Posted: 25 May 2018 08:03 AM PDT (อ้างอิงจากอีเมล์ข่าว เว็บไซต์ประชาไท www.prachatai.com)
นคร เสรีรักษ์
ความสนใจหรือความตระหนักรู้เรื่องความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยนับว่ามีอยู่ค่อนข้างน้อย โดยเฉพาะในโลกปัจจุบันที่คนไทยนิยมใช้โซเซียลมีเดียกันจนติดอันดับต้นๆ ของโลก การโพสต์และแชร์เรื่องราวส่วนตัวและการเปิดเผยข้อมูลส่วนบุคคลบนโลกออนไลน์เกิดขึ้นมากมายทุกๆ วัน โดยไม่เคยตระหนักถึงความสำคัญของสิทธิในความเป็นส่วนตัว ที่น่าห่วงกว่านั้นก็คือการไม่ตระหนักถึงอันตรายหรือความเสียหายที่จะเกิดจากการนำข้อมูลของเราไปใช้ประโยชน์ในทางไม่ชอบ จนพูดกันกันว่าความเป็นส่วนตัวไม่มีอีกแล้วหรือตายไปแล้วจากโลกดิจิทัลวันนี้
ระยะหลังๆ นี้ เริ่มมีการพูดถึงข้อมูลส่วนบุคคลกันมากขึ้น โดยเฉพาะในแวดวงผู้ประกอบธุรกิจเกี่ยวกับข้อมูล การติดต่อสื่อสาร และธุรกิจที่มีฐานข้อมูลส่วนบุคคลขนาดใหญ่ นั่นคือความกังวลต่อ GDPR ซึ่งเป็นข้อบังคับของสหภาพยุโรปเกี่ยวกับการเก็บและการประมวลผลข้อมูลส่วนบุคคล ที่กลัวกันมากก็เพราะบทลงโทษของผู้ที่ไม่ปฎิบัติตามหลักเกณฑ์ GDPR จะถูกปรับสูงถึง 20 ล้านยูโร ที่สำคัญคือจะมีผลบังคับใช้ในเดือนพฤษภาคม 2561 ที่กำลังจะมาถึง
จริงๆ แล้ว เรื่องการคุ้มครองข้อมูลส่วนบุคคลในระดับนานาชาติไม่ใช่เรื่องใหม่ เพราะมีพัฒนาการมากมายทั้งในกฎหมายต่างประเทศและในระดับกฎหมายหรือข้อตกลงระหว่างประเทศ
กฎหมายคุ้มครองข้อมูลในนานาประเทศอาจแตกต่างหรือมีมาตรฐานที่ไม่เท่าเทียมกัน แต่ในภาพรวมบทบัญญัติกฎหมายทั้งหลายนี้ตั้งอยู่บนพื้นฐานเดียวกัน คือ
1. ในการจัดเก็บข้อมูล ต้องมีการบอกกล่าวหรือการแจ้งให้เจ้าของข้อมูลทราบ ซึ่งหมายถึงการกำหนดขอบเขตและวัตถุประสงค์ของการประมวลผลข้อมูลที่แน่นอนชัดเจน
2. การคุ้มครองข้อมูลที่เป็นข้อมูลส่วนตัวที่มีลักษณะเฉพาะหรือมีความอ่อนไหวเป็นพิเศษ (Sensitive data) เป็นประเด็นที่ต้องให้ความคุ้มครองอย่างเคร่งครัด
3. การส่งข้อมูลระหว่างประเทศ (International data transfers or Transborder data flows) เป็นเรื่องที่ต้องให้ความสำคัญ โดยส่วนมากจะไม่ยินยอมให้มีการเข้าถึงข้อมูลหรือส่งข้อมูลออกไปยังประเทศที่ไม่มีการคุ้มครองข้อมูลในระดับมาตรฐานที่น่าพอใจ เช่นในกรณีการอนุญาตให้มีเสรีในการส่งข้อมูลภายในประเทศสมาชิกของสหภาพยุโรป และในขณะเดียวกันได้มีการห้ามการส่งข้อมูลของประเทศสมาชิกสหภาพยุโรป ไปยังประเทศที่ไม่ได้เป็นสมาชิก และประเทศซึ่งไม่มีมาตรการที่เพียงพอในการคุ้มครองข้อมูล
4. ส่วนมากบทบัญญัติคุ้มครองข้อมูลจะเริ่มต้นด้วยขอบเขตในการคุ้มครอง เช่น การเก็บข้อมูล ขอบเขตการประมวลผลข้อมูล ที่อาจมีได้ในระยะเวลาที่กำหนด รวมทั้งการมีมาตรการรักษาความปลอดภัยอย่างเพียงพอ ที่จะป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต โดยเฉพาะอย่างยิ่งข้อมูลที่มีการส่งด้วยวิธีการทางอิเล็กทรอนิกส์
5. สิทธิของเจ้าของข้อมูล ซึ่งได้แก่ สิทธิในการอนุญาตให้ใช้ข้อมูล สิทธิในการเข้าถึงข้อมูลของตนเอง สิทธิในการได้รับการแจ้งการใช้ข้อมูล สิทธิในการแก้ไขข้อมูลเมื่อพบว่าข้อมูลของตนมีความผิดพลาด และสิทธิในการได้รับการเยียวยาเมื่อได้รับความเสียหาย
6. การห้ามการกระทำบางอย่างในกิจกรรมบางอย่างบางประเภท เพื่อทำให้การคุ้มครองข้อมูลสำเร็จด้วยดี
สำหรับในระดับกฎหมายหรือข้อตกลงระหว่างประเทศ การคุ้มครองข้อมูลมีปรากฏในหลายเวที เช่น การคุ้มครองข้อมูลส่วนบุคคลตามปฏิญญาสากลว่าด้วยสิทธิมนุษยชน แนวทางขององค์การเพื่อความร่วมมือทางเศรษฐกิจและการพัฒนา (OECD) ข้อตกลงของรัฐสภาแห่งยุโรป ข้อบังคับสหภาพยุโรป แนวทางของสหประชาชาติ แนวทางตามกรอบความร่วมมือของ APEC แนวทางของอาเซียน และ TPP
EU Directive 95/46 เกิดขึ้นในปี 1995 เป็นบทบัญญัติที่มีผลบังคับระหว่างประเทศฉบับแรกที่ให้ความคุ้มครองข้อมูลส่วนบุคคล ที่ถูกสร้างขึ้นโดยประเทศสมาชิกสหภาพยุโรป ข้อบังคับนี้ให้การคุ้มครองข้อมูลส่วนบุคคลและเสรีภาพในการเคลื่อนไหวของข้อมูล ทั้งยังให้การรับรองว่าข้อมูลจะได้รับการคุ้มครองอย่างเท่าเทียมกันตลอดทั้งตลาดร่วมยุโรป โดยมีหลักการที่เป็นสาระสำคัญดังนี้
1. การรักษาคุณภาพของข้อมูล
2. มาตรการของการประมวลผลข้อมูลที่ชอบด้วยกฎหมาย
3. ข้อกำหนดในการประมวลผลข้อมูลพิเศษ/ข้อมูลที่อ่อนไหว (sensitive data)
4. สิทธิในการได้รับแจ้งการเก็บข้อมูลต่างๆ
5. สิทธิในการเข้าถึงข้อมูล
6. สิทธิในการคัดค้านการประมวลผล
7. การรักษาความปลอดภัยในการประมวลผลข้อมูล
8. การส่งผ่านข้อมูลส่วนบุคคลไปยังประเทศที่สาม
นอกจากการควบคุมการส่งข้อมูลภายในประเทศสมาชิกแล้ว สำหรับประเทศที่ไม่ได้เป็นสมาชิกสหภาพยุโรป หากจะทำการติดต่อรับ-ส่งข้อมูลกับประเทศสมาชิกสหภาพยุโรป ก็ต้องมีมาตรการการคุ้มครองข้อมูลที่เหมาะสมเป็นที่พอใจแก่สหภาพยุโรปด้วยเช่นกัน ซึ่งมาตรการที่เหมาะสมที่อียูได้ตั้งไว้ แม้กระทั่งประเทศสหรัฐอเมริกา ที่มีการค้าและการลงทุนกับประเทศสมาชิกสหภาพยุโรปมากที่สุด และมีการเคลื่อนไหวของข้อมูลข่าวสารมากที่สุด ก็ยังต้องพยายามหาวิธีการประนีประนอมเพื่อเป็นทางออกและแก้ไขปัญหาความขัดแย้งของทั้งสองฝ่าย
EU Directive 95/46 ใช้บังคับมานานกว่า 20 ปี และโดยที่โลกมีการเปลี่ยนแปลงอย่างมากในปัจจุบัน โดยเฉพาะบริบทการสื่อสารผ่านทางอิเล็กทรอนิกส์ มีการเติบโตพัฒนาอย่างรวดเร็วมาก จึงมีการปรับปรุงแก้ไข Directive ดังกล่าว ซึ่งในที่สุดรัฐสภาแห่งยุโรปก็ได้เห็นชอบ General Data Protection Regulation (GDPR) เมื่อ 14 เมษายน 2559 และจะมีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2561
เกี่ยวกับผู้เขียน: นคร เสรีรักษ์ เป็นอาจารย์ผู้สอนอยู่วิทยาลัยการปกครองท้องถิ่น มหาวิทยาลัยขอนแก่น และเป็นผู้ก่อตั้ง PrivacyThailand
แสดงความคิดเห็น