4 ก.ค.61 ที่โรงแรมอินเตอร์คอนติเนนตัล กรุงเทพฯ นายพิเชฐ ดุรงคเวโรจน์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานเปิดงานและปาฐกถาพิเศษ โครงการสัมมนาเชิงลึก เรื่อง "แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อรองรับการมีผลบังคับใช้ของ GDPR" จัดโดย ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย

นายพิเชฐ กล่าวว่า การคุ้มครองข้อมูลส่วนบุคคลไม่ใช่เรื่องใหม่ เพราะมีพัฒนาการมากมายทั้งในกฎหมายต่างประเทศและข้อตกลงระหว่างประเทศ โดยพัฒนาการขั้นล่าสุด ได้แก่ สหภาพยุโรปได้ประกาศใช้ GDPR (EU General Data Protection Regulation) ซึ่งเป็นการแก้ไขปรับปรุงหลักการคุ้มครองข้อมูลส่วนบุคคลฉบับเก่าให้มีผลบังคับใช้ตั้งแต่วันที่ 25 พ.ค.ที่ผ่านมา ซึ่งรัฐบาลได้เร่งรัดดำเนินการตามนโยบายดิจิทัล โดยได้ผลักดันร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลฯ ซึ่งได้รับความเห็นชอบจากคณะรัฐมนตรี(ครม.)แล้ว และอยู่ในขั้นตอนนิติบัญญัติต้องใช้เวลาอีกประมาณ 6-7 เดือน

“ขณะนี้ก็ไม่อยากให้รอกฎหมาย แต่เราควรต้องเร่งสร้างมาตรฐานของเราขึ้นมา เพราะถึงอย่างไรก็ต้องมีระบบการรับรองมาตรฐานคุ้มครองข้อมูลส่วนบุคคล การที่จุฬาลงกรณ์มหาวิทยาลัยซึ่งเป็นหน่วยงานด้านการศึกษาและมีภารกิจในการให้ความรู้แก่ประชาชนได้ร่วมกันกับภาคเอกชนริเริ่มในเรื่องนี้จึงเป็นนิมิตหมายที่ดี ทันต่อสถานการณ์

ด้าน ผศ.ดร.ปารีณา ศรีวนิชย์ คณบดีคณะนิติศาสตร์  จุฬาลงกรณ์มหาวิทยาลัย กล่าวว่า ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัยเล็งเห็นความสำคัญและความจำเป็นที่ต้องจัดทำคู่มือแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพื่อรองรับการมีผลบังคับใช้ของ GDPR จึงร่วมมือกับองค์กรภาครัฐและเอกชนจัดอบรมให้ความรู้และเผยแพร่แนวปฏิบัติฯ เพื่อประโยชน์ให้ผู้ประกอบการสามารถนำไปใช้ได้จริง

ขณะที่ ผศ.ดร.ปิยะบุตร บุญอร่ามเรือง เปิดเผยว่า ปัจจุบันคนไทยใช้สื่อสังคมออนไลน์และบริการทางอินเทอร์เน็ตต่างๆ เป็นอันดับต้นๆ ของโลก แต่มาตรการด้านความมั่นคงปลอดภัยทางไซเบอร์นั้นถือว่าไม่สู้ดีนัก โดยเฉพาะส่วนที่เกี่ยวกับมาตรการทางกฎหมายและความพร้อมของหน่วยงานต่างๆในประเทศ ที่ผ่านมาประเทศไทยตกเป็นข่าวถึงความไม่ปลอดภัยทางไซเบอร์ที่อื้อฉาว

เช่น กรณีมหาวิทยาลัยธรรมศาสตร์ถูกใช้เป็นฐานการโจรกรรมข้อมูลจากบริษัท Sony Pictures กรณี ATM 21 แห่งของธนาคารออมสินถูกโจมตีด้วยมัลแวร์และขโมยเงินไป 12 ล้านบาท กรณี McAfee ตรวจสอบพบว่ามหาวิทยาลัยธรรมศาสตร์ถูกใช้เป็นฐานโจมตีทางไซเบอร์ กรณีนาย Niall Merrigan นักวิจัยด้านความปลอดภัย ที่คอยสำรวจและตรวจสอบการสร้างโฟลด์เดอร์ Amazon S3 บนระบบ Cloud ซึ่งหลังจากสแกนเจอโฟลเดอร์ที่เปิดเอาไว้หรือไม่ได้ล็อค ก็จะเลือกเข้าไปดูโฟลด์เดอร์ที่มีข้อมูลเยอะๆ ว่าเก็บอะไรเอาไว้บ้าง ซึ่ง 1 ใน 1000 นั้นก็คือโฟลเดอร์เก็บข้อมูลลูกค้าของ Truemove H

อย่างไรก็ตาม ในส่วนของประเทศไทยนั้น ยังไม่มีกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ส่งผลให้เกิดการเปิดเผยข้อมูลส่วนบุคคลมาก แม้รัฐบาลจะได้พยายามผลักดันให้มีการตรากฎหมายการคุ้มครองข้อมูลส่วนบุคคลเป็นเวลากว่า 10 ปีแล้ว แต่ความตระหนักรู้เรื่องความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยยังมีอยู่ค่อนข้างน้อยหรือไม่ได้รับความสนใจโดยสิ้นเชิง

“เมื่อปี 2015 Mr. Schrems นักศึกษากฎหมายชาวออสเตรีย อายุ 23 ปี ได้ไปศึกษากฎหมายคุ้มครองข้อมูลส่วนบุคคลในสหรัฐอเมริกา และได้ชนะคดี Facebook ในศาลแห่งยุโรปเป็นข่าวโด่งดัง ในกรณีการส่งข้อมูลส่วนบุคคลจากยุโรปไปยังสหรัฐอเมริกาที่มีระดับการคุ้มครองต่ำกว่า ทำให้สหภาพยุโรปต้องทบทวนกรอบ EU-US Privacy Shield ใหม่ในปี 2016 ปัจจุบัน Mr. Schrems ก่อตั้งองค์กรไม่แสวงหากำไรชื่อว่า noyb.eu (None of Your Business) เพื่อดำเนินการทางกฎหมายเกี่ยวกับการใช้ประโยชน์ข้อมูลส่วนบุคคลของผู้ประกอบการ ปัจจุบัน noyb.com ได้ดำเนินการร้องเรียนต่อ Google และ Facebook ตามมาตรฐาน GDPR แล้ว และยังส่งผลให้กลุ่มต่างๆ เริ่มร้องเรียนในลักษณะเดียวกันเพิ่มขึ้นอย่างต่อเนื่อง” ผศ.ดร.ปิยะบุตร กล่าว

ทั้งนี้ สาระสำคัญของการประกาศใช้ GDPR โดยสหภาพยุโรป ซึ่งเป็นการแก้ไขปรับปรุงหลักการคุ้มครองข้อมูลส่วนบุคคลฉบับเก่าให้มีผลบังคับใช้ตั้งแต่วันที่ 25 พฤษภาคม 2561 ที่ผ่านมา สรุปได้ดังนี้

1) กำหนดการใช้อำนาจนอกอาณาเขต คือ ข้อมูลส่วนบุคคลของสหภาพยุโรปอยู่ภายใต้ความคุ้มครองไม่ว่าจะอยู่ในที่ใดในโลก

2)บทลงโทษสูงขึ้น โดยองค์กรที่กระทำผิดอาจต้องจ่ายค่าปรับสูงถึงอัตราร้อยละ 4 ของผลประกอบการรายได้ทั่วโลก

3) การขอความยินยอมจากเจ้าของข้อมูลต้องชัดเจนและชัดแจ้ง

4) การแจ้งเตือนเมื่อเกิดเหตุข้อมูลรั่ว หากพบว่าข้อมูลรั่วไหล หน่วยงานผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลต้องแจ้งให้หน่วยงานกำกับดูแล และประชาชนทราบภายใน 72 ชั่วโมง

5) ขอบเขตสิทธิของเจ้าของข้อมูล ผู้ควบคุมข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบว่าข้อมูลจะถูกใช้อย่างไร เพื่อวัตถุประสงค์ใด และต้องจัดทำสำเนาข้อมูลให้กับเจ้าของข้อมูลในรูปแบบอิเล็กทรอนิกส์ โดยห้ามเก็บค่าใช้จ่ายเพิ่ม

6) สิทธิในการโอนข้อมูลไปยังผู้ประกอบการอื่น (Right to data portability)

และ7) สิทธิที่จะถูกลืม (Right to be Forgotten) เจ้าของข้อมูลสามารถขอให้หน่วยงานควบคุมข้อมูลลบข้อมูลของตัวเองออกได้

นอกจากการควบคุมการส่งข้อมูลภายในประเทศสมาชิกสหภาพยุโรปแล้ว สำหรับประเทศที่ไม่ได้เป็นสมาชิกสหภาพยุโรป หากจะทำการติดต่อรับ-ส่งข้อมูลกับบุคคลของประเทศสมาชิก ก็ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมเพียงพอเช่นกัน ซึ่งเป็นเหตุให้ผู้ประกอบการไทยต้องปรับตัวเพื่อรองรับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลดังกล่าว

ทั้งนี้ ที่ผ่านมากว่า 20 ปีรัฐบาลได้ผลักดันให้มีกฎหมายการคุ้มครองข้อมูลส่วนบุคคลฯ มาโดยตลอด แต่ก็ยังไม่ประสบความสำเร็จ ยังต้องดำเนินการตามขั้นตอนการพิจารณาอีกหลายขั้นตอน ในขณะที่องค์กรเอกชนทั้งหลายต่างได้รับผลกระทบจากการบังคับใช้ GDPR และมีความกังวลต่อการดำเนินการจัดการข้อมูลในความครอบครองของตนเพื่อให้เป็นไปตามหลักเกณฑ์ดังกล่าว โดยเฉพาะอย่างยิ่งองค์กรที่กระทำผิดอาจต้องจ่ายค่าปรับสูงถึงอัตราร้อยละ4 ของผลประกอบการรายได้ทั่วโลก โดยค่าปรับสูงสุดคิดเป็นมูลค่าถึง 20 ล้านยูโร

สำหรับผู้สนใจที่ข้อมูลโดยละเอียดในการสัมมนาครั้งนี้ ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์จุฬาลงกรณ์มหาวิทยาลัย เปิดให้ดาวน์โหลดได้ที่ www.law.chula.ac.th/home/view.aspx?id=1096