กฎใหม่โอนข้อมูลส่วนบุคคลระหว่างประเทศ กระทบห่วงโซ่อุปทานโลก

ส่วนบุคคลฉบับใหม่ของอียู หรือ General Data Protection Regulation (GDPR) แทนหลักเกณฑ์ EU Data Protection Directive เดิมที่มีการบังคับใช้มาตั้งแต่ปี 2538 เพื่อยกระดับการคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค โดยเฉพาะในธุรกิจบริการทางอินเทอร์เน็ต

ปัจจุบัน ร่างกฎหมาย GDPR อยู่ระหว่างรอเสนอร่างแรกให้คณะมนตรีแห่งสหภาพยุโรปรับรอง ก่อนที่จะส่งต่อให้รัฐสภายุโรปพิจารณาให้ความเห็นชอบ คาดว่า กระบวนการออกกฎหมาย GDPR นี้จะแล้วเสร็จภายในเดือนเมษายนในปีนี้ และจะมีผลบังคับใช้อย่างสมบูรณ์ภายในปี 2561 เมื่อร่างกฎระเบียบใหม่นี้ใช้บังคับแล้ว นอกจากจะส่งผลกระทบโดยตรง (direct effect) ต่อประเทศสมาชิกที่จะต้องปรับหรือยกเลิกข้อกฎหมายเดิมให้สอดคล้องกับร่างกฎหมายGDPRฉบับนี้แล้ว ยังอาจส่งผลกระทบต่อการประกอบธุรกิจการค้าและการบริการระหว่างผู้ประกอบการไทยกับอียูและประเทศอื่นๆ ที่มีความจำเป็นต้องโอนข้อมูลส่วนบุคคลระหว่างประเทศด้วย

ร่างกฎหมาย GDPR ฉบับนี้ กำหนดหลักเกณฑ์สำคัญเกี่ยวกับการโอนข้อมูลส่วนบุคคลระหว่างประเทศว่า ห้ามมิให้ถ่ายโอนข้อมูลส่วนบุคคลจากประเทศสมาชิกอียูไปยังประเทศอื่นซึ่งมิได้เป็นประเทศสมาชิกอียู หากประเทศดังกล่าวไม่มีความคุ้มครองข้อมูลส่วนบุคคลในระดับที่เพียงพอ (adequate level of protection) โดยมีเงื่อนไขการประเมินระดับการคุ้มครองข้อมูลส่วนบุคคลในระดับที่เพียงพอโดยอ้างอิงจากกรณีที่นาย Max Schrems ยื่นฟ้อง Facebook ต่อศาลยุติธรรมยุโรป ศาลมีคำพิพากษาในประเด็นการคุ้มครองข้อมูลส่วนบุคคล “ในระดับที่เพียงพอ” ว่าจะต้องมีสาระสำคัญที่เทียบเท่ากัน (essential equivalence)กับกฎหมายของอียูเช่นการห้ามโอนข้อมูลต่อ (onward transfer) การบังคับใช้กฎหมาย และการระงับข้อพิพาทที่เกิดขึ้นจากข้อมูลส่วนบุคคล รวมถึงการมีหน่วยงานด้านการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะเพื่อเป็นหน่วยงานหลักในการดูแลการปฏิบัติตามหลักเกณฑ์ของอียู

การเปลี่ยนแปลงที่สำคัญอีกอย่างหนึ่งของร่างกฎหมาย GDPR ฉบับนี้ คือ การบังคับใช้กฎหมายนอกอาณาเขต (extraterritorial application) ในมาตรา 3(2) ที่ขยายขอบเขตความรับผิดชอบในการปฏิบัติตามร่างกฎหมาย GDPR ฉบับใหม่ครอบคลุมถึงการประกอบธุรกิจนอกอาณาเขตอียูที่มีการซื้อขายสินค้าหรือให้บริการ หรือรวบรวมข้อมูลรายละเอียดและข้อมูลพฤติกรรมส่วนบุคคลของผู้ที่มีถิ่นพำนักในเขตอียู โดยไม่จำกัดเพียงแค่ผู้ที่มีสัญชาติอียูเท่านั้น ซึ่งต่างจากหลักเกณฑ์ EU Data Protection Directive เดิม ที่จะเกี่ยวข้องกับผู้ที่อยู่นอกอียูเฉพาะกรณีที่การประมวลผลข้อมูลเกิดขึ้นในอียูเท่านั้น เช่น การใช้ Server (ยกเว้นกรณีที่เป็นการรับ-ส่งข้อมูลเพียงอย่างเดียว)

เมื่อกฎหมาย GDPR ฉบับใหม่มีการบังคับใช้ จะส่งผลกระทบโดยตรงกับการประกอบธุรกิจการค้าระหว่างประเทศ ไม่ว่าจะเป็นการโอนข้อมูลภายในองค์กรเดียวกันที่ตั้งอยู่คนละประเทศ การโอนข้อมูลไปยังองค์กรอื่นที่ตั้งอยู่ในต่างประเทศ หรือการโอนข้อมูลเพื่อประโยชน์ในการประมวลผลหรือการจัดเก็บฐานข้อมูลในต่างประเทศ เช่น ธุรกิจข้ามชาติซึ่งจะต้องโอนข้อมูลระหว่างบริษัทลูก หรือพันธมิตรทางธุรกิจ (business partner) ที่ให้บริการจัดเก็บหรือประมวลผลข้อมูลเพื่อสร้างมูลค่าเพิ่มให้กับธุรกิจอื่นๆ ในห่วงโซ่อุปทาน

ผู้ประกอบการไทยที่มีความจำเป็นต้องโอนข้อมูลส่วนบุคคลมายังประเทศไทย จะต้องให้ความสำคัญกับร่างกฎหมาย GDPR ฉบับนี้เป็นอย่างมาก โดยเฉพาะในตลาดการค้าบริการที่ข้อมูลส่วนบุคคลเป็นปัจจัยสำคัญในการดำเนินธุรกิจ เช่น ธุรกิจการท่องเที่ยว ซึ่งรวมไปถึงธุรกิจโรงแรม สายการบิน และไกด์นำเที่ยว ที่จะต้องเก็บบันทึก หรือโอนข้อมูลส่วนบุคคลของผู้ที่มาใช้บริการ อาทิ ชื่อ ที่อยู่ หมายเลขโทรศัพท์ บัตรเครดิตซึ่งถือว่าเป็นข้อมูลส่วนบุคคลชนิดพิเศษ (sensitive data) ที่จะต้องได้รับการคุ้มครองตามหลักเกณฑ์ของอียู หากมีการโอนข้อมูลระหว่างประเทศ ธุรกิจการบริการด้านสุขภาพโดยเฉพาะการให้บริการที่นำเทคโนโลยีสารสนเทศมาประยุกต์ใช้กับงานสาธารณสุข หรือ e-health ซึ่งมีการบันทึกข้อมูลด้านสุขภาพ และประวัติการรักษาพยาบาลของผู้ป่วย

นอกจากนี้ การจำกัดการโอนข้อมูลส่วนบุคคลของอียู ยังส่งผลกระทบต่อธุรกิจเทคโนโลยีสารสนเทศที่ให้บริการผ่านเครือข่ายสังคมออนไลน์ แอพพลิเคชั่น บนอุปกรณ์อิเล็กทรอนิกส์ต่างๆ และการให้บริการ cloud computing ที่ให้บริการการเชื่อมโยง ประมวลผลและจัดเก็บข้อมูล แก่บุคคลที่มีถิ่นพำนักในเขตอียูโดยอาจส่งผลกระทบต่อองค์กรและธุรกิจเกิดใหม่อื่นๆ ที่จะต้องพึ่งพาระบบ cloud computing ในการลดต้นทุนโครงสร้างเทคโนโลยีสารสนเทศ รวมไปถึงการจ้างต่อหน่วยงานภายนอก (outsourcing) ที่จะต้องโอนข้อมูลส่วนบุคคลไปให้บริษัทที่รับจ้างช่วง เช่น การใช้บริการ call center ในประเทศอื่น

หากประเทศผู้รับโอนข้อมูลไม่มีกฎระเบียบเกี่ยวกับการโอนข้อมูลส่วนบุคคลตามหลักเกณฑ์ที่กำหนดในร่างกฎหมาย GDPR ฉบับนี้ จะทำให้ผู้ประกอบการธุรกิจที่อยู่นอกเขตอียูไม่สามารถรับโอนข้อมูลส่วนบุคคลจากบุคคลที่มีถิ่นพำนักในอียู หรือต้องใช้ระยะเวลาและงบประมาณในการจัดการเป็นจำนวนมาก เพื่อให้สามารถเคลื่อนย้ายข้อมูลส่วนบุคคลออกนอกเขตอียูได้ ยกตัวอย่าง เช่น (1) การจัดทำนโยบายหรือกฎเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร (Binding Corporate Rules) เพื่อโอนข้อมูลส่วนบุคคลระหว่างสาขาในแต่ละประเทศที่มีระดับการให้ความคุ้มครองแตกต่างกัน โดยพิจารณาเพียงว่าองค์กรผู้รับโอนมีกลไกการเก็บรักษาข้อมูลส่วนบุคคลที่เป็นไปตามมาตรฐานอียู

 (2) การจัดทำสัญญามาตรฐานของอียู (Model Contracts) สำหรับการโอนข้อมูลส่วนบุคคล ระหว่างผู้จัดเก็บข้อมูลส่วนบุคคล (Data Controller) กับผู้ทำหน้าที่ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งจะต้องได้รับการอนุมัติจากคณะกรรมาธิการยุโรป หรือ (3) การจัดทำความตกลงทวิภาคีเพื่อรับโอนข้อมูลส่วนบุคคลของผู้ที่มีถิ่นพำนักในอียู เช่น ความตกลง Privacy Shield ระหว่างคณะกรรมาธิการยุโรปและสหรัฐฯ ที่มีการตกลงไปเมื่อวันที่ 2 กุมภาพันธ์ 2559

นอกจากนี้ ผลการบังคับใช้ GDPR อาจมีผลต่อเนื่องกับกฎข้อบังคับ e-PrivacyDirective ซึ่งเป็นการวางกฎเกณฑ์การคุ้มครองข้อมูลส่วนบุคคลในการสื่อสารแบบอิเล็กทรอนิกส์ เช่น การใช้คุกกี้ (cookie) เพื่อเก็บบันทึกข้อมูลประวัติการใช้งานบนเว็บไซต์ และใช้ข้อมูลดังกล่าวในการประเมินความสนใจและพฤติกรรมการใช้งานบนอินเทอร์เน็ตเพื่อประโยชน์ในการโฆษณาให้ตรงกับกลุ่มเป้าหมาย รวมทั้งการตลาดอิเล็กทรอนิกส์ (e-marketing) ที่ใช้อินเทอร์เน็ตเป็นสื่อกลางในการโฆษณาสินค้าหรือบริการ

ทั้งนี้ คณะกรรมาธิการยุโรปยังมีข้อเสนอให้ e-Privacy Directive มีผลบังคับครอบคลุมถึงผู้ให้บริการธุรกิจ e-commerceโดยใช้อุปกรณ์อิเล็กทรอนิกส์ในการประมวลผลและเก็บข้อมูลของผู้รับบริการ (Information Society Services) ซึ่งจะมีผลกระทบต่อธุรกิจการขายสินค้าหรือให้บริการออนไลน์ รวมทั้งบริการที่เกี่ยวกับการส่งข้อมูลผ่านเครือข่ายการสื่อสารอีกทางหนึ่งด้วย

การออกร่างกฎหมาย GDPR ของอียูสะท้อนให้เห็นถึงความสำคัญที่อียูให้กับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งอียูถือว่าเป็นสิทธิขั้นพื้นฐานที่มิอาจล่วงละเมิดได้กล่าวได้ว่าการคุ้มครองข้อมูลส่วนบุคคลอย่างเข้มข้นมากขึ้นกำลังกลายเป็นแนวโน้มของโลก ที่จะส่งผลกระทบต่อการทำธุรกิจอย่างกว้างขวาง โดยบางประเทศ เช่น ไต้หวัน เกาหลีใต้ และนิวซีแลนด์ ได้กำหนดข้อจำกัดการโอนข้อมูลส่วนบุคคลในกฎหมายภายในของตนตามหลักเกณฑ์ EU Data Protection Directive เดิมแล้ว ด้วยเหตุนี้ ผู้ประกอบการและผู้มีส่วนเกี่ยวข้อง จึงต้องติดตามแนวโน้มนี้ รวมทั้งศึกษาหลักเกณฑ์ต่างๆ ในการคุ้มครองข้อมูลส่วนบุคคลที่ประเทศต่างๆ กำลังดำเนินการ รวมทั้งกระบวนการออกร่างกฎหมาย GDPR เพื่อป้องกันผลกระทบที่อาจเกิดขึ้นกับการประกอบธุรกิจของตนได้ในอนาคต

ท่านติดตามความเคลื่อนไหวของสหภาพยุโรปได้ทาง www.thaieurope.net หรือติดตามรับข้อมูลข่าวสารดังกล่าวจาก Facebook “thaieurope.net”