ความสนใจหรือความตระหนักรู้เรื่องความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยนับว่ามีอยู่ค่อนข้างน้อย โดยเฉพาะในโลกปัจจุบันที่คนไทยนิยมใช้โซเซียลมีเดียกันจนติดอันดับต้นๆของโลก การโพสต์และแชร์เรื่องราวส่วนตัวและการเปิดเผยข้อมูลส่วนบุคคลบนโลกออนไลน์เกิดขึ้นมากมายทุกๆวัน โดยไม่เคยตระหนักถึงความสำคัญของสิทธิในความเป็นส่วนตัว ที่น่าห่วงกว่านั้นก็คือการไม่ตระหนักถึงอันตรายหรือความเสียหายที่จะเกิดจากการนำข้อมูลของเราไปใช้ประโยชน์ในทางไม่ชอบ จนพูดกันกันว่าความเป็นส่วนตัวไม่มีอีกแล้วหรือตายไปแล้วจากโลกดิจิทัลวันนี้
GDPR: มาตรฐานข้อมูลส่วนตัวล่าสุดจากอียู
ระยะหลังๆนี้ เริ่มมีการพูดถึงข้อมูลส่วนบุคคลกันมากขึ้น โดยเฉพาะในแวดวงผู้ประกอบธุรกิจเกี่ยวกับข้อมูล การติดต่อสื่อสาร และธุรกิจที่มีฐานข้อมูลส่วนบุคคลขนาดใหญ่ นั่นคือความกังวลต่อ GDPR ซึ่งเป็นข้อบังคับของสหภาพยุโรปเกี่ยวกับการเก็บและการประมวลผลข้อมูลส่วนบุคคล ที่กลัวกันมากก็เพราะบทลงโทษของผู้ที่ไม่ปฎิบัติตามหลักเกณฑ์ GDPR จะถูกปรับสูงถึง 20 ล้านยูโร ที่สำคัญคือจะมีผลบังคับใช้ในเดือนพฤษภาคม 2561 ที่กำลังจะมาถึง
จริงๆ แล้ว เรื่องการคุ้มครองข้อมูลส่วนบุคคลในระดับนานาชาติไม่ใช่เรื่องใหม่ เพราะมีพัฒนาการมากมายทั้งในกฎหมายต่างประเทศและในระดับกฎหมายหรือข้อตกลงระหว่างประเทศ
กฎหมายคุ้มครองข้อมูลในนานาประเทศอาจแตกต่างหรือมีมาตรฐานที่ไม่เท่าเทียมกัน แต่ในภาพรวมบทบัญญัติกฎหมายทั้งหลายนี้ตั้งอยู่บนพื้นฐานเดียวกัน คือ
- ในการจัดเก็บข้อมูล ต้องมีการบอกกล่าวหรือการแจ้งให้เจ้าของข้อมูลทราบ ซึ่งหมายถึงการกำหนดขอบเขตและวัตถุประสงค์ของการประมวลผลข้อมูลที่แน่นอนชัดเจน
- การคุ้มครองข้อมูลที่เป็นข้อมูลส่วนตัวที่มีลักษณะเฉพาะหรือมีความอ่อนไหวเป็นพิเศษ (Sensitive data) เป็นประเด็นที่ต้องให้ความคุ้มครองอย่างเคร่งครัด
- การส่งข้อมูลระหว่างประเทศ (International data transfers or Transborder data flows) เป็นเรื่องที่ต้องให้ความสำคัญ โดยส่วนมากจะไม่ยินยอมให้มีการเข้าถึงข้อมูลหรือส่งข้อมูลออกไปยังประเทศที่ไม่มีการคุ้มครองข้อมูลในระดับมาตรฐานที่น่าพอใจ เช่นในกรณีการอนุญาตให้มีเสรีในการส่งข้อมูลภายในประเทศสมาชิกของสหภาพยุโรป และในขณะเดียวกันได้มีการห้ามการส่งข้อมูลของประเทศสมาชิกสหภาพยุโรป ไปยังประเทศที่ไม่ได้เป็นสมาชิก และประเทศซึ่งไม่มีมาตรการที่เพียงพอในการคุ้มครองข้อมูล
- ส่วนมากบทบัญญัติคุ้มครองข้อมูลจะเริ่มต้นด้วยขอบเขตในการคุ้มครอง เช่น การเก็บข้อมูล ขอบเขตการประมวลผลข้อมูล ที่อาจมีได้ในระยะเวลาที่กำหนด รวมทั้งการมีมาตรการรักษาความปลอดภัยอย่างเพียงพอ ที่จะป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต โดยเฉพาะอย่างยิ่งข้อมูลที่มีการส่งด้วยวิธีการทางอิเล็กทรอนิกส์
- สิทธิของเจ้าของข้อมูล ซึ่งได้แก่ สิทธิในการอนุญาตให้ใช้ข้อมูล สิทธิในการเข้าถึงข้อมูลของตนเอง สิทธิในการได้รับการแจ้งการใช้ข้อมูล สิทธิในการแก้ไขข้อมูลเมื่อพบว่าข้อมูลของตนมีความผิดพลาด และสิทธิในการได้รับการเยียวยาเมื่อได้รับความเสียหาย
- การห้ามการกระทำบางอย่างในกิจกรรมบางอย่างบางประเภท เพื่อทำให้การคุ้มครองข้อมูลสำเร็จด้วยดี
สำหรับในระดับกฎหมายหรือข้อตกลงระหว่างประเทศ การคุ้มครองข้อมูลมีปรากฏในหลายเวที เช่น การคุ้มครองข้อมูลส่วนบุคคลตามปฏิญญาสากลว่าด้วยสิทธิมนุษยชน แนวทางขององค์การเพื่อความร่วมมือทางเศรษฐกิจและการพัฒนา (OECD) ข้อตกลงของรัฐสภาแห่งยุโรป ข้อบังคับสหภาพยุโรป แนวทางของสหประชาชาติ แนวทางตามกรอบความร่วมมือของ APEC แนวทางของอาเซียน และ TPP
EU Directive 95/46 เกิดขึ้นในปี 1995 เป็นบทบัญญัติที่มีผลบังคับระหว่างประเทศฉบับแรกที่ให้ความคุ้มครองข้อมูลส่วนบุคคล ที่ถูกสร้างขึ้นโดยประเทศสมาชิกสหภาพยุโรป ข้อบังคับนี้ให้การคุ้มครองข้อมูลส่วนบุคคลและเสรีภาพในการเคลื่อนไหวของข้อมูล ทั้งยังให้การรับรองว่าข้อมูลจะได้รับการคุ้มครองอย่างเท่าเทียมกันตลอดทั้งตลาดร่วมยุโรป โดยมีหลักการที่เป็นสาระสำคัญดังนี้
- การรักษาคุณภาพของข้อมูล
- มาตรการของการประมวลผลข้อมูลที่ชอบด้วยกฎหมาย
- ข้อกำหนดในการประมวลผลข้อมูลพิเศษ/ข้อมูลที่อ่อนไหว (sensitive data)
- สิทธิในการได้รับแจ้งการเก็บข้อมูลต่างๆ
- สิทธิในการเข้าถึงข้อมูล
- สิทธิในการคัดค้านการประมวลผล
- การรักษาความปลอดภัยในการประมวลผลข้อมูล
- การส่งผ่านข้อมูลส่วนบุคคลไปยังประเทศที่สาม
นอกจากการควบคุมการส่งข้อมูลภายในประเทศสมาชิกแล้ว สำหรับประเทศที่ไม่ได้เป็นสมาชิกสหภาพยุโรป หากจะทำการติดต่อรับ-ส่งข้อมูลกับประเทศสมาชิกสหภาพยุโรป ก็ต้องมีมาตรการการคุ้มครองข้อมูลที่เหมาะสมเป็นที่พอใจแก่สหภาพยุโรปด้วยเช่นกัน ซึ่งมาตรการที่เหมาะสมที่อียูได้ตั้งไว้ แม้กระทั่งประเทศสหรัฐอเมริกา ที่มีการค้าและการลงทุนกับประเทศสมาชิกสหภาพยุโรปมากที่สุด และมีการเคลื่อนไหวของข้อมูลข่าวสารมากที่สุด ก็ยังต้องพยายามหาวิธีการประนีประนอมเพื่อเป็นทางออกและแก้ไขปัญหาความขัดแย้งของทั้งสองฝ่าย
EU Directive 95/46 ใช้บังคับมานานกว่า 20 ปี และโดยที่โลกมีการเปลี่ยนแปลงอย่างมากในปัจจุบัน โดยเฉพาะบริบทการสื่อสารผ่านทางอิเล็กทรอนิกส์ มีการเติบโตพัฒนาอย่างรวดเร็วมาก จึงมีการปรับปรุงแก้ไข Directive ดังกล่าว ซึ่งในที่สุดรัฐสภาแห่งยุโรปก็ได้เห็นชอบ General Data Protection Regulation (GDPR) เมื่อ 14 เมษายน 2559 และจะมีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2561
GDPR: คุ้มครองความเป็นส่วนตัวอย่างไร?
ความเปลี่ยนแปลงที่สำคัญ
GDPR (General Data Protection Regulation) เป็นกฎระเบียบของ EU ที่ออกมาเพื่อคุ้มครองประชาชนในกลุ่มประเทศ EU จากการที่ความเป็นส่วนตัวและข้อมูลส่วนบุคคลถูกล่วงละเมิดมากขึ้นในโลกยุคใหม่ที่ขับเคลื่อนด้วยข้อมูล เป็นการปรับปรุงมาตรการให้เหมาะสมกับสถานการณ์ที่แตกต่างไปจากเมื่อครั้งออก EU Directive เมื่อปี 1995
ความเปลี่ยนแปลงสำคัญที่ได้รับความสนใจหรือตระหนกตกใจกันมาก น่าจะเป็นบทลงโทษที่ระบุไว้ว่า การเก็บและประมวลผลข้อมูลส่วนบุคคลของประชาชน EU ที่ไม่ปฎิบัติตาม GDPR จะถูกปรับเป็นจำนวนเงินถึง 20 ล้านยูโร หรือ 2-4% ของรายได้ต่อปีทั่วโลก ขึ้นอยู่กับว่าวงเงินใดมากกว่า กฎระเบียบนี้มีผลใช้บังคับกับหน่วยงานที่อยู่ใน EU และรวมไปถึงหน่วยงานนอก EU
หลักการคุ้มครองข้อมูลยังคงเป็นไปตามมาตรฐานของ EU Directive โดยมีความเปลี่ยนแปลงที่สำคัญในข้อกำหนดใน GDPR ดังนี้
- ขอบเขตการบังคับใช้เชิงพื้นที่
GDPR บังคับใช้ในทุกหน่วยงานที่มีการประมวลผลข้อมูลส่วนบุคคลพลเมืองที่อาศัยอยู่ใน EU ไม่ว่าบริษัทจะตั้งอยู่ที่ไหน นั่นคือ GDPR บังคับใช้กับผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลใน EU ไม่ว่าการประมวลผลจะทำใน EU หรือไม่ก็ตาม โดยจะบังคับใช้กับทุกกิจกรรมที่เป็นการจำหน่ายสินค้าและบริการแก่พลเมือง EU และทุกกิจกรรมที่มีลักษณะการติดตามพฤติกรรมของพลเมืองที่เกิดขึ้นใน EU หากเป็นธุรกิจของประเทศอื่นที่ไม่ใช่สมาชิก EU (Non-EU Business) ก็ต้องดำเนินการแต่งตั้งผู้แทนใน EU ด้วย
- บทลงโทษ
ในกรณีที่เกิดความเสียหายหรือการรั่วไหลของข้อมูล (Data Breach) หน่วยงานที่ไม่ปฎิบัติตามข้อกำหนดจะถูกปรับเป็นจำนวนเงินถึง 20 ล้านยูโร หรือ 2-4% ของรายได้ต่อปีขึ้นอยู่กับว่าวงเงินใดสูงกว่า ซึ่งเป็นโทษปรับสูงสุดในกรณีร้ายแรง เช่น การไม่ขอความยินยอมที่เหมาะสมเพียงพอในการประมวลผลข้อมูล หรือการปฏิบัติขัดหลักการ Privacy by Design บางกรณีมีโทษปรับ 2% เช่นกรณีการไม่มีการบันทึกข้อมูลอย่างเป็นระบบ การไม่แจ้ง Supervising Authority และเจ้าของข้อมูลเมื่อเกิดเหตุรั่วไหล หรือการไม่จัดทำ Privacy Impact Assessment
- การให้ความยินยอม
หลักความยินยอมได้รับการยืนยันเข้มแข็งมากขึ้น โดยระบุว่าการขอความยินยอมต้องดำเนินการในรูปแบบที่เข้าใจได้และสามารถเข้าถึงได้สะดวก (Intelligible and easily access) ต้องแจ้งวัตถุประสงค์ของการประมวลผลข้อมูลในการขอคำยินยอม โดยการขอความยินยอมต้องมีความชัดเจน ใช้ภาษาที่เข้าใจง่าย การยกเลิกการให้ความยินยอมก็ต้องดำเนินการได้โดยสะดวก
สิทธิของเจ้าของข้อมูลภายใต้ GDPR
สิทธิที่จะได้รับแจ้งเมื่อเกิดความเสียหาย (Breach Notification)
ภายใต้ GDPR ถือว่าการแจ้งเป็นหน้าที่ที่ต้องปฏิบัติ เมื่อเกิดความเสียหายหรือการรั่วไหลของข้อมูล ซึ่งเกิดผลกระทบมีความเสี่ยงต่อสิทธิเสรีภาพของเจ้าของข้อมูล ทั้งนี้การแจ้งต้องดำเนินการภายใน 72 ชั่วโมง โดยผู้ประมวลผลต้องแจ้งต่อลูกค้าและผู้ควบคุมข้อมูลโดยไม่ชักช้าหลังจากเกิดความเสียหาย
สิทธิที่จะรู้และเข้าถึงข้อมูล (Right to Access)
เจ้าของข้อมูลมีสิทธิที่จะได้รับการแจ้งจากผู้ควบคุมข้อมูลว่า มีการประมวลผลข้อมูลหรือไม่ การประมวลผลดำเนินการที่ไหน มีวัตถุประสงค์อะไร และเมื่อร้องขอ ผู้ควบคุมข้อมูลจะต้องจัดหาสำเนาข้อมูลดังกล่าวให้เจ้าของข้อมูลในรูปแบบอิเล็กทรอนิกส์โดยไม่คิดค่าใช้จ่าย ข้อกำหนดนี้เป็นการเปลี่ยนแปลงที่สำคัญในเรื่องความโปร่งใสของข้อมูลและเป็นการยืนยันความเข้มแข็งของเจ้าของข้อมูล
สิทธิที่จะขอให้ลบข้อมูล (Right to be Forgotten/Right to erase)
เจ้าของข้อมูลมีสิทธิ (1) ในการแจ้งให้ลบข้อมูล ระงับการเผยแพร่ หยุดการประมวลผลโดยบุคคลที่สาม (2) มีสิทธิในการแจ้งให้ลบข้อมูลที่ไม่มีส่วนเกี่ยวข้องตามวัตถุประสงค์ในการจัดเก็บครั้งแรก และ (3) มีสิทธิในการลบข้อมูลที่เจ้าของข้อมูลได้ยกเลิกความยินยอม ทั้งนี้ผู้ควบคุมต้องใช้ดุลพินิจในการพิจารณาเปรียบเทียบสิทธิของเจ้าของข้อมูลกับประโยชน์สาธารณะในการมีอยู่ของข้อมูลนั้น
สิทธิที่จะได้รับข้อมูลเกี่ยวกับตัวเอง (Data Portability)
สิทธิที่จะได้รับข้อมูลเกี่ยวกับตัวเอง ในรูปแบบที่สามารถใช้งานได้ตามปกติรวมทั้งรูปแบบที่อ่านได้ด้วยเครื่องมือ/อุปกรณ์ (machine-readable format)
สิทธิที่จะได้รับความคุ้มครองตั้งแต่ต้น (Privacy by Design/Privacy by Default)
กำหนดให้มีการวางระบบความคุ้มครอง(Protection) ตั้งแต่ในโอกาสแรกของการออกแบบระบบ มากกว่าการมาเพิ่มการดำเนินการในภายหลัง โดยกำหนดว่าต้องมีการใช้มาตรการทางเทคนิคและการบริหารที่เหมาะสม โดยยึดหลักประสิทธิภาพ เพื่อให้เป็นไปตามข้อกำหนดและเป็นการคุ้มครองสิทธิเจ้าของข้อมูล ผู้ควบคุมข้อมูลจะเก็บและและประมวลผลข้อมูลได้เพียงเท่าที่จำเป็นเพื่อให้ภารกิจสำเร็จ (data minimization) และต้องมีการจำกัดการเข้าถึงข้อมูลโดยผู้ที่ไม่มีความเกี่ยวข้องใดๆกับการประมวลผล
สิทธิที่จะได้รับการคุ้มครองโดยเจ้าหน้าที่รับผิดชอบ (Data Protection Officers: DPO)
ใช้ระบบการเก็บบันทึกข้อมูลภายในองค์กร (Internal Record Keeping) แทนระบบการรายงานต่อ Data Protection Authorities (DPA) และกำหนดให้มีการแต่งตั้ง DPO สำหรับผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลขนาดใหญ่ และมีภารกิจหลักในการติดตามและประมวลผลข้อมูลเป็นประจำและเป็นระบบ (Regularly and Systematic monitoring Data Subjects)
การแต่งตั้ง DPO ต้องคำนึงถึงคุณสมบัติด้านวิชาชีพและความเชี่ยวชาญด้านกฎหมายและภาคการปฏิบัติ โดยอาจแต่งตั้งเจ้าหน้าที่ภายในองค์กรหรือผู้ให้บริการภายนอก ต้องแจ้งข้อมูลการติดต่อกับทาง DPA และต้องมีทรัพยากรเหมาะสมกับการปฏิบัติภารกิจและพัฒนาความรู้ความเชี่ยวชาญของ DPO ทั้งนี้ DPO มีระบบรายงานต่อผู้บริหารระดับสูง และต้องไม่ทำหน้าที่อื่นที่อาจเป็นกรณีผลประโยชน์ทับซ้อน
GDPR กับประเทศไทย
ความพยายามในการออกกฎหมายเพื่อการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยมีจุดเริ่มต้นในปี 2540 ตลอดหลายปีที่ผ่านมา มีการจัดทำร่างกฎหมายถึง 5 ฉบับ ผ่านรัฐบาลหลายคณะ
จนล่าสุด คณะรัฐประหารในนามคณะรักษาความสงบแห่งชาติ(คสช.) ประกาศจะเร่งออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลเพราะเห็นว่าเป็นกฎหมายสำคัญที่มีความจำเป็
รัฐบาลปัจจุบันได้ส่งร่างกฎหมายไปยังสภานิติบัญญัติแห่งชาติเมื่อเดือนตุลาคม 2557 หลังจากนั้นไม่ถึงสามเดือน สังคมไทยถูกทำให้สับสนมากขึ้นด้วยการที่รัฐบาลชุดเดียวกันได้จัดทำร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลอีกฉบับ ในชุดกฎหมายขับเคลื่อนนโยบายเศรษฐกิจดิจิทัล
ปัจจุบัน ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลดังกล่าว คณะกรรมการกฤษฎีกาตรวจเสร็จแล้ว อยู่ระหว่างการนำกลับมาทบทวนของกระทรวงดิจิทัล มีการปรับแก้หลายครั้งจนกลายเป็นร่างล่าสุด มีการรับฟังความคิดเห็นเบื้องต้นกลุ่มเล็กๆไปเมื่อต้นปี 2561 ที่ผ่านมา
จึงมีประเด็นที่ต้องดูกันต่อไปว่าการคุ้มครองข้อมูลส่วนบุคคลตามร่างนี้ จะมีมาตรฐานในระดับที่ทางอียูจะยอมรับหรือไม่ ซึ่งเมื่อพิจารณาแล้วประเด็นการส่งข้อมูลข้ามแดนจะเป็นเรื่องสำคัญที่สุด เพราะการส่งข้อมูลของคนต่างประเทศ ตามมาตรฐานสากลและข้อตกลงระหว่างประเทศจะห้ามส่งข้อมูลไปยังประเทศที่ไม่มีมาตรการคุ้มครองข้อมูลส่วนบุคคล หรือมีแต่ต่ำกว่ามาตรฐานของประเทศผู้ส่ง ร่างนี้เขียนว่าการส่งข้อมูลข้ามแดนให้เป็นไปตามหลักเกณฑ์ที่กรรมการกำหนด โดยที่ในวันนี้ประเทศไทยยังไม่มีกฎหมายคุ้มครองข้อมูล กรรมการที่จะดูแลบริหารกฎหมายก็ยังไม่มี หลักเกณฑ์ที่จะออกมาจึงยังไม่รู้ว่าจะออกมาหน้าตาเป็นอย่างไร ในระหว่างที่ยังไม่มี พ.ร.บ.นี้ ยังไม่มีหลักเกณฑ์ที่ว่านี้ ถ้าต้องมีกรณีการแลกเปลี่ยน การรับ-ส่งข้อมูลระหว่างไทยกับประเทศสมาชิกอียู ทางยุโรปจะเห็นว่ามาตรฐานของไทยภายใต้ร่างแบบนี้จะเทียบเท่า GDPR หรือเปล่า
ประเทศไทยคงหลีกเลี่ยงมาตรการ GDPR ได้ยาก เพราะการค้าระหว่างประเทศมีมูลค่าทางเศรษฐกิจสูงมาก และในการดำเนินธุรกิจทั้งหมดดำเนินการบนระบบอิเล็กทรอนิกส์ จะมีการแลกเปลี่ยนข้อมูลระหว่างผู้ประกอบการตลอดเวลา ปริมาณการรับ – ส่งข้อมูลมีมหาศาล ในบรรดาข้อมูลหล่านี้ย่อมรวมถึงข้อมูลส่วนบุคคลที่เกี่ยวข้องจำนวนมาก ทั้งข้อมูลพลเมืองของประเทศผู้ซื้อและประเทศผู้ขายสินค้าและบริการ
พิจารณาจากภาคท่องเที่ยวและบริการเพียงส่วนเดียว ซึ่งนักท่องเที่ยวจากยุโรปเป็นกลุ่มใหญ่ที่สุดที่ทำรายได้ให้กับภาคการท่องเที่ยวของไทย แน่นอนว่าข้อมูลส่วนบุคคลของนักท่องเที่ยวเหล่านี้จะต้องมีการ รับ–ส่ง-แลกเปลี่ยน กับผู้ให้บริการในประเทศไทยอย่างหลีกเลี่ยงไม่ได้
บริษัทและหน่วยงานในประเทศเราน่าจะมีผลกระทบจากกฎระเบียบ GDPR จำนวนมาก ตั้งแต่การเก็บข้อมูลการเดินทางเข้าออกประเทศ ธุรกิจสายการบิน บริษัทท่องเที่ยว โรงแรมที่พัก โรงพยาบาลหรือสถานบริการสุขภาพ สถาบันการเงิน ธุรกิจการเงิน การแลกเปลี่ยนเงินตรา บัตรเครดิต การประกันชีวิต การประกันภัย บริษัทโทรคมนาคม บริษัทที่ดำเนินธุรกิจธุรกรรมออนไลน์ และ E-commerce ทั้งหมด
ความใหญ่โตของฐานข้อมูลส่วนบุคคลในผู้ประกอบการด้านการเงินการธนาคาร ธุรกิจการติดต่อสื่อสารโทรคมนาคม และโดยเฉพาะธุรกิจที่เกี่ยวข้องกับข้อมูลโดยตรง ไม่ว่าจะเป็นผู้ประกอบการด้านการประมวลผลข้อมูล Big Data Cloud รวมทั้งธุรกิจตลาดหลักทรัพย์ ธุรกิจบริการด้านสุขภาพ ซึ่งหมายความว่าทุกหน่วยงานที่จะทำหน้าที่ Data Controller หรือเป็น Data Processor ที่จะเก็บและประมวลผลข้อมูลส่วนบุคคลของพลเมืองจากประเทศในกลุ่ม EU จะต้องคำนึงถึงการปฏิบัติให้สอดคล้องกับมาตรการ GDPR ด้วยความระมัดระวัง
ยังมีความกังวลจากหลายฝ่ายที่เริ่มตระหนักถึงความสำคัญของ GDPR โดยมองว่าถึงแม้ผู้ประกอบการไทยอาจไม่โดนดำเนินคดีทางกฎหมายจากการไม่ปฏิบัติตามหรือปฏิบัติขัดกับหลักการ GDPR แต่โดยที่ธรรมชาติของการติดต่อธุรกิจระหว่างประเทศต้องมีการแลกเปลี่ยนข้อมูลระหว่างกันอยู่แล้ว หากฝ่ายผู้ประกอบการทางยุโรปเห็นว่าบริษัทคู่ค้าของไทยไม่สามารถปฎิบัติตาม GDPR บริษัท EU ก็จะไม่สามารถแลกเปลียนข้อมูลกับบริษัทในไทย ซึ่งก็จะส่งผลให้ไม่สามารถทำธุรกิจธุรกรรมกันได้ในที่สุด
นอกจากนี้ อียูอาจใช้มาตรการแทรกแซงทางการค้าอื่นๆ ในลักษณะเช่นเดียวกับการให้ “ใบเหลือง” ประเทศไทยจากกรณีปัญหา Illegal, Unreported and Unregulated Fishing(IUU) เมื่อเดือนเมษายน 2558 โดยระบุว่าเป็นประเทศที่ไม่ให้ความร่วมมือในการต่อต้านการทำประมงที่ผิดกฎหมาย ซึ่งอียูได้ใช้มาตรการคว่ำบาตรการนำเข้าอาหารทะเลจากประเทศที่เพิกเฉยต่อการแก้ไขปัญหา GDPR กำลังจะมีผลบังคับใช้ในเดือนพฤษภาคมนี้แล้ว แต่ดูเหมือนจะยังไม่เป็นที่รู้จักหรือเข้าใจกันอย่างแพร่หลายในประเทศไทยเท่าไรนัก
มีคำถามมากมายที่ชวนสงสัยและกำลังรอคำตอบ จนถึงวันนี้ GDPR เป็นที่รับรู้ของผู้ประกอบการธุรกิจในประเทศไทยมากน้อยเพียงใด GDPR จะมีผลกระทบต่อธุรกิจทั้งขนาดใหญ่และขนาดเล็กหรือเปล่า หน่วยงานของรัฐหน่วยใดควรเป็นผู้เผยแพร่ความรู้ความเข้าใจและให้คำแนะนำเกี่ยวกับการปฏิบัติตามหลักเกณฑ์นี้ กระทรวงพาณิชย์ กระทรวงต่างประเทศ หรือกระทรวงดิจิทัล? พลเมืองไทยทั้งผู้ประกอบการหรือผู้บริโภคจะได้รับผลกระทบหรือไม่อย่างไรจากมาตรการนี้ หน่วยงานของรัฐที่เก็บและประมวลผลข้อมูลส่วนบุคคลไม่น้อยไปกว่าภาคเอกชนจะต้องปฏิบัติตาม GDPR หรือไม่ กฎหมายข้อมูลส่วนบุคคลจะเสร็จเมื่อไหร่ จะมีมาตรฐานเทียบเท่า GDPR หรือมาตรการสากลของนานาประเทศหรือไม่
และคำถามสุดท้าย.....
คนไทยรู้จักและเข้าใจ GDPR กันหรือยัง?
www.facebook.com/tcijthai
ป้ายคำ