สหภาพยุโรป (EU: European Union) ออกกฎหมายบังคับใช้ใน 28 ประเทศที่เป็นสมาชิกของสหภาพยุโรป กฎหมายฉบับนี้มีชื่อว่า "General Data Protection Regulation" หรือเรียกกันย่อๆ ว่า "GDPR" โดยมีผลบังคับใช้ในวันศุกร์ที่ 25 พฤษภาคม 2018 ว่าแต่มันคือกฎหมายอะไร จะมีผลต่อคนในและนอก EU มากน้อยแค่ไหน หาคำตอบได้จากบทความนี้ครับ

Photo: TheDigitalArtist, Pixabay

สหภาพยุโรป (EU: European Union) ออกกฎหมายใหม่เพื่อปกป้องข้อมูลส่วนบุคคล กฎหมายฉบับนี้มีชื่อว่า "General Data Protection Regulation" หรือเรียกกันย่อๆ ว่า "GDPR" โดยมีผลบังคับใช้ในวันศุกร์ที่ 25 พฤษภาคม 2018

ตัวกฎหมายมีการเปลี่ยนแปลงข้อตกลงของบริษัทต่างๆ ในการจัดเก็บ, บันทึก และประมวลผลข้อมูลจำนวนมากที่มาจากประชากรที่อยู่ใน EU โดยมีการกำหนดให้เปิดเผยว่าข้อมูลที่บริษัทจะจัดเก็บไปมีอะไรบ้าง และพวกเขาจะนำข้อมูลดังกล่าวไปใช้ใครต่อหรือไม่

กฎหมายฉบับนี้จะมีผลบังคับใช้ใน 28 ประเทศ ได้แก่ กรีซ, โครเอเชีย, เช็กเกีย, ไซปรัส, เดนมาร์ก, เนเธอร์แลนด์, บัลแกเรีย, เบลเยียม, โปรตุเกส, โปแลนด์, ฝรั่งเศส, ฟินแลนด์, มอลตา, เยอรมนี, โรมาเนีย, ลักเซมเบิร์ก, ลัตเวีย, ลิทัวเนีย, สเปน, สโลวาเกีย, สโลวีเนีย, สวีเดน, สหราชอาณาจักร (หรือที่คนนิยมเรียกว่า อังกฤษ), ออสเตรีย, อิตาลี, เอสโตเนีย, ไอร์แลนด์ และฮังการี ซึ่งทั้งหมดเป็นสมาชิกของ EU

ซึ่งกฎหมายนี้ไม่ได้มีผลกับบริษัทไอทีเท่านั้น แต่ยังมีกับผลผู้ให้บริการด้านสุขภาพ, คนขายประกัน, ธนาคาร และอีกหลายบริษัทที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคลที่ความละเอียดอ่อนอย่างหลีกเลี่ยงไม่ได้

นั่นหมายความว่าบริษัทที่อยู่ใน EU (รวมถึงสหราชอาณาจักรหรือ UK ที่ยังอยู่ใน EU ตอนนี้) ที่มีสถานะอยู่บนดิจิทัล มีสองทางเลือกได้ คือ ปฎิบัติตามกฎหมาย หรือเลือกรับโทษที่มีอัตราค่าปรับที่สูงลิ่ว เท่านั้น

เส้นตายการเริ่มใช้กฎหมายฉบับนี้คือวันที่ 25 พฤษภาคม 2018 หลังจากกฎหมายผ่านการลงมติรับรองจากรัฐสภาของ EU แล้ว

ผู้สังเกตการณ์เรื่องความเป็นส่วนตัว (Privacy) ชี้ว่าการเกิดประเด็นเรื่อง Cambridge Analytica กับ Facebook ในช่วงเดือนมีนาคมที่ผ่านมา ทำให้ผู้ใช้อินเทอร์เน็ตเริ่มตระหนักแล้วว่าทำไมต้องมีกฎหมาย GDPR ที่ประชาชนสามารถควบคุมการเข้าถึงข้อมูลส่วนตัวจากคนอื่นๆ ได้มากขึ้น

ซึ่งกฎหมาย GDPR ถือเป็นสิ่งที่สร้างผลกระทบครั้งใหญ่ต่อการเก็บข้อมูลที่จะกลายเป็นหลักฐานบนโลกออนไลน์ หรือ Digital Footprint ในอนาคต และยังสร้างผลกระทบต่อวิธีการปกป้องข้อมูลของเราจากผู้ให้บริการและแอปต่างๆ อีกด้วย

และนี่คือสิ่งที่คุณต้องรู้

กฎหมาย GDPR คืออะไร?

กฎหมาย General Data Protection Regulation หรือ GDPR เป็นการปรับปรุงกฎหมายฉบับเดิมที่เกี่ยวข้องกับการคุ้มครองข้อมูลใน EU โดยเพิ่มสิทธิ์ให้พลเมืองใน EU สามารถควบคุมข้อมูลส่วนตัวได้มากขึ้น ผู้ให้บริการผ่านออนไลน์ ต้องชี้แจงหลักเกณฑ์และความรับผิดชอบต่อข้อมูลให้ชาวยุโรปทราบด้วย

การแก้กฎหมายในครั้งนี้ ส่งผลกระทบในหลายแง่มุมอย่างหลีกเลี่ยงไม่ได้

เนื่องจากกฎหมายฉบับนี้ขยายกรอบของกฎหมาย ให้ครอบคลุมกับสิ่งที่บริษัทต้องตัดสินใจในการใช้ข้อมูลส่วนบุคคล บังคับให้บริษัทต้องติดตามการใช้ข้อมูลของพลเมืองใน EU อย่างใกล้ชิด

ถ้าใครสักคนใน EU ต้องการให้บริษัทลบข้อมูล, สำเนาข้อมูล หรือ ร่องรอยการแก้ไขข้อมูลของเขา ให้ออกไปจากระบบ บริษัทต้องปฏิบัติตามคำเรียกร้องดังกล่าวด้วย

แต่หากชาว EU ที่มีอายุต่ำกว่า 16 ปี กฎหมายฉบับนี้ระบุว่าภาคธุรกิจหรือองค์กรต่างๆ ต้องได้รับความยินยอมจากผู้ปกครอง ก่อนที่จะประมวลผลข้อมูลส่วนบุคคลดังกล่าวได้

ปรับแหลกหากไม่ปฏิบัติตาม

การบังคับใช้กฎหมายฉบับนี้จะมาจาก "คณะกรรมการข้อมูลส่วนบุคคล" ที่อยู่ในแต่ละประเทศของสหภาพยุโรป

คำถามสำคัญที่คนอยากรู้ก็คือ หากไม่ปฏิบัติตามกฎหมายจะได้รับโทษอะไรบ้าง

คำตอบ คือ "คณะกรรมการข้อมูลส่วนบุคคล" มีอำนาจปรับบริษัทที่ไม่ทำตามข้อกำหนดกฎหมาย ได้สูงสุดถึง 17.5 ล้านปอนด์ (20 ล้านยูโร) หรือ 4 เปอร์เซ็นต์ของรายได้ทั่วโลกของบริษัท

กฎหมายมีผลใช้เมื่อไร?

กฎหมายบังคับเริ่มบังคับอย่างใช้จริงจังตั้งแต่วันศุกร์ที่ 25 พฤษภาคม 2018 เป็นต้นไป

หลังจากกฎหมายผ่านการอนุมัติเมื่อปี 2016 จึงให้ระยะเวลาผ่อนปรนสำหรับภาคเอกชนเป็นเวลา 2 ปี เพื่อเตรียมตัวก่อนกฎหมายเริ่มบังคับใช้จริง ซึ่งระยะผ่อนปรนก็สิ้นสุดในวันที่ 25 พฤษภาคม 2018 ซึ่งถือเป็นวันแรกที่มีการบังคับใช้กฎหมายนั่นเอง

กฎหมายนี้ผลเฉพาะบริการที่ตั้งอยู่ใน EU เท่านั้นหรือ?

Photo: BiljaST, Pixabay

ไม่เลย -- เห็นไหมครับว่าทำไมประเด็นนี้ถึงกลายเป็นข่าวใหญ่ระดับโลก

กฎหมายฉบับบนี้มีผลกับทุกองค์กรที่รวบรวม (Collect), ประมวลผล (Process), จัดการ (Manage) หรือจัดเก็บ (Store) ของพลเมืองที่อยู่ในสหภาพยุโรป ซึ่งบริษัทและบริการออนไลน์ส่วนใหญ่ก็มีต้องทำกระบวนการที่กล่าวไปข้างต้นอยู่แล้ว

ด้วยเหตุนี้เอง GDPR จึงถือว่าเป็นการกำหนดมาตรฐานใหม่ในปกป้องข้อมูลให้กับพลเมืองเน็ตเลยก็ว่าได้

ข้อมูลประเภทใดบ้างที่กฎหมาย GDPR คุ้มครอง?

การบังคับใช้กฎหมายนี้คุ้มครองข้อมูลส่วนบุคคลหลากหลายชนิด เช่น ชื่อบุคคล และรหัสประจำตัวประชาชน

นอกจากนี้กฎหมายนี้ยังคุ้มครองข้อมูลสารสนเทศที่แสดงให้เห็นกิจกรรมของบุคคลนั้นๆ ที่ทำบนออนไลน์และออฟไลน์ได้ ประกอบข้อมูลพิกัดที่ตั้ง (Location), หมายเลข IP Addresses, Cookies และข้อมูลอื่นๆ ที่บริษัทต่างๆ ให้ติดตามพฤติกรรมผู้ใช้เมื่อเข้าอินเทอร์เน็ต

จะมีผลต่อ Facebook และ Social Media อื่นๆ อย่างไร?

ผู้ให้บริการรายใหญ่บนโลกออนไลน์ และบริษัทด้าน Social Media ต่างๆ ก็กำลังเปลี่ยนแปลง Privacy Policy (นโยบายความเป็นส่วนตัว) และ Terms of Service (เงื่อนไขในการให้บริการ)  เพื่อรองรับกฎหมายฉบับใหม่นี้

หลังกฎหมายฉบับนี้ออกมาแล้ว Facebook จะได้รับการตรวจสอบจากหน่วยงานกำกับดูแลในยุโรปอย่างใกล้ชืด หลังจากการเกิดอื้อฉาวอย่างกรณี Cambridge Analytica รวมไปถึงข้อกังวลอื่นๆ ต่อ Facebook เกี่ยวกับการเก็บข้อมูล

อย่างก่อนหน้านี้ ก็เกิดกรณีที่ผู้ใช้ก็เกิดความไม่พอใจ เมื่อ Facebook และ Instagram อ้างว่าตัวเองเป็นเจ้าของข้อมูลและรูปภาพผู้ใช้อีกด้วย เมื่อข้อบังคับของกฎหมายฉบับนี้ไปเปรียบเทียบกับกรณีนี้ ก็ทำให้เห็นชัดเลยว่าการกระทำของ Facebook นั้นไม่โอเคเลย

ในการเข้าให้ปากคำกับคณะกรรมาธิการยุติธรรมและพาณิชย์ และวุฒิสภาของสหรัฐฯการ ในวันที่ 10 เมษายน ที่ผ่านมา April 10 Mark กล่าวว่าเขาสนับสนุน "ในหลักการ" ของการเลือกใช้มาตรฐานต่อผู้ใช้ ซึ่งมีความใกล้เคียงกับการใช้กฎหมาย GDPR ก่อนที่พวกเขาจะยินยอมให้ข้อมูลแก่บริษัท -- แต่ Mark ก็ไม่ได้กล่าวในส่วนของรายละเอียดเพิ่มเติมไว้

แต่ต่อมากลับมีภาพกระดาษโน๊ตที่ Mark ที่มีนักข่าวถ่ายภาพได้ในระหว่างเข้าให้ปากคำ ซึ่งมีประโยคหนึ่งในกระดาษที่ระบุว่า "อย่าพูดว่าพวกเราได้ทำในสิ่งที่ GDPR กำหนดไว้เรียบร้อยแล้ว"

การกระทำของ Mark ก็อาจจะทำให้เห็นว่ากฎหมายนี้ส่งผลกระทบต่อ Social Media อย่าง Facebook และเจ้าอื่นๆ ไม่มากก็น้อย

พวกเรา (ที่ไม่ได้อยู่ใน EU) จะได้รับผลกระทบอะไรบ้าง?

Photo: geralt, Pixabay

Facebook, Microsoft, Twitter, Apple และบริษัทอื่นๆ ทั้งหมดต่างมีผู้ใช้อยู่นอก EU และก็จะใช้ข้อมูลของผู้ใช้นอก EU ได้ตามปกติ เพราะผู้ใช้กลุ่มดังกล่าวไม่ได้รับการคุ้มครองตามกฎหมาย GDPR ซึ่งหมายความว่าคุณไม่สามารถยื่นฟ้อง Microsoft ว่าทำผิดกฎหมายฉบับนี้ เนื่องจากคุณไม่ได้เป็นพลเมืองใน EU

ในระหว่างที่คุณกำลังยินดีกับสิทธิ์ที่ยาวนานเท่าที่บริษัทระบุว่าคุณสามารถทำได้ มันแสดงให้เห็นว่าการกำกับดูแลในยุโรปกำลังเปลี่ยนวิถีปฎิบัติต่อข้อมูลผู้ใช้ของบริษัทใหญ่ได้เป็นอย่างมาก

ในขณะเดียวกัน คุณน่าจะได้ทราบผลกระทบการเปลี่ยนแปลง Privacy Policy ในช่วงหลายเดือนที่ผ่านมา ซึ่งหลายๆ บริาัทก็ได้มีการสร้าง Privacy Policy เวอร์ชันใหม่ขึ้นก่อนที่กฎหมายฉบับนี้จะมีผลบังคับใช้อีกด้วย และบริษัทเหล่านั้นก็คงแจ้งให้คุณทราบมาก่อนหน้านี้แล้ว (สังเกตจาก Inbox จะมีชื่อจดหมายที่มีคำว่า “GDPR” “Privacy Policy” “ Term of Service” ประกอบอยู่ในนั้น)

กฎหมายนี้เอาผิดกรณีที่เกิดขึ้นกับ Facebook ก่อนหน้านี้หรือไม่?

อาจจะไม่ได้

เพราะจากคำให้สัมภาษณ์ของ Vera Jourova ซึ่งเป็น EU Justice Commissioner ที่ให้กับ Bloomberg ระบุว่า ไม่สามารถบังคับใช้กฎหมายกับกรณี Cambridge Analytica ได้ เพราะกฎหมายไม่ได้มีผลย้อนหลังก่อนการประกาศบังคับใช้กฎหมายได้

กฎหมายนี้จะมีผลต่อการถูก Hack และการถูกละเมิดอย่างไร?

กฎหมายฉบับนี้กำหนดให้บริษัทที่ทำข้อมูลลูกค้าสูญหาย หรือถูก Hack ไป ต้องแจ้งเตือนให้ผู้ใช้ทราบภายใน 72 ชั่วโมง

หากทางบริษัทถูกตรวจพบว่าไม่สามารถทำตามข้อกำหนดดังกล่าวได้ บริษัทนั้นต้องถูกปรับเป็นเงิน 4 เปอร์เซ็นต์ของรายได้ทั่วโลกของบริษัทนั้นๆ

สหรัฐฯ มีกฎหมายเทียบเท่ากับกฎหมาย GDPR ของ EU หรือไม่?

คำตอบคือไม่มีครับ

ในสหรัฐฯ จะ มีกฎหมายเกี่ยวกับการละเมิดข้อมูลและข้อกำหนดเกี่ยวกับการแจ้งเตือนแตกต่างไปในแต่ละมลรัฐ

แต่กฎหมายเหล่านี้จะคุ้มครองแค่ข้อมูลบางประเภท เช่น Social Security numbers, ข้อมูลด้านสุขภาพ หรือ ข้อมูลด้านการเงิน เท่านั้น

ส่วน SEC หรือ ก.ล.ต. ของสหรัฐฯ ก็มีแค่การออกคำแนะนำว่าบริษัทจำกัดมหาชนควรเปิกเผยข้อมูลด้านการละเมิด (Breaches) และด้านความเสี่ยง (Risks) เท่านั้น

แต่ในรัฐ California ก็กำลังจะมีการลงคะแนนเสียงเพื่อโหวตให้มีกฎหมายเกี่ยวกับข้อมูลส่วนบุคคลภายในปีนี้ กฎหมายดังกล่าวมีชื่อว่า “California Consumer Personal Information Disclosure and Sale Initiative”  ซึ่งทำให้ผู้ที่อาศัยอยู่ใน California ขอทำสำเนาข้อมูลของพวกเขาจากบริษัทต่างๆ ได้ รวมถึงสามารถรู้ได้ว่าบริษัทใดนำข้อมูลไปของพวกเขาไปขาย และยังสามารถขอให้บริษัทไม่ขายหรือแบ่งปันข้อมูลส่วนบุคคลไปให้ผู้อื่นได้อีกด้วย

รายละเอียดเพิ่มเติมเกี่ยวกับกฎหมาย GDPR

  • อ่านกฎหมายฉบับจริงๆ ได้ที่ Official Journal of the European Union
  • สรุปกฎหมายแบบแยกทุกหมวดและมาตรา ได้ที่ gdpr-info.eu
  • สรุปกฎหมายจาก EU อย่างเป็นทางการ ได้ที่ ec.europa.eu
  • สรุปกฎหมายจากหน่วยงานใน UK ได้ที่ ICO.org.uk
  • สรุปกฎหมายจากอีกแหล่ง ได้ที่ EU GDPR Information Portal
  • อ่านคำแนะนำสำหรับผู้ทำเว็บไซต์และธุรกิจในประเทศไทย ได้ที่เว็บไซต์สมาคมผู้ดูแลเว็บไทย

เรียบเรียงจาก CNET และ BBC News

RELATED ARTICLE

Responsive image

Microsoft เผยผู้บริโภคไทยยัง “ไม่ไว้วางใจ” Digital Privacy ของภาคธุรกิจ

Microsoft ประเทศไทย ชูความสำคัญของการสร้างความไว้วางใจในแพลตฟอร์มดิจิทัลทั้งในเชิงเทคโนโลยีและกลยุทธ์ เน้นย้ำบทบาทความร่วมมือระหว่างภาครัฐและภาคเอกชนในการวางนโยบายให้สังคมได้เติบโต...

Responsive image

พบ Google มีดีลลับซื้อข้อมูลลูกค้า MasterCard เพื่อใช้กับเครื่องมือด้านโฆษณา

สำนักข่าว Bloomberg รายงานว่าพบดีล(ไม่)ลับระหว่าง Google และ MasterCard โดยทาง Google ต้องการซื้อข้อมูลการใช้จ่ายผ่านร้านค้าปลีกของลูกค้าที่ถือบัตรเครดิต MasterCard เพื่อติดตามพฤติ...

Responsive image

IBM มองกฎหมาย GDPR เป็นโอกาสของภาคธุรกิจในการปรับปรุง "นโยบายข้อมูลส่วนบุคคล"

ผลการวิจัยล่าสุดชี้ให้เห็นว่าเกือบ 60% ขององค์กรที่สำรวจ มองข้อบังคับความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (General Data Protection Regulation: GDPR) เป็นโอกาสในการปรับปรุงนโยบาย...