ปฎิกิริยาในยุโรปจากกรณี GDPR และแนวปฏิบัติในการโอนข้อมูล มายังประเทศที่ 3 นอกเขต EU (1)
กฎระเบียบ GDPR (General Data Protection Regulation) ได้ส่งผลกระทบต่อธุรกิจทั้งในและนอกสหภาพยุโรป(EU)เป็นวงกว้าง โดยเฉพาะธุรกิจที่ให้บริการออนไลน์ เพราะจะต้องปรับเปลี่ยนนโยบายการปกป้องข้อมูลส่วนบุคคลอย่างเร่งด่วนเพื่อให้บริการกับลูกค้าภายใน EU โดยสำนักข่าว Irishtimes รายงานว่า หลังจากที่กฎระเบียบ GDPR มีผลบังคับใช้ไปเมื่อวันที่ 25 พฤษภาคม 2561 มีรายงานกรณีละเมิดข้อมูลส่วนบุคคลมากถึง 1,184 กรณี ภายในระยะเวลา 2 เดือน จากเดิมที่มีการรายงานประมาณ 230 กรณีต่อเดือน
สาเหตุหลักที่มีปริมาณการร้องเรียนสูง เนื่องจากกฎระเบียบ GDPR บังคับให้องค์กรธุรกิจต้องแจ้งหน่วยงานคุ้มครองข้อมูล (Data Protection Authority) ภายใน 72 ชั่วโมง หลังจากได้รับแจ้งเกี่ยวกับกรณีข้อมูลส่วนบุคคลสูญหาย ถูกทำลาย หรือมีการละเมิดการใช้ข้อมูลโดยไม่ได้รับอนุญาต
ปฏิกิริยาในโลกออนไลน์หลังการบังคับใช้ GDPR
เว็บไซต์สิ่งพิมพ์ออนไลน์ของสหรัฐอเมริกาหลายรายระงับการให้บริการลูกค้าใน EU อาทิ เว็บไซต์ Chicago Tribune, Los Angeles Times, New York Daily News, Orlando Sentinel และ Baltimore Sun ได้ระงับการให้บริการหนังสือพิมพ์ออนไลน์ใน EU เพื่อปรับปรุงระบบ การคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการ ขณะที่เว็บไซต์ USA Today ระงับการใช้ระบบติดตามข้อมูลเพื่อการโฆษณา (ad- tracking) ผ่านเว็บไซต์ eu. usatoday.com ที่ให้บริการเฉพาะลูกค้าใน EU โดยเฉพาะ
สื่อ Social Media ถูกฟ้องดำเนินคดีกรณีละเมิดการใช้ข้อมูลส่วนบุคคล หลังจากที่กฎระเบียบ GDPR มีผลบังคับได้เพียง 1 วัน นายแม็กซ์ ชเร็มส์ (Max Schrems) ทนายประจำองค์กร NOYB และนักรณรงค์ต่อต้านการละเมิดข้อมูลส่วนบุคคลที่เคยยื่นฟ้อง Facebook ต่อศาลยุติธรรมยุโรปเมื่อปี 2558 จนทำให้ข้อตกลง Safe Harbour เกี่ยวกับการส่งผ่านข้อมูลระหว่าง EU และสหรัฐฯ ต้องกลายเป็นโมฆะ ได้ยื่นฟ้อง 4 บริษัทยักษ์ใหญ่ ได้แก่ Google ในฝรั่งเศส Instagram ในเบลเยียม WhatsApp ในเยอรมนี และ Facebook ในออสเตรีย โดยระบุว่า ทั้ง 4 บริษัทบังคับให้ผู้ใช้บริการยินยอมให้ใช้ข้อมูลส่วนบุคคล (Forced Consent) เป็นเงื่อนไขเบื้องต้นในการใช้บริการ ซึ่งตามกฎระเบียบ GDPR ผู้ให้บริการไม่สามารถบังคับผู้ใช้บริการได้ ต้องให้ผู้ใช้บริการสามารถเลือกที่จะให้การยินยอมหรือไม่ยินยอมให้ใช้ข้อมูลส่วนบุคคล (มาตรา 7(4)) ทั้งนี้ เจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officers-DPO) ของประเทศไอร์แลนด์ จะทำหน้าที่ตรวจสอบข้อร้องเรียนดังกล่าว เพราะทั้ง 4 บริษัทมีสำนักงานใหญ่อยู่ในประเทศไอร์แลนด์
การเก็บและเปิดเผยข้อมูลเจ้าของเว็บไซต์ในระบบตรวจสอบข้อมูลเว็บไซต์ หรือ WHOIS มีข้อจำกัดมากขึ้น หลังจากกรณีฟ้องร้องระหว่างองค์กร ICANN ที่ทำหน้าที่ดูแลระบบตรวจสอบข้อมูลผู้ถือครองโดเมนเว็บไซต์ หรือระบบ WHOIS และบริษัท EPAG ในเยอรมนี เกี่ยวกับการเก็บข้อมูลติดต่อเจ้าหน้าที่บริหารและเจ้าหน้าที่เทคนิค (Administrative and Technical Contact Information) ของผู้ขอจดทะเบียนโดเมนเว็บไซต์ และการเปิดเผยข้อมูลเจ้าของเว็บไซต์ ซึ่งส่งผลให้องค์กร ICANN ต้องปรับเปลี่ยนนโยบายการเก็บข้อมูลและเปิดเผยข้อมูลเจ้าของเว็บไซต์ ได้แก่
• ไม่สามารถเก็บข้อมูลติดต่อเจ้าหน้าที่บริหารและเจ้าหน้าที่เทคนิค (Administrative and Technical Contact Information) ของผู้ขอจดทะเบียนโดเมนเว็บไซต์ในระบบ WHOIS
• ไม่สามารถเปิดเผยข้อมูลส่วนบุคคลของผู้ขอจดทะเบียนในรูปแบบสาธารณะได้ เช่น ชื่อ ที่อยู่ หมายเลขโทรศัพท์ เป็นต้น การเข้าถึงข้อมูลส่วนบุคคล ของผู้จดทะเบียนจะ
ต้องมีเหตุผลอันสมควรเท่านั้น (legitimate purpose) เท่านั้น
จากเหตุการณ์ดังกล่าวส่งผลให้มีข้อกังวลเกี่ยวกับการตรวจสอบและดำเนินคดีกับเว็บไซต์ที่ขายของปลอมและของผิดกฎหมาย โดยเฉพาะเว็บไซต์ขายสินค้าเลียนแบบสินค้าแบรนด์เนม เนื่องจากการฟ้องร้องดำเนินคดีจะต้องระบุชื่อผู้ถูกฟ้องก่อน ซึ่งตามกฎระเบียบ GDPR รายละเอียดดังกล่าวไม่สามารถเปิดเผยได้ในรูปแบบสาธารณะ โดยสำนักข่าว Financial Times รายงานบทสัมภาษณ์ของ Louis Vuitton และ Gucci ว่า บริษัทนิยมใช้ระบบ WHOIS ในการตรวจสอบชื่อ และข้อมูลติดต่อของเจ้าของเว็บไซต์ ดังนั้น การตรวจสอบและฟ้องร้องดำเนินคดีกับเว็บไซต์ในลักษณะดังกล่าวจึงทำได้ยากขึ้น เนื่องจากจะต้องขออนุญาตทุกครั้งเพื่อทำการตรวจสอบ
พบกับอัพเดตความเคลื่อนไหวและโอกาสในตลาดต่างประเทศที่สถานทูตไทยทั่วโลกตั้งใจติดตามมาให้ภาคเอกชนไทย ได้ที่เว็บไซต์ www.globthailand.com หากมีข้อคิดเห็นหรือข้อเสนอแนะเพิ่มเติม สามารถเขียนมาคุยกันได้ที่ [email protected]
................................................................................................
คอลัมน์ | หน้า 10 หนังสือพิมพ์ฐานเศรษฐกิจ | ฉบับ 3,401 ระหว่างวันที่ 16-19 กันยายน 2561
สาเหตุหลักที่มีปริมาณการร้องเรียนสูง เนื่องจากกฎระเบียบ GDPR บังคับให้องค์กรธุรกิจต้องแจ้งหน่วยงานคุ้มครองข้อมูล (Data Protection Authority) ภายใน 72 ชั่วโมง หลังจากได้รับแจ้งเกี่ยวกับกรณีข้อมูลส่วนบุคคลสูญหาย ถูกทำลาย หรือมีการละเมิดการใช้ข้อมูลโดยไม่ได้รับอนุญาต
ปฏิกิริยาในโลกออนไลน์หลังการบังคับใช้ GDPR
เว็บไซต์สิ่งพิมพ์ออนไลน์ของสหรัฐอเมริกาหลายรายระงับการให้บริการลูกค้าใน EU อาทิ เว็บไซต์ Chicago Tribune, Los Angeles Times, New York Daily News, Orlando Sentinel และ Baltimore Sun ได้ระงับการให้บริการหนังสือพิมพ์ออนไลน์ใน EU เพื่อปรับปรุงระบบ การคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการ ขณะที่เว็บไซต์ USA Today ระงับการใช้ระบบติดตามข้อมูลเพื่อการโฆษณา (ad- tracking) ผ่านเว็บไซต์ eu. usatoday.com ที่ให้บริการเฉพาะลูกค้าใน EU โดยเฉพาะ
สื่อ Social Media ถูกฟ้องดำเนินคดีกรณีละเมิดการใช้ข้อมูลส่วนบุคคล หลังจากที่กฎระเบียบ GDPR มีผลบังคับได้เพียง 1 วัน นายแม็กซ์ ชเร็มส์ (Max Schrems) ทนายประจำองค์กร NOYB และนักรณรงค์ต่อต้านการละเมิดข้อมูลส่วนบุคคลที่เคยยื่นฟ้อง Facebook ต่อศาลยุติธรรมยุโรปเมื่อปี 2558 จนทำให้ข้อตกลง Safe Harbour เกี่ยวกับการส่งผ่านข้อมูลระหว่าง EU และสหรัฐฯ ต้องกลายเป็นโมฆะ ได้ยื่นฟ้อง 4 บริษัทยักษ์ใหญ่ ได้แก่ Google ในฝรั่งเศส Instagram ในเบลเยียม WhatsApp ในเยอรมนี และ Facebook ในออสเตรีย โดยระบุว่า ทั้ง 4 บริษัทบังคับให้ผู้ใช้บริการยินยอมให้ใช้ข้อมูลส่วนบุคคล (Forced Consent) เป็นเงื่อนไขเบื้องต้นในการใช้บริการ ซึ่งตามกฎระเบียบ GDPR ผู้ให้บริการไม่สามารถบังคับผู้ใช้บริการได้ ต้องให้ผู้ใช้บริการสามารถเลือกที่จะให้การยินยอมหรือไม่ยินยอมให้ใช้ข้อมูลส่วนบุคคล (มาตรา 7(4)) ทั้งนี้ เจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officers-DPO) ของประเทศไอร์แลนด์ จะทำหน้าที่ตรวจสอบข้อร้องเรียนดังกล่าว เพราะทั้ง 4 บริษัทมีสำนักงานใหญ่อยู่ในประเทศไอร์แลนด์
• ไม่สามารถเก็บข้อมูลติดต่อเจ้าหน้าที่บริหารและเจ้าหน้าที่เทคนิค (Administrative and Technical Contact Information) ของผู้ขอจดทะเบียนโดเมนเว็บไซต์ในระบบ WHOIS
• ไม่สามารถเปิดเผยข้อมูลส่วนบุคคลของผู้ขอจดทะเบียนในรูปแบบสาธารณะได้ เช่น ชื่อ ที่อยู่ หมายเลขโทรศัพท์ เป็นต้น การเข้าถึงข้อมูลส่วนบุคคล ของผู้จดทะเบียนจะ
ต้องมีเหตุผลอันสมควรเท่านั้น (legitimate purpose) เท่านั้น
จากเหตุการณ์ดังกล่าวส่งผลให้มีข้อกังวลเกี่ยวกับการตรวจสอบและดำเนินคดีกับเว็บไซต์ที่ขายของปลอมและของผิดกฎหมาย โดยเฉพาะเว็บไซต์ขายสินค้าเลียนแบบสินค้าแบรนด์เนม เนื่องจากการฟ้องร้องดำเนินคดีจะต้องระบุชื่อผู้ถูกฟ้องก่อน ซึ่งตามกฎระเบียบ GDPR รายละเอียดดังกล่าวไม่สามารถเปิดเผยได้ในรูปแบบสาธารณะ โดยสำนักข่าว Financial Times รายงานบทสัมภาษณ์ของ Louis Vuitton และ Gucci ว่า บริษัทนิยมใช้ระบบ WHOIS ในการตรวจสอบชื่อ และข้อมูลติดต่อของเจ้าของเว็บไซต์ ดังนั้น การตรวจสอบและฟ้องร้องดำเนินคดีกับเว็บไซต์ในลักษณะดังกล่าวจึงทำได้ยากขึ้น เนื่องจากจะต้องขออนุญาตทุกครั้งเพื่อทำการตรวจสอบ
พบกับอัพเดตความเคลื่อนไหวและโอกาสในตลาดต่างประเทศที่สถานทูตไทยทั่วโลกตั้งใจติดตามมาให้ภาคเอกชนไทย ได้ที่เว็บไซต์ www.globthailand.com หากมีข้อคิดเห็นหรือข้อเสนอแนะเพิ่มเติม สามารถเขียนมาคุยกันได้ที่ [email protected]
................................................................................................
คอลัมน์ | หน้า 10 หนังสือพิมพ์ฐานเศรษฐกิจ | ฉบับ 3,401 ระหว่างวันที่ 16-19 กันยายน 2561
