ข้อมูล(ไม่)ส่วนบุคคล (2)
บทความครั้งที่แล้วผู้เขียนได้เกริ่นถึง GDPR ซึ่งเป็นกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลฉบับใหม่ของสหภาพยุโรป
ที่เพิ่งมีผลบังคับใช้เมื่อวันที่ 25 พ.ค.2561 และผู้เขียนได้ทิ้งท้ายเอาไว้ว่าในบทความครั้งต่อไปจะมาเล่าถึงความสำคัญว่า ทำไมผู้ประกอบกิจการในประเทศไทยจึงควรให้ความสนใจ หากตอบแบบสั้นๆ ก็เป็นเพราะว่า GDPR ไม่ได้มีผลใช้บังคับเฉพาะกับประเทศสมาชิกในสหภาพยุโรปเท่านั้น แต่ขอบเขตที่ค่อนข้างกว้างของ GDPR จึงอาจทำให้ผู้ประกอบกิจการในประเทศไทยจะต้องปฏิบัติตามข้อกำหนดใน GDPR ด้วย แม้ว่าจะไม่มีสถานประกอบกิจการอยู่ในประเทศสมาชิกสหภาพยุโรปเลยก็ตาม
ประการแรก มาตรา 3 ของ GDPR ได้กำหนดไว้ว่า "ผู้ควบคุมข้อมูล (Data Controller)" หรือ "ผู้ประมวลผลข้อมูล (Data Processer)" ที่อยู่นอกประเทศสมาชิกสหภาพยุโรปจะต้องปฏิบัติตามข้อกำหนดใน GDPR เมื่อมีการประมวลผลข้อมูลที่เกี่ยวกับการขายสินค้า หรือการให้บริการแก่ลูกค้าที่อาศัยอยู่ในสหภาพยุโรป (แม้ว่าจะไม่ได้รับค่าตอบแทนก็ตาม) หรือมีการติดตามหรือเฝ้าระวังพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลซึ่งอาศัยอยู่ในสหภาพยุโรป ตัวอย่างเช่น บริษัทขายสินค้าออนไลน์ในไทยขายสินค้าให้กับลูกค้าที่อาศัยอยู่ในฝรั่งเศส บริษัทดังกล่าวก็อาจมีหน้าที่ต้องปฏิบัติตามข้อบังคับของ GDPR ด้วย บริษัทหลักทรัพย์ หรือธนาคารพาณิชย์ที่ให้บริการแก่ลูกค้าที่อยู่ในประเทศสมาชิกสหภาพยุโรปก็อาจจะต้องปฏิบัติตาม GDPR ด้วยเหตุผลเดียวกัน
ประการที่สอง GDPR มีการกำหนดหลักเกณฑ์เกี่ยวกับการส่งข้อมูลส่วนบุคคลไปยังประเทศที่ไม่ใช่สมาชิกสหภาพยุโรป โดยมีสาระสำคัญว่าการส่งข้อมูลดังกล่าวจะทำไม่ได้ นอกเสียจากว่าประเทศนั้นจะมีกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคลที่ไม่ต่ำไปกว่ามาตรฐานที่กำหนดไว้ใน GDPR แต่อย่างที่ทุกท่านทราบกันดีว่าประเทศไทยยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ทำให้การส่งข้อมูลดังกล่าวมายังประเทศไทยไม่สามารถทำได้ เว้นแต่ผู้รับโอนข้อมูลจะมีกลไกในการคุ้มครองสิทธิของเจ้าของข้อมูลเทียบเท่ากับ GDPRด้วยเหตุนี้ผู้ประกอบกิจการไทยที่เป็นผู้รับโอนข้อมูลของบุคคลที่อยู่ในสหภาพยุโรปจึงอาจมีหน้าที่ต้องปฏิบัติตาม GDPR
ผลของการไม่ปฏิบัติตาม GDPR อาจทำให้ผู้ประกอบกิจการโดนปรับสูงสุดถึง 4% ของผลประกอบการทั้งหมดทั่วโลก หรือ 20 ล้านยูโร แล้วแต่ว่าจำนวนใดจะสูงกว่า ผู้ประกอบการไทยจึงควรมีมาตรการเพื่อลดความเสี่ยงจากผลกระทบที่อาจเกิดจาก GDPR โดยในเบื้องต้นอาจเริ่มจากการตั้งคณะทำงานภายในองค์กร เพื่อศึกษาและตรวจสอบว่าธุรกิจของท่านเข้าข่ายที่จะต้องปฏิบัติตาม GDPR หรือไม่ และปัจจุบันนโยบายในการคุ้มครองข้อมูลส่วนบุคคล รวมถึงแนวทางการปฏิบัติงานภายในของบริษัทที่ใช้บังคับอยู่นั้น สอดคล้องกับ GDPR แล้วหรือยัง นอกจากนี้ ท่านอาจพิจารณาให้มีการจัดการอบรมให้แก่พนักงานของท่านเพื่อสร้างความรู้ ความเข้าใจเกี่ยวกับการปฏิบัติตาม GDPR
อนึ่ง แม้ว่าผลกระทบของการไม่ปฏิบัติตาม GDPR จะค่อนข้างสูง แต่ยังมีข้อสงสัยว่าในทางปฏิบัติการบังคับใช้ GDPR กับผู้ประกอบธุรกิจในประเทศไทยจะทำได้อย่างไร โดยเฉพาะอย่างยิ่งในกรณีที่ผู้ประกอบธุรกิจดังกล่าวไม่มีกิจการหรือทรัพย์สินใดๆ อยู่ในประเทศสมาชิกสหภาพยุโรปเลย เช่น บริษัทขายสินค้าออนไลน์ดังที่ได้ยกตัวอย่างไปข้างต้น หากหน่วยงานกำกับดูแล GDPR จะปรับบริษัทขายสินค้านั้น ก็คงจะต้องมาบังคับในประเทศไทย ซึ่งศาลไทยไม่น่าจะบังคับให้เพราะ GDPR เป็นกฎหมายต่างประเทศ ประเด็นนี้จึงควรต้องติดตามต่อไปว่า สหภาพยุโรปจะมีมาตรการขอความร่วมมือจากรัฐบาลไทยเพื่อประโยชน์ในการบังคับใช้ GDPR หรือไม่ อย่างไร
ในบทความครั้งต่อไปผู้เขียนจะอธิบายเพิ่มเติมเกี่ยวกับข้อกำหนดและการปฏิบัติตาม GDPR แล้วพบกันใหม่โอกาสหน้า สวัสดีค่ะ
โดย...
ภูริตา ธนโชคโสภณ
บริษัท อัลเลน แอนด์ โอเวอรี่ (ประเทศไทย) จำกัด
