Posted: 27 May 2018 03:01 AM PDT (อ้างอิงจากอีเมล์ข่าว เว็บไซต์ประชาไท www.prachatai.com)
นคร เสรีรักษ์
ความพยายามในการออกกฎหมายเพื่อการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยมีจุดเริ่มต้นในปี 2540 ตลอดหลายปีที่ผ่านมา มีการจัดทำร่างกฎหมายถึง 5 ฉบับ ผ่านรัฐบาลหลายคณะ
จนล่าสุด คณะรัฐประหารในนามคณะรักษาความสงบแห่งชาติ(คสช.) ประกาศจะเร่งออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลเพราะเห็นว่าเป็นกฎหมายสำคัญที่มีความจำเป็นเร่งด่วนต่อกระบวนการปฏิรูปประเทศ
รัฐบาลปัจจุบันได้ส่งร่างกฎหมายไปยังสภานิติบัญญัติแห่งชาติเมื่อเดือนตุลาคม 2557 หลังจากนั้นไม่ถึงสามเดือน สังคมไทยถูกทำให้สับสนมากขึ้นด้วยการที่รัฐบาลชุดเดียวกันได้จัดทำร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลอีกฉบับ ในชุดกฎหมายขับเคลื่อนนโยบายเศรษฐกิจดิจิทัล
ปัจจุบัน ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลดังกล่าว คณะกรรมการกฤษฎีกาตรวจเสร็จแล้ว อยู่ระหว่างการนำกลับมาทบทวนของกระทรวงดิจิทัล มีการปรับแก้หลายครั้งจนกลายเป็นร่างล่าสุด มีการรับฟังความคิดเห็นเบื้องต้นกลุ่มเล็กๆไปเมื่อต้นปี 2561 ที่ผ่านมา
จึงมีประเด็นที่ต้องดูกันต่อไปว่าการคุ้มครองข้อมูลส่วนบุคคลตามร่างนี้ จะมีมาตรฐานในระดับที่ทางอียูจะยอมรับหรือไม่ ซึ่งเมื่อพิจารณาแล้วประเด็นการส่งข้อมูลข้ามแดนจะเป็นเรื่องสำคัญที่สุด เพราะการส่งข้อมูลของคนต่างประเทศ ตามมาตรฐานสากลและข้อตกลงระหว่างประเทศจะห้ามส่งข้อมูลไปยังประเทศที่ไม่มีมาตรการคุ้มครองข้อมูลส่วนบุคคล หรือมีแต่ต่ำกว่ามาตรฐานของประเทศผู้ส่ง ร่างนี้เขียนว่าการส่งข้อมูลข้ามแดนให้เป็นไปตามหลักเกณฑ์ที่กรรมการกำหนด โดยที่ในวันนี้ประเทศไทยยังไม่มีกฎหมายคุ้มครองข้อมูล กรรมการที่จะดูแลบริหารกฎหมายก็ยังไม่มี หลักเกณฑ์ที่จะออกมาจึงยังไม่รู้ว่าจะออกมาหน้าตาเป็นอย่างไร ในระหว่างที่ยังไม่มี พ.ร.บ.นี้ ยังไม่มีหลักเกณฑ์ที่ว่านี้ ถ้าต้องมีกรณีการแลกเปลี่ยน การรับ-ส่งข้อมูลระหว่างไทยกับประเทศสมาชิกอียู ทางยุโรปจะเห็นว่ามาตรฐานของไทยภายใต้ร่างแบบนี้จะเทียบเท่า GDPR หรือเปล่า
ประเทศไทยคงหลีกเลี่ยงมาตรการ GDPR ได้ยาก เพราะการค้าระหว่างประเทศมีมูลค่าทางเศรษฐกิจสูงมาก และในการดำเนินธุรกิจทั้งหมดดำเนินการบนระบบอิเล็กทรอนิกส์ จะมีการแลกเปลี่ยนข้อมูลระหว่างผู้ประกอบการตลอดเวลา ปริมาณการรับ – ส่งข้อมูลมีมหาศาล ในบรรดาข้อมูลหล่านี้ย่อมรวมถึงข้อมูลส่วนบุคคลที่เกี่ยวข้องจำนวนมาก ทั้งข้อมูลพลเมืองของประเทศผู้ซื้อและประเทศผู้ขายสินค้าและบริการ
พิจารณาจากภาคท่องเที่ยวและบริการเพียงส่วนเดียว ซึ่งนักท่องเที่ยวจากยุโรปเป็นกลุ่มใหญ่ที่สุดที่ทำรายได้ให้กับภาคการท่องเที่ยวของไทย แน่นอนว่าข้อมูลส่วนบุคคลของนักท่องเที่ยวเหล่านี้จะต้องมีการ รับ–ส่ง-แลกเปลี่ยน กับผู้ให้บริการในประเทศไทยอย่างหลีกเลี่ยงไม่ได้
บริษัทและหน่วยงานในประเทศเราน่าจะมีผลกระทบจากกฎระเบียบ GDPR จำนวนมาก ตั้งแต่การเก็บข้อมูลการเดินทางเข้าออกประเทศ ธุรกิจสายการบิน บริษัทท่องเที่ยว โรงแรมที่พัก โรงพยาบาลหรือสถานบริการสุขภาพ สถาบันการเงิน ธุรกิจการเงิน การแลกเปลี่ยนเงินตรา บัตรเครดิต การประกันชีวิต การประกันภัย บริษัทโทรคมนาคม บริษัทที่ดำเนินธุรกิจธุรกรรมออนไลน์ และ E-commerce ทั้งหมด
ความใหญ่โตของฐานข้อมูลส่วนบุคคลในผู้ประกอบการด้านการเงินการธนาคาร ธุรกิจการติดต่อสื่อสารโทรคมนาคม และโดยเฉพาะธุรกิจที่เกี่ยวข้องกับข้อมูลโดยตรง ไม่ว่าจะเป็นผู้ประกอบการด้านการประมวลผลข้อมูล Big Data Cloud รวมทั้งธุรกิจตลาดหลักทรัพย์ ธุรกิจบริการด้านสุขภาพ ซึ่งหมายความว่าทุกหน่วยงานที่จะทำหน้าที่ Data Controller หรือเป็น Data Processor ที่จะเก็บและประมวลผลข้อมูลส่วนบุคคลของพลเมืองจากประเทศในกลุ่ม EU จะต้องคำนึงถึงการปฏิบัติให้สอดคล้องกับมาตรการ GDPR ด้วยความระมัดระวัง
ยังมีความกังวลจากหลายฝ่ายที่เริ่มตระหนักถึงความสำคัญของ GDPR โดยมองว่าถึงแม้ผู้ประกอบการไทยอาจไม่โดนดำเนินคดีทางกฎหมายจากการไม่ปฏิบัติตามหรือปฏิบัติขัดกับหลักการ GDPR แต่โดยที่ธรรมชาติของการติดต่อธุรกิจระหว่างประเทศต้องมีการแลกเปลี่ยนข้อมูลระหว่างกันอยู่แล้ว หากฝ่ายผู้ประกอบการทางยุโรปเห็นว่าบริษัทคู่ค้าของไทยไม่สามารถปฎิบัติตาม GDPR บริษัท EU ก็จะไม่สามารถแลกเปลียนข้อมูลกับบริษัทในไทย ซึ่งก็จะส่งผลให้ไม่สามารถทำธุรกิจธุรกรรมกันได้ในที่สุด
นอกจากนี้ อียูอาจใช้มาตรการแทรกแซงทางการค้าอื่นๆ ในลักษณะเช่นเดียวกับการให้ “ใบเหลือง” ประเทศไทยจากกรณีปัญหา Illegal, Unreported and Unregulated Fishing(IUU) เมื่อเดือนเมษายน 2558 โดยระบุว่าเป็นประเทศที่ไม่ให้ความร่วมมือในการต่อต้านการทำประมงที่ผิดกฎหมาย ซึ่งอียูได้ใช้มาตรการคว่ำบาตรการนำเข้าอาหารทะเลจากประเทศที่เพิกเฉยต่อการแก้ไขปัญหา
GDPR กำลังจะมีผลบังคับใช้ในเดือนพฤษภาคมนี้แล้ว แต่ดูเหมือนจะยังไม่เป็นที่รู้จักหรือเข้าใจกันอย่างแพร่หลายในประเทศไทยเท่าไรนัก
มีคำถามมากมายที่ชวนสงสัยและกำลังรอคำตอบ จนถึงวันนี้ GDPR เป็นที่รับรู้ของผู้ประกอบการธุรกิจในประเทศไทยมากน้อยเพียงใด GDPR จะมีผลกระทบต่อธุรกิจทั้งขนาดใหญ่และขนาดเล็กหรือเปล่า หน่วยงานของรัฐหน่วยใดควรเป็นผู้เผยแพร่ความรู้ความเข้าใจและให้คำแนะนำเกี่ยวกับการปฏิบัติตามหลักเกณฑ์นี้ กระทรวงพาณิชย์ กระทรวงต่างประเทศ หรือกระทรวงดิจิทัล? พลเมืองไทยทั้งผู้ประกอบการหรือผู้บริโภคจะได้รับผลกระทบหรือไม่อย่างไรจากมาตรการนี้ หน่วยงานของรัฐที่เก็บและประมวลผลข้อมูลส่วนบุคคลไม่น้อยไปกว่าภาคเอกชนจะต้องปฏิบัติตาม GDPR หรือไม่ กฎหมายข้อมูลส่วนบุคคลจะเสร็จเมื่อไหร่ จะมีมาตรฐานเทียบเท่า GDPR หรือมาตรการสากลของนานาประเทศหรือไม่
และคำถามสุดท้าย.....คนไทยรู้จักและเข้าใจ GDPR กันหรือยัง?
เกี่ยวกับผู้เขียน: นคร เสรีรักษ์ เป็นอาจารย์ผู้สอนอยู่วิทยาลัยการปกครองท้องถิ่น มหาวิทยาลัยขอนแก่น และเป็นผู้ก่อตั้ง PrivacyThailand
แสดงความคิดเห็น