ข้อมูลจาก
ศาลทรัพย์สินทางปัญญาและการค้าระหว่างประเทศกลาง (2565), การบริหารจัดการข้อมูลส่วนบุคคลในยุคเศรษฐกิจขับเคลื่อนด้วยข้อมูล:
แนวทางการปฏิบัติในศาลทรัพย์สินทางปัญญาและการค้าระหว่างประเทศกลางใ
General Data Protection Regulation หรือเรียกว่า “GDPR” เป็นกฎหมายของสหภาพยุโรป (European Union: EU) มีวัตถุประสงค์เพื่อให้หน่วยงาน หรือผู้ประกอบธุรกิจที่ต้องจัดเก็บข้อมูลและจัดการข้อมูลส่วนบุคคลนั้นจะต้องเพิ่มมาตรการในการคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคลตามฐานกฎหมาย GDPR[1] ในการประมวลผลข้อมูลส่วนบุคคล[2]
หลักการสำคัญของกฎหมาย GDPR คือ การกำหนดกรอบของการใช้ข้อมูลส่วนบุคคล การกำหนดสิทธิของบุคคลในการใช้ข้อมูลส่วนบุคคล และการกำหนดกฎระเบียบสำหรับผู้ประกอบธุรกิจโดยกำหนดมาตรการในการคุ้มครองข้อมูลส่วนบุคคลให้มีความโปร่งใสในการนำข้อมูลส่วนบุคคลไปประมวลผลภายในองค์กร
กฎหมาย GDPR มีการประกาศเมื่อวันที่ 14 เมษายน ค.ศ. 2016 และมีผลบังคับใช้ตั้งแต่วันที่ 25 พฤษภาคม ค.ศ. 2018 เนื่องจาก GDPR เป็นข้อบังคับไม่ใช่คำสั่งจึงมีผลผูกพันโดยตรงและมีผลบังคับใช้ แต่ให้ความยืดหยุ่นสำหรับบางแง่มุมของข้อบังคับที่จะปรับปรุงโดยสมาชิกแต่ละรัฐ ซึ่งกฎระเบียบดังกล่าวได้กลายเป็นต้นแบบของกฎหมายอื่นๆ ทั่วโลก รวมถึงประเทศตุรกี มอริเชียส ชิลี ญี่ปุ่น บราซิล เกาหลีใต้ อาร์เจนตินา และเคนยา และแม้แต่สหราชอาณาจักรยังคงรักษากฎหมายในรูปแบบเหมือนกันแม้จะไม่ได้เป็นรัฐสมาชิกสหภาพยุโรปก็ตาม ในขณะที่กฎหมายเรื่องการคุ้มครองข้อมูลส่วนบุคคลของของผู้บริโภคเป็นส่วนตัว (CCPA) นำวันที่ 28 มิถุนายน ค.ศ. 2018 ของมลรัฐแคลิฟอร์เนียมีความคล้ายคลึงกันมากกับ GDPR และแม้แต่ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ก็ยังถือเอา GDPR ของสหภาพยุโรป เป็นตัวแบบหนึ่งของกฎหมายดังกล่าวเช่นกัน
General Data Protection Regulation (GDPR) 2016 มีทั้งหมด 11 บรรพ (Chapter) ประกอบด้วย บทบัญญัติทั่วไป หลักการ สิทธิของเจ้าของข้อมูล หน้าที่ของผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล การถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สาม หน่วยงานกำกับดูแล ความร่วมมือระหว่างประเทศสมาชิก การเยียวยา ความรับผิด หรือบทลงโทษสำหรับการละเมิด สิทธิและบทบัญญัติขั้นสุดท้ายและเบ็ดเตล็ด[3] โดยขอสรุปประเด็นสำคัญ ดังนี้
- สิทธิของเจ้าของข้อมูล
กฎหมาย GDPR กำหนดให้ผู้ควบคุมข้อมูลต้อง “แจ้งวัตถุประสงค์การใช้ข้อมูลให้แก่เจ้าของข้อมูลในรูปแบบที่กระชับ โปร่งใส เข้าใจง่าย และสามารถเข้าถึงได้ง่าย ใช้ภาษาที่ชัดเจนและเข้าใจง่าย โดยเฉพาะข้อมูลที่เด็กและเยาวชนสามารถเข้าถึงได้โดยง่าย” การเข้าถึงข้อมูลตามกฎหมายของ GDPR กำหนดให้สิทธิเจ้าของข้อมูลในการเข้าถึงข้อมูลและวิธีการนำข้อมูลไปประมวลผล ผู้ควบคุมข้อมูลต้องจัดเตรียมภาพรวมของหมวดหมู่ข้อมูลที่กำลังประมวลผล และสำเนาข้อมูลตามคำร้องขอ นอกจากนี้ ผู้ควบคุมข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบเกี่ยวกับรายละเอียดในการประมวลผล เช่น วัตถุประสงค์ของการประมวลผล ข้อมูลจะถูกแบ่งปันให้แก่บุคคลที่สาม การได้มาของข้อมูล การขอแก้ไข และการขอลบ โดยกฎหมาย GDPR กำหนดให้เจ้าของข้อมูลสามารถร้องขอให้ลบข้อมูลส่วนบุคคลของตนเอง และข้อมูลที่เกี่ยวข้องภายใน 30 วัน
สิทธิในการคัดค้านและการตัดสินใจ โดยกฎหมาย GDPR อนุญาตให้บุคคลคัดค้านการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาดหรือที่ไม่เกี่ยวข้องกับบริการ[4]ซึ่งหมายความว่าผู้ควบคุมข้อมูลต้องอนุญาตใหบุคคลมีสิทธิหยุดหรือป้องกันไม่ให้ผู้ควบคุมประมวลผลข้อมูลส่วนบุคคลของตน เว้นแต่เป็นการดำเนินการตามกฎหมายหรือตามฐานการประมวลผลโดยชอบด้วยกฎหมาย ซึ่งองค์กรจำเป็นต้องประมวลผลข้อมูลเพื่อให้บริการที่ลงทะเบียนไว้กับเจ้าของข้อมูล
การดำเนินการเพื่อประโยชน์สาธารณะตามกฎหมาย GDPR มีความชัดเจนในเรื่องที่ผู้ควบคุมข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบถึงสิทธิในการคัดค้าน ตั้งแต่ครั้งแรกของการให้ความยินยอม ซึ่งควรระบุอย่างชัดเจน และให้สิทธิแก่เจ้าของข้อมูลในการขอคัดค้านการประมวลผลข้อมูลของตน
- ความรับผิดชอบของผู้ควบคุมข้อมูล
กฎหมาย GDPR กำหนดให้ผู้ควบคุมข้อมูลต้องมีมาตรการทางเทคนิคที่เหมาะสม เพื่อให้แน่ใจว่าสามารถดำเนินการตามระเบียบที่กำหนด ซึ่งมาตรการเหล่านั้นจะต้องมีการทบทวนและปรับปรุงตามความจำเป็น รวมถึงการดำเนินการตามนโยบายการคุ้มครองข้อมูลที่เหมาะสมโดยผู้ควบคุม โดยปฏิบัติตามหลักจรรยาบรรณ เช่น การประมวลผลข้อมูลที่ยุติธรรมและโปร่งใส การรวบรวมข้อมูลส่วนบุคคล การใช้นามแฝงของข้อมูลส่วนบุคคล การใช้สิทธิของเจ้าของข้อมูล เป็นต้น รวมถึงการปฏิบัติตามที่ได้ใบรับรองในเรื่องของการจัดตั้งกลไกการคุ้มครองข้อมูลซึ่งอาจใช้เป็นการปฏิบัติตามภาระหน้าที่ของผู้ควบคุม มีการบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล การให้ความร่วมมือกับหน่วยงานในการกำกับดูแล การดูแลเรื่องความปลอดภัยของการประมวลผล การแจ้งการละเมิดข้อมูลส่วนบุคคลไปยังหน่วยงานกำกับดูแล การประเมินผลกระทบต่อการคุ้มครองข้อมูล รวมทั้งการกำหนดตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลอีกด้วย
- ขอบเขตของกฎหมายทางพรมแดนและลักษณะกิจกรรมของการบังคับใช้
กฎหมาย GDPR กำหนดให้มีการบังคับใช้กฎหมายกับผู้ควบคุมข้อมูลและผู้ประมวลผลนอกเขตเศรษฐกิจยุโรป (EEA) โดยไม่คำนึงถึงว่าการประมวลผลเกิดขึ้นที่ใด[5] นอกจากนี้ GDPR ยังห้ามมิให้ถ่ายโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลในสหภาพยุโรปไปยังประเทศนอก EEA หรือที่เรียกว่าประเทศที่สามเว้นแต่ประเทศดังกล่าวจะมีการกำหนดมาตรการป้องกันที่เหมาะสม หรือคณะกรรมาธิการยุโรปพิจารณาว่าข้อบังคับการคุ้มครองข้อมูลของประเทศที่สามนั้นเพียงพอในการคุ้มครองข้อมูลส่วนบุคคล
- ข้อมูลส่วนบุคคลที่ห้ามใช้หรือเปิดเผยข้อมูล และข้อยกเว้น
กฎหมาย GPDR กำหนดหลักการว่าการใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะต้องได้รับความยินยอมจากเจ้าของข้อมูลเพื่อวัตถุประสงค์หนึ่ง หรือหลายวัตถุประสงค์ ข้อมูลส่วนบุคคลจะไม่ถูกประมวลผล เว้นแต่จะอยู่บนพื้นฐานทางกฎหมายอย่างน้อยข้อหนึ่งข้อใดเพื่อดำเนินการดังกล่าว โดยระบุวัตถุประสงค์ตามกฎหมาย ได้แก่[6]
(ก) เจ้าของข้อมูลให้ความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของตน
(ข) เพื่อปฏิบัติตามภาระผูกพันตามสัญญากับเจ้าของข้อมูล หรือตามคำร้องขอของเจ้าของข้อมูลที่อยู่ในสัญญา
(ค) เพื่อปฏิบัติตามภาระผูกพันตามกฎหมายของผู้ควบคุมข้อมูล
(ง) เพื่อปกป้องผลประโยชน์ที่สำคัญของเจ้าของข้อมูลหรือบุคคลอื่น
(จ) เพื่อประโยชน์สาธารณะหรืออำนาจหน้าที่ของทางการ
(ฉ) เพื่อผลประโยชน์ที่ชอบด้วยกฎหมายของผู้ควบคุมข้อมูล หรือบุคคลที่สาม เว้นแต่ประโยชน์เหล่านี้จะถูกแทนที่โดยผลประโยชน์ของเจ้าของข้อมูลหรือสิทธิของเขา (โดยเฉพาะในกรณีของเด็ก) ตามกฎบัตรสิทธิขั้นพื้นฐาน
โดยสรุปกฎหมาย GDPR เปรียบเสมือนแม่แบบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศต่าง ๆ ซึ่งจะมีความแตกต่างกันบ้างมากน้อยตามบริบทของวัฒนธรรม การค้าขายของแต่ละประเทศ เช่นในเรื่องของอายุของเจ้าของข้อมูลที่เป็นเด็กและเยาวชนในแต่ละประเทศมีความแตกต่างกันตามกฎหมายของแต่ละประเทศ หรือในกรณีที่เกี่ยวกับบทลงโทษซึ่งเป็นบริบทของประชาชน ความสำคัญของการใช้ข้อมูล และทรัพยากรในประเทศนั้น ๆ สิทธิของผู้บริโภค ดังเช่นสิทธิในการลบ หรือเข้าถึงข้อมูลกฎหมาย GDPR มุ่งเน้นเฉพาะข้อมูลทั้งหมดที่เกี่ยวข้องกับผู้บริโภค หรือสมาชิกในสหภาพยุโรป ในขณะที่ CCPA จะถือว่าทั้งผู้บริโภคและครัวเรือนเป็นหน่วยงานที่สามารถระบุตัวตนได้ และในบางกรณีจะพิจารณาเฉพาะข้อมูลที่ให้โดยผู้บริโภคเท่านั้น ตรงข้ามกับข้อมูลที่มาจากหรือซื้อจากบุคคลที่สาม ซึ่งเป็นสิ่งสำคัญที่ต้องดำเนินการเพื่อให้แน่ใจว่าสามารถรองรับสิทธิเหล่านี้ได้
[1] นคร เสรีรักษ์, ณรงค์ ใจหาญ, ประสิทธิ ปิวาวัฒนพานิช, ศุภเกียรติ ศุภศักดิ์ศึกษากร และนิชานันท์ นันทศิริศรณ์. GDPR ฉบับภาษาไทย. พิมพ์ครั้งที่ 1. Privacy Thailand.
[2] พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562, ราชกิจจานุเบกษา. เล่ม 136 ตอนที่ 69 ก. หน้า 52-95.
[3] General Data Protection Regulation
[4] Barry Sookman Charles Morgan Adam Goldenberg, Using privacy laws to regulate automated decision making [Online], 5 January 2565, https://www.barrysookman.com/2021/04/30/using-privacy-laws-to-regulate-automated-decision-making/.
[5] Imran Ahmad, Extraterritorial Scope of GDPR: Do Businesses Outside the EU Need to Comply? [Online], 5 January 2565, https://www.americanbar.org/groups/business_law/publications/blt/2018/04/01_speirs/.
[6] Ibid.