เริ่มมีผลใช้แล้ววันนี้ (25 พ.ค. 61) กับ หลักคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation-GDPR) บริษัทและบุคคลต่างๆ ทั่วโลก (ไม่ว่าสัญชาติใด) ที่มีธุรกิจเกี่ยวพันกับพลเมืองยุโรป และต้องถือครองข้อมูลส่วนบุคคลของพลเมืองยุโรป ก็จะต้องมีปรับมาตรการให้สอดคล้องกับหลัก GDPR ที่ออกมาใหม่นี้
แม้เราจะอยู่นอกประเทศสหภาพยุโรป แต่เว็บไซต์จำนวนมากที่มีข้อมูลส่วนบุคคลของเราก็ล้วนให้บริการในระดับเวิลด์ไวด์ หรืออย่างเช่นเฟซบุ๊กและทวิตเตอร์ ก็ต้องปรับหลักเกณฑ์ให้เข้ากับ GDPR ด้วย นั่นจึงแทบจะเรียกได้ว่า GDPR มีผลต่อข้อมูลส่วนบุคคลของคนเกือบทั่วทั้งโลก
GDPR คืออะไร
GDPR เป็นหลักการที่ทำให้ประชาชนสามารถควบคุมองค์กรต่างๆ ที่ใช้ข้อมูลที่ระบุตัวตนหรือข้อมูลส่วนตัวได้มากขึ้น
หลัก GDPR ระบุว่า ผู้ใช้งานต้องเป็นผู้เลือกเองว่าจะให้เก็บหรือจัดการข้อมูลอย่างไร หรือที่เรียกว่า opt in (ออป-อิน) ตรงนี้จะแตกต่างอย่างมากกับที่ผ่านมา ที่ใช้กันแต่แบบ opt out (ออป-เอาท์)
ตัวอย่างเช่น เราสมัครบริการฟิตเนส แล้วหน้าสุดท้ายก่อนที่จะต้องเซ็นชื่อหรือกดคอนเฟิร์ม อาจจะมีคำถามว่า จะยอมให้บริษัทเอาข้อมูลไปใช้งานในกิจการอื่น หากแบบฟอร์มนั้นตั้งค่าพื้นฐานมาไว้ก่อนแล้วว่าเราจะยินยอม หากไม่ยินยอมค่อยกดเครื่องหมายถูกออก แบบนั้นคือ opt out หลายคนขี้เกียจอ่านก็มักยินยอมไปโดยไม่รู้ตัว หลัก GDPR บอกว่าต่อไปนี้จะทำแบบนี้ไม่ได้ ต้องใช้วิธี opt in คือถ้าเรายินยอม ค่อยไปกดแบบ opt in
โดยบริษัทที่มีข้อมูลส่วนบุคคลของผู้ใช้งาน จะต้องใช้ภาษาที่เข้าใจง่าย และต้องแจ้งว่า สามารถถอนความยินยอมเมื่อใดก็ได้
ในกรณีที่ข้อมูลรั่วไหล บริษัทต้องรายงานให้เจ้าหน้าที่รัฐทราบภายใน 72 ชั่วโมง
บุคคลจะสามารถร้องขอข้อมูลได้ว่าบริษัทใช้ข้อมูลของพวกเขาอย่างไร ข้อมูลอะไรที่ถูกเก็บ และด้วยเหตุผลอะไร
หลักคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ผ่านสภาสหภาพยุโรปเมื่อปี 2016 มีเป้าหมายเพื่อสร้างกฎหมายคุ้มครองความเป็นส่วนตัวของข้อมูลที่ใช้กับทุกประเทศที่เป็นสมาชิกของสหภาพยุโรป
ภายใต้กฎหมายนี้ บริษัทซึ่งต้องได้รับความยินยอมจากบุคคลในการรวบรวมข้อมูล จะต้องปรับแก้วิธีการเก็บและครอบครองข้อมูล ให้สอดคล้องกับข้อบังคับฉบับใหม่นี้
GDPR เกี่ยวอะไรกับตัวเรา
ทุกวันนี้ เราสร้างข้อมูลมหาศาล ไม่ว่าจะจากนาฬิกาข้อมูลที่ติดตามแคลอรี่ การนอนหลับ แอปพลิเคชั่นที่ใช้จัดการการเงิน หรือข้อความที่คุยกับเพื่อน
ดังนั้น GDPR จึงมีขึ้นเพื่อเป็นกฎหมายคุ้มครองข้อมูลให้ทันกับข้อมูลมากมายที่เราผลิตขึ้น และวิธีที่บริษัทใช้ข้อมูล
กรณีข้อมูลรั่วไหลเมื่อเร็วๆ นี้ เป็นบทเรียนสดๆ ร้อนๆ ที่ย้ำว่า บริษัทต่างๆ ไม่ว่าจะเป็น เช่น เฟซบุ๊ก อูเบอร์ หรือมายฟิตเนสแพล ควรต้องมีแนวปฏิบัติที่เข้มแข็งมากขึ้นว่าพวกเราจะใช้ข้อมูลอย่างไร
‘ข้อมูลส่วนบุคคล’ หมายถึงอะไร
GDPR บังคับใช้กับข้อมูลส่วนบุคคลทั้งหมด ซึ่งหมายถึง ข้อมูลใดๆ ก็ตามที่สามารถใช้ระบุตัวตนของผู้ที่มีชีวิตอยู่ทั้งทางตรงและทางอ้อม รวมถึงชื่อ ตำแหน่งที่อยู่ หรือเบอร์โทรศัพท์ของพวกเขา
ข้อมูลส่วนบุคคลบางอย่างถูกจัดให้เป็นข้อมูลอ่อนไหวตามหลัก GDPR และต้องการการคุ้มครองที่มากขึ้น ซึ่งรวมถึงชาติกำเนิด เพศ ความเชื่อทางศาสนา ความเป็นสมาชิกสหภาพการค้าและอื่นๆ
หลัก GDPR นี้ใช้กับใคร
GDPR ใช้กับทุก ‘ผู้ควบคุมข้อมูล’ (data controller) หรือ ‘ผู้ประมวลผลข้อมูล’ (data processor) และบังคับใช้กับทุกคนที่ให้บริการกับคนในสหภาพยุโรป ไม่ว่าสำนักงานใหญ่จะตั้งอยู่ที่ใดก็ตาม
บริษัทต่างๆ ไม่ว่าจะเป็นโซเชียลมีเดีย ธนาคาร หรือฟิตเนส ฯลฯ จะมีทั้ง ‘ผู้ควบคุมข้อมูล’ ที่จะกำหนดทิศทางว่าจะประมวลผลและใช้ข้อมูลส่วนตัวอย่างไร ส่วน ‘ผู้ประมวลผลข้อมูล’ อาจเป็นผู้เชี่ยวชาญฝ่ายไอทีที่ทำงานให้บริษัทนั้นๆ ทำหน้าที่เก็บรวบรวมข้อมูล
หลัก GDPR ยังใช้กับบุคคล เช่น ช่างทำผมที่เก็บข้อมูลอีเมลของลูกค้าเพื่อส่งจดหมายข่าวด้วย
ฉันสามารถเข้าถึงข้อมูลเกี่ยวกับตัวเองได้หรือไม่
ทุกคนสามารถขอให้บริษัทยืนยันว่า บริษัทมีข้อมูลส่วนตัวอะไรบ้างที่เกี่ยวกับตนเอง
บุคคลนั้นมีสิทธิที่จะได้รับสำเนาข้อมูล และเหตุผลที่บริษัทเก็บข้อมูลส่วนบุคคลของพวกเขา และใครที่สามารถเห็นข้อมูลนี้ได้
บริษัทต้องมอบข้อมูลเหล่านี้ให้โดยไม่คิดค่าใช้จ่าย และด้วยวิธีที่เข้าถึงได้ เช่น อีเมล ภายใน 30 วันนับตั้งแต่มีการร้องขอ
ในกรณีที่ข้อมูลไม่ถูกต้อง สามารถขอให้แก้ไขข้อมูลให้ถูกต้องได้
‘สิทธิที่จะถูกลืม’ (The Right to be Forgotten) คืออะไร
สิทธิที่จะถูกลืม หรือ Right to be forgotten กำหนดว่า เรามีสิทธิที่จะขอให้ข้อมูลส่วนตัวของตนเองถูกลบเมื่อใดก็ได้ หากว่ามันไม่เกี่ยวข้องอีกต่อไป
สิทธินี้ยังใช้ได้กับออนไลน์ ตัวอย่างเช่น เราสามารถร้องขอให้บริษัทที่ทำให้ข้อมูลส่วนตัวออนไลน์ลบข้อมูลนี้ได้ ซึ่งบริษัทเหล่านี้ต้องแจ้งให้ผู้อื่นที่อาจนำข้อมูลไปใช้ต่อทราบด้วยว่า เจ้าของข้อมูลร้องขอใช้สิทธิที่จะถูกลืม ดังนั้น ข้อมูล ลิงก์ที่เชื่อมโยง และสำเนาของข้อมูลนั้นต้องถูกลบ
หลัก GDPR กระทบกับธุรกิจต่างๆ อย่างไร
บริษัทที่มีลูกจ้างมากกว่า 250 คนขึ้นไปต้องมีบันทึกข้อมูลที่ประมวลผลทั้งหมด รวมทั้งเหตุผล วิธีที่ลูกค้าเลือกรับ (opt in) มีบันทึกว่าใครเห็นข้อมูลได้ รวมถึงจัดทำคำอธิบายเกี่ยวกับมาตรการด้านความปลอดภัย
บางกลุ่มธุรกิจแสดงความกังวลเกี่ยวกับผลกระทบจากกฎหมายนี้ หลายบริษัทไม่ได้ตระหนักถึงความเปลี่ยนแปลง แต่แน่นอนว่า การบันทึกข้อมูลเพิ่มเติมภายใต้หลัก GDPR จะเพิ่มภาระให้กับบริษัท
ถ้าทำตามไม่ได้ หรือไม่ทำตาม จะมีโทษอะไร
หากมีการใช้ข้อมูลในทางที่ผิด เกิดการรั่วไหลของข้อมูล หรือเกิดความล้มเหลวในการประมวลข้อมูลของบุคคล คณะกรรมการข้อมูลส่วนบุคคลมีอำนาจปรับบริษัทที่ไม่สามารถปฏิบัติตามกฎหมายได้ โดยค่าปรับสูงสุดประมาณ 17.5 ล้านปอนด์ หรือ 4% ของรายได้ทั่วโลกของบริษัท
อ้างอิง: http://www.bbc.com/news/business-43841515
อ่านเพิ่มเติม: https://themomentum.co/general-data-protection-regulation-europe/
Tags: ข้อมูลส่วนบุคคล, GDPR, ยุโรป