ผลกระทบต่อภาคธุรกิจไทย จาก ‘GDPR’ กฎหมายใหม่ในยุโรป

24 พ.ค. 2561 เวลา 6:35 น. 1.0k
5659565 สวัสดีครับท่านผู้อ่านทุกท่าน บทความในคอลัมน์นี้เขียนขึ้นเป็นฉบับแรกด้วยผู้เขียนมีความตั้งใจที่จะนำเสนอข้อมูลเพื่อสร้างความเข้าใจเกี่ยวกับกฎหมายให้กับประชาชนในรูปแบบที่ง่ายที่สุดเท่าที่จะทำได้ และแม้ว่าผู้เขียนจะรับราชการเป็นพนักงานอัยการของสำนักงานอัยการสูงสุด แต่ปัจจุบันได้รับทุนและกำลังศึกษากฎหมายระดับปริญญาเอกในปีสุดท้ายอยู่ที่สหราชอาณาจักร ดังนั้นประเด็นและข้อมูลทางกฎหมายที่มุ่งจะนำเสนอในบทความต่างๆ ของคอลัมน์นี้ จึงเป็นเพียงความเห็นและมุมมองของนักวิจัยทางกฎหมายผู้หนึ่งเท่านั้น หาได้เป็นการแสดงความคิดเห็นในฐานะตัวแทนของหน่วยงานที่ปฏิบัติราชการอยู่แต่อย่างใดไม่

เรื่องที่จะพูดคุยกันในวันนี้คือประเด็นเรื่อง กฎหมายฉบับใหม่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (EU) ซึ่งจะมีผลใช้บังคับในวันที่ 25 พฤษภาคม 2561 โดยประเด็นที่จะหยิบยกมานำเสนอคือ 1. กฎหมายฉบับนี้คือกฎหมายอะไร และส่งผลกระทบกับใครในประเทศไทยบ้าง 2. หลังจากกฎหมายฉบับนี้มีผลใช้บังคับแล้วภาคธุรกิจประเทศไทยต้องดำเนินการอะไรหรือไม่ ทั้งที่กฎหมายหมายนี้ไม่ใช่กฎหมายของไทย และ 3. ที่จริงแล้วประเทศไทยเองมีกฎหมายที่คุ้มครองข้อมูลส่วนบุคคลแบบที่มีในสหภาพยุโรปนี้หรือไม่
General Data Protection Regulation (GDPR) จากที่เป็นข่าวใหญ่ระดับโลกถึงเหตุการณ์ที่มีบริษัทยักษ์ใหญ่เกิดข้อผิดพลาดจากปัญหาการละเมิดข้อมูลส่วนบุคคลของลูกค้าจนทางบริษัทต้องออกมายอมรับผิด เรื่องนี้ส่งผลกระทบอย่างกว้างขวางและยิ่งเป็นการกระตุ้นให้มีการออกกฎหมายที่มีมาตรการที่เข้มข้นยิ่งขึ้นในการคุ้มครองข้อมูลส่วนบุคคล จริงๆ แล้วในประชาคมยุโรป กฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคลนั้นมีมาแล้วตั้งแต่ ค.ศ. 1995 คือ Data Protection Directive 95/46/EC และต่อมาในเดือนเมษายน ค.ศ. 2016 สภายุโรปได้ให้การรับรองกฎหมายที่เรียกว่า “บทบัญญัติว่าด้วยการคุ้มครองข้อมูลทั่วไป” (General Data Protection Regulation) หรือที่เราได้ยินในชื่อสั้นๆ ว่า GDPR ซึ่งกฎหมายฉบับนี้จะมีผลบังคับใช้ในวันที่ 25 พฤษภาคม ที่จะถึงนี้แล้ว

กฎหมายนี้เกิดขึ้นเพื่อควบคุมภาคเอกชนในการจัดการข้อมูลส่วนบุคคลของลูกค้าซึ่งเป็นพลเมืองของสหภาพยุโรป (EU Citizens) โดยข้อมูลที่มุ่งจะคุ้มครองประกอบไปด้วย ข้อมูลส่วนบุคคลไม่ว่าจะเป็น ชื่อสกุล ที่อยู่ เบอร์โทรศัพท์ e-mail เลขบัตรเครดิต และยังรวมไปถึงข้อมูลส่วนตัวอื่นๆ ที่สามารถทำให้ระบุมาถึงตัวของบุคคลนั้นๆ ได้ เช่น ที่อยู่อิเล็กทรอนิกส์ (IP address) เป็นต้น

คำถามที่ตามมาก็คือ การบังคับใช้ GDPR จะมาส่งผลกระทบอะไรกับภาคเอกชนของไทยหรือไม่ เพราะเรื่องนี้เป็นบทบัญญัติกฎหมายของสหภาพยุโรป ในประเด็นนี้ควรแยกพิจารณาออกเป็น 2 ส่วนด้วยกัน

1. มุมในทางกฎหมาย เมื่อกฎหมายฉบับนี้ไม่ใช่กฎหมายที่มีการประกาศหรือบังคับใช้ในไทย ย่อมเห็นว่าหากมีการดำเนินการใดๆ ที่เป็นการละเมิดกฎหมาย GDPR ของ EU ในไทย การจะนำเรื่องมาฟ้องร้องดำเนินคดีในประเทศไทยย่อมทำไม่ได้เพราะในประเทศไทยยังไม่มีการออกกฎหมายรับรองหรือคุ้มครองในเรื่องนี้แต่อย่างใด แต่ว่าการกระทำละเมิดกฎหมายนี้อาจถูกฟ้องดำเนินคดีได้ในสหภาพยุโรป

2. มุมมองทางธุรกิจ ต้องไม่ลืมว่าในโลกแห่งความเป็นจริงแล้วการทำธุรกิจโดยเฉพาะในยุคดิจิตอลนั้น เป็นการดำเนินการที่แทบจะเรียกว่าไร้พรมแดนก็ว่าได้ ดังนั้น หากต้องการให้ธุรกิจของตนเป็นที่ยอมรับในวงกว้าง ภาคธุรกิจมีความจำเป็นที่จะต้องปรับหลักเกณฑ์และวิธีปฏิบัติภายในเพื่อให้สอดรับกับกฎหมายฉบับนี้ ไม่เช่นนั้นธุรกิจที่ไม่ดำเนินการตามนี้อาจมีมาตรการจากสหภาพยุโรป เช่น มีการแจ้งให้ลูกค้าทราบถึงการไม่คุ้มครองข้อมูลส่วนบุคคลของภาคธุรกิจของไทย อันจะส่งผลกระทบต่อความน่าเชื่อถือในการทำธุรกิจและอาจทำให้ผู้ใช้บริการเลือกที่จะเปลี่ยนไปใช้บริการกับธุรกิจที่ปฏิบัติตามมาตรการในการคุ้มครองข้อมูลส่วนบุคคลดังที่ได้บัญญัติขึ้นก็ได้

cdea4fb144a07b59e8d778c016b66b9d ดังนั้นในมุมนี้ ดูเหมือนว่าในทางปฏิบัติ กฎหมายฉบับนี้ก็จะมีผลบังคับกับภาคเอกชนไม่ว่าจะตั้งอยู่ที่ใดในโลกก็ตาม แต่เมื่อมีการดำเนินการจัดเก็บข้อมูลส่วนบุคคลของคนชาติ EU ก็ต้องปฏิบัติตามกฎหมายฉบับนี้ เพราะฉะนั้น อาจกล่าวได้ว่าในโลกแห่งธุรกิจ การบังคับใช้กฎหมาย GDPR ของ EU ย่อมจะส่งผลกระทบกับภาคธุรกิจของไทยที่มีลูกค้าเป็นคนชาติของ EU เช่น ธุรกิจโรงแรมหรือธรุกิจธนาคารที่มีลูกค้ามาจาก EU และที่สำคัญที่สุดคือ กลุ่มธุรกิจที่ดำเนินธุรกรรมทางอิเล็กทรอนิกส์ที่มีการจัดเก็บข้อมูลลูกค้าจากสหภาพยุโรป

ในระยะ 2 สัปดาห์ที่ผ่านมาผมเองได้รับ e-mail จากหลายบริษัทที่ ผมใช้บริการอยู่ในยุโรป โดยทางบริษัทได้มีการแจ้งถึงสิทธิเกี่ยวกับข้อมูลส่วนบุคคลของผมที่จะได้รับการคุ้มครองตามกฎหมายฉบับใหม่นี้ ซึ่งเป็นเหตุหนึ่งที่ทำให้ผมอยากเขียนบทความนี้เพื่อแสดงให้เห็นว่ามีการตื่นตัวอย่างมากในยุโรปเกี่ยวกับมาตรการการควบคุมของกฎหมายฉบับใหม่นี้ ผมเชื่อและหวังว่าภาคธุรกิจในไทยก็น่าจะมีวิธีการในการดำเนินการในลักษณะดังกล่าวเพื่อให้ลูกค้าได้ทราบในลักษณะเดียวกันกับที่ผมได้รับด้วยเช่นกัน

ถ้าจะย้อนกลับมาดูกฎหมายของบ้านเรา จะเห็นได้ว่าในปัจจุบันการคุ้มครองข้อมูลส่วนบุคคลนั้นมีกฎหมายคุ้มครองอยู่เฉพาะแต่ “ข้อมูลข่าวสารส่วนบุคคล” ที่อยู่ในความครอบครองของภาครัฐ ตาม พ.ร.บ.ข้อมูลข่าวสารของทางราชการ พ.ศ. 2540 แต่ในความเป็นจริงแล้วประเทศไทยเองก็ได้มีความพยายามในการที่จะออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลมาแล้วหลายปี โดยได้มีการยกร่างกฎหมายมาแล้วหลายครั้ง เช่น ร่าง พ.ร.บ. พ.ศ. 2558 ที่มีจำนวน 53 มาตรา และร่างสุดท้ายที่เพิ่งได้มีการจัดให้รับฟังความคิดเห็นของประชาชนเมื่อเดือนมกราคม 2561 ที่เพิ่งผ่านมา

โดยร่าง พ.ร.บ.ฉบับรับฟังความ คิดเห็นนี้มีจำนวนทั้งสิ้น 81 มาตรา โดยหากจะพิจารณาไปถึงรายละเอียดที่ถือเป็นหัวใจสำคัญที่ GDPR มุ่งจะคุ้มครองข้อมูลส่วนบุคคลนั้นล้วนได้นำมาบัญญัติไว้ในร่าง พ.ร.บ. ที่เพิ่งรับฟังความคิดเห็นจากประชาชนนี้แล้วทั้งสิ้น ตัวอย่างเช่น หลักที่กำหนดให้การเปิดเผยข้อมูลส่วนบุคคลต้องได้รับความยินยอม ได้บัญญัติไว้ในร่างฯ มาตรา 16 หลักการในเรื่องสิทธิในการถอนทำลายข้อมูลส่วนบุคคล ตามสิทธิในเรื่อง “The right to be forgotten” อยู่ในบทบัญญัติมาตรา 26 และหลักการให้การกำหนดหน้าที่ในการแจ้งการละเมิดการใช้ข้อมูลส่วนบุคคล ก็มีบัญญัติอยู่ด้วยเช่นกันในมาตรา 28 (4)
gdprbanner_1360004 ถึงแม้ว่าประเทศไทยจะประสบปัญหาเรื่องการที่ภาคเอกชนนำข้อมูลส่วนบุคคลของประชาชนโดยทั่วไปไปใช้แสวงหาประโยชน์โดยไม่ชอบหรือโดยไม่ได้รับความยินยอมมาเป็นเวลานานแล้ว ทั้งที่สิทธิที่จะได้รับการคุ้มครองข้อมูลส่วนบุคคลก็ได้มีการบัญญัติรับรองไว้ตั้งแต่รัฐธรรมนูญแห่งราชอาณาจักรไทย ฉบับ พ.ศ. 2550 ในมาตรา 35 วรรคท้าย ที่บัญญัติว่า “บุคคลย่อมมีสิทธิได้รับการคุ้มครองจากการแสวงหาประโยชน์โดยมิชอบจากข้อมูลส่วนบุคคลที่เกี่ยวกับตน ทั้งนี้ ตามที่กฎหมายบัญญัติ” แต่จนถึงปัจจุบันกว่า 10 ปีแล้วบทบัญญัติของกฎหมายฉบับที่จะสามารถใช้คุ้มครองข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของภาคเอกชนก็ยังไม่ได้มีการประกาศมาเพื่อบังคับใช้แต่อย่างใด ประกอบกับการที่สหภาพยุโรปได้มีการออกมาตรการใหม่เกี่ยวกับเรื่องนี้ อันจะส่งผลกระทบต่อภาคธุรกิจของไทยจำนวนไม่น้อยที่มีกลุ่มลูกค้าอยู่ในสหภาพยุโรป

ดังนั้นในส่วนนี้น่าจะเป็นโอกาสอันดีในการที่รัฐบาลจะเร่งเพื่อให้มีการออก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฉบับดังกล่าว เพราะมิใช่แต่เฉพาะการดำเนินการให้ภาคธุรกิจของไทยจะได้ปฏิบัติให้เป็นไปตามแนวมาตรฐานที่กำหนดขึ้นแบบที่มีในสหภาพยุโรป หากแต่ยังเป็นการออกกฎหมายมาเพื่อยับยั้งการใช้หรือแสวงหาประโยชน์ที่มิชอบจากข้อมูลส่วนบุคคล ซึ่งยังคงบัญญัติรับรองและคุ้มครองสิทธิไว้อยู่ในมาตรา 32 ประกอบมาตรา 4 ในรัฐธรรมนูญแห่งราชอาณาจักรไทย พ.ศ. 2560 อีกด้วย

คอลัมน์ : รู้เท่าทันสารพันกฎหมาย|โดย...มาร์ค เจริญวงศ์ อัยการประจำสำนักงานอัยการสูงสุด  |หน้า 7 หนังสือพิมพ์ฐานเศรษฐกิจ ฉบับ 3368 ระหว่างวันที่ 24-26 พ.ค.2561
e-book-1-503x62-7

แท็กที่เกี่ยวข้อง