กฎระเบียบ

กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับใหม่ของ EU มีผลกระทบต่อไทยอย่างไร

เผยแพร่ทาง thaieurope.net และ นสพ. กรุงเทพธุรกิจ วันที่ 8 ก.พ. 2559
    เมื่อวันที่ 15 ธันวาคม 2558 สภายุโรปและคณะมนตรีแห่งสหภาพยุโรปได้ลงมติเห็นชอบความตกลงสำหรับร่างกฎหมายให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคฉบับใหม่ คือ General Data Protection Regulation (GDPR) ซึ่งเมื่อกระบวนการบัญญัติกฎหมายของทั้งคณะมนตรีแห่งสหภาพยุโรปและรัฐสภายุโรปในขั้นต่อไปเสร็จสิ้นภายในประมาณเดือนมีนาคมหรือเมษายนในปีนี้แล้ว กฎหมายฉบับนี้จะมีผลบังคับใช้อย่างสมบูรณ์ภายในเวลาประมาณ 2 ปีข้างหน้า และจะมีผลบังคับใช้แทนกฎหมายฉบับปัจจุบัน คือ EU Data Protection Directive ที่บังคับใช้โดยหน่วยงานกำกับดูแลของแต่ละประเทศสมาชิกมาตั้งแต่ปี 2538
    ร่างกฎหมายฉบับนี้มีข้อกำหนดให้ธุรกิจต่างๆ โดยเฉพาะอย่างยิ่งธุรกิจบริการทางอินเทอร์เน็ตต้องปฏิบัติตามมาตรการต่างๆ ที่เพิ่มความเข้มงวดในการคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค เช่น การกำหนดให้ธุรกิจใดๆ ที่มีกิจกรรมหลักเกี่ยวข้องกับการประมวลข้อมูลส่วนบุคคลของลูกค้าต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer) และการกำหนดให้ธุรกิจที่มีข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้บริการต้อง ระบุเงื่อนไขการใช้งานที่เกี่ยวข้องกับ สิทธิส่วนบุคคลด้วยภาษาที่ชัดเจนและเข้าใจง่ายพร้อมทั้งต้องขอรับความยินยอม จากผู้ใช้บริการในการจัดเก็บและใช้งานข้อมูลดังกล่าว โดยธุรกิจต่างๆ ไม่สามารถสรุปจากการที่ของลูกค้าไม่โต้แย้งเงื่อนไขหรือการกรอกแบบฟอร์มยอมรับเงื่อนไขการใช้บริการให้แก่ลูกค้าล่วงหน้าว่าเป็นการให้ความยินยอมโดยลูกค้า
    หนึ่งในหลายมาตรการใหม่ที่อียูจะกำหนดให้ใช้ภายใต้ร่างกฎหมายฉบับนี้ คือ มาตรการการคุ้มครอง “สิทธิที่จะถูกลืม” (rights to be forgotten) โดยสิทธินี้เป็นสิทธิที่ศาลยุติธรรมแห่งสหภาพยุโรปได้ตีความและชี้ชัดในคำพิพากษาเมื่อปี 2557 ว่า “สิทธินี้เป็นสิทธิของผู้บริโภคในยุโรปและมีผลให้ผู้ให้บริการใดๆ ที่มีข้อมูลส่วนบุคคลในอินเทอร์เน็ตที่ไม่มีความเกี่ยวข้อง ล้าสมัย หรือไม่มีความสำคัญใดๆ อีกต่อไป จำเป็นต้องลบข้อมูลดังกล่าวตามคำร้องของบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้นๆ”
    มาตรการคุ้มครองสิทธิที่จะถูกลืมและการคุ้มครองสิทธิข้อมูลส่วนบุคคลของอียูอื่น ๆ อาจดูเหมือนว่าจะส่งผลกระทบต่อบริษัทผู้ให้บริการทางอินเทอร์เน็ตรายใหญ่ เช่น Facebook หรือ Google ที่เป็นคู่กรณีในคดีความต่าง ๆ ที่ศาลยุติธรรมแห่งสหภาพยุโรปได้ตัดสินในช่วงที่ผ่านมาเท่านั้น แต่ในปัจจุบัน การประมวลข้อมูลที่อยู่บนอินเทอร์เน็ตเหล่านี้มีความสำคัญอย่างมากในการทำการตลาดของธุรกิจต่างๆ เพราะการสร้างและใช้ฐานข้อมูลส่วนบุคคลของลูกค้าเป็นองค์ประกอบที่สำคัญในการทำการตลาดอย่างมีประสิทธิภาพ ซึ่งข้อมูลที่ใช้ก็ไม่ได้จำกัดเพียงแค่ข้อมูลที่อยู่ อีเมล์ หรือหมายเลขโทรศัพท์ของลูกค้า แต่ยังรวมไปถึงประวัติการซื้อสินค้าและบริการหรือความชอบส่วนตัวของลูกค้า ซึ่งเมื่อกฎหมาย GDPR มีผลบังคับใช้แล้ว ผู้ประกอบการก็ไม่อาจสร้างฐานข้อมูลของลูกค้าได้หากลูกค้าไม่ให้ความยินยอมอย่างชัดเจนหรือแม้แต่การจัดเก็บหรือใช้ข้อมูลของอดีตลูกค้าในการทำการตลาด เช่น การส่งข้อมูลโฆษณาสินค้าหรือบริการทางอีเมล์ก็ไม่อาจทำได้อีกต่อไป เนื่องจากผู้บริโภคมีสิทธิความเป็นเจ้าของและสามารถโยกย้ายข้อมูลส่วนบุคคลดังกล่าวไปบริษัทคู่แข่งหรือสามารถขอให้บริษัทลบข้อมูลดังกล่าว ออกจากฐานข้อมูลได้
    อย่างไรก็ตาม ความน่าสนใจมากที่สุดของร่างกฎหมายฉบับนี้อยู่ที่บทลงโทษสำหรับธุรกิจที่ไม่ปฏิบัติตามข้อกำหนดของอียูที่จะมีผลเป็นค่าปรับซึ่งมีเพดานสูงถึง 20 ล้านยูโร หรือร้อยละ 4 ของรายได้ทั้งหมดทั่วโลกของบริษัทที่ถูกลงโทษแล้ว แต่ว่าจำนวนใดจะสูงกว่าและที่สำคัญที่สุด ผลบังคับใช้จะไม่จำกัดเฉพาะบริษัทที่ตั้งอยู่ในประเทศสมาชิกอียูเท่านั้น แต่จะครอบคลุมไปถึงบริษัทที่มีลูกค้าอยู่ในอียูด้วย ซึ่งแม้ว่าร่างกฎหมายฉบับนี้จะมีข้อยกเว้นสำหรับธุรกิจขนาดกลางและขนาดย่อม (SMEs) ตามคำจำกัดความของคณะกรรมาธิการยุโรป แต่หากกิจกรรมของธุรกิจ SMEs ใช้การเก็บและประมวลข้อมูลจำนวนมาก ธุรกิจดังกล่าวจะต้องอยู่ภายใต้ข้อบังคับของ GDPR ด้วย และยิ่งไปกว่านั้น GDPR ได้กำหนดด้วยว่า ขอบเขตความรับผิดชอบในการปฏิบัติตามกฎหมายของ อียูไม่ได้เป็นของผู้จัดเก็บข้อมูลส่วนบุคคล (Data Controller) เพียงผู้เดียวอีกต่อไป แต่ผู้ทำหน้าที่ประมวลข้อมูลส่วนบุคคล (Data Processor) อาทิ บริษัทการตลาดที่ทำหน้าที่วิจัยข้อมูลจำเป็นต้องมีความรับผิดชอบด้วยเช่นกัน
    ร่างกฎหมายฉบับนี้เป็นความพยายามของอียูที่จะทำให้การบังคับใช้กฎหมายของอียูในการคุ้มครองข้อมูลส่วนบุคคลของอียูเป็นไปอย่างกว้างขวาง แม้กระทั่งในประเทศที่อยู่นอกอาณาเขตภายใต้กฎหมายของอียู ซึ่งความพยายามของอียูในการทำให้การคุ้มครองข้อมูลส่วนบุคคลของอียูมีประสิทธิภาพมากที่สุด
    ทั้งนี้ ที่ผ่านมาอียูได้พยายามสร้างมาตรฐานในการกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคลด้วยการใช้ Safe Harbour Agreement ซึ่งเป็นความตกลงที่ยอมรับระดับการกำกับดูแลการคุ้มครองข้อมูลส่วนตัวในระดับทวิภาคีระหว่างอียูกับประเทศและเขตปกครองตนเองที่อยู่นอกอียู เช่น แคนาดา อิสราเอล สวิตเซอร์แลนด์ หรือหมู่เกาะแฟโรของเดนมาร์ก แต่การใช้ Safe Harbour Agreement ของอียูยังเป็นไปในขอบเขตที่จำกัดและเมื่อวันที่ 6 ตุลาคม 2558 ศาลยุติธรรมแห่งสหภาพยุโรปได้ตัดสินว่า คำสั่งของคณะกรรมาธิการยุโรปที่อนุญาตให้ผู้ให้บริการทางอินเทอร์เน็ต หรือบริษัทต่าง ๆ สามารถใช้โครงข่ายการรับ-ส่งข้อมูลระหว่างอียูและสหรัฐ ได้โดยไม่ต้องอยู่ภายใต้การ กำกับดูแลจากหน่วยงานที่ดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศสมาชิกอียู โดยอิงจากความตกลง Safe Harbour Agreementระหว่างอียูกับสหรัฐ เมื่อปี 2543 เป็นโมฆะ ทำให้บริษัทที่มีการรับ-ส่งข้อมูลผ่านโครงข่ายระหว่างอียูและสหรัฐจำเป็นต้องทำสัญญาซึ่งร่างโดยคณะกรรมาธิการยุโรประหว่างนิติบุคคลผู้รับและนิติบุคคลผู้ส่งข้อมูลออกนอกอียู เพื่อยืนยันว่า บริษัทได้ให้การคุ้มครองข้อมูล ส่วนบุคคลของผู้ใช้งานตามกฎหมายของ ประเทศสมาชิกอียูในระดับที่เป็นไปตาม EU Data Protection Directive ฉบับ ปัจจุบัน แต่บริษัทเหล่านี้ยังคงมีความเสี่ยงที่จะถูกตรวจสอบโดยหน่วยงานที่ทำหน้าที่กำกับดูแลในประเทศสมาชิกอียู
    สำหรับสหรัฐ คำตัดสินของศาลย่อมเป็นปัจจัยหนึ่งที่ทำให้สหรัฐต้องหาทางสรุป การเจรจา Safe Habour Agreement ฉบับใหม่กับอียูที่ดำเนินการเจรจามาตั้งแต่ ปี 2557 และหลายฝ่ายคาดว่าน่าจะยังไม่สามารถสรุปการเจรจาได้ภายในวันที่ 31 มกราคม 2559 ตามกำหนดเวลาที่ทั้งสองฝ่ายได้ตั้งไว้ นอกจากนี้ เมื่อวันที่ 16 มกราคม 2559 นาง Margarthe Vestager กรรมาธิการยุโรปด้านนโยบายการแข่งขันของอียูได้กล่าวด้วยว่า การใช้และครอบครองข้อมูลส่วนบุคคลของผู้ใช้งานโดยผู้ให้บริการทางอินเทอร์เน็ตรายใหญ่อาจนำไปสู่การใช้อำนาจครองตลาด ซึ่งธุรกิจขนาดใหญ่ของสหรัฐมีความกังวลอย่างมากว่า คณะกรรมาธิการยุโรปจะใช้มาตรการการกำกับดูแลการแข่งขันในตลาดร่วมมาประกอบในการกำกับดูแลข้อมูลส่วนบุคคลด้วยในช่วงที่สหรัฐยังไม่สามารถสรุปการเจรจา Safe Harbour Agreement ได้ อย่างไรก็ตาม มาตรการใหม่ที่มาพร้อมกับ GDPR ที่กำลังจะเกิดขึ้นจะเพิ่มความเข้มงวดในการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้งานในอียูและมีผลกับทุกประเทศไม่ว่าประเทศนั้นๆ จะมี Safe Harbour Agreement กับอียูหรือไม่ก็ตาม ดังนั้น ธุรกิจไทยที่มีลูกค้าอยู่ในอียูและจำเป็นต้องใช้การวิเคราะห์หรือประมวลข้อมูลส่วนบุคคลของลูกค้าที่อยู่ในอียู ไม่ว่าจะใช้สำหรับการค้าขายสินค้าและบริการ หรือ กิจกรรมทางการตลาดอื่นๆ ที่ต้องใช้การประมวลหรือจัดเก็บข้อมูลส่วนบุคคลของ ลูกค้าคงจะต้องเรียนรู้ที่จะปรับตัว เพื่อปฏิบัติตามกฎระเบียบใหม่ของอียูภายในเวลา 2 ปีข้างหน้า ก่อนกฎหมายฉบับนี้จะมีผลบังคับใช้อย่างสมบูรณ์เช่นกัน

ผู้สนใจสามารถคนหาข้อมูลเพิ่มเติมเกี่ยวกับการประกอบธุรกิจในเยอรมนี กิจกรรมทางธุรกิจในเยอรมนี และโอกาสเป็นหุ้นส่วนธุรกิจกับนักลงทุนเยอรมนีในไทยได้ที่ เว็บไซต์ศูนย์ธุรกิจสัมพันธ์ของสถานเอกอัครราชทูตไทย ณ กรุงเบอร์ลิน ที่ www.thaibizgermany.com


กลับหน้าหลัก