ข้อมูล(ไม่)ส่วนบุคคล (1)

หรือ Bing หรือการแชร์ข้อมูลผ่านช่องทางโซเชียลมีเดีย หรือสื่อออนไลน์ต่างๆ รวมถึงกรณีที่มีข่าวการนำข้อมูลส่วนบุคคลไปใช้โดยไม่ชอบ การรั่วไหลของข้อมูลส่วนบุคคล และการซื้อขายข้อมูลส่วนบุคคลเพื่อประโยชน์ทางการค้า เช่น กรณีที่ Facebook ทำข้อมูลส่วนตัวของผู้ใช้บริการกว่า 50 ล้านรายรั่วไหล ซึ่งข้อมูลดังกล่าวถูกนำไปใช้ในทางที่ไม่ชอบ ทำให้เป็นข่าวอื้อฉาวไปทั่วโลก การรั่วไหลของข้อมูลส่วนบุคคลของลูกค้า True Move H เมื่อเดือน เม.ย.ที่ผ่านมา รวมถึงเรื่องใกล้ตัวอย่างการซื้อขายข้อมูลส่วนตัวของลูกค้า เช่น ชื่อ เบอร์โทรศัพท์ อีเมล์ ในระหว่างผู้ประกอบธุรกิจ ทำให้ผู้ซื้อผู้ใช้บริการเริ่มมีความตระหนักถึงความสำคัญของการเก็บรักษาข้อมูลส่วนบุคคลมากขึ้น

อันที่จริงแล้ว รัฐบาลไทยในยุคต่างๆ เล็งเห็นถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลมาโดยตลอด โดยได้มีการยกร่างพระราชบัญญัติ (พ.ร.บ.) คุ้มครองข้อมูลส่วนบุคคล มาตั้งแต่ต้นปี 2540 แต่ร่างดังกล่าวก็ยังไม่ได้ฤกษ์ออกมาใช้บังคับ คงด้วยเหตุว่าในช่วงเวลานั้นผู้ที่เกี่ยวข้องยังคงไม่เห็นถึงความเร่งด่วนของกฎหมายฉบับนี้ ทำให้กฎหมายฉบับนี้มีสถานะเข้าๆ ออกๆ จากการพิจารณาของฝ่ายนิติบัญญัติมาโดยตลอด ซึ่งข้อดีคือทำให้ร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้รับการแก้ไขให้เข้ากับสถานการณ์ปัจจุบัน ทุกๆ ครั้งที่มีการเสนอร่างเข้าไปเพื่อพิจารณาใหม่

โดยล่าสุดคณะรัฐมนตรีได้มีมติเห็นชอบร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เมื่อวันที่ 22 พ.ค.ที่ผ่านมา (ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) โดยร่างดังกล่าวมีสาระสำคัญ 6 ประการดังนี้

1.การกำหนดขอบเขตนิยามข้อมูลส่วนบุคคล ให้หมายถึงข้อมูลเกี่ยวกับบุคคลที่ทำให้สามารถระบุตัวบุคคลได้ ไม่ว่าทางตรงหรือทางอ้อม

2.สิทธิของเจ้าของข้อมูลในการเข้าถึงข้อมูลตนเอง, ขอให้เปิดเผยการได้มา, สิทธิขอให้ระงับการใช้ หรือทำลายข้อมูล สิทธิในการขอแก้ข้อมูลให้ถูกต้อง และเป็นปัจจุบัน

3.การคุ้มครองและเยียวยา เมื่อมีการละเมิดข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบ พร้อมรายงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลถึงมาตรการเยียวยา เช่น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลต้องได้รับความยินยอม รวมถึงหน้าที่ในการลบ หรือทำลายข้อมูลเมื่อพ้นระยะเวลา

4.กำหนดให้ผู้ควบคุมข้อมูลเป็นผู้มีหน้าที่ในการดูแลข้อมูลส่วนบุคคล

5.กำหนดให้ผู้ประมวลผลข้อมูลทำการประมวลผล (ซึ่งหมายความรวมถึงการเก็บ รวบรวม ใช้ หรือเปิดเผย ตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล รวมถึงต้องมีมาตรการดูแลความมั่นคงปลอดภัยในการประมวลผล)

6.มาตรการความปลอดภัยในการเก็บข้อมูล ให้ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม

ไม่ใช่แต่เฉพาะในประเทศไทยเท่านั้น ที่การคุ้มครองข้อมูลส่วนบุคคลได้กลายมาเป็นประเด็นที่อยู่ในความสนใจอีกครั้ง สหภาพยุโรปเองก็ได้เห็นถึงความสำคัญในการปรับปรุงกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้รองรับกับบริบททางสังคมและพฤติกรรมการสื่อสารทางอิเล็กทรอนิกส์ที่เพิ่มมากขึ้น จึงได้มีการแก้ไข EU Directive 95/46 ซึ่งเป็นข้อบังคับการคุ้มครองข้อมูลส่วนบุคคลที่ใช้มาตั้งแต่ปี 2538 โดยการออก Regulation (EU) 2016/679 General Data Protection Regulation (GDPR) ตั้งแต่เมื่อวันที่ 14 เม.ย.2559 แต่เพิ่งจะมีผลบังคับใช้เมื่อวันที่ 25 พ.ค.ที่ผ่านมา ทั้งนี้เพื่อบุคคลที่เกี่ยวข้อง โดยเฉพาะผู้ควบคุมและผู้ประมวลผลข้อมูลมีเวลาเตรียมพร้อมที่จะพัฒนาและปรับปรุงระบบภายในของตนให้สามารถปฏิบัติตามเงื่อนไขใน GDPR ได้

มีข้อสังเกตว่าสาระสำคัญของร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ส่วนใหญ่มีความสอดคล้องกับหลักการใน GDPR หากแต่ว่า GDPR อาจมีขอบเขตที่กว้างกว่า เนื่องจากนิยามคำว่า “ข้อมูลส่วนบุคคล” ใน GDPR นั้นรวมถึงข้อมูลที่ไม่สามารถใช้ระบุตัวตนเจ้าของข้อมูลส่วนบุคคลได้ เช่น ข้อมูลที่ถูกเข้ารหัสไว้ แต่ถ้าสามารถนำไปผ่านกระบวนการประมวลผลใหม่แล้ว สามารถใช้ระบุตัวตนของเจ้าของข้อมูลได้ก็ถือได้ว่าเป็นข้อมูลส่วนบุคคล

นอกจากนี้ GDPR ยังกำหนดหลักเกณฑ์พิเศษสำหรับการประมวลผลข้อมูลที่มีความอ่อนไหวเป็นพิเศษ โดยต้องใช้กระบวนการประมวลผลที่มีความระมัดระวังและปลอดภัยมากกว่าการประมวลผลข้อมูลส่วนบุคคลธรรมดา และกำหนดหลักเกณฑ์ที่ต้องปฏิบัติเกี่ยวกับการส่งผ่านข้อมูลไปยังประเทศที่สามด้วย

ในบทความครั้งต่อไปผู้เขียนจะอธิบายเพิ่มเติมเกี่ยวกับ GDPR และทำไมผู้ประกอบกิจการในประเทศไทยจึงควรให้ความสนใจ

แล้วพบกันใหม่โอกาสหน้า สวัสดีค่ะ

*** บทความนี้เป็นความเห็นส่วนตัวของผู้เขียนอันเป็นความเห็นในทางวิชาการ และไม่ใช่ความเห็นของบริษัท อัลเลน แอนด์ โอเวอรี่ (ประเทศไทย) จำกัด ที่ผู้เขียนทำงานอยู่ ***

 

โดย... 

ภูริตา ธนโชคโสภณ

บริษัท อัลเลน แอนด์ โอเวอรี่ (ประเทศไทย) จำกัด

[email protected]