่กรณีในคดีความต่างๆ ที่ศาลยุติธรรมแห่งสหภาพยุโรปได้ตัดสินในช่วงที่ผ่านมาเท่านั้น แต่ในปัจจุบัน การประมวลข้อมูลที่อยู่บนอินเทอร์เน็ตเหล่านี้มีความสำคัญอย่างมากในการทำการตลาดของธุรกิจต่างๆ เพราะการสร้างและใช้ฐานข้อมูลส่วนบุคคลของลูกค้าเป็นองค์ประกอบที่สำคัญในการทำการตลาดอย่างมีประสิทธิภาพ ซึ่งข้อมูลที่ใช้ก็ไม่ได้จำกัดเพียงแค่ข้อมูลที่อยู่ อีเมล์ หรือหมายเลขโทรศัพท์ของลูกค้า แต่ยังรวมไปถึงประวัติการซื้อสินค้าและบริการ หรือความชอบส่วนตัวของลูกค้า ซึ่งเมื่อกฎหมาย GDPR มีผลบังคับใช้แล้ว ผู้ประกอบการก็ไม่อาจสร้างฐานข้อมูลของลูกค้าได้หากลูกค้าไม่ให้ความยินยอมอย่างชัดเจน หรือแม้แต่การจัดเก็บหรือใช้ข้อมูลของอดีตลูกค้าในการทำการตลาด เช่นการส่งข้อมูลโฆษณาสินค้าหรือบริการทางอีเมล์ก็ไม่อาจทำได้อีกต่อไป เนื่องจากผู้บริโภคมีสิทธิความเป็นเจ้าของและสามารถโยกย้ายข้อมูลส่วนบุคคลดังกล่าวไปบริษัทคู่แข่งหรือสามารถขอให้บริษัทลบข้อมูลดังกล่าวออกจากฐานข้อมูลได้

อย่างไรก็ตาม ความน่าสนใจมากที่สุดของร่างกฎหมายฉบับนี้อยู่ที่บทลงโทษสำหรับธุรกิจที่ไม่ปฏิบัติตามข้อกำหนดของอียูที่จะมีผลเป็นค่าปรับซึ่งมีเพดานสูงถึง 20 ล้านยูโร หรือร้อยละ 4 ของรายได้ทั้งหมดทั่วโลกของบริษัทที่ถูกลงโทษแล้วแต่ว่าจำนวนใดจะสูงกว่า และที่สำคัญที่สุด ผลบังคับใช้จะไม่จำกัดเฉพาะบริษัทที่ตั้งอยู่ในประเทศสมาชิกอียูเท่านั้น แต่จะครอบคลุมไปถึงบริษัทที่มีลูกค้าอยู่ในอียูด้วย ซึ่งแม้ว่าร่างกฎหมายฉบับนี้จะมีข้อยกเว้นสำหรับธุรกิจขนาดกลางและขนาดย่อม (SMEs) ตามคำจำกัดความของคณะกรรมาธิการยุโรปแต่หากกิจกรรมของธุรกิจ SMEs ใช้การเก็บและประมวลข้อมูลจำนวนมาก ธุรกิจดังกล่าวจะต้องอยู่ภายใต้ข้อบังคับของ GDPR ด้วย และยิ่งไปกว่านั้น GDPR ได้กำหนดด้วยว่า ขอบเขตความรับผิดชอบในการปฏิบัติตามกฎหมายของอียูไม่ได้เป็นของผู้จัดเก็บข้อมูลส่วนบุคคล (Data Controller) เพียงผู้เดียวอีกต่อไป แต่ผู้ทำหน้าที่ประมวลข้อมูลส่วนบุคคล (Data Processor) อาทิ บริษัทการตลาดที่ทำหน้าที่วิจัยข้อมูล จำเป็นต้องมีความรับผิดชอบด้วยเช่นกัน

ร่างกฎหมายฉบับนี้เป็นความพยายามของอียูที่จะทำให้การบังคับใช้กฎหมายของอียูในการคุ้มครองข้อมูลส่วนบุคคลของอียูเป็นไปอย่างกว้างขวาง แม้กระทั่งในประเทศที่อยู่นอกอาณาเขตภายใต้กฎหมายของอียู ซึ่งความพยายามของอียูในการทำให้การคุ้มครองข้อมูลส่วนบุคคลของอียูมีประสิทธิภาพมากที่สุด

ทั้งนี้ ที่ผ่านมาอียูได้พยายามสร้างมาตรฐานในการกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคลด้วยการใช้ Safe Harbour Agreement ซึ่งเป็นความตกลงที่ยอมรับระดับการกำกับดูแลการคุ้มครองข้อมูลส่วนตัวในระดับทวิภาคีระหว่างอียูกับประเทศและเขตปกครองตนเองที่อยู่นอกอียู เช่น แคนาดา อิสราเอล สวิตเซอร์แลนด์ หรือหมู่เกาะแฟโรของเดนมาร์ก

แต่การใช้ Safe Harbour Agreement ของอียูยังเป็นไปในขอบเขตที่จำกัด และเมื่อวันที่ 6 ตุลาคม 2558 ศาลยุติธรรมแห่งสหภาพยุโรปได้ตัดสินว่า คำสั่งของคณะกรรมาธิการยุโรปที่อนุญาตให้ผู้ให้บริการทางอินเทอร์เน็ต หรือบริษัทต่างๆ สามารถใช้โครงข่ายการรับ-ส่งข้อมูลระหว่างอียูและสหรัฐ ได้โดยไม่ต้องอยู่ภายใต้การกำกับดูแลจากหน่วยงานที่ดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศสมาชิกอียู โดยอิงจากความตกลง Safe Harbour Agreementระหว่างอียูกับสหรัฐ เมื่อปี 2543 เป็นโมฆะ ทำให้บริษัทที่มีการรับ-ส่งข้อมูลผ่านโครงข่ายระหว่างอียูและสหรัฐ จำเป็นต้องทำสัญญาซึ่งร่างโดยคณะกรรมาธิการยุโรประหว่างนิติบุคคลผู้รับและนิติบุคคลผู้ส่งข้อมูลออกนอกอียูเพื่อยืนยันว่า บริษัทได้ให้การคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้งานตามกฎหมายของประเทศสมาชิกอียูในระดับที่เป็นไปตามEU Data Protection Directive ฉบับปัจจุบัน แต่บริษัทเหล่านี้ยังคงมีความเสี่ยงที่จะถูกตรวจสอบโดยหน่วยงานที่ทำหน้าที่กำกับดูแลในประเทศสมาชิกอียู

สำหรับสหรัฐ คำตัดสินของศาลย่อมเป็นปัจจัยหนึ่งที่ทำให้สหรัฐ ต้องหาทางสรุปการเจรจา Safe Habour Agreement ฉบับใหม่กับอียูที่ดำเนินการเจรจามาตั้งแต่ปี 2557 และหลายฝ่ายคาดว่าน่าจะยังไม่สามารถสรุปการเจรจาได้ภายในวันที่ 31 มกราคม 2559 ตามกำหนดเวลาที่ทั้งสองฝ่ายได้ตั้งไว้ นอกจากนี้ เมื่อวันที่ 16 มกราคม 2559 นาง Margarthe Vestager กรรมาธิการยุโรปด้านนโยบายการแข่งขันของอียูได้กล่าวด้วยว่า การใช้และครอบครองข้อมูลส่วนบุคคลของผู้ใช้งานโดยผู้ให้บริการทางอินเทอร์เน็ตรายใหญ่อาจนำไปสู่การใช้อำนาจครองตลาด ซึ่งธุรกิจขนาดใหญ่ของสหรัฐมีความกังวลอย่างมากว่า คณะกรรมาธิการยุโรปจะใช้มาตรการในการกำกับดูแลการแข่งขันในตลาดร่วมมาประกอบในการกำกับดูแลข้อมูลส่วนบุคคลด้วยในช่วงที่สหรัฐ ยังไม่สามารถสรุปการเจรจา Safe Harbour Agreement ได้

อย่างไรก็ตาม มาตรการใหม่ที่มาพร้อมกับ GDPR ที่กำลังจะเกิดขึ้นจะเพิ่มความเข้มงวดในการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้งานในอียู และมีผลกับทุกประเทศไม่ว่าประเทศนั้นๆ จะมี Safe Harbour Agreement กับอียูหรือไม่ก็ตาม ดังนั้น ธุรกิจไทยที่มีลูกค้าอยู่ในอียูและจำเป็นต้องใช้การวิเคราะห์หรือประมวลข้อมูลส่วนบุคคลของลูกค้าที่อยู่ในอียู ไม่ว่าจะใช้สำหรับการค้าขายสินค้าและบริการ หรือกิจกรรมทางการตลาดอื่นๆ ที่ต้องใช้การประมวลหรือจัดเก็บข้อมูลส่วนบุคคลของลูกค้าคงจะต้องเรียนรู้ที่จะปรับตัว เพื่อปฏิบัติตามกฎระเบียบใหม่ของอียูภายในเวลา 2 ปีข้างหน้า ก่อนกฎหมายฉบับนี้จะมีผลบังคับใช้อย่างสมบูรณ์เช่นกัน

-----------------------

โดย ทีมงานไทยยุโรปดอทเน็ต