เว็บไซต์นี้ใช้คุ้กกี้เพื่อสร้างประสบการณ์ที่ดีมีประสิทธิภาพยิ่งขี้น อ่านเพิ่มเติมคลิก (Privacy Policy) และ (Cookies Policy)
Skip to content
ธ.ไทยเครดิต ปล่อยคาราวาน “สินเชื่อ SME กล้าช่วย” พร้อมเปิด Micro SME Business Center อีก 2 แห่ง
Finance ธ.ไทยเครดิต ปล่อยคาราวาน “สินเชื่อ SME กล้าช่วย” พร้อมเปิด Micro SME Business Center อีก 2 แห่ง
โพลชี้ บริษัทญี่ปุ่นเจอต้นทุนแร่หายากพุ่งสูงกว่า 20% พิษจีนจำกัดส่งออก
World โพลชี้ บริษัทญี่ปุ่นเจอต้นทุนแร่หายากพุ่งสูงกว่า 20% พิษจีนจำกัดส่งออก
เช็กความพร้อม ‘สวนรถไฟ’ รับศึกนัดชิงบอลโลก ตำรวจ-กทม. คุมเข้มความปลอดภัย
Sport เช็กความพร้อม ‘สวนรถไฟ’ รับศึกนัดชิงบอลโลก ตำรวจ-กทม. คุมเข้มความปลอดภัย
‘สี จิ้นผิง’ เปิดงาน ‘WAIC’ ครั้งแรก สะท้อนความมุ่งมั่น AI พร้อมเทียบสหรัฐ
World ‘สี จิ้นผิง’ เปิดงาน ‘WAIC’ ครั้งแรก สะท้อนความมุ่งมั่น AI พร้อมเทียบสหรัฐ
เชียงใหม่เปิดโมเดล “สหกรณ์สร้างอาชีพ” ยกระดับเศรษฐกิจฐานราก
เศรษฐกิจภูมิภาค เชียงใหม่เปิดโมเดล “สหกรณ์สร้างอาชีพ” ยกระดับเศรษฐกิจฐานราก
โฆษกคลังเผยเตรียมโยกผู้ถือบัตรสวัสดิการแห่งรัฐรายเดิมที่หลุดสิทธิรับ 60/40 อัตโนมัติ ชง ครม. 21 ก.ค.นี้
Finance โฆษกคลังเผยเตรียมโยกผู้ถือบัตรสวัสดิการแห่งรัฐรายเดิมที่หลุดสิทธิรับ 60/40 อัตโนมัติ ชง ครม. 21 ก.ค.นี้
บริษัทไม่ยอมรับใบรับรองแพทย์จากคลินิก
SD Talk บริษัทไม่ยอมรับใบรับรองแพทย์จากคลินิก
ราคาทองวันนี้ (17 ก.ค. 69) ร่วงลง 500 บาท ทองรูปพรรณ 64,400 บาท
Finance ราคาทองวันนี้ (17 ก.ค. 69) ร่วงลง 500 บาท ทองรูปพรรณ 64,400 บาท
ทุเรียนใต้เหลือ 4.9 แสนตัน พาณิชย์เร่งดูดซับ-แปรรูป กู้ราคาหน้าสวน
Economic ทุเรียนใต้เหลือ 4.9 แสนตัน พาณิชย์เร่งดูดซับ-แปรรูป กู้ราคาหน้าสวน
ESG โอกาสใหม่ของโรงแรม SMEs ที่ไม่ควรมองข้าม
Columns ESG โอกาสใหม่ของโรงแรม SMEs ที่ไม่ควรมองข้าม
ดูทั้งหมด

การคุ้มครองข้อมูลส่วนบุคคล ในฐานะที่เป็นมาตรฐานทางธุรกิจ-

24 ก.ย. 2561 | 07:00น.

คอลัมน์ ช่วยกันคิด

โดย ปิยะบุตร บุญอร่ามเรือง คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย

เมื่อวันที่ 11 ก.ย. 2561 กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ได้จัดรับฟังความเห็นสาธารณะต่อร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เพื่อรวบรวมข้อคิดเห็นเสนอประกอบการพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.) หลังพยายามยกร่าง พ.ร.บ.ฉบับนี้มากว่า 20 ปี และล่าสุดได้ปรับปรุงให้สอดรับกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับใหม่ของสหภาพยุโรป หรือ “GDPR” (EU General Data Protection Regulation)

ประเด็นที่สำคัญคือ ขอบเขตการบังคับใช้กฎหมายนั้นครอบคลุมการประมวลผลที่เกิดขึ้นใน EU แม้ว่าผู้ควบคุมข้อมูล (controller) หรือผู้ประมวลผลข้อมูล (processor) จะอยู่นอก EU รวมถึงกรณีส่งข้อมูลภายในประเทศสมาชิกออกนอก EU ด้วย ผู้ประกอบการไทยหากจะติดต่อรับ-ส่งข้อมูลกับบุคคลประเทศสมาชิก EU ก็ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมเพียงพอเช่นเดียวกัน

คำถามที่มักพบบ่อยในระยะนี้ คือ ผู้ประกอบการไทยหากไม่ได้มีเป้าหมายจะให้บริการใน EU จำเป็นต้องปฏิบัติตาม GDPR หรือไม่ และสามารถแยกส่วนการจัดการข้อมูลคนชาติยุโรปออกจากส่วนอื่นได้หรือไม่นั้น ต้องพิจารณาบริบทแวดล้อม ดังนี้

(1) สถานการณ์ของไทยอยู่ในขั้นที่แทบเริ่มต้นจากศูนย์ ยังไม่เคยมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล
ใด ๆ มาก่อน ที่ผ่านมาประกาศของบางหน่วยงานที่ประกาศเฉพาะแก่บางภาคธุรกิจ แต่ก็เป็นเพียงกำหนดหลักการกว้าง ๆ และอยู่เป็นส่วนเล็ก ๆ ของมาตรการความปลอดภัยไซเบอร์ (network security) ยังไม่ถึงขนาดเป็นการวางแนวปฏิบัติหรือมาตรฐานในเรื่องการคุ้มครองข้อมูลส่วนบุคคลเต็มรูปแบบ

(2) GDPR ได้กำหนดให้การส่งผ่านข้อมูลข้ามพรมแดนจาก EU มายังประเทศในภูมิภาคอื่น ทำได้ต่อเมื่อเป็นประเทศที่ได้รับการยอมรับว่ามีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอจาก EU หรือต่อไปเราจะได้ยินชื่อเรียกนี้บ่อยขึ้นว่า “EU Adequacy Decision” แม้แต่ญี่ปุ่นที่มีกฎหมายที่ค่อนข้างดีในเรื่องนี้ก็ยอมรับหลักการบางประการของ EU เพื่อให้ได้การรับรองนี้เมื่อเดือน ก.ย. 2561

(3) รายงานของคณะทำงานด้านพาณิชย์อิเล็กทรอนิกส์ของ APEC ระบุว่า จากสมาชิก APEC จำนวน 21 เขตเศรษฐกิจ มี 5 เขตเศรษฐกิจที่ยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ได้แก่ บรูไน, จีน, อินโดนีเซีย, ปาปัวนิวกินี และไทย รวมถึงไม่มีหน่วยงานกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคลด้วย ทำให้ไม่สามารถเข้าร่วมโปรแกรมรับรองมาตรฐานต่าง ๆ ที่กำลังเกิดขึ้นทั่วโลก รวมถึงกรอบ APEC-CBPRs ที่เป็นกลไกให้หน่วยงานองค์กรทั้งหลายเข้าร่วมแบบสมัครใจเพื่อรับการรับรองว่าคุ้มครองข้อมูลส่วนบุคคลเป็นที่ยอมรับ

(4) เราเริ่มเห็นการดำเนินการในลักษณะการบังคับใช้มาตรฐานคุ้มครองข้อมูลส่วนบุคคลนี้ในธุรกิจต่าง ๆ มากขึ้นเรื่อย ๆ เช่น กรณีทีมฟุตบอล West Ham ได้แจ้งเหตุการณ์รั่วไหลของข้อมูลอีเมล์ส่วนบุคคลของแฟนบอลหลายร้อยรายการต่อ ICO ซึ่งเป็นหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของสหราชอาณาจักร เพราะบังเอิญแชร์อีเมล์เหล่านั้นไประหว่างที่ส่งอีเมล์ยืนยันการสมัครเข้าชมรายการแข่งขัน Carabao Cup และมีแนวโน้มจะถูกปรับ หรือกรณีสายการบิน British Airway ที่ถูกแฮกเกอร์เจาะเอาข้อมูลส่วนบุคคลของลูกค้า 380,000 รายการ และจะถูกปรับจากเหตุการณ์ดังกล่าว

ประเด็นการส่งผ่านข้อมูลข้ามพรมแดนนี้มีนัยสำคัญมากจากนี้ไป เพราะปฏิเสธไม่ได้ว่าอินเทอร์เน็ตคือสื่อกลางในการส่งผ่านดังกล่าว และผู้ประกอบการก็ไม่อาจปิดกั้นตัวเองไม่ส่งผ่านข้อมูลทั้งไปและกลับได้ ประเด็นจึงไม่ใช่ว่าเราจะจัดการข้อมูลส่วนบุคคลของ EU อย่างไรอีกต่อไป หากแต่เป็นคำถามว่าเราจะยกระดับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลให้เป็นที่ยอมรับได้อย่างไร

แนวทางที่น่าจะเป็นคำตอบมีอย่างน้อย 2 ประการในระยะเร่งด่วน (1) จำเป็นต้องตรา พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลให้มีผลบังคับใช้โดยเร็ว (2) จำเป็นต้องสร้างมาตรฐานและแนวปฏิบัติของผู้ประกอบการเพื่อสร้างความพร้อมและพัฒนาให้เป็นที่ยอมรับในระดับสากล

ซึ่งหลายบริษัทได้ดำเนินการไปเองแล้ว โดยไม่รอกฎหมายและนโยบายระดับประเทศ เช่น การบินไทย หรือบริษัทที่มีเครือข่ายสาขาหรือคู่ค้าใน EU หลายบริษัทก็ได้รับรองมาตรฐาน ISO/IEC 27001 หรือ ISO/IEC 29100 อยู่แล้ว

หากไทยไม่มีกฎหมายและมาตรฐานที่อยู่ในระดับที่เพียงพอ จะกลายเป็นว่าผู้ประกอบการเองต้องยอมรับเข้าทำสัญญา BCR เพื่อทำธุรกิจคล้ายกับเสียสิทธิสภาพนอกอาณาเขตไปเลยก็ได้

เรื่องการตรา พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนั้นมีเจ้าภาพชัดเจน คือ กระทรวงดีอี และกำลังจะเสนอเข้าสู่ สนช. แต่ส่วนที่เกี่ยวกับการสร้างมาตรฐานและแนวปฏิบัติของผู้ประกอบการ ยังเป็นโจทย์ที่ควรต้องทำโดยภาคประชาสังคม ไม่ควรรอให้มีกฎหมายและมีการจัดตั้งหน่วยงาน ซึ่งกินเวลาหลายปี อย่างไรก็ดี ยังมีความกังวลว่าหากจำเป็นต้องคุ้มครองข้อมูลส่วนบุคคลจะสร้างภาระและผู้ประกอบการขนาดกลางและเล็กอาจไม่สามารถทำได้

คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ตระหนักถึงผลกระทบของ GDPR และความจำเป็นดังกล่าว จึงร่วมกันกับองค์กรภาครัฐและเอกชน จัดทำ “โครงการจัดทำคู่มือแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล” เริ่มจากการจัดสัมมนาเชิงลึกเมื่อ 2 ก.ค. 2561 นำมาต่อยอด ศึกษา วิจัย และประชุมกลุ่มย่อยอีกหลายครั้ง จนได้ “แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล” หรือ “Thailand Data Protection Guidelines 1.0”

ประกอบด้วยเนื้อหา 3 ส่วนหลักได้แก่ (1 ) แนวปฏิบัติการกำหนดและแยกแยะข้อมูลส่วนบุคคล (2) แนวปฏิบัติเกี่ยวกับฐานการประมวลผลข้อมูลส่วนบุคคล (3) แนวปฏิบัติเกี่ยวกับหน้าที่และความรับผิดชอบของผู้ควบคุมและผู้ประมวลผลข้อมูล ซึ่งถือเป็นจุดเริ่มต้นของการสร้างมาตรฐานและแนวปฏิบัติของผู้ประกอบการเพื่อสร้างความพร้อมและพัฒนาให้เป็นที่ยอมรับในระดับสากลต่อไป

และมีความตั้งใจจะพัฒนาเวอร์ชั่นต่อไปออกมาให้เท่าทันระดับสากล และจะได้เผยแพร่แนวปฏิบัติดังกล่าวเป็นการสาธารณะให้ผู้ประกอบการและบุคคลทั่วไปสามารถนำไปใช้เป็นแนวปฏิบัติของตนเองได้ โดยจะเริ่มเผยแพร่ในงานสัมมนา “Data Protection for Business : Road to GDPR Standard” ณ ห้องประชุม ศ.สังเวียน อินทรวิชัย ชั้น 7 ตลาดหลักทรัพย์แห่งประเทศไทยวันที่ 25 ก.ย. 2561 นี้

รับข่าวสาร ผ่านแฟนเพจเฟซบุ๊ก ประชาชาติธุรกิจออนไลน์ อย่าลืมกดติดตาม
และกดปุ่ม See first (เห็นโพสต์ก่อน)
www.facebook.com/PrachachatOnline
ทวิตเตอร์ @prachachat

ติดตามอ่านข่าวสารจากประชาชาติออนไลน์ ทันสมัย-ทันใจ
ดาวน์โหลดผ่านแอปพลิเคชั่น >> Prachachat << ได้แล้ววันนี้
ทั้งระบบ ios และ android

อ่านประชาชาติธุรกิจ ทั้งฉบับผ่าน e-Newspaper
ได้ที่แอปพลิเคชั่น Ookbee เลือก “ประชาชาติ”