ช่วงนี้ ใครที่ตามข่าวด้านไอทีมักจะได้ยินคำว่า GDPR ถูกพูดถึงอยู่บ่อยๆ ซึ่ง GDPR เป็นกฏหมายใหม่ที่น่าสนใจมาก แม้ว่าจะไม่มีผลกระทบต่อประเทศไทยโดยตรง แต่ก็น่าจะมีผลกระทบในทางอ้อมไม่มากก็น้อย เราเลยอยากจะมาอธิบายให้ฟังกันว่า GDPR คือ อะไร?
กฏหมาย GDPR คือ ?
GDPR ย่อมาจาก General Data Protection Regulation เป็นหลักกฏหมายคุ้มครองข้อมูลส่วนบุคคลที่จะบังคับใช้ในสหภาพยุโรป (EU)
EU มีสมาชิกประกอบไปด้วยออสเตรีย, เบลเยี่ยม, บัลแกเรีย, โครเอเชีย, ไซปรัส, สาธารณรัฐเช็ก, เดนมาร์ก, เอสโตเนีย, ฟินแลนด์, ฝรั่งเศส, เยอรมณี, กรีซ, ฮังการี, ไอร์แลนด์, อิตาลี, ลัตเวีย, ไอร์แลนด์, อิตาลี, ลัตเวีย, ลิทัวเนีย, ลักเซมเบิร์ก, มอลตา, เนเธอร์แลนด์, โปแลนด์, โปรตุเกส, โรมาเนีย, สโลวาเนีย, สโลวิเนีย, สเปน, สวีเดน และสหราชอาณาจักร
โดยเจ้ากฏหมาย GDPR นี้จะถูกใช้แทนที่กฏหมาย DPD (Data Protection Directive) ที่ใช้มาตั้งแต่ปี 1995 ซึ่งกฏหมาย GDPR จะเริ่มใช้ใน EU ตั้งแต่วันที่ 25 พฤษภาคม 2561 เป็นต้นไป
DPD กับ GDPR แตกต่างกันอย่างไร?
DPD มีลักษณะเป็น "คำสั่ง" ที่ทาง EU ได้กำหนดเป้าหมายเอาไว้ ซึ่งแต่ละประเทศจะต้องออกแบบกฏหมายที่สามารถบรรลุเป้าหมายที่ตั้งเอาไว้ได้
GDPR มีลักษณะเป็น "ระเบียบ" คือ เป็นกฏหมายใหม่ที่จะบังคับใช้ร่วมกันในทุกประเทศที่เป็นสมาชิกของ EU
และเนื่องจาก GDPR เป็น "ระเบียบข้อบังคับ" ไม่ใช่คำสั่ง ดังนั้นมันจึงบังคับใช้งานได้ทันที โดยไม่จำเป็นต้องให้รัฐบาลของแต่ละประเทศผ่านการอนุมัติกฏหมายก่อน
วัตถุประสงค์ของ GDPR
- กำหนดหลักเกณฑ์ที่เกี่ยวข้องกับการคุ้มครองประชาชน ในด้านการประมวลผลข้อมูลส่วนบุคคล และการเคลื่อนย้ายของข้อมูลส่วนบุคคล
- กำหนดหลักเกณฑ์ที่จะปกป้องสิทธิในข้อมูลส่วนบุคคล ซึ่งเป็นอำนาจที่ประชาชนควรมีอิสรภาพในการที่จะปกป้องข้อมูลส่วนตัวของตน
- ความเคลื่อนไหวของข้อมูลส่วนบุคคลภายในกลุ่มสหภาพควรที่จะมีอิสระ
ข้อมูลส่วนตัวที่ GDPR ระบุ มีอะไรบ้าง?
- ข้อมูลเกี่ยวกับชีวประวัติ หรือสถานภาพความเป็นอยู่ในปัจจุบัน รวมไปถึงวันเกิด, เลขประกันสังคม, หมายเลขโทรศัพท์ และอีเมล์
- รูปลักษณ์, ลักษณะ และพฤติกรรม รวมไปถึงสีตา, น้ำหนัก และลักษณะนิสัย
- สถานที่ทำงาน และข้อมูลด้านการศึกษา รวมไปถึงเงินเดือน, ข้อมูลภาษี และเลขประจำตัวนักศึกษา
- ข้อมูลส่วนตัว รวมไปถึง ศาสนา, ความคิดทางการเมือง และข้อมูลเชิงภูมิศาสตร์
- ข้อมูลสุขภาพ ข้อมูลการเจ็บป่วย และพันธุกรรม รวมถึงประวัติการรักษาพยาบาล, ลักษณะทางพันธุกรรม หรือแม้แต่ข้อมูลการลาป่วย
GDPR สำคัญต่อผู้ใช้อย่างไร
พูดสรุปแบบภาษาชาวบ้านให้เข้าใจง่ายๆ เลย คือ กฏที่สร้างขึ้นมาเพื่อให้เราปกป้องสิทธิในข้อมูลส่วนตัวของเราได้มากขึ้น ตัวอย่างเช่น สมมติว่าเราเคยใช้แอพฯ Social Network ตัวหนึ่ง เมื่อเราเลิกใช้งานมัน เราสามารถขอให้บริษัทเจ้าของแอพฯ ลบข้อมูลส่วนตัวทั้งหมดของเราได้ หรือหากข้อมูลส่วนตัวของเราจะถูกนำไปใช้ ทางผู้ใช้ (อาจจะเป็นเจ้าของ Social Network ดังกล่าว) จะต้องขออนุญาตเราก่อน
กฏหมาย GDPR ใช้ใน EU แล้วเกี่ยวอะไรกับคนไทยล่ะ?
ที่กล่าวมาด้านบนทั้งบนนั้น เป็นกฏข้อบังคับที่จะใช้ใน EU ก็จริง แต่มันก็มีผลกระทบต่อคนไทยเช่นกัน สำหรับผู้ใช้งานทั่วไปอาจจะไม่ได้รู้สึกถึงผลกระทบจาก GDPR แต่สำหรับการทำธุรกิจเรื่องนี้มีผลมากทีเดียว โดยหากเราต้องทำธุรกิจที่มีลูกค้าที่มาจากประเทศในกลุ่ม EU การเก็บ "ข้อมูลลูกค้า" จะต้องมีมาตรฐานการจัดเก็บ และปกป้องข้อมูลที่เข้มงวดกว่าเก่า เพื่อป้องกันปัญหาด้านกฏหมายคุ้มครองข้อมูลส่วนบุคคลที่อาจจะเกิดขึ้น
สำหรับคนที่ทำธุรกิจกับคนไทยด้วยกันคงไม่ได้มีปัญหาอะไรต้องกังวล แต่ธุรกิจที่มีความเกี่ยวข้องกับคนต่างชาติ อย่างเช่น สายการบิน, โรงแรม, E-Commerce, ผู้ให้บริการมือถือ ฯลฯ ก็คงจะต้องเร่งปรับกฏระเบียบให้สอดคล้องกับมาตรฐาน GDPR ด้วย หากคุณจะทำธุรกิจร่วมกับคนที่มาจากประเทศในกลุ่ม EU
