กฎหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมือง EU (General Data Protection Regulation : GDPR)

นายอดุลย์ โชตินิสากรณ์ อธิบดีกรมการค้าต่างประเทศได้รับรายงานจากสำนักงานพาณิชย์ในต่างประเทศ ณ กรุงบรัสเซลส์ว่า EU ได้บังคับใช้กฎหมาย GDPR เริ่มตั้งแต่วันที่ 25 พฤษภาคม 2561 นี้ เพื่อปกป้องคุ้มครองข้อมูลส่วนบุคคลของพลเมือง EU ให้มีความรัดกุมและชัดเจนขึ้นแทนคำสั่งเดิมได้แก่ EU Data Protection Directive ที่ใช้เป็นแนวทางปฏิบัติ (Guideline) มาตั้งแต่ปี 2538 โดยจะมีผลบังคับใช้ครอบคลุมนอกกลุ่ม EU (Extraterritorial Applicability) ที่ใช้ข้อมูลฯ ดังกล่าวให้ต้องปฏิบัติตาม GDPR

นายอดุลย์ฯ ได้กล่าวเพิ่มเติมว่า GDPR มีอำนาจในการคุ้มครองข้อมูลส่วนบุคคลของพลเมือง EU ได้แก่ ชื่อ ที่อยู่ รายละเอียดส่วนบุคคลด้านสุขภาพ การเงิน บัตรเครดิต และศาสนาวัฒนธรรม เป็นต้น ซึ่งถือว่าเป็นข้อมูลที่มีความอ่อนไหว (Sensitive Data) ภายใต้ 5 หลักการที่พลเมือง EU มีสิทธิ ดังนี้ (1) สิทธิในการได้รับการอนุญาตก่อนใช้ข้อมูลฯ (Right to Receive Clear and Understandable Information) (2) สิทธิในการเข้าถึงข้อมูลฯ ของเจ้าของฯ โดยไม่เสียค่าใช้จ่าย (Right to Access to the Personal Data) (3) สิทธิในการโอนข้อมูลฯ ของตนเองไปให้ผู้ใช้รายอื่น (Right to Request One Service Provider to Transmit your personal Data to Another Service Provider) (4) สิทธิในการแจ้งขอให้ลบข้อมูลฯ (Right to be Forgotten) และ (5) สิทธิในการสั่งให้แก้ไขข้อมูลฯ และปฏิเสธการให้ใช้ข้อมูลฯ (Right to Correct and Right to Object) อย่างไรก็ดี GDPR เปิดให้ภาคธุรกิจสามารถ (1) แจ้งเจ้าของข้อมูลฯ ขออนุญาต (Consent) ก่อนนำข้อมูลฯ ไปใช้ (2) แจ้งเจ้าของข้อมูลฯ ขอทำการจัดเก็บข้อมูลฯ (Collect) (3) เก็บรักษาข้อมูลฯ นานเท่าที่จำเป็น (Necessary) เท่านั้น (4) จัดให้มีระบบป้องกันการใช้ข้อมูลฯ (Secure Process) และแจ้งเจ้าของข้อมูลฯ ภายใน 72 ชั่วโมงหากข้อมูลเกิดการรั่วไหล (Data Breach) (5) หากจะมีการโอนข้อมูลฯ ให้โอนแก่ผู้รับที่ปฏิบัติได้ตาม GDPR และ (6) จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลฯ (Data Protection Officer : DPO) ภายในหน่วยงาน และประสานกับหน่วยงานคุ้มครองข้อมูลฯ ในระดับประเทศ (Data Protection Authorities : DPA)

ทั้งนี้ GDPR แม้เป็นกฎหมายภายในของ EU แต่จะมีผลบังคับใช้ครอบคลุมนอกกลุ่ม EU (Extraterritorial Applicability) ที่ใช้ข้อมูลฯ ดังกล่าวให้ต้องปฏิบัติตาม GDPR กรณีมีการนำข้อมูลฯ ไปใช้ในธุรกรรมในด้านต่างๆ เช่น การค้าระหว่างประเทศ การโรงแรมและท่องเที่ยว การค้าออนไลน์ และธุรกิจการบิน เป็นต้น ซึ่งหากมีการเก็บบันทึกข้อมูลฯ การประมวลผล และการโอนข้อมูลฯ ต่างๆ ผู้โอนต้องมีความมั่นใจว่า ผู้รับโอนนั้นมีระบบการคุ้มครองข้อมูลฯ ในระดับที่เท่าเทียม (Essential Equivalence) หรือมากกว่า ที่ GDPR กำหนด ซึ่งการไม่ปฏิบัติตาม GDPR อาจได้รับโทษตามลำดับ ตั้งแต่การแจ้งเตือน (Warning) การตำหนิ (Reprimand) การระงับการใช้ข้อมูล (Suspension of Data Processing) และการเสียค่าปรับ (Fine) ในอัตราไม่เกิน 20 ล้านยูโร หรือร้อยละ 4 ของยอดขายของผู้ประกอบการรายนั้น

กรมการค้าต่างประเทศจะติดตามความคืบหน้าการบังคับใช้ GDPR และเผยแพร่ข้อมูลฯ ดังกล่าวให้หน่วยงาน และผู้ที่เกี่ยวข้องทราบ ทั้งนี้ผู้ที่สนใจสามารถศึกษาข้อมูลฯ เพิ่มเติมได้ที่เว็บไซต์ https://ec.europa.eu/commission/

priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en

 

******************************

เอกสารแนบ