ข้อมูล(ไม่)ส่วนบุคคล (3): GDPR

และสิ่งที่ผู้มีหน้าที่ต้องปฏิบัติตาม GDPR พึงต้องกระทำเพื่อหลีกเลี่ยงผลกระทบอันเกิดจากการไม่ปฏิบัติตาม GDPR อันรวมถึงค่าปรับมูลค่ามหาศาล ผลกระทบต่อชื่อเสียง และความสามารถในการประกอบธุรกิจ

ประเด็นสำคัญประเด็นแรกที่ผู้มีหน้าที่ต้องปฏิบัติตาม GDPR จะต้องพิจารณาคือ ข้อมูลที่ท่านจัดเก็บหรือกำลังจะจัดเก็บเป็น “ข้อมูลส่วนบุคคล (Personal Data)” หรือไม่ สาระสำคัญของคำนิยามคำว่า ข้อมูลส่วนบุคคล ตาม GDPR คือ ข้อมูลที่สามารถใช้ระบุตัวตนของเจ้าของข้อมูลซึ่งเป็นบุคคลธรรมดาได้ไม่ว่าทางตรงหรือทางอ้อม อาทิเช่น หมายเลขประจำตัวประชาชน สถานที่อยู่อาศัย และรวมถึงสิ่งที่สามารถใช้ระบุตัวตนของบุคคลในโลกออนไลน์ได้ เช่น IP Address และข้อมูลทางพันธุรกรรม เป็นต้น

เพื่อไม่ให้บทความนี้ยาวจนเกินไป ผู้เขียนขอสรุปย่อขอบเขตหน้าที่เนื้อหาของ GDPR ไว้เป็น 4 กลุ่มดังต่อไปนี้

1. หน้าที่ในการขอความยินยอมในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลซึ่งแม้ว่าจะเป็นหลักการที่มีมานานแล้ว แต่ GDPR ได้เพิ่มเติมเงื่อนไขที่ทำให้การขอความยินยอมให้มีผลสมบูรณ์ทำได้ยากขึ้น กล่าวคือ การขอความยินยอมโดยปริยาย (Deemed Consent) จะไม่สามารถใช้ได้อีกต่อไป เจ้าของข้อมูลจะต้องมีการกระทำที่ให้ความยินยอม (Affirmative Action) ที่ชัดเจน คำขอต้องมีรายละเอียดเกี่ยวกับผู้ควบคุมข้อมูล วัตถุประสงค์ในการจัดเก็บและการประมวลผล ระยะเวลาการจัดเก็บ วิธีการถอนความยินยอม หากจะมีการใช้ระบบประมวลผลอัตโนมัติก็ต้องแจ้งด้วย เป็นต้น และเพื่อให้การบังคับใช้ GDPR ได้ผลตามที่ต้องการ ผู้ร่าง GDPR ได้ออกแนวทางปฏิบัติที่กำหนดว่าความยินยอมที่เคยให้ไว้ก่อนที่ GDPR มีผลใช้บังคับจะไม่สามารถใช้ได้อีกต่อไป โดยผู้ประกอบการจะต้องขอความยินยอมที่สอดคล้องกับข้อกำหนดใน GDPR ใหม่ในทุกกรณี อนึ่ง เว้นแต่การจัดเก็บและการประมวลผลข้อมูลจะเข้าข้อยกเว้นที่ GDPR กำหนดว่าไม่ต้องขอความยินยอมจากเจ้าของข้อมูล
2. หน้าที่ในการให้ความคุ้มครองสิทธิแก่เจ้าของข้อมูลตามที่ GDPR กำหนดไว้ซึ่งได้แก่ สิทธิในการได้รับข้อมูลจากผู้ควบคุมข้อมูลซึ่งส่วนมากหมายถึงข้อมูลที่ผู้จัดเก็บมีหน้าที่ต้องแจ้งเจ้าของข้อมูล ณ ขณะที่ขอความยินยอมในการจัดเก็บข้อมูลตามที่กล่าวไว้ในข้อ 1 ข้างต้น สิทธิในการเข้าถึงข้อมูลของตนเอง สิทธิในการขอแก้ไขข้อมูลให้ถูกต้อง สิทธิในการขอลบข้อมูลของตน สิทธิในการกำหนดข้อห้ามในการประมวลผลข้อมูล สิทธิในการขอให้ผู้ควบคุมข้อมูลโอนย้ายข้อมูลไปยังผู้ควบคุมข้อมูลรายอื่น สิทธิในการปฏิเสธไม่ให้ระบบอัตโนมัติประมวลผลข้อมูลของตน
3. หน้าที่จัดให้มีระบบในการให้ความคุ้มครองและการรักษาความปลอดภัยแก่ข้อมูลส่วนบุคคลโดยมีแนวคิดว่าหากมีระบบในการป้องกันที่ดีย่อมดีกว่าการแก้ไขเมื่อข้อมูลมีการรั่วไหล
4. หน้าที่ในการแจ้งเจ้าของข้อมูลและหน่วยงานที่มีหน้าที่รับผิดชอบเมื่อข้อมูลส่วนบุคคลมีการรั่วไหลโดยไม่ล่าช้าโดยจะต้องแจ้งต่อหน่วยงานที่มีหน้าที่รับผิดชอบภายใน 72 ชั่วโมงนับแต่มีการรั่วไหลเกิดขึ้น

นอกจากนี้ GDPR ยังได้จัดลำดับชั้นข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ (Sensitive Personal Data) อาทิเช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในศาสนา พฤติกรรมทางเพศ ซึ่งเชื่อกันว่าเป็นข้อมูลที่อาจทำให้เจ้าของข้อมูลได้รับการปฏิบัติที่ไม่เป็นธรรม หรือถูกเกลียดชัง ทำให้ GDPR ข้อมูลเหล่านี้ได้รับการคุ้มครองที่เข้มงวดกว่า อาทิเช่น ข้อยกเว้นที่ไม่ต้องขอความยินยอมในการประมวลผลข้อมูลส่วนบุคคลในกรณีข้อมูลส่วนบุคคลทั่วไป อาจใช้ไม่ได้กับกรณีการประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ เป็นต้น

แม้ว่าเนื้อหาของ GDPR จะใช้ถ้อยคำที่อ่านเข้าใจง่าย แต่การจะนำมาปฏิบัติจริงให้ครบถ้วนสมบูรณ์นั้นยังมีความไม่ชัดเจนอยู่บ้าง เนื่องจากหน้าที่ที่กำหนดไว้บางข้อก็มีขอบเขตที่กว้าง บางข้อก็ต้องอาศัยการตีความของหน่วยงานที่เกี่ยวข้องว่าได้ดำเนินการอย่างครบถ้วนแล้วหรือไม่ เช่น การจัดให้มีระบบในการให้ความคุ้มครองและการรักษาความปลอดภัยแก่ข้อมูลส่วนบุคคลจะต้องมีความรัดกุมเพียงใดจึงจะถือว่าได้ปฏิบัติตามข้อกำหนดใน GDPR แล้ว ในส่วนนี้ยังคงต้องรอแนวทางปฏิบัติที่ชัดเจนต่อไป

โดย...

ภูริตา ธนโชคโสภณ

บริษัท อัลเลน แอนด์ โอเวอรี่ (ประเทศไทย) จำกัด

[email protected]