กฎระเบียบ GDPR (General Data Protection Regulation) ซึ่งมีผลบังคับใช้ในสหภาพยุโรป (EU) ตั้งแต่เดือนพฤษภาคม 2561ที่ผ่านมา ได้ส่งผลกระทบต่อธุรกิจทั้งในและนอก EU เป็นวงกว้าง โดยเฉพาะธุรกิจที่ให้บริการออนไลน์ ที่ต้องปรับเปลี่ยนนโยบายการปกป้องข้อมูลส่วนบุคคลอย่างเร่งด่วน เพื่อให้บริการกับลูกค้าภายใน EU
เนื่องจากกฎระเบียบ GDPR มีขอบเขตครอบคลุมไปถึงธุรกิจนอกเขต EU ที่ให้บริการการค้าสินค้าหรือบริการ แก่บุคคลที่มีถิ่นพำนักในเขต EU รวมถึงการประมวลผลข้อมูลของบุคคลที่มีถิ่นพำนักในเขต EU ซึ่งจะส่งผลกระทบโดยตรงต่อผู้ประกอบธุรกิจการค้าระหว่างประเทศ ที่จะต้องโอนข้อมูลส่วนบุคคลของลูกค้าเพื่อจัดเก็บหรือประมวลผลในประเทศที่สามซึ่งอยู่นอกเขต EU
ดังนั้น คำถามสำคัญที่ตามมา คือ หากผู้ประกอบการไทยที่ประกอบธุรกิจออนไลน์ ซึ่งมีความจำเป็นต้องรับ-ส่งข้อมูลลูกค้าที่มีสัญชาติและมีถิ่นพำนักใน EU จะต้องทำอย่างไร เพื่อป้องกันไม่ให้เกิดการละเมิดการใช้ข้อมูลส่วนบุคคล
โดย สถานเอกอัครราชทูต ณ กรุงบรัสเซลส์ ได้แนะแนวปฏิบัติในเรื่องดังกล่าววว่า แม้กฎระเบียบ GDPR จะไม่อนุญาตให้มีการโอนข้อมูลลูกค้าที่มีสัญชาติของประเทศสมาชิก EU และมีถิ่นพำนักใน EU ไปยังประเทศนอกเขต EU หากประเทศนั้นไม่มีการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ(Adequate level of protection) แต่ผู้ประกอบการแต่ละรายสามารถจัดทำข้อตกลงเพื่อให้สามารถโอนข้อมูลมายังประเทศนอกเขต EU ได้ เช่น การจัดทำนโยบายหรือกฎเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร (Binding Corporate Rules) และการจัดทำสัญญามาตรฐานของอียู (Model Contracts) สำหรับการโอนข้อมูลส่วนบุคคลระหว่างผู้จัดเก็บข้อมูลส่วนบุคคล (Data Controller) กับผู้ทำหน้าที่ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งจะต้องได้รับการอนุมัติจากคณะกรรมาธิการยุโรป
อย่างไรก็ดี EU ยังได้กำหนดข้อยกเว้นสำหรับการโอนข้อมูลส่วนบุคคลไปยังประเทศที่สาม ตามมาตรา 49 ดังต่อไปนี้
1.เจ้าของข้อมูลยินยอมให้มีการโอนข้อมูลอย่างชัดเจน (explicit consent) โดยเจ้าของข้อมูลต้องได้รับแจ้งเกี่ยวกับลักษณะของข้อมูล ผู้เก็บข้อมูล จุดประสงค์การโอนข้อมูล ขั้นตอนการยกเลิกการให้ยินยอม และปลายทางที่เก็บข้อมูล ก่อนการการยินยอมให้มีการโอนข้อมูล เป็นต้น
2.การโอนข้อมูล เป็นสิ่งจําเป็นต่อการปฏิบัติตามสัญญาระหว่างเจ้าของข้อมูลกับผู้ควบคุมข้อมูล หรือเป็นการดําเนินการก่อนการจัดทำสัญญา (pre-contractual measures) ตามที่เจ้าของข้อมูลร้องขอ
3.การโอนข้อมูลเป็นสิ่งจําเป็นต่อการบรรลุข้อตกลงของสัญญาหรือการปฏิบัติตามสัญญาเพื่อผลประโยชน์ของเจ้าของข้อมูล ซึ่งได้จัดทําขึ้นระหว่างผู้ควบคุมข้อมูลและบุคคลภายนอก
4.การโอนข้อมูลเป็นสิ่งจําเป็นต่อการคุ้มครองผลประโยชน์สําคัญของเจ้าของข้อมูล
5.การโอนข้อมูลเป็นสิ่งจําเป็นในทางกฎหมาย
6.การโอนข้อมูลเป็นสิ่งจําเป็นเพื่อปกป้องผลประโยชน์ของเจ้าของข้อมูล ในกรณีที่เจ้าของข้อมูลไม่สามารถให้การยินยอมได้ เนื่องจากเป็นบุคคลไร้ความสามารถ (physically incapable) หรือบุคคลที่ไม่สามารถทำนิติกรรมได้ (legally incapable)
7.การโอนข้อมูลเป็นไปตามกฎหมายของ EUหรือประเทศสมาชิก เพื่อให้ข้อมูลแก่สาธารณะชน โดยผู้ประกอบการไทยสามารถอ่านเพิ่มเติมเกี่ยวกับแนวปฏิบัติ (guidelines) ในการโอนข้อมูลตามกรณียกเว้นข้างต้นได้ที่
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf
ทั้งนี้ ผู้ประกอบการไทยจะต้องให้ความสำคัญกับกฎระเบียบ GDPR เป็นอย่างมาก เพราะ EU ได้วางโทษปรับมากสูงสุดถึง 20 ล้านยูโร หรือ 4% ของรายได้รวม หากมีการฝ่าฝืน ซึ่งการลงโทษจะทำผ่านบริษัทตัวแทนหรือบริษัทคู่ค้าที่อยู่ใน EU
นอกจากนี้ ถึงแม้ว่าผู้ประกอบการขนาดกลางและขนาดย่อม (SMEs) จะได้รับการยกเว้นจากกฎระเบียบนี้ แต่การที่บริษัทไม่มีนโยบายในการรักษาความปลอดภัยข้อมูลส่วนบุคคลของลูกค้า จะส่งผลให้บริษัทขาดความน่าเชื่อถือเป็นอย่างมาก โดยเฉพาะในเวลานี้ที่ทั่วโลก รวมถึงประเทศไทยเอง ต่างก็ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลมากขึ้น
