GDPR (The General Data Protection Regulation) กฏหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป จะเริ่มบังคับใช้ 25 พฤษภาคม 2018 นี้ โดยกฎหมายนี้มีผลบังคับต่อทุกธุรกิจในโลกที่มีประชากรยุโรปเป็นกลุ่มเป้าหมาย โดยมีการเก็บหรือประมวลผลข้อมูลส่วนบุคคลของประชากรยุโรป ซึ่งรวมถึงบริษัทไทยด้วย มิได้จำกัดเฉพาะบริษัทของประเทศยุโรปเท่านั้น โดยกฎหมายนี้กำหนดค่าปรับสูงสุดถึง 20 ล้านยูโร หรือ 4% ของรายได้ต่อปีของบริษัท ค่าใดค่าหนึ่งที่สูงกว่า ซึ่งแม้บริษัทจะละเมิดข้อกำหนดแค่บางข้อเช่น จัดเก็บข้อมูลไม่ตรงตามข้อกำหนด, หรือไม่แจ้งผู้ดูแลและเจ้าของข้อมูลเมื่อเกิดการรั่วไหลของข้อมูล ก็มีค่าปรับที่สูงถึง 2% ของรายได้ต่อปี ดังนั้น เว็บไซต์ไทยและบริการออนไลน์ต่างๆ เช่น เว็บค้นหาและจองที่พัก, โฮมสเตย์, กิจกรรมท่องเที่ยวต่างๆ, หรือแอพฯ จดบันทึกงาน, แอพฯ อ่านข่าวที่แนะนำข่าวที่น่าสนใจสำหรับแต่ละบุคคล ที่มีลูกค้าเป็นชาวยุโรปจึงต้องศึกษาและปรับปรุงการทำงานให้สอดคล้องกับข้อกฎหมายให้ทันกำหนด โดยบทความนี้ผู้เขียนได้ความอนุเคราะห์จากอาจารย์ ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล จากคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ให้คำอธิบายและคำแนะนำแนวทางปฎิบัติด้วย
ก่อนที่จะเริ่มเข้าเรื่อง ผมขอย้ำเตือนว่า GDPR บังคับใช้กับบริษัทขนาดเล็กหรือ SME (มีพนักงานน้อยกว่า 250 คน) ด้วย (มีความเข้าใจผิดว่ามีข้อละเว้นให้บริษัทขนาดเล็ก แต่จริงๆ ไม่มีข้อยกเว้นครับ) โดยข้อกำหนดของกฎหมายนั้นมิได้ขึ้นกับขนาดของบริษัท แต่ขึ้นกับลักษณะและความเสี่ยงของการใช้ข้อมูล เช่น ถึงจะเป็นบริษัทขนาดเล็ก แต่ลักษณะการทำงานและการใช้งานข้อมูลส่วนบุคคลเข้าเกณฑ์ที่มีความเสี่ยงสูง ก็จะต้องปฎิบัติตามข้อกำหนดที่เข้มงวดกว่า แต่ก็มีข้อกำหนดบางข้อที่ยกเว้นให้กับบริษัทขนาดเล็ก เช่น บริษัทที่มีพนักงานน้อยกว่า 250 คน มีข้อบังคับให้เก็บบันทึกข้อมูลการประมวลผลข้อมูลส่วนบุคคลที่ไม่เข้มงวดเท่าบริษัทใหญ่ ยกเว้นว่าการประมวลผลข้อมูลส่วนบุคคลนั้นเป็นกิจกรรมที่เกิดขึ้นเป็นประจำ และอาจเป็นอันตรายต่อความเป็นส่วนบุคคลและเสรีภาพได้ หรือเกี่ยวข้องกับข้อมูลที่เซนซิทีฟหรือข้อมูลอาชญากรรม อย่างไรก็ตามอาจารย์ ฐิติรัตน์ ให้ความเห็นว่าเว็บไซต์หรือบริการที่มีเฉพาะภาษาไทยสามารถมองว่าไม่ได้ให้บริการกับประชากรยุโรป และไม่อยู่ภายใต้การบังคับใช้ของกฎหมายนี้
GDPR นั้นถูกสร้างขึ้นมาเพื่อปกป้องให้ประชาชนสามารถควบคุมข้อมูลส่วนบุคคลของตัวเองได้ ขณะเดียวกันก็อำนวยความสะดวกให้กับธุรกิจต่างๆ ให้ปฎิบัติงานบนมาตรฐานเดียวกันทุกประเทศในยุโรป โดยออกแบบให้สอดคล้องต่อยุคสมัยและธุรกิจดิจิตัลในปัจจุบัน
ข้อมูลส่วนบุคคลคือข้อมูลที่สามารถระบุถึงตัวบุคคลได้ ตัวอย่างเช่น ไอพีแอดเดรส, ชื่อ, รูปถ่าย, ที่อยู่, อีเมล์, ข้อมูลทางการแพทย์, รวมถึงข้อความที่บุคคลได้โพสท์บน Social Network
GDPR มีข้อกำหนดที่สำคัญเช่น
Consent
การเก็บหรือประมวลผลข้อมูลส่วนบุคคลต้องได้รับการยินยอมจากจากผู้ใช้ก่อนเสมอ โดยผู้ใช้สามารถเห็นคำร้องขอได้ชัดเจน ไม่ได้มัดรวมๆ ซ่อนไว้กับข้อตกลงการใช้งานอื่นๆ หรือไม่มีการติ๊กกล่องยินยอมไว้เป็นค่าเริ่มต้น, โดยยังต้องอธิบายการเอาข้อมูลไปใช้ให้เข้าใจง่ายชัดเจน, และผู้ใช้สามารถถอดถอนสิทธิการใช้ข้อมูลได้เสมอ
Data breaches
เมื่อมีการรั่วไหลของข้อมูล ผู้ที่รับผิดชอบจะต้องรายงานต่อเจ้าหน้าที่ที่เกี่ยวข้องภายใน 24 ชม. หรืออย่างช้า 72 ชม.หลังจากที่ทราบว่ามีการรั่วไหล และผู้ใช้จะต้องได้รับการแจ้งให้ทราบถึงการรั่วไหล และความเสียหายที่เกิดขึ้น
Right of access
ผู้ใช้มีสิทธิทราบวิธีที่ข้อมูลส่วนบุคคลถูกรวบรวม, การนำข้อมูลไปใช้, วิธีประมวลผลข้อมูล นอกจากนี้ยังสามารถเข้ามาตรวจสอบข้อมูลที่ถูกจัดเก็บไว้ได้โดยตรง
Right to be forgotten
ผู้ใช้สามารถขอให้ลบข้อมูลส่วนบุคคลได้ เมื่อไม่ต้องการใช้งานแล้ว
Data Portability
ผู้ใช้สามารถร้องขอให้โอนข้อมูลส่วนบุคคลจากผู้ให้บริการหนึ่งไปอีกผู้ให้บริการหนึ่งได้
Record of processing activities
ผู้ให้บริการต้องเก็บบันทึกประวัติการประมวลผลข้อมูล รวมถึงวัตถุประสงค์ของการประมวลผล ซึ่งเจ้าหน้าที่ที่รับผิดชอบต้องสามารถขอตรวจสอบได้
Data Protection Officer (DPO)
ธุรกิจที่เกี่ยวข้องกับารประมวลผลหรือติดตามข้อมูลส่วนบุคคลของผู้ใช้จำนวนมาก หรือประมวลผลข้อมูลส่วนบุคคลในหมวดพิเศษจะต้องมีพนักงานตำแหน่ง Data Protection Officer เพื่อคอยกำกับให้การปฎิบัติงานในบริษัทสอดคล้องกับข้อกำหนดของ GDPR และเป็นตัวแทนสำหรับการติดต่อสอบถามเกี่ยวกับการปกป้องข้อมูล
จะเห็นได้ว่า GDPR มีการกำหนดแนวทางปฎิบัติเกี่ยวกับการใช้ข้อมูลส่วนบุคคลไว้รัดกุมมาก รวมถึงบทลงโทษก็สูงมากด้วย ดังนั้นเว็บไซต์หรือแอพลิเคชันใดที่มีลูกค้าเป็นประชากรยุโรปจะต้องเร่งศึกษาและพัฒนาระบบทั้งหน้าบ้านและหลังบ้านให้ตรงตามกฎหมายภายในพฤษภาคม 2561 นี้