นิติจุฬาฯ ย้ำ GDPR บังคับใช้แล้ว
นิติจุฬาฯ ย้ำ GDPR บังคับใช้แล้ว ต้องเริ่มทันที
ผิดกฎหมายข้อมูลส่วนบุคคล โทษปรับสูงถึง 20 ล้านยูโร
ดร.พิเชฐ ดุรงคเวโรจน์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานเปิดงานและปาฐกถาพิเศษ โครงการสัมมนาเชิงลึกเรื่อง “แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพื่อรองรับการมีผลบังคับใช้ของ GDPR” จัดโดย ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย โดยมี ผศ.ดร.ปารีณา ศรีวนิชย์ คณบดีคณะนิติศาสตร์ รศ.ธิติพันธุ์ เชื้อบุญชัย ผู้อำนวยการศูนย์วิจัยกฎหมายและการพัฒนา และ ผศ.ดร.ปิยะบุตร บุญอร่ามเรือง ที่ปรึกษารัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และอาจารย์ประจำคณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ให้การต้อนรับ ณ ห้องบอลรูม 1 โรงแรมอินเตอร์คอนติเนนตัล กรุงเทพฯ
การสัมมนาในครั้งนี้ได้รับความร่วมมือจากหน่วยงานทั้งภาครัฐและเอกชนที่มีชื่อเสียง ส่งผู้บริหารระดับสูงร่วมให้ข้อมูลและแลกเปลี่ยนแก่ผู้ร่วมสัมมนา อาทิ นางสุรางคณา วายุภาพ ผู้อำนวยการสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์, ดร.สิทธินัย จันทรานนท์ ผอ.สังกัด สนง. รองกรรมการผู้อำนวยการใหญ่สายบริหารงานกฎหมายและบริหารทั่วไป บมจ.การบินไทย, Ms. Kristina Nesset Kjerstad VP Europe, Global Privacy, Telenor, ดร.เยาวลักษณ์ ชาติบัญชาชัย หุ้นส่วน สำนักงาน อีวาย ประเทศไทย, นายสุรศักดิ์ วาจาสิทธิ์ หุ้นส่วนผู้จัดการ บริษัท อาร์ แอนด์ ที เอเชีย (ประเทศไทย) จำกัด, ดร.พณชิต กิตติปัญญางาม นายกสมาคมการค้าเพื่อส่งเสริมผู้ประกอบการเทคโนโลยีรายใหม่, นายมนตรี สถาพรกุล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล บมจ. โทเทิ่ล แอ็คเซ็ส คอมมูนิเคชั่น, นายวิศิษย์ศักดิ์ อรุณสุรัตน์ภักดี ทนายความหุ้นส่วน บริษัท อาร์ แอนด์ ที เอเชีย (ประเทศไทย) จำกัด และนายวิทการ จันทวิมล รองกรรมการผู้อำนวยการสายงานกลยุทธ์และพัฒนาผลิตภัณฑ์ บริษัท เอพี(ไทยแลนด์) จำกัด (มหาชน) ทั้งนี้มีหน่วยงาน ทั้งภาครัฐและเอกชน ให้ความสนใจ ส่งผู้แทนเข้าร่วมสัมมนาในครั้งนี้กว่าร้อยแห่ง
ดร.พิเชฐ ดุรงคเวโรจน์ กล่าวว่า การคุ้มครองข้อมูลส่วนบุคคลไม่ใช่เรื่องใหม่ เพราะมีพัฒนาการมากมายทั้งในกฎหมายต่างประเทศและข้อตกลงระหว่างประเทศ โดยพัฒนาการขั้นล่าสุด ได้แก่ สหภาพยุโรปได้ประกาศใช้ GDPR (EU General Data Protection Regulation) ซึ่งเป็นการแก้ไขปรับปรุงหลักการคุ้มครองข้อมูลส่วนบุคคลฉบับเก่าให้มีผลบังคับใช้ตั้งแต่วันที่ 25 พฤษภาคม 2561 ที่ผ่านมา ทั้งนี้รัฐบาลได้เร่งรัดดำเนินการตามนโยบายดิจิทัล โดยได้ผลักดันร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลฯ ซึ่งได้รับความเห็นชอบจากคณะรัฐมนตรีแล้ว และกำลังอยู่ในกระบวนการนิติบัญญัติตามขั้นตอนที่อาจต้องใช้เวลาอีกประมาณ 6-7 เดือน ซึ่งในขณะนี้ก็ไม่อยากให้รอกฎหมาย แต่เราควรต้องเร่งสร้างมาตรฐานของเราขึ้นมา เพราะถึงอย่างไรก็ต้องมีระบบการรับรองมาตรฐานคุ้มครองข้อมูลส่วนบุคคล การที่จุฬาลงกรณ์มหาวิทยาลัยซึ่งเป็นหน่วยงานด้านการศึกษาและมีภารกิจในการให้ความรู้แก่ประชาชนได้ร่วมกันกับภาคเอกชนริเริ่มในเรื่องนี้จึงเป็นนิมิตหมายที่ดี ทันต่อสถานการณ์
ผศ.ดร.ปารีณา ศรีวนิชย์ กล่าวว่า ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัยเล็งเห็นความสำคัญและความจำเป็นที่ต้องจัดทำคู่มือแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพื่อรองรับการมีผลบังคับใช้ของ GDPR (EU General Data Protection Regulation) การจัดอบรมให้ความรู้และเผยแพร่แนวปฏิบัติฯ ที่จัดทำขึ้น จึงร่วมกันกับองค์กรภาครัฐและเอกชน ที่ต่างตระหนักถึงความสำคัญและความจำเป็นของเรื่องนี้ จัดให้มีโครงการจัดทำคู่มือแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพื่อรองรับการมีผลบังคับใช้ของ GDPR (EU General Data Protection Regulation) เพื่อให้เกิดการตระหนักรู้ของภาครัฐและภาคเอกชน และจัดทำแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลสำหรับผู้ประกอบการที่จะนำไปปฏิบัติอันจะเป็นประโยชน์ให้ผู้ประกอบการ อีกทั้งเป็นการเตรียมความพร้อมให้แก่ผู้ประกอบการไทยให้ทราบมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลล่าสุดและแนวปฏิบัติที่สามารถนำไปใช้ได้จริง
ผศ.ดร.ปิยะบุตร บุญอร่ามเรือง เปิดเผยว่า ปัจจุบันคนไทยใช้สื่อสังคมออนไลน์และบริการทางอินเทอร์เน็ตต่างๆ เป็นอันดับต้นๆ ของโลก แต่มาตรการด้านความมั่นคงปลอดภัยทางไซเบอร์นั้นถือว่าไม่สู้ดีนัก โดยเฉพาะส่วนที่เกี่ยวกับมาตรการทางกฎหมายและความพร้อมของหน่วยงานต่างๆในประเทศ ที่ผ่านมาประเทศไทยตกเป็นข่าวถึงความไม่ปลอดภัยทางไซเบอร์ที่อื้อฉาว เช่น
– กรณีมหาวิทยาลัยธรรมศาสตร์ถูกใช้เป็นฐานการโจรกรรมข้อมูลจากบริษัท Sony Pictures
– กรณี ATM 21 แห่งของธนาคารออมสินถูกโจมตีด้วยมัลแวร์และขโมยเงินไป 12 ล้านบาท
– กรณี McAfee ตรวจสอบพบว่ามหาวิทยาลัยธรรมศาสตร์ถูกใช้เป็นฐานโจมตีทางไซเบอร์
– กรณีนาย Niall Merrigan นักวิจัยด้านความปลอดภัย ที่คอยสำรวจและตรวจสอบการสร้างโฟลด์เดอร์ Amazon S3 บนระบบ Cloud ซึ่งหลังจากสแกนเจอโฟลเดอร์ที่เปิดเอาไว้หรือไม่ได้ล็อค ก็จะเลือกเข้าไปดูโฟลด์เดอร์ที่มีข้อมูลเยอะๆ ว่าเก็บอะไรเอาไว้บ้าง ซึ่ง 1 ใน 1000 นั้นก็คือโฟลเดอร์เก็บข้อมูลลูกค้าของ Truemove H
ในส่วนของประเทศไทยนั้น ยังไม่มีกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ส่งผลให้เกิดการเปิดเผยข้อมูลส่วนบุคคลมาก แม้รัฐบาลจะได้พยายามผลักดันให้มีการตรากฎหมายการคุ้มครองข้อมูลส่วนบุคคลเป็นเวลากว่า 10 ปีแล้ว แต่ความตระหนักรู้เรื่องความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยยังมีอยู่ค่อนข้างน้อยหรือไม่ได้รับความสนใจโดยสิ้นเชิง
“เมื่อปี 2015 Mr. Schrems นักศึกษากฎหมายชาวออสเตรีย อายุ 23 ปี ได้ไปศึกษากฎหมายคุ้มครองข้อมูลส่วนบุคคลในสหรัฐอเมริกา และได้ชนะคดี Facebook ในศาลแห่งยุโรปเป็นข่าวโด่งดัง ในกรณีการส่งข้อมูลส่วนบุคคลจากยุโรปไปยังสหรัฐอเมริกาที่มีระดับการคุ้มครองต่ำกว่า ทำให้สหภาพยุโรปต้องทบทวนกรอบ EU-US Privacy Shield ใหม่ในปี 2016 ปัจจุบัน Mr. Schrems ก่อตั้งองค์กรไม่แสวงหากำไรชื่อว่า noyb.eu (None of Your Business) เพื่อดำเนินการทางกฎหมายเกี่ยวกับการใช้ประโยชน์ข้อมูลส่วนบุคคลของผู้ประกอบการ ปัจจุบัน noyb.com ได้ดำเนินการร้องเรียนต่อ Google และ Facebook ตามมาตรฐาน GDPR แล้ว และยังส่งผลให้กลุ่มต่างๆ เริ่มร้องเรียนในลักษณะเดียวกันเพิ่มขึ้นอย่างต่อเนื่อง” ผศ.ดร.ปิยะบุตร กล่าว
ทั้งนี้ สาระสำคัญของการประกาศใช้ GDPR (EU General Data Protection Regulation) โดยสหภาพยุโรป ซึ่งเป็นการแก้ไขปรับปรุงหลักการคุ้มครองข้อมูลส่วนบุคคลฉบับเก่าให้มีผลบังคับใช้ตั้งแต่วันที่ 25 พฤษภาคม 2561 ที่ผ่านมา สรุปได้ดังนี้
(1) กำหนดการใช้อำนาจนอกอาณาเขต (extraterritorial jurisdiction) คือ ข้อมูลส่วนบุคคลของสหภาพยุโรปอยู่ภายใต้ความคุ้มครองไม่ว่าจะอยู่ในที่ใดในโลก
(2) บทลงโทษสูงขึ้น โดยองค์กรที่กระทำผิดอาจต้องจ่ายค่าปรับสูงถึงอัตราร้อยละ 4 ของผลประกอบการรายได้ทั่วโลก
(3) การขอความยินยอมจากเจ้าของข้อมูลต้องชัดเจนและชัดแจ้ง (clear and affirmative consent)
(4) การแจ้งเตือนเมื่อเกิดเหตุข้อมูลรั่ว หากพบว่าข้อมูลรั่วไหล หน่วยงานผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลต้องแจ้งให้หน่วยงานกำกับดูแล และประชาชนทราบภายใน 72 ชั่วโมง
(5) ขอบเขตสิทธิของเจ้าของข้อมูล ผู้ควบคุมข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบว่าข้อมูลจะถูกใช้อย่างไร เพื่อวัตถุประสงค์ใด และต้องจัดทำสำเนาข้อมูลให้กับเจ้าของข้อมูลในรูปแบบอิเล็กทรอนิกส์ โดยห้ามเก็บค่าใช้จ่ายเพิ่ม
(6) สิทธิในการโอนข้อมูลไปยังผู้ประกอบการอื่น (Right to data portability)
(7) สิทธิที่จะถูกลืม (Right to be Forgotten) เจ้าของข้อมูลสามารถขอให้หน่วยงานควบคุมข้อมูลลบข้อมูลของตัวเองออกได้
นอกจากการควบคุมการส่งข้อมูลภายในประเทศสมาชิกสหภาพยุโรปแล้ว สำหรับประเทศที่ไม่ได้เป็นสมาชิกสหภาพยุโรป หากจะทำการติดต่อรับ-ส่งข้อมูลกับบุคคลของประเทศสมาชิก ก็ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมเพียงพอเช่นกัน ซึ่งเป็นเหตุให้ผู้ประกอบการไทยต้องปรับตัวเพื่อรองรับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลดังกล่าว ที่ผ่านมากว่า 20 ปีรัฐบาลได้ผลักดันให้มีกฎหมายการคุ้มครองข้อมูลส่วนบุคคลฯ มาโดยตลอด แต่ก็ยังไม่ประสบความสำเร็จ ยังต้องดำเนินการตามขั้นตอนการพิจารณาอีกหลายขั้นตอน ในขณะที่องค์กรเอกชนทั้งหลายต่างได้รับผลกระทบจากการบังคับใช้ GDPR และมีความกังวลต่อการดำเนินการจัดการข้อมูลในความครอบครองของตนเพื่อให้เป็นไปตามหลักเกณฑ์ดังกล่าว โดยเฉพาะอย่างยิ่งองค์กรที่กระทำผิดอาจต้องจ่ายค่าปรับสูงถึงอัตราร้อยละ 4 ของผลประกอบการรายได้ทั่วโลก โดยค่าปรับสูงสุดคิดเป็นมูลค่าถึง 20 ล้านยูโร
ผู้สนใจที่ข้อมูลโดยละเอียดในการสัมมนาครั้งนี้ ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย เปิดให้ดาวน์โหลดได้ที่www.law.chula.ac.th/home/view.aspx?id=1096