EU Datenschutz-Grundverordnung (DSGVO) คืออะไร? (ตอน 2)

“ระเบียบอียูว่าด้วยเรื่องการคุ้มครองข้อมูลส่วนบุคคล” ใช้กับผู้ใดบ้าง

“ระเบียบอียูว่าด้วยเรื่องการคุ้มครองข้อมูลส่วนบุคคล” นี้ใช้กับใครก็ตามทั้งที่อยู่ในภาคเอกชนและภาครัฐในอาณาเขตของสหภาพยุโรปที่เก็บข้อมูลส่วนบุคคลเพื่อเอาไว้ใช้งาน โดยเฉพาะ  อย่างยิ่ง บริษัท ผู้ประกอบกิจการ หรือ ผู้ทำธุรกิจส่วนตัว ไม่ว่าจะเป็นบริษัทขนาดใหญ่เช่น Google หรือ Facebook ไปจนถึงกิจการขนาดเล็ก เช่น กิจการบริการงานช่าง รวมถึงหน่วยงานราชการ หรือแม้กระทั้งสมาคมหรือ สมาพันธ์ต่าง ๆ ที่จัดเก็บข้อมูลสมาชิก ก็อยู่ภายใต้ระเบียบนี้ สำหรับประชาชนทั่วไปที่เก็บข้อมูลส่วนบุคคลไว้เพื่อใช้ในกิจส่วนตัวหรือกิจภายในครอบครัว และ สื่อมวลชนที่เก็บข้อมูลส่วนบุคคลไว้เพื่อใช้ในการเขียนข่าวได้รับข้อยกเว้นไม่อยู่ภายใต้ระเบียบนี้

ระเบียบนี้ใช้รวมไปถึงบริษัทหรือองค์กรหรือหน่วยงานที่อยู่นอกอาณาเขตสหภาพยุโรปที่เก็บข้อมูลส่วนบุคคลของคนที่อาศัยอยู่ในสหภาพยุโรปเอาไว้ใช้

ข้อมูลส่วนบุคคลคือคือข้อมูลอะไรบ้าง?

มาตรา 4 ข้อ 1 ของ “ระเบียบอียูว่าด้วยเรื่องการคุ้มครองข้อมูลส่วนบุคคล” กำหนดคำว่า “ข้อมูลส่วนบุคคล” กว้างมากขึ้น โดยสรุปได้ว่า ข้อมูลส่วนบุคคลคือข้อมูลที่สามารถระบุและบ่งบอกตัวบุคคลธรรมดา (natural person) ทางด้านกายภาพ สรีรภาพ พันธุกรรม จิตภาพ เศรษฐกิจ วัฒนธรรมและสังคม ทั้งโดยตรงและโดยอ้อม

ข้อมูลใดบ้างถือว่าเป็นข้อมูลส่วนบุคคลตามความหมายข้างต้น ตามความเข้าใจทั่วไปมีข้อมูลที่สามารถบ่งบอกหรือระบุตัวบุคคลได้มากมายหลายข้อมูล หากจะสรุปเป็นรายการอย่างเป็นทางการ ผู้เชี่ยวชาญกฎหมายลงความเห็นว่าเป็นไปได้ยาก เนื่องจากข้อมูลส่วนบุคคลบางข้อมูลยังเป็นข้อโต้เถียงทางกฎหมายอยู่

ตารางต่อไปนี้แสดงตัวอย่างกลุ่มข้อมูลที่จัดได้ว่าเป็นข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคล
ข้อมูลทั่วไป ชื่อ วันเดือนปีเกิด สถานที่เกิด อายุ ที่อยู่ อีเมล์ หมายเลขโทรศัพท์ วุฒิการศึกษา อาชีพ สถานภาพครอบครัว สัญชาติ ข้อมูลสุขภาพ ความเชื่อทางศาสนาและการเมือง ความชอบทางเพศ ข้อมูลการต้องโทษ ภาพถ่าย
หมายเลขต่าง ๆ หมายเลขประกันสังคม หมายเลขประกันสุขภาพ หมายเลขผู้เสียภาษี หมายเลขประจำตัวประชาชน หมายเลขประจำตัวนักเรียน/นักศึกษา และหมายเลขประจำอื่น ๆ
ข้อมูลธนาคาร หมายเลขบัญชีธนาคาร ข้อมูลบัตรเครดิต ข้อมูลเงินในบัญชีธนาคาร ข้อการเงินการธนาคารอื่น ๆ
ข้อมูลออนไลน์ หมายเลขไอพีประจำเครื่องคอมพิวเตอร์ หมายเลขไอพีอินเทอร์เน็ต
ลักษณะทางกายภาพ เพศ สีผิว สีผม สีตา รูปพรรณสัณฐาน ขนาดของเสื้อผ้า อื่น ๆ
การบ่งการถือครอง การถือครองยานยนต์ การถือครองอสังหาริมทรัพย์ เลขที่โฉนด ทะเบียนรถ ข้อมูลการอนุญาตขนส่ง อื่น ๆ
ข้อมูลในการเป็นลูกค้า ข้อมูลการสั่งซื้อ รายละเอียดที่อยู่ รายละเอียดบัญชีธนาคาร อื่น ๆ
ข้อมูลผลการรับรองต่าง ๆ ผลการเรียน ผลการทำงาน อื่น ๆ
ข้อมูลแสดงฐานะ รายได้ เงินเก็บ หนี้สิน การถือครองทรัพย์สิน (บ้าน ห้องชุด รถยนต์ ฯลฯ) อื่น ๆ

นอกจากนี้แล้ว ยังมีกลุ่มข้อมูลส่วนบุคคลอื่น ๆ ที่ได้รับการคุ้มครองโดย “ระเบียบอียูว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล“ เป็นพิเศษ (มาตรา 9 วรรค 1) โดยห้ามจัดเก็บข้อมูลส่วนบุคคลดังกล่าว คือ กลุ่มข้อมูลส่วนบุคคลดังต่อไปนี้

  • ข้อมูลบ่งบอกถึงเชื้อชาติและเผ่าพันธุ์
  • ข้อมูลบ่งบอกความเชื่อทางการเมือง
  • ข้อมูลบ่งบอกความเชื่อทางศาสนาและปรัชญา
  • ข้อมูลบ่งบอกการเป็นสมาชิกสหภาพแรงงาน
  • ข้อมูลบ่งบอกเรื่องสุขภาพ
  • ข้อมูลบ่งบอกวิถีชีวิตทางเพศ

โดยมีข้อยกเว้นว่า การจัดเก็บข้อมูลส่วนบุคคลข้างต้นที่ได้รับความคุ้มครองเป็นพิเศษนี้จะกระทำได้ก็ต่อเมื่อเจ้าของข้อมูลได้ให้คำยินยอมอย่างชัดเจน หรือด้วยเหตุผลใดเหตุผลหนึ่งตามความในมาตรา 9  วรรค 2

ทำไมถึงต้องให้ความคุ้มครองข้อมูลส่วนบุคคล?

ในอดีตหลายคนคงมีประสบการณ์ที่จู่ ๆ ก็มีบริษัทที่เราไม่เคยติดต่อมาก่อนส่งจดหมายหรือโทรศัพท์มาหาเพื่อโฆษณาขายสินค้าหรือเพื่อให้ตอบแบบสอบถาม เราเคยสงสัยไหมว่า เขาเอาที่อยู่หรือเบอร์โทรศัพท์มาจากไหน? เขามีสิทธิอะไรที่จะโทรมารบกวนเวลาของเราหรือส่งโฆษณาสินค้ามาให้เรา โดยที่เราไม่รู้ตัว  ไม่ได้ร้องขอ หรือ ไม่รู้จุดประสงค์ของการโทรมาก่อน? คำตอบมีหลายกรณี เช่น ก) อาจได้มาจากบริษัทพันธมิตรของเขาที่เราเป็นลูกค้าอยู่ ข) จากการซื้อข้อมูลจากบริษัทค้าข้อมูล หรือ ค) ค้นหาเองในอินเทอร์เน็ต เป็นต้น

ในปัจจุบันนี้ เทคโนโลยีก้าวหน้าไปไกล มีการใช้เทคโนโลยีสารสนเทศมาใช้ในการสื่อสาร ทั้งในเรื่องส่วนตัวและการทำธุรกรรมทางอิเล็กทรอนิกส์ จากในอดีตที่เราจะได้รับโทรศัพท์หรือจดหมายนาน ๆ ครั้ง ทุกวันนี้บอกได้เลยว่า คนที่มีอีเมล์ใช้ส่วนใหญ่จะได้รับอีเมล์โฆษณาขายสินค้า หรือ newsletter ต่าง ๆ โดยไม่ได้ร้องขอมาก่อน

พูดต่อไปถึงการใช้โซเชียลมีเดีย ซึ่งตอนนี้ได้กลายเป็นไลฟ์สไตล์ของคนทั่วโลกไปแล้วก็ว่าได้ ข้อมูลส่วนบุคคลที่คนใช้โซเชียลมีเดียจำเป็นต้องนำมาใช้เพื่อสมัครเป็นสมาชิกตามเงื่อนไขและนำมาเผยแพร่ด้วยความสมัครใจ หรือตามภาษาโซเชียลมีเดียคือนำมาแชร์ คือ ขุมทรัพย์อันมหาศาลที่บริษัทเจ้าของโซเชียลมีเดียสามารถนำไปแสวงหาผลประโยชน์ได้หลายทาง ไม่ว่าจะเป็นเป็นผลประโยชน์ทางด้านการค้า (เช่น Facebook แปะขายสินค้าที่หน้าเพจเรา Google เก็บจำไว้หมดเลยเวลาเราไปค้นหาอะไร) หรือผลประโยชน์ทางการเมือง (เช่น ในกรณีบริษัท Cambridge Analytica ได้นำข้อมูลของผู้ใช้ Facebook จำนวนเกือบ 90 ล้านคนไปวิเคราะห์ให้กับทีมหาเสียงของทรัมป์โดยไม่ได้รับอนุญาต จน Mark Zuckerberg ผู้ก่อตั้งและผู้บริหาร Facebook ต้องยอมรับว่าเป็นความผิดของตัวเองต่อหน้ากรรมการสอบปากคำของรัฐสภาอเมริกา แม้ว่าจะไม่ใช้ความผิดของ Facebook โดยตรง แต่ถือว่าเป็นความเลินเล่อและเป็นช่องโหว่ของ Facebook ในการคุ้มครองและรักษาความปลอดภัยของข้อมูลส่วนบุคคลของผู้ใช้ Facebook)

นอกจากนี้แล้ว ยังมีการนำข้อมูลส่วนบุคคลไปใช้ในทางที่ผิดอื่น ๆ เช่น การฉ้อโกง การหมิ่นประมาท ปลอมแปลงเอกสาร เป็นต้น

ด้วยความก้าวหน้าทางเทคโนโลยีที่พัฒนาไปอย่างรวดเร็ว ประกอบการความเลินเล่อของเจ้าของข้อมูลและผลประโยชน์อันล่อใจของการใช้ข้อมูลส่วนบุคคลตามตัวอย่างข้างต้น แนวโน้มการเกิดการละเมิดสิทธิในข้อมูลส่วนบุคคลและสิทธิความเป็นส่วนตัวจึงเพิ่มมากขึ้นเรื่อย ๆ ภาครัฐจึงมีความจำเป็นที่จะต้องตรากฎหมายออกมาใช้หรือปรับปรุงกฎหมายที่มีอยู่แล้วให้เข้มงวด ให้ทันสมัย ให้ครอบคลุมและชัดเจนมากยิ่งขึ้น

มีอะไรเปลี่ยนแปลงสำหรับประชาชนทั่วไป?

เจ้าของข้อมูลมีสิทธิมากขึ้น เจ้าของข้อมูลจะได้รับแจ้งอย่างชัดเจนและละเอียดมากยิ่งกว่าในอดีตที่ผ่านมา ผู้ที่ต้องการใช้ข้อมูลส่วนบุคคลนั้นต้องแจ้งเจ้าของข้อมูลว่าได้เก็บหรือจะเก็บข้อมูลส่วนบุคคลไหนในรูปแบบใดไว้ และจะนำข้อมูลนี้ไปทำอะไร โดยต้องแจ้งอย่างละเอียดและชัดเจนตามที่เขียนไว้แล้วในตอน 1 และเจ้าของข้อมูลต้องให้ความยินยอมก่อนนำข้อมูลไปใช้ก่อนเท่านั้น

สำหรับบริษัทมีอะไรเปลี่ยนแปลงบ้าง?

บริษัทหรือผู้ที่เก็บข้อมูลต้องมีหลักฐานแสดงได้ว่า ข้อมูลส่วนบุคคลที่ตัวเองจัดเก็บนั้น เจ้าของข้อมูลได้ให้คำยินยอมไว้หรือไม่ บริษัทต้องจัดทำทะเบียนว่าข้อมูลส่วนบุคคลที่เก็บนั้นเก็บไว้อย่างไร พนักงานบริษัทคนใดสามารถเข้าถึงข้อมูลได้ และมีการเก็บรักษาข้อมูลอย่างไร การเก็บข้อมูลส่วนบุคคลนี้ร่วมถึงการเก็บข้อมูลพนักงานของบริษัทและข้อมูลของลูกค้า และที่สำคัญคือ ข้อมูลส่วนบุคคลที่ลูกค้าให้ความยินยอมไว้ จะต้องใช้ให้ตรงกับจุดประสงค์ที่ลูกค้าได้ให้คำยินยอมไว้ เช่น จะนำอีเมล์ที่ลูกค้าให้ไว้เพื่อขอรับจดหมายข่าว newsletter เท่านั้นไปใช้ในกรณีอื่นไม่ได้

การโอนถ่ายข้อมูลไปให้บุคคลที่สามกระทำได้เฉพาะในกรณีพิเศษเท่านั้น และจะต้องโอนถ่ายแบบถอดรหัส แยกโอนถ่ายเป็นส่วน ๆ ไม่ส่งพร้อมกันทั้งหมด เพื่อไม่ให้สามารถนำมาประกอบเป็นข้อมูลที่ชัดเจนได้

บริษัทต้องสร้างมาตรการรักษาความปลอดภัยข้อมูลระดับสูง การใช้เพียงรหัสผ่านเข้าระบบคอมพิวเตอร์และฐานข้อมูลไม่เพียงพอ จะต้องใช้โปรแกรมเข้าระบบและฐานข้อมูลแบบถอดรหัส และต้องใช้โปรแกรมต่อต้านไวรัสและโปรแกรม firewall ที่เหมาะสม

ใครดูแลตรวจสอบการปฏิบัติตามระเบียบ?

ผู้ที่คอยตรวจสอบให้ผู้ที่ใช้ข้อมูลส่วนบุคคล (บริษัทหรือองค์กรหรือหน่วยงาน) ปฏิบัติตามระเบียบอียูว่าด้วยเรื่องการคุ้มครองข้อมูลส่วนบุคคล คือ หน่วยงานคุ้มครองข้อมูลในท้องที่ โดยการทำงานจะเป็นในรูปแบบการตรวจสอบตามคำร้องเรียนและการสุ่มตรวจ

ข้อมูลติดต่อหน่วยงานคุ้มครองข้อมูลกลางของเยอรมนี

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
(The Federal Commissioner for Data Protection and Freedom of Information)

Husarenstr. 30
53117 Bonn
Telefon: +49 (0)228-99 77 99 0
Fax: +49 (0)228-99 77 99 55 50
E-Mail: poststelle@bfdi.bund.de

หากบริษัทไม่ปฏิบัติตามระเบียบจะถูกลงโทษหรือไม่?

หากการใช้ข้อมูลส่วนบุคคลไม่เป็นไปตาม “ระเบียบอียูว่าด้วยเรื่องการคุ้มครองข้อมูลส่วนบุคคล” หรือมีการฝ่าฝืน จะมีโทษปรับตามความรุนแรงของการฝ่าฝืน ระหว่าง 10-20 ล้านยูโร หรือ ระหว่างร้อยละ 2-4 ของรายได้รวมทั่วโลกของบริษัท โดยเลือกจำนวนเงินปรับตัวที่สูงกว่า โดย “ระเบียบอียูว่าด้วยเรื่องการคุ้มครองข้อมูลส่วนบุคคล” ยังไม่ได้กำหนดอายุความแต่อย่างใด

นอกจากนี้แล้ว หากเจ้าของข้อมูลเห็นว่าการนำข้อมูลส่วนบุคคลไปใช้นั้นทำให้เกิดความเสียหายแก่ตนเองหรือผู้เก็บข้อมูลส่วนบุคคลไม่ปฏิบัติตามระเบียบ เจ้าของข้อมูลมีสิทธิฟ้องเรียกค่าเสียหายได้

ในกรณีที่เกิดอุบัติเหตุทางข้อมูลซึ่งอาจทำให้เกิดความเสี่ยงต่อเจ้าของข้อมูลได้ บริษัทหรือองค์กรหรือหน่วยงานที่เก็บข้อมูลเอาไว้ต้องรีบแจ้งหน่วยงานคุ้มครองข้อมูลในท้องที่ภายใน 72 ชั่วโมง

 


อ้างอิง

Photo credit: www.tagesspiegel.de