การคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป

ในสหภาพยุโรป มาเผยแพร่ เพื่อเป็นข้อมูลให้ผู้ประกอบการไทยที่จะติดต่อเจรจาทำธุรกิจกันต่อไปได้ เนื่องจากมีส่วนที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่ได้รับการคุ้มครองตามกฎระเบียบของสหภาพยุโรปในการคุ้มครองข้อมูลส่วนบุคคลบับใหม่ที่เข้มงวดกว่าเดิมมาก

กฎระเบียบดังกล่าว คือกฎ (EU) 2016/679 แห่งสภายุโรปและคณะมนตรีแห่งสหภาพยุโรป ลงวันที่ 27เมษายน 2559 ที่เรียกว่า The General Data Protection Regulation (GDPR) ที่ใช้บังคับแทน ข้อกำหนดการคุ้มครองส่วนบุคคลของสหภาพยุโรป 1995 ซึ่งมีผลใช้บังคับตั้งแต่วันที่25 พฤษภาคม 2561

กฎระเบียบฉบับนี้เป็นกฎทั่วไปเพื่อการคุ้มครองข้อมูลส่วนบุคคลของประเทศสมาชิกทั้ง 28 ประเทศให้เป็นมาตรฐานเดียวกัน รวมถึงอังกฤษ ที่กำลังจะออกจากการเป็นสมาชิกของสหภาพยุโรป แม้เมื่อออกจากสหภาพยุโรปแล้ว การคุ้มครองข้อมูลส่วนบุคคลของอังกฤษก็ยังอยู่ในมาตรฐานระดับนี้ เพราะอังกฤษได้ตรากฎหมายคุ้มครองข้อมูลส่วนบุคคลโดยยึดกฎรนะเบียบนี้เป็นเกณฑ์ แม้มีการแก้ไขเปลี่ยนแปลงก็แก้ไขเปลี่ยนแปลงเพียงเล็กน้อย

กฎระเบียบฉบับนี้ ในส่วนที่เป็นอารัมภบทที่แสดงถึงหลักการและเหตุผลของกฎระเบียบฉบับนี้มี173ข้อ ส่วนที่เป็นบทบัญญัติของตัวกฎระเบียบมี 99 มาตรา สาระที่สำคัญ เช่น

ความหมายของคำว่า “ข้อมูลส่วนบุคล” หมายถึงข้อมูลใดฯ ที่เกี่ยวข้องถึงการบ่งชี้ตัวบุคคลธรรมดา หรือที่อาจบ่งชี้ได้ถึงตัวบุคคลธรรมดาไม่ว่าโดยทางตรงหรือทางอ้อม โดยเฉพาะการอ้างอิงถึงตัวบ่งชี้ เช่นชื่อ หรือตัวบ่งชี้ที่เป็นรหัสหมายเลขประจำคัวบุคคล ข้อมูลเกี่ยวกับสถานที่ตั้งตัวบ่งชี้ทางระบบออนไลน์ หรือด้วยองค์ประกอบอย่างใดอย่างหนึ่งหรืออย่างที่เจาะจงถึงกายภาพ สรีรวิทยา พันธุกรรม สภาพจิตใจ เศรษฐกิจ วัฒนธรรมหรือสถานะทางสังคมของบุคคลธรรมดานั้น

การบังคับใช้กฎ ระเบียบฉบับนี้ ไม่ได้บังคับใช้เฉพาะองค์กร ที่ตั้งอยู่ในสหภาพยุโรปเท่านั้น แต่บังคับใช้ถึงองค์กรที่ตั้งอยู่นอกสหภาพยุโรปด้วย ถ้าองค์กรเหล่านั้น เสนอขายสินค้าหรือบริการต่อพลเมืองของสหภาพยุโรป หรือที่เฝ้าตรวจสอบติดตามพฤติกรรมของผู้บริโภคในสหภาพยุโรปด้วย และบังคับใช้กับบรรดาบริษัททั้งหลายที่ประมวลผลและเก็บรักษาข้อมูลส่วนบุคคลของพลเมืองผู้บริโภคชาวสหภาพยุโรปด้วย แม้บริษัทเหล่านั้นจะตั้งอยู่นอกสหภาพยุโรปก็ตาม แม้ประมลผลและส่งข้อมูลนั้นข้ามแดนไปเก็บรักษาที่ประเทศอื่น ก็ต้องอยู่ในบังคับของกฎระเบียบ GDPRฉบับนี้

สิทธิของเจ้าของข้อมูล กฎระเบียบฉบับนี้ให้ความสำคัญกับสิทธิขอ บุคคลผู้เป็นเจ้าของข้อมูลส่วนบุคคลมาก เช่น

การเก็บรักษาข้อมูลหรือการประมวลผลข้อมูลส่วนบุคคล  องค์กรหรือหน่วยงานที่มีหรือได้รับข้อมูลส่วนบุคคลของบุคคลใดก็ตาม หากจะเก็บรักษาหรือประมวลผลข้อมูลนั้น จะต้องดำเนินการโดยชอบด้วยกฎหมาย ด้วยความเป็นธรรม โปร่งใส การดำเนินการโดยชอบด้วยกฎหมายหลักการหนึ่งประการที่สำคัญสุด คือต้องได้รับความยินยอมจากเจ้าของข้อมูล และต้องกำหนดขอบเขตและวัตถุประสงค์ในการประมวลข้อมูลนั้น การขอความยินยอมจากเจ้าของข้อมูล หนังสือยินยอมต้องกระชับไม่ยืดยาวอ่านเข้าใจง่าย

แจ้งถึงการนำข้อมูลไปใช้  ผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล ต้องแจ้งให้เจ้าของข้อมูลทราบว่า นำข้อมูลนั้นไปใช้ทำอะไร เก็บข้อมูลนั้นอย่างไร นานแค่ไหน หากมีการถ่ายโอนข้อมูลไปยังที่อื่นนอกสหภาพยุโรป ต้องแจ้งให้เจ้าของข้อมูลทราบ

แจ้งเตือนเมื่อข้อมูลรั่ว  เมื่อเกิดเหตุข้อมูลรั่ว ไม่ว่าด้วยตุใดฯ ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล ต้องแจ้งให้เจ้าของจ้อมูลและประชาชนทราบโดยไม่ชักช้า

สิทธิ์ที่จะถูกลืม เจ้าของข้อมูลสามารถขอให้หน่วยงานควบคุมข้อมูลลบข้อมูลของตนเองออกได้

สิทธิในการเข้าถึงข้อมูล เจ้าของข้อมูลมีสิทธิเข้าถึงและได้รับสำเนาข้อมูลเกี่ยวกับตนที่ผู้ประมวลผลเก็บรักษาไว้

เมื่อการคุ้มครองข้อมูลส่วนบุคคลถูกละเมิด  พลเมืองสหภาพยุโรป หากเห็นว่าการคุ้มครองข้อมูลส่วนบุคคลของตนถูกละเมิด สามารถร้องขอให้หน่วยงานที่รับผิดชอบดำเนินการกับผู้ละเมิดได้ หรือฟ้องต่อศาลเรียกค่าสินไหมทดแทนก็ได้

การบังคับใช้กฎข้อบังคับการคุ้มครองข้อมูลส่วนบุคคลที่เข้มข้น กฎระเบียบฉบับนี้กำหนดโทษปรับผู้ที่กระทำการละเมิดทำผิดกฎระเบียบฉบับนี้กรณีร้ายแรงกำหนดโทษปรับสูงสุดถึง4 ล้านยูโรหรือ4เปอร์เซ็นต์ของรายได้ทั่วโลก

ผลกระทบต่อผู้ประกอบการไทย กฎระเบียบฉบับนี้มีผลกระทบต่อผู้ประกอบการไทยอยู่ไม่น้อยระเบียบโดยเฉพาะผู้ประกอบการด้านธุรกิจบริการที่มีลูกค้าเป็นพลเมืองสหภาพยุโรป และมีการเก็บข้อมูลของลูกค้า จำเป็นต้องศึกษาทำความเดข้าใจ เพื่อให้การประกอบกิจการไม่เป็นไปในทางฝ่าฝืนกฎข้อบังคับดังกล่าว เพราะมีค่าปรับในอัตราสูงมาก ในสหภาพยุโรปมีผู้ให้บริการเป็นที่ปรึกษาวางแผนการดำเนินการในเรื่องนี้ให้ผู้ประกอบการในสหภาพยุโรปด้วย ด้วยเหตุที่กฎระเบียบเรื่องนี้เป็นเรื่องที่มีการเปลี่ยนแปลงการคุ้มครองข้อมูลส่วนบุคคลจากเดิมอย่างมาก หน่วยงานคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปถึงกับกล่าวว่าเป็นยุคใหม่ของการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หากกรมส่งเสริมการค้าระหว่างประเทศจักได้จัดหาวิทยากรที่มีความรู้ความเข้าใจเรื่องนี้มาให้ความรู้ความเข้าใจกับผู้ประกอบการไทย ก็น่าจะเป็นประโยชน์มิใช่น้อย

คดีตัวอย่างการคุ้มครองข้อมูลส่วนบุคคลในสหภาพยุโรปที่น่าศึกษา

มูลคดีนี้เกิดขึ้นก่อนที่กฎระเบียบการคุ้มครองข้อมูลส่วนบุคคลThe General Data Protection Regulation (GDPR) จะมีผลใช้บังคับ แต่ก็อาจทำให้เห็นแนวคิดบรรทัดฐานของศาลทั่วไปแห่งสหภาพยุโรปในเรื่องที่เกี่ยวกับข้อมูลส่วนบุคคลได้บ้าง คดีนี้มีข้อเท็จจริงโดยสรุปคือ ในปี 2558 นักหนังสือพิมพ์กลุ่มหนึ่งและสมาคมนักหนังสือพิมพ์ยื่นคำร้องต่อ สภายุโรปขอตรวจสอบและคัดเอกสารที่มีเนื้อหาเกี่ยวข้องกับค่าเบี้ยเลี้ยงเดินทางและค่าตอบแทนผู้ช่วยของสมาชิก สภายุโรป แต่สภายุโรป ฏิเสธคำขอของบุคคลังกล่าว กลุ่มบุคคลดังกล่าวจึงมาฟ้องเป็นคดีต่อศาลทั่วไปแห่งสหภาพยุโรป ขอให้มีคำสั่งให้ยกเลิกคำปฏิเสธของสภายุโรปเป็นคดี T-639/15- T-666/15 และ T-94716

ศาลทั่วไปแห่งสหภาพยุโรปมีคำพิพากษา เมื่อวันที่ 25 กันยายน 2561 สรุปได้ว่าคำปฏิเสธของสภายุโรป เป็นไปโดยชอบ โดยเหตุผลสำคัญสองประการโดยสรุปคือ

ประการแรก ข้อมูลดังกล่าวเป็นข้อมูลที่บ่งชี้หรือสามารถบ่งชี้ถึงตัวบุคคล คือสมาชิกสภายุโรป(เข้าข่ายเป็นข้อมูลส่วนบุคคล) ถึงแม้ข้อมูลดังกล่าวค่อนข้างใกล้เคียงที่โยงถึงข้อมูลสาธารณะ แต่เพียงแค่นี้ก็ไม่อาจถือว่า ข้อมูลที่บ่งชี้ถึงสมาชิกสภายุโรปไม่เป็นข้อมูลส่วนบุคคล

ประการที่สอง แม้จะเป็นข้อมูลส่วนบุคคล ก็อยู่ในข่ายอนุญาตให้ผู้ยื่นคำขอ เข้าถึงข้อมูลดังกล่าวหรือส่งมอบข้อมูลดังกล่าวให้ได้ หากพิสูจน์ได้ว่า การเข้าถึงข้อมูลดังกล่าวมีความจำเป็น เพื่อให้เกิดความแน่นอนในการทบทวน เพื่อลดภาระค่าใช้จ่ายอันเกิดจากสมาชิกสภายุโรป และการเข้าถึงข้อมูลหรือการส่งมอบข้อมูลให้มีความเหมาะสม และแสดงให้เห็นว่าการให้เข้าถึงหรือส่งมอบข้อมูลให้ ไม่กระทบถึงสิทธิตามกฎหมายของบุคคลที่เกี่ยวข้องที่จะได้รับการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย

ศาลเห็นว่าผู้ฟ้องคดีไม่สามารถพิสูจน์ให้ศาลเห็นได้ทั้งสองข้อ จึงพิพากษาว่า คำปฏิเสธของสภายุโรปเป็นไปโดยชอบ