EU Datenschutz-Grundverordnung (DSGVO) คืออะไร? (ตอน 1)

EU Datenschutz-Grundverordnung (DSGVO) หรือภาษาอังกฤษเรียกว่า General Data Protection Regulation (GDPR) เรียกเป็นภาษาไทยได้ว่า “ระเบียบอียู่ว่าด้วยเรื่องการคุ้มครองข้อมูลส่วนบุคคล” ซึ่งได้เริ่มร่างมาตั้งแต่ปี ค.ศ. 2016 และจะมีผลบังคับใช้โดยตรงในประเทศสมาชิกสหภาพยุโรป (อียู) ตั้งแต่วันที่ 25 พฤษภาคม 2561 (2018) เป็นต้นไป

ในโลกดิจิตอลทุกวันนี้ เราใช้ข้อมูลส่วนบุคคลหรือข้อมูลส่วนตัวในหลายกรณี ไม่ว่าจะเป็นการทำสัญญา การให้คำยินยอม การซื้อขาย การสมัครเป็นสมาชิกต่าง ๆ การใช้โซเชียลมีเดีย และอื่น ๆ อีกมากมาย แต่บ่อยครั้งที่ข้อมูลส่วนบุคคลของเราถูกนำไปใช้นอกเหนือจากกรณีที่เราให้คำยินยอมไว้ กฎหมายข้างต้นจะช่วยคุ้มครองข้อมูลส่วนบุคคลของเราอีกทางหนึ่ง แต่อีกทางหนึ่งคือการรู้สิทธิของเราเอง

มาดูว่า “ระเบียบอียู่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล” มีหลักการสำคัญโดยสรุปว่าอย่างไรบ้าง

ความชอบด้วยกฎหมายของการใช้ข้อมูล

ตาม “ระเบียบอียูว่าด้วยเรื่องการคุ้มครองข้อมูลส่วนบุคคล” นั้น การนำข้อมูลส่วนบุคคลไปใช้ จะชอบด้วยกฎหมายก็ต่อเมื่ออย่างน้อยเป็นไปตามหนึ่งในเงื่อนไขต่อไปนี้ (มาตรา 6)

  1. เจ้าของข้อมูลได้ให้คำยินยอมให้นำข้อมูลไปใช้สำหรับจุดประสงค์ใดจุดประสงค์หนึ่งหรือหลาย ๆ จุดประสงค์
  2. ใช้ข้อมูลส่วนบุคคลเพื่อทำสัญญา หรือ มีความจำเป็นต้องใช้ข้อมูลส่วนบุคคลเพื่อเตรียมสัญญา โดยเจ้าของข้อมูลเป็นคู่สัญญา
  3. ผู้ที่ต้องการข้อมูลส่วนบุคคลนั้นมีความจำเป็นต้องใช้ข้อมูลส่วนบุคคล เนื่องจากกฎหมายกำหนดไว้
  4. มีความจำเป็นต้องใช้ข้อมูลส่วนบุคคล เพื่อผลประโยชน์ต่อชีวิตของเจ้าของข้อมูล หรือ เพื่อปกป้องผลประโยชน์ของผู้อื่น
  5. มีความจำเป็นต้องใช้ข้อมูลส่วนบุคคล เพื่อปฏิบัติภารกิจที่มีผลต่อความมั่นคงและความปลอดภัยของสาธารณะ
  6. มีความจำเป็นที่สมเหตุสมผลที่ต้องใช้ข้อมูลส่วนบุคคล โดยการใช้ข้อมูลส่วนบุคคลนั้นต้องไม่ขัดต่อผลประโยชน์ สิทธิและอิสรภาพขั้นพื้นฐานของเจ้าของข้อมูล โดยเฉพาะอย่างยิ่งถ้าบุคคลผู้นั้นเป็นผู้เยาว์

ใช้ข้อมูลอย่างประหยัด

หลักการสำคัญของ “ระเบียบอียูว่าด้วยเรื่องการคุ้มครองข้อมูลส่วนบุคคล” อีกประการหนึ่งคือ การใช้ข้อมูลส่วนบุคคลต้องมีความจำเป็น เหมาะสม และ สอดคล้องกับจุดประสงค์การใช้ และจุดประสงค์ที่จะนำไปใช้ต้องกำหนดไว้อย่างชัดเจนและสอดคล้องกับกฎหมาย

ความปลอดภัยของข้อมูล

หลักการสำคัญประการต่อไปคือ ผู้ที่จัดเก็บข้อมูลส่วนบุคคลต้องใช้มาตรการที่เหมาะสมรักษาความปลอดภัยของข้อมูล โดยระดับของการรักษาความปลอดภัยต้องสัมพันธ์กับความเสี่ยงของข้อมูล

ความโปร่งใส

เพื่อความโปร่งใส ผู้ที่ต้องการนำข้อมูลส่วนบุคคลไปใช้ ต้องแจ้งรายละเอียดของจุดประสงค์ให้เจ้าของข้อมูลทราบล่วงหน้า โดยต้องจัดทำข้อมูลแจ้งให้เจ้าของข้อมูลทราบ ดังนี้

  • ชื่อและข้อมูลติดต่อของตัวเอง (ผู้รับผิดชอบ) หรือตัวแทน รวมถึงข้อมูลติดต่อหน่วยงานคุ้มครองข้อมูลในท้องที่
  • ชนิดของข้อมูลส่วนบุคคลที่ต้องการใช้และจุดประสงค์ที่จะนำข้อมูลส่วนบุคคลดังกล่าวไปใช้ พร้อมข้อกฎหมายและระเบียบรองรับ รวมถึงแจ้งว่ามีใครบ้าง (เช่น พันธมิตรทางการค้า เป็นต้น) ที่จะใช้ข้อมูลส่วนบุคคลนี้ร่วมกัน
  • แจ้งระยะเวลาการเก็บข้อมูล หากยังแจ้งระยะเวลาชัดเจนไม่ได้ ให้แจ้งหลักเกณฑ์การกำหนดระยะเวลาการเก็บข้อมูล
  • แจ้งสิทธิในการสอบถามข้อมูลของเจ้าของข้อมูล สิทธิในการแก้ไขข้อมูล สิทธิในการลบข้อมูล สิทธิในการจำกัดการใช้ข้อมูล สิทธิในการคัดค้านและยกเลิกการให้คำยินยอม สิทธิขอสำเนาข้อมูล (เช่น ในรูปพิมพ์ออกมาและอ่านได้) และสิทธิในการขอโอนข้อมูลไปยังที่อื่น เช่น ในกรณีเปลี่ยนคู่สัญญา เป็นต้น
  • แจ้งสิทธิในการร้องเรียนต่อหน่วยงานคุ้มครองข้อมูล
  • แจ้งว่าการใช้ข้อมูลส่วนบุคคลนั้นกฎหมายหรือสัญญากำหนดไว้ หรือ จำเป็นต่อการทำสัญญา หรือ เจ้าของข้อมูลจำเป็นต้องให้ข้อมูลและถ้าหากไม่ให้ข้อมูลจะมีอะไรเกิดขึ้น
  • หากต้องการนำข้อมูลไปใช้ในกรณีอื่นนอกเหนือที่เคยแจ้งไว้ จะต้องแจ้งจุดประสงค์ของกรณีอื่นนี้พร้อมกับรายละเอียดประกอบตามที่กล่าวข้างต้นให้เจ้าของข้อมูลทราบ ก่อนที่นำข้อมูลไปใช้

เจ้าของข้อมูลมีสิทธิอะไรบ้าง

เจ้าของข้อมูลมีสิทธิในการกำหนดการนำข้อมูลส่วนบุคคลของตัวเองไปใช้ เพราะฉะนั้นการจะเก็บข้อมูลและการจะนำข้อมูลส่วนบุคคลของคนใดคนหนึ่งไปใช้งาน จะต้องได้รับคำยินยอมจากเจ้าของข้อมูลก่อนเท่านั้น

“ระเบียบอียูว่าด้วยเรื่องการคุ้มครองข้อมูลส่วนบุคคล” จึงได้กำหนดสิทธิเจ้าของข้อมูลไว้ดังต่อไปนี้

  • เจ้าของข้อมูลสามารถสอบถามไปยังบริษัทหรือองค์กรหรือหน่วยงานที่เกี่ยวข้องว่าเก็บข้อมูลส่วนบุคคลของตนเองไว้หรือไม่ ถ้าเก็บ เก็บข้อมูลส่วนบุคคลใดไว้บ้าง และบริษัทหรือองค์กรหรือหน่วยงานดังกล่าวได้นำข้อมูลส่วนบุคคลที่เก็บไว้ส่งต่อหรือโอนถ่ายไปให้ผู้อื่นหรือไม่
  • เจ้าของข้อมูลสามารถขอแก้ไข ลบ จำกัดการใช้ข้อมูล (เช่น ไม่ให้เอาไปใช้ในกรณีใดบ้าง) และขอสำเนาข้อมูล และ ขอโอนข้อมูลไปที่อื่นได้ (เช่น ในกรณีที่เปลี่ยนบริษัทคู่สัญญา)
  • เจ้าของข้อมูลมีสิทธิคัดค้านไม่ให้นำข้อมูลส่วนบุคคลของตัวเองไปใช้ในการโฆษณาหรือการตลาดใด ๆ
  • เจ้าของข้อมูลมีสิทธิยกเลิกการให้คำยินยอมในการใช้ข้อมูลส่วนบุคคลของตนเองได้ทุกเมื่อ หากไม่ยกเลิก ข้อมูลส่วนบุคคลก็จะถูกใช้ต่อไป
  • เจ้าของข้อมูลสิทธิที่ “จะถูกลืม” (Recht auf Vergessenwerden) โดยสามารถขอให้ลบข้อมูลส่วนบุคคลของตนเองได้ทันที และผู้ที่เก็บข้อมูลส่วนบุคคลเอาไว้ ต้องลบข้อมูลส่วนบุคคลที่เก็บเอาไว้ทันทีเช่นกัน ถ้าหากเป็นไปตามเหตุผลต่อไปนี้

    • ไม่มีเหตุจำเป็นต้องเก็บข้อมูลไว้อีกต่อไป
    • เจ้าของข้อมูลยกเลิกคำยินยอมที่เคยให้ไว้ เนื่องจากพันธะสัญญาสิ้นสุดลง (เช่น ในกรณีสัญญาสิ้นสุดลงและไม่มีข้อผูกมัดใด ๆ หรือติดค้างชำระค่าใช้ใด ๆ ต่อกันแล้ว) และไม่มีกฎหมายมารองรับ หากจะเอาข้อมูลส่วนบุคคลไปใช้ในการอื่น
    • เจ้าของข้อมูลยื่นคัดค้านการใช้ข้อมูลเนื่องจากไม่มีเหตุจำเป็นที่จะต้องใช้ข้อมูลอีกต่อไป
    • มีการใช้ข้อมูลในทางที่ไม่ถูกต้อง
    • ข้อมูลส่วนบุคคลของผู้เยาว์ที่มีอายุต่ำกว่า 16 ปี ในกรณีที่ผู้ปกครองไม่ได้ให้คำยินยอม (ผู้เยาว์สามารถให้ความเห็นพ้องกับการให้คำยินยอมของผู้ปกครองด้วยได้)
    • หากมีคำถามหรือข้อร้องเรียนใด ๆ สามารถติดต่อหน่วยงานคุ้มครองข้อมูลในท้องที่ได้

หากเจ้าของข้อมูลยื่นขอใช้สิทธิในข้อหนึ่งข้อใดตามรายการข้างต้น บริษัทหรือองค์กรหรือหน่วยงานที่เกี่ยวข้อง ต้องแจ้งตอบให้เจ้าของข้อมูลทราบภายใน 1 เดือนหลังจากที่ได้รับคำขอ

หากมีข้อขัดข้องไม่สามารถดำเนินการได้ภายใน 1 เดือน สามารถขยายเวลาออกไปได้อีก 2 เดือน โดยตรงแจ้งให้เจ้าของข้อมูลได้ทราบถึงการขยายเวลาพร้อมกับเหตุผลในความล่าช้า ภายใน 1 เดือนหลังจากที่ได้รับคำขอเช่นกัน หากไม่แจ้งตอบภายในระยะเวลาที่กำหนด (ทั้งในระยะเวลาปกติและในระยะเวลาที่ขยาย) เจ้าของข้อมูลสามารถร้องเรียนไปยังหน่วยงามคุ้มครองข้อมูลได้

หากเจ้าของข้อมูลยื่นขอใช้สิทธิผ่านช่องทางอิเล็กทรอนิกส์ ก็ต้องแจ้งตอบเจ้าของข้อมูลผ่านช่องทางอิเล็กทรอนิกส์ นอกจากว่าเจ้าของข้อมูลจะขอให้แจ้งตอบผ่านช่องทางอื่น

อ้างอิง