EU Datenschutz-Grundverordnung (DSGVO) หรือภาษาอังกฤษเรียกว่า General Data Protection Regulation (GDPR) เรียกเป็นภาษาไทยได้ว่า “ระเบียบอียู่ว่าด้วยเรื่องการคุ้มครองข้อมูลส่วนบุคคล” ซึ่งได้เริ่มร่างมาตั้งแต่ปี ค.ศ. 2016 และจะมีผลบังคับใช้โดยตรงในประเทศสมาชิกสหภาพยุโรป (อียู) ตั้งแต่วันที่ 25 พฤษภาคม 2561 (2018) เป็นต้นไป
ในโลกดิจิตอลทุกวันนี้ เราใช้ข้อมูลส่วนบุคคลหรือข้อมูลส่วนตัวในหลายกรณี ไม่ว่าจะเป็นการทำสัญญา การให้คำยินยอม การซื้อขาย การสมัครเป็นสมาชิกต่าง ๆ การใช้โซเชียลมีเดีย และอื่น ๆ อีกมากมาย แต่บ่อยครั้งที่ข้อมูลส่วนบุคคลของเราถูกนำไปใช้นอกเหนือจากกรณีที่เราให้คำยินยอมไว้ กฎหมายข้างต้นจะช่วยคุ้มครองข้อมูลส่วนบุคคลของเราอีกทางหนึ่ง แต่อีกทางหนึ่งคือการรู้สิทธิของเราเอง
มาดูว่า “ระเบียบอียู่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล” มีหลักการสำคัญโดยสรุปว่าอย่างไรบ้าง
ความชอบด้วยกฎหมายของการใช้ข้อมูล
ตาม “ระเบียบอียูว่าด้วยเรื่องการคุ้มครองข้อมูลส่วนบุคคล” นั้น การนำข้อมูลส่วนบุคคลไปใช้ จะชอบด้วยกฎหมายก็ต่อเมื่ออย่างน้อยเป็นไปตามหนึ่งในเงื่อนไขต่อไปนี้ (มาตรา 6)
- เจ้าของข้อมูลได้ให้คำยินยอมให้นำข้อมูลไปใช้สำหรับจุดประสงค์ใดจุดประสงค์หนึ่งหรือหลาย ๆ จุดประสงค์
- ใช้ข้อมูลส่วนบุคคลเพื่อทำสัญญา หรือ มีความจำเป็นต้องใช้ข้อมูลส่วนบุคคลเพื่อเตรียมสัญญา โดยเจ้าของข้อมูลเป็นคู่สัญญา
- ผู้ที่ต้องการข้อมูลส่วนบุคคลนั้นมีความจำเป็นต้องใช้ข้อมูลส่วนบุคคล เนื่องจากกฎหมายกำหนดไว้
- มีความจำเป็นต้องใช้ข้อมูลส่วนบุคคล เพื่อผลประโยชน์ต่อชีวิตของเจ้าของข้อมูล หรือ เพื่อปกป้องผลประโยชน์ของผู้อื่น
- มีความจำเป็นต้องใช้ข้อมูลส่วนบุคคล เพื่อปฏิบัติภารกิจที่มีผลต่อความมั่นคงและความปลอดภัยของสาธารณะ
- มีความจำเป็นที่สมเหตุสมผลที่ต้องใช้ข้อมูลส่วนบุคคล โดยการใช้ข้อมูลส่วนบุคคลนั้นต้องไม่ขัดต่อผลประโยชน์ สิทธิและอิสรภาพขั้นพื้นฐานของเจ้าของข้อมูล โดยเฉพาะอย่างยิ่งถ้าบุคคลผู้นั้นเป็นผู้เยาว์
ใช้ข้อมูลอย่างประหยัด
หลักการสำคัญของ “ระเบียบอียูว่าด้วยเรื่องการคุ้มครองข้อมูลส่วนบุคคล” อีกประการหนึ่งคือ การใช้ข้อมูลส่วนบุคคลต้องมีความจำเป็น เหมาะสม และ สอดคล้องกับจุดประสงค์การใช้ และจุดประสงค์ที่จะนำไปใช้ต้องกำหนดไว้อย่างชัดเจนและสอดคล้องกับกฎหมาย
ความปลอดภัยของข้อมูล
หลักการสำคัญประการต่อไปคือ ผู้ที่จัดเก็บข้อมูลส่วนบุคคลต้องใช้มาตรการที่เหมาะสมรักษาความปลอดภัยของข้อมูล โดยระดับของการรักษาความปลอดภัยต้องสัมพันธ์กับความเสี่ยงของข้อมูล
ความโปร่งใส
เพื่อความโปร่งใส ผู้ที่ต้องการนำข้อมูลส่วนบุคคลไปใช้ ต้องแจ้งรายละเอียดของจุดประสงค์ให้เจ้าของข้อมูลทราบล่วงหน้า โดยต้องจัดทำข้อมูลแจ้งให้เจ้าของข้อมูลทราบ ดังนี้
- ชื่อและข้อมูลติดต่อของตัวเอง (ผู้รับผิดชอบ) หรือตัวแทน รวมถึงข้อมูลติดต่อหน่วยงานคุ้มครองข้อมูลในท้องที่
- ชนิดของข้อมูลส่วนบุคคลที่ต้องการใช้และจุดประสงค์ที่จะนำข้อมูลส่วนบุคคลดังกล่าวไปใช้ พร้อมข้อกฎหมายและระเบียบรองรับ รวมถึงแจ้งว่ามีใครบ้าง (เช่น พันธมิตรทางการค้า เป็นต้น) ที่จะใช้ข้อมูลส่วนบุคคลนี้ร่วมกัน
- แจ้งระยะเวลาการเก็บข้อมูล หากยังแจ้งระยะเวลาชัดเจนไม่ได้ ให้แจ้งหลักเกณฑ์การกำหนดระยะเวลาการเก็บข้อมูล
- แจ้งสิทธิในการสอบถามข้อมูลของเจ้าของข้อมูล สิทธิในการแก้ไขข้อมูล สิทธิในการลบข้อมูล สิทธิในการจำกัดการใช้ข้อมูล สิทธิในการคัดค้านและยกเลิกการให้คำยินยอม สิทธิขอสำเนาข้อมูล (เช่น ในรูปพิมพ์ออกมาและอ่านได้) และสิทธิในการขอโอนข้อมูลไปยังที่อื่น เช่น ในกรณีเปลี่ยนคู่สัญญา เป็นต้น
- แจ้งสิทธิในการร้องเรียนต่อหน่วยงานคุ้มครองข้อมูล
- แจ้งว่าการใช้ข้อมูลส่วนบุคคลนั้นกฎหมายหรือสัญญากำหนดไว้ หรือ จำเป็นต่อการทำสัญญา หรือ เจ้าของข้อมูลจำเป็นต้องให้ข้อมูลและถ้าหากไม่ให้ข้อมูลจะมีอะไรเกิดขึ้น
- หากต้องการนำข้อมูลไปใช้ในกรณีอื่นนอกเหนือที่เคยแจ้งไว้ จะต้องแจ้งจุดประสงค์ของกรณีอื่นนี้พร้อมกับรายละเอียดประกอบตามที่กล่าวข้างต้นให้เจ้าของข้อมูลทราบ ก่อนที่นำข้อมูลไปใช้
เจ้าของข้อมูลมีสิทธิอะไรบ้าง
เจ้าของข้อมูลมีสิทธิในการกำหนดการนำข้อมูลส่วนบุคคลของตัวเองไปใช้ เพราะฉะนั้นการจะเก็บข้อมูลและการจะนำข้อมูลส่วนบุคคลของคนใดคนหนึ่งไปใช้งาน จะต้องได้รับคำยินยอมจากเจ้าของข้อมูลก่อนเท่านั้น
“ระเบียบอียูว่าด้วยเรื่องการคุ้มครองข้อมูลส่วนบุคคล” จึงได้กำหนดสิทธิเจ้าของข้อมูลไว้ดังต่อไปนี้
- เจ้าของข้อมูลสามารถสอบถามไปยังบริษัทหรือองค์กรหรือหน่วยงานที่เกี่ยวข้องว่าเก็บข้อมูลส่วนบุคคลของตนเองไว้หรือไม่ ถ้าเก็บ เก็บข้อมูลส่วนบุคคลใดไว้บ้าง และบริษัทหรือองค์กรหรือหน่วยงานดังกล่าวได้นำข้อมูลส่วนบุคคลที่เก็บไว้ส่งต่อหรือโอนถ่ายไปให้ผู้อื่นหรือไม่
- เจ้าของข้อมูลสามารถขอแก้ไข ลบ จำกัดการใช้ข้อมูล (เช่น ไม่ให้เอาไปใช้ในกรณีใดบ้าง) และขอสำเนาข้อมูล และ ขอโอนข้อมูลไปที่อื่นได้ (เช่น ในกรณีที่เปลี่ยนบริษัทคู่สัญญา)
- เจ้าของข้อมูลมีสิทธิคัดค้านไม่ให้นำข้อมูลส่วนบุคคลของตัวเองไปใช้ในการโฆษณาหรือการตลาดใด ๆ
- เจ้าของข้อมูลมีสิทธิยกเลิกการให้คำยินยอมในการใช้ข้อมูลส่วนบุคคลของตนเองได้ทุกเมื่อ หากไม่ยกเลิก ข้อมูลส่วนบุคคลก็จะถูกใช้ต่อไป
- เจ้าของข้อมูลสิทธิที่ “จะถูกลืม” (Recht auf Vergessenwerden) โดยสามารถขอให้ลบข้อมูลส่วนบุคคลของตนเองได้ทันที และผู้ที่เก็บข้อมูลส่วนบุคคลเอาไว้ ต้องลบข้อมูลส่วนบุคคลที่เก็บเอาไว้ทันทีเช่นกัน ถ้าหากเป็นไปตามเหตุผลต่อไปนี้
- ไม่มีเหตุจำเป็นต้องเก็บข้อมูลไว้อีกต่อไป
- เจ้าของข้อมูลยกเลิกคำยินยอมที่เคยให้ไว้ เนื่องจากพันธะสัญญาสิ้นสุดลง (เช่น ในกรณีสัญญาสิ้นสุดลงและไม่มีข้อผูกมัดใด ๆ หรือติดค้างชำระค่าใช้ใด ๆ ต่อกันแล้ว) และไม่มีกฎหมายมารองรับ หากจะเอาข้อมูลส่วนบุคคลไปใช้ในการอื่น
- เจ้าของข้อมูลยื่นคัดค้านการใช้ข้อมูลเนื่องจากไม่มีเหตุจำเป็นที่จะต้องใช้ข้อมูลอีกต่อไป
- มีการใช้ข้อมูลในทางที่ไม่ถูกต้อง
- ข้อมูลส่วนบุคคลของผู้เยาว์ที่มีอายุต่ำกว่า 16 ปี ในกรณีที่ผู้ปกครองไม่ได้ให้คำยินยอม (ผู้เยาว์สามารถให้ความเห็นพ้องกับการให้คำยินยอมของผู้ปกครองด้วยได้)
- หากมีคำถามหรือข้อร้องเรียนใด ๆ สามารถติดต่อหน่วยงานคุ้มครองข้อมูลในท้องที่ได้
หากเจ้าของข้อมูลยื่นขอใช้สิทธิในข้อหนึ่งข้อใดตามรายการข้างต้น บริษัทหรือองค์กรหรือหน่วยงานที่เกี่ยวข้อง ต้องแจ้งตอบให้เจ้าของข้อมูลทราบภายใน 1 เดือนหลังจากที่ได้รับคำขอ
หากมีข้อขัดข้องไม่สามารถดำเนินการได้ภายใน 1 เดือน สามารถขยายเวลาออกไปได้อีก 2 เดือน โดยตรงแจ้งให้เจ้าของข้อมูลได้ทราบถึงการขยายเวลาพร้อมกับเหตุผลในความล่าช้า ภายใน 1 เดือนหลังจากที่ได้รับคำขอเช่นกัน หากไม่แจ้งตอบภายในระยะเวลาที่กำหนด (ทั้งในระยะเวลาปกติและในระยะเวลาที่ขยาย) เจ้าของข้อมูลสามารถร้องเรียนไปยังหน่วยงามคุ้มครองข้อมูลได้
หากเจ้าของข้อมูลยื่นขอใช้สิทธิผ่านช่องทางอิเล็กทรอนิกส์ ก็ต้องแจ้งตอบเจ้าของข้อมูลผ่านช่องทางอิเล็กทรอนิกส์ นอกจากว่าเจ้าของข้อมูลจะขอให้แจ้งตอบผ่านช่องทางอื่น
อ้างอิง
- EU Datenschutz-Grundverordnung (DSGVO) [General Data Protection Regulation (GDPR)]: Regulation (EU) 2016/679: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC, as of 16 May 2016
- Datenschutz-Grundverordnung – Information der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) [General Data Protection Regulation – Information of the Federal Commissioner for Data Protection and Freedom of Information (BfDI)], September 2017
- http://www.bmjv.de