นิติจุฬาฯ ย้ำ GDPR บังคับใช้แล้ว ต้องเริ่มทันที ผิดกฎหมายข้อมูลส่วนบุคคล โทษปรับสูงถึง 20 ล้านยูโร

เมื่อวันที่ 4 ก.ค.61 ดร.พิเชฐ ดุรงคเวโรจน์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานเปิดงานและปาฐกถาพิเศษ โครงการสัมมนาเชิงลึกเรื่อง "แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพื่อรองรับการมีผลบังคับใช้ของ GDPR" จัดโดย ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย โดยมี ผศ.ดร.ปารีณา ศรีวนิชย์ คณบดีคณะนิติศาสตร์ รศ.ธิติพันธุ์ เชื้อบุญชัย ผู้อำนวยการศูนย์วิจัยกฎหมายและการพัฒนา และ ผศ.ดร.ปิยะบุตร บุญอร่ามเรือง ที่ปรึกษารัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และอาจารย์ประจำคณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ให้การต้อนรับ ณ ห้องบอลรูม 1 โรงแรมอินเตอร์คอนติเนนตัล กรุงเทพฯ

ดร.พิเชฐ กล่าวว่า การคุ้มครองข้อมูลส่วนบุคคลไม่ใช่เรื่องใหม่ เพราะมีพัฒนาการมากมายทั้งในกฎหมายต่างประเทศและข้อตกลงระหว่างประเทศ โดยพัฒนาการขั้นล่าสุด ได้แก่ สหภาพยุโรปได้ประกาศใช้ GDPR (EU General Data Protection Regulation) ซึ่งเป็นการแก้ไขปรับปรุงหลักการคุ้มครองข้อมูลส่วนบุคคลฉบับเก่าให้มีผลบังคับใช้ตั้งแต่วันที่ 25 พฤษภาคม 2561 ที่ผ่านมา ซึ่งรัฐบาลได้เร่งรัดดำเนินการตามนโยบายดิจิทัล โดยได้ผลักดันร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลฯ ซึ่งได้รับความเห็นชอบจากคณะรัฐมนตรีแล้ว และกำลังอยู่ในกระบวนการนิติบัญญัติตามขั้นตอนที่อาจต้องใช้เวลาอีกประมาณ 6-7 เดือน ซึ่งในขณะนี้ก็ไม่อยากให้รอกฎหมาย แต่เราควรต้องเร่งสร้างมาตรฐานของเราขึ้นมา เพราะถึงอย่างไรก็ต้องมีระบบการรับรองมาตรฐานคุ้มครองข้อมูลส่วนบุคคล การที่จุฬาลงกรณ์มหาวิทยาลัยซึ่งเป็นหน่วยงานด้านการศึกษา และมีภารกิจในการให้ความรู้แก่ประชาชน ได้ร่วมกันกับภาคเอกชนริเริ่มในเรื่องนี้จึงเป็นนิมิตหมายที่ดี ทันต่อสถานการณ์

...

ด้าน ผศ.ดร.ปารีณา กล่าวว่า ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัยเล็งเห็นความสำคัญและความจำเป็นที่ต้องจัดทำคู่มือแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อรองรับการมีผลบังคับใช้ของ GDPR (EU General Data Protection Regulation) การจัดอบรมให้ความรู้และเผยแพร่แนวปฏิบัติฯที่จัดทำขึ้น จึงร่วมกันกับองค์กรภาครัฐและเอกชน ที่ต่างตระหนักถึงความสำคัญและความจำเป็นของเรื่องนี้ จัดให้มีโครงการจัดทำคู่มือแนวปฏิบัติ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อรองรับการมีผลบังคับใช้ของ GDPR (EU General Data Protection Regulation) เพื่อให้เกิดการตระหนักรู้ของภาครัฐและภาคเอกชน และจัดทำแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล สำหรับผู้ประกอบการที่จะนำไปปฏิบัติอันจะเป็นประโยชน์ให้ผู้ประกอบการ อีกทั้งเป็นการเตรียมความพร้อมให้แก่ผู้ประกอบการไทยให้ทราบมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล ล่าสุดและแนวปฏิบัติที่สามารถนำไปใช้ได้จริง

ขณะที่ ผศ.ดร.ปิยะบุตร เปิดเผยว่า ปัจจุบันคนไทยใช้สื่อสังคมออนไลน์และบริการทางอินเทอร์เน็ตต่างๆ เป็นอันดับต้นๆ ของโลก แต่มาตรการด้านความมั่นคงปลอดภัยทางไซเบอร์นั้นถือว่าไม่สู้ดีนัก โดยเฉพาะส่วนที่เกี่ยวกับมาตรการทางกฎหมาย และความพร้อมของหน่วยงานต่างๆ ในประเทศ ที่ผ่านมาประเทศไทยตกเป็นข่าวถึงความไม่ปลอดภัยทางไซเบอร์ที่อื้อฉาว เช่น กรณีมหาวิทยาลัยธรรมศาสตร์ถูกใช้เป็นฐานการโจรกรรมข้อมูลจากบริษัท Sony Pictures กรณี ATM 21 แห่งของธนาคารออมสินถูกโจมตีด้วยมัลแวร์และขโมยเงินไป 12 ล้านบาท กรณี McAfee ตรวจสอบพบว่ามหาวิทยาลัยธรรมศาสตร์ ถูกใช้เป็นฐานโจมตีทางไซเบอร์ กรณีนาย Niall Merrigan นักวิจัยด้านความปลอดภัย ที่คอยสำรวจและตรวจสอบการสร้างโฟลเดอร์ Amazon S3 บนระบบ Cloud ซึ่งหลังจากสแกนเจอโฟลเดอร์ที่เปิดเอาไว้หรือไม่ได้ล็อก ก็จะเลือกเข้าไปดูโฟลเดอร์ที่มีข้อมูลเยอะๆ ว่าเก็บอะไรเอาไว้บ้าง ซึ่ง 1 ใน 1,000 นั้นก็คือโฟลเดอร์เก็บข้อมูลลูกค้าของ Truemove H

อย่างไรก็ตามในส่วนของประเทศไทยนั้น ยังไม่มีกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ส่งผลให้เกิดการเปิดเผยข้อมูลส่วนบุคคลมาก แม้รัฐบาลจะได้พยายามผลักดันให้มีการตรากฎหมายการคุ้มครองข้อมูลส่วนบุคคลเป็นเวลากว่า 10 ปีแล้ว แต่ความตระหนักรู้เรื่องความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยยังมีอยู่ค่อนข้างน้อยหรือไม่ได้รับความสนใจโดยสิ้นเชิง

"เมื่อปี 2015 Mr. Schrems นักศึกษากฎหมายชาวออสเตรีย อายุ 23 ปี ได้ไปศึกษากฎหมายคุ้มครองข้อมูลส่วนบุคคลในสหรัฐอเมริกา และได้ชนะคดี Facebook ในศาลแห่งยุโรปเป็นข่าวโด่งดัง ในกรณีการส่งข้อมูลส่วนบุคคลจากยุโรปไปยังสหรัฐอเมริกาที่มีระดับการคุ้มครองต่ำกว่า ทำให้สหภาพยุโรปต้องทบทวนกรอบ EU-US Privacy Shield ใหม่ในปี 2016 ปัจจุบัน Mr. Schrems ก่อตั้งองค์กรไม่แสวงหากำไรชื่อว่า noyb.eu (None of Your Business) เพื่อดำเนินการทางกฎหมายเกี่ยวกับการใช้ประโยชน์ข้อมูลส่วนบุคคลของผู้ประกอบการ ปัจจุบัน noyb.com ได้ดำเนินการร้องเรียนต่อ Google และ Facebook ตามมาตรฐาน GDPR แล้ว และยังส่งผลให้กลุ่มต่างๆ เริ่มร้องเรียนในลักษณะเดียวกันเพิ่มขึ้นอย่างต่อเนื่อง" ผศ.ดร.ปิยะบุตร กล่าว

ทั้งนี้ สาระสำคัญของการประกาศใช้ GDPR (EU General Data Protection Regulation) โดยสหภาพยุโรป ซึ่งเป็นการแก้ไขปรับปรุงหลักการคุ้มครองข้อมูลส่วนบุคคลฉบับเก่าให้มีผลบังคับใช้ตั้งแต่วันที่ 25 พฤษภาคม 2561 ที่ผ่านมา สรุปได้ดังนี้ (1) กำหนดการใช้อำนาจนอกอาณาเขต (extraterritorial jurisdiction) คือ ข้อมูลส่วนบุคคลของสหภาพยุโรปอยู่ภายใต้ความคุ้มครองไม่ว่าจะอยู่ในที่ใดในโลก (2) บทลงโทษสูงขึ้น โดยองค์กรที่กระทำผิดอาจต้องจ่ายค่าปรับสูงถึงอัตราร้อยละ 4 ของผลประกอบการรายได้ทั่วโลก (3) การขอความยินยอมจากเจ้าของข้อมูลต้องชัดเจนและชัดแจ้ง (clear and affirmative consent) (4) การแจ้งเตือนเมื่อเกิดเหตุข้อมูลรั่ว หากพบว่าข้อมูลรั่วไหล หน่วยงานผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลต้องแจ้งให้หน่วยงานกำกับดูแล และประชาชนทราบภายใน 72 ชั่วโมง (5) ขอบเขตสิทธิของเจ้าของข้อมูล ผู้ควบคุมข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบว่าข้อมูลจะถูกใช้อย่างไร เพื่อวัตถุประสงค์ใด และต้องจัดทำสำเนาข้อมูลให้กับเจ้าของข้อมูลในรูปแบบอิเล็กทรอนิกส์ โดยห้ามเก็บค่าใช้จ่ายเพิ่ม (6) สิทธิในการโอนข้อมูลไปยังผู้ประกอบการอื่น (Right to data portability) (7) สิทธิที่จะถูกลืม (Right to be Forgotten) เจ้าของข้อมูลสามารถขอให้หน่วยงานควบคุมข้อมูลลบข้อมูลของตัวเองออกได้

...

นอกจากการควบคุมการส่งข้อมูลภายในประเทศสมาชิกสหภาพยุโรปแล้ว สำหรับประเทศที่ไม่ได้เป็นสมาชิกสหภาพยุโรป หากจะทำการติดต่อรับ-ส่งข้อมูลกับบุคคลของประเทศสมาชิก ก็ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมเพียงพอเช่นกัน ซึ่งเป็นเหตุให้ผู้ประกอบการไทยต้องปรับตัวเพื่อรองรับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลดังกล่าว ที่ผ่านมากว่า 20 ปีรัฐบาลได้ผลักดันให้มีกฎหมายการคุ้มครองข้อมูลส่วนบุคคลฯ มาโดยตลอด แต่ก็ยังไม่ประสบความสำเร็จ ยังต้องดำเนินการตามขั้นตอนการพิจารณาอีกหลายขั้นตอน ในขณะที่องค์กรเอกชนทั้งหลายต่างได้รับผลกระทบจากการบังคับใช้ GDPR และมีความกังวลต่อการดำเนินการจัดการข้อมูลในความครอบครองของตนเพื่อให้เป็นไปตามหลักเกณฑ์ดังกล่าว โดยเฉพาะอย่างยิ่งองค์กรที่กระทำผิดอาจต้องจ่ายค่าปรับสูงถึงอัตราร้อยละ 4 ของผลประกอบการรายได้ทั่วโลก โดยค่าปรับสูงสุดคิดเป็นมูลค่าถึง 20 ล้านยูโร

สำหรับผู้สนใจที่ข้อมูลโดยละเอียดในการสัมมนาครั้งนี้ ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย เปิดให้ดาวน์โหลดได้ที่ www.law.chula.ac.th/home/view.aspx?id=1096

ทั้งนี้ การสัมมนาในครั้งนี้ได้รับความร่วมมือจากหน่วยงานทั้งภาครัฐและเอกชนที่มีชื่อเสียง ส่งผู้บริหารระดับสูง ร่วมให้ข้อมูลและแลกเปลี่ยนแก่ผู้ร่วมสัมมนา อาทิ นางสุรางคณา วายุภาพ ผู้อำนวยการสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์, ดร.สิทธินัย จันทรานนท์ ผอ.สังกัด สนง. รองกรรมการผู้อำนวยการใหญ่ สายบริหารงานกฎหมายและบริหารทั่วไป บมจ.การบินไทย, Ms. Kristina Nesset Kjerstad VP Europe, Global Privacy, Telenor, ดร.เยาวลักษณ์ ชาติบัญชาชัย หุ้นส่วน สำนักงาน อีวาย ประเทศไทย, นายสุรศักดิ์ วาจาสิทธิ์ หุ้นส่วนผู้จัดการ บริษัท อาร์ แอนด์ ที เอเชีย (ประเทศไทย) จำกัด, ดร.พณชิต กิตติปัญญางาม นายกสมาคมการค้าเพื่อส่งเสริมผู้ประกอบการเทคโนโลยีรายใหม่, นายมนตรี สถาพรกุล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล บมจ. โทเทิ่ล แอ็คเซ็ส คอมมูนิเคชั่น, นายวิศิษย์ศักดิ์ อรุณสุรัตน์ภักดี ทนายความหุ้นส่วน บริษัท อาร์ แอนด์ ที เอเชีย (ประเทศไทย) จำกัด และนายวิทการ จันทวิมล รองกรรมการผู้อำนวยการสายงานกลยุทธ์และพัฒนาผลิตภัณฑ์ บริษัท เอพี(ไทยแลนด์) จำกัด (มหาชน) ทั้งนี้มีหน่วยงาน ทั้งภาครัฐและเอกชน ให้ความสนใจ ส่งผู้แทนเข้าร่วมสัมมนาในครั้งนี้กว่าร้อยแห่ง

...