พลิกกฎหมาย GDPR ฝ่าทางตันธุรกิจออนไลน์ไทย สกัดติดร่างแห’ละเมิดข้อมูลบุคคล’

กฎระเบียบ GDPR (General Data Protection Regulation) ซึ่งมีผลบังคับใช้ในสหภาพยุโรป (EU) ตั้งแต่เดือนพฤษภาคม 2561ที่ผ่านมา ได้ส่งผลกระทบต่อธุรกิจทั้งในและนอก EU เป็นวงกว้าง โดยเฉพาะธุรกิจที่ให้บริการออนไลน์ ที่ต้องปรับเปลี่ยนนโยบายการปกป้องข้อมูลส่วนบุคคลอย่างเร่งด่วน เพื่อให้บริการกับลูกค้าภายใน EU

เนื่องจากกฎระเบียบ GDPR มีขอบเขตครอบคลุมไปถึงธุรกิจนอกเขต EU ที่ให้บริการการค้าสินค้าหรือบริการ แก่บุคคลที่มีถิ่นพำนักในเขต EU รวมถึงการประมวลผลข้อมูลของบุคคลที่มีถิ่นพำนักในเขต EU ซึ่งจะส่งผลกระทบโดยตรงต่อผู้ประกอบธุรกิจการค้าระหว่างประเทศ ที่จะต้องโอนข้อมูลส่วนบุคคลของลูกค้าเพื่อจัดเก็บหรือประมวลผลในประเทศที่สามซึ่งอยู่นอกเขต EU

ดังนั้น คำถามสำคัญที่ตามมา คือ หากผู้ประกอบการไทยที่ประกอบธุรกิจออนไลน์ ซึ่งมีความจำเป็นต้องรับ-ส่งข้อมูลลูกค้าที่มีสัญชาติและมีถิ่นพำนักใน EU จะต้องทำอย่างไร เพื่อป้องกันไม่ให้เกิดการละเมิดการใช้ข้อมูลส่วนบุคคล

โดย สถานเอกอัครราชทูต ณ กรุงบรัสเซลส์ ได้แนะแนวปฏิบัติในเรื่องดังกล่าววว่า แม้กฎระเบียบ GDPR จะไม่อนุญาตให้มีการโอนข้อมูลลูกค้าที่มีสัญชาติของประเทศสมาชิก EU และมีถิ่นพำนักใน EU ไปยังประเทศนอกเขต EU หากประเทศนั้นไม่มีการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ(Adequate level of protection) แต่ผู้ประกอบการแต่ละรายสามารถจัดทำข้อตกลงเพื่อให้สามารถโอนข้อมูลมายังประเทศนอกเขต EU ได้ เช่น การจัดทำนโยบายหรือกฎเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร (Binding Corporate Rules) และการจัดทำสัญญามาตรฐานของอียู (Model Contracts) สำหรับการโอนข้อมูลส่วนบุคคลระหว่างผู้จัดเก็บข้อมูลส่วนบุคคล (Data Controller) กับผู้ทำหน้าที่ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งจะต้องได้รับการอนุมัติจากคณะกรรมาธิการยุโรป

อย่างไรก็ดี EU ยังได้กำหนดข้อยกเว้นสำหรับการโอนข้อมูลส่วนบุคคลไปยังประเทศที่สาม ตามมาตรา 49 ดังต่อไปนี้

1.เจ้าของข้อมูลยินยอมให้มีการโอนข้อมูลอย่างชัดเจน (explicit consent) โดยเจ้าของข้อมูลต้องได้รับแจ้งเกี่ยวกับลักษณะของข้อมูล ผู้เก็บข้อมูล จุดประสงค์การโอนข้อมูล ขั้นตอนการยกเลิกการให้ยินยอม และปลายทางที่เก็บข้อมูล ก่อนการการยินยอมให้มีการโอนข้อมูล เป็นต้น

2.การโอนข้อมูล เป็นสิ่งจําเป็นต่อการปฏิบัติตามสัญญาระหว่างเจ้าของข้อมูลกับผู้ควบคุมข้อมูล หรือเป็นการดําเนินการก่อนการจัดทำสัญญา (pre-contractual measures) ตามที่เจ้าของข้อมูลร้องขอ

3.การโอนข้อมูลเป็นสิ่งจําเป็นต่อการบรรลุข้อตกลงของสัญญาหรือการปฏิบัติตามสัญญาเพื่อผลประโยชน์ของเจ้าของข้อมูล ซึ่งได้จัดทําขึ้นระหว่างผู้ควบคุมข้อมูลและบุคคลภายนอก

4.การโอนข้อมูลเป็นสิ่งจําเป็นต่อการคุ้มครองผลประโยชน์สําคัญของเจ้าของข้อมูล

5.การโอนข้อมูลเป็นสิ่งจําเป็นในทางกฎหมาย

6.การโอนข้อมูลเป็นสิ่งจําเป็นเพื่อปกป้องผลประโยชน์ของเจ้าของข้อมูล ในกรณีที่เจ้าของข้อมูลไม่สามารถให้การยินยอมได้ เนื่องจากเป็นบุคคลไร้ความสามารถ (physically incapable) หรือบุคคลที่ไม่สามารถทำนิติกรรมได้ (legally incapable)

7.การโอนข้อมูลเป็นไปตามกฎหมายของ EUหรือประเทศสมาชิก เพื่อให้ข้อมูลแก่สาธารณะชน โดยผู้ประกอบการไทยสามารถอ่านเพิ่มเติมเกี่ยวกับแนวปฏิบัติ (guidelines) ในการโอนข้อมูลตามกรณียกเว้นข้างต้นได้ที่

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf

ทั้งนี้ ผู้ประกอบการไทยจะต้องให้ความสำคัญกับกฎระเบียบ GDPR เป็นอย่างมาก เพราะ EU ได้วางโทษปรับมากสูงสุดถึง 20 ล้านยูโร หรือ 4% ของรายได้รวม หากมีการฝ่าฝืน ซึ่งการลงโทษจะทำผ่านบริษัทตัวแทนหรือบริษัทคู่ค้าที่อยู่ใน EU

นอกจากนี้ ถึงแม้ว่าผู้ประกอบการขนาดกลางและขนาดย่อม (SMEs) จะได้รับการยกเว้นจากกฎระเบียบนี้ แต่การที่บริษัทไม่มีนโยบายในการรักษาความปลอดภัยข้อมูลส่วนบุคคลของลูกค้า จะส่งผลให้บริษัทขาดความน่าเชื่อถือเป็นอย่างมาก โดยเฉพาะในเวลานี้ที่ทั่วโลก รวมถึงประเทศไทยเอง ต่างก็ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลมากขึ้น

ที่มา : ศูนย์ธุรกิจสัมพันธ์ กรมเศรษฐกิจระหว่างประเทศ