Digital Economy

นักกฎหมายชวนรู้ GDPR กระทบอย่างไรต่อธุรกิจ

laptop 3233780 1280

เป็นอีกหนึ่งเวทีน่าสนใจสำหรับการจับมือกันของสำนักงานส่งเสริมเศรษฐกิจดิจิทัล (depa) ร่วมกับ วิทยาลัยนวัตกรรม มหาวิทยาลัยธรรมศาสตร์ จัดงาน “Digital Thailand Forum : GDPR และผลกระทบต่อธุรกิจไทย” เพื่อสร้างการรับรู้ ความเข้าใจ และ ความตระหนักในการปรับตัวขององค์กรในประเทศไทย ต่อ GDPR : General Data Protection Regulation กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป ที่เริ่มบังคับใช้แล้วเมื่อ 25 พฤษภาคม 2018โดย ดร.รัฐศาสตร์ กรสูต รองผู้อำนวยการ สำนักงานส่งเสริมเศรษฐกิจดิจิทัล (depa) กล่าวว่า ข้อมูลอิเล็กทรอนิกส์หรือ ดาต้าเบส (Database) นั้นมีมานานแล้ว ประมาณ 44 ปี โดยในช่วงแรกดาต้าเบส จะดำเนินการเพื่อเป็นการเก็บข้อมูลสำหรับเป็นเครื่องช่วยจำ และเป็นหลักฐานอ้างอิง เพื่อสามารถติดตามว่าเกิดอะไรขึ้นบ้าง

อย่างไรก็ดี ในช่วง 10 ปีที่ผ่านมา ข้อมูลเริ่มทวีความสำคัญมากขึ้นเรื่อย ๆ จนมีการเปรียบว่าข้อมูลเหมือนกับก๊าซ ถ่านหิน หรือไฟฟ้า เนื่องด้วยผู้ที่มีข้อมูล นับว่าเป็นคนที่มีความรู้และมีอำนาจ ซึ่งสะท้อนได้อย่างชัดเจนว่า “ข้อมูล” เป็นทรัพยากรที่มีคุณค่าอย่างมาก

สำหรับกฎหมายเกี่ยวกับข้อมูล จะพบว่าหลายประเทศที่มีความตื่นตัวเร็ว ได้มีการออกกฎหมายมาระยะหนึ่ง ซึ่งในบางประเทศหากติดต่อธุรกิจจะต้องเก็บข้อมูลที่มีความละเอียดอ่อนนั้นไว้ที่เซิร์ฟเวอร์ของประเทศนั้น ๆ ไม่สามารถนำออกนอกประเทศได้ก็มี

ส่วนในประเทศไทยนั้น ได้มีการตื่นตัวเรื่องนี้มาสักพัก โดยเริ่มตื่นตัวในช่วงปี 2539 พร้อมกับการประกาศใช้กฏหมายที่เกี่ยวข้อง ในปี 2544 โดยกฎหมายที่ออกมาคือ พ.ร.บ.ธุรกรรมทางอิเล็กทรอนิกส์ จากนั้นก็เริ่มมี การออก พ.ร.บ.คอมพิวเตอร์ฯ มาเรื่อยๆ ล่าสุดเมื่อวันที่ 22 พฤษภาคมที่ผ่านมา ที่ประชุมคณะรัฐมนตรี (ครม.) มีมติเห็นชอบเกี่ยวกับร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. …. ตามที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเสนอ โดยเร็วๆ นี้ก็จะได้เห็นการประกาศใช้ พ.ร.บ.ดังกล่าว

อย่างไรดี หากพิจารณาจะทราบว่ากฎหมายเหล่านี้มีความเหมือนกัน และต่อไปทุกคนต้องเตรียมตัวให้พร้อมเพราะเมื่อเวลาเจรจาธุรกิจกับประเทศในกลุ่มสหภาพยุโรป (อียู) หรือประเทศต่าง ๆ เรื่องของ data privacy จะกลายเป็นประเด็นร้อนที่ทุกฝ่ายต้องสนใจ

ด้าน ดร.สุวรรณ จันทิวาสารกิจ ผู้อำนวยการหลักสูตรนโยบายและการบริหารดิจิทัล วิทยาลัยนวัตกรรม มหาวิทยาลัยธรรมศาสตร์ กล่าวตอนหนึ่งว่า Privacy หรือความเป็นส่วนตัว นับว่าเป็นเรื่องสำคัญในยุคดิจิทัล อย่างมาก เนื่องจากพฤติกรรมการเข้าใช้อินเทอร์เน็ต การใช้สื่อสังคมออนไลน์ การซื้อของออนไลน์ การทำธุรกรรมต่างๆ ล้วนแต่เป็นข้อมูลส่วนบุคคลทั้งนั้น

“หากพูดถึง GDPR คือ มาตรการการถือครองข้อมูล ซึ่งปัจจุบันเราถูกนำข้อมูลมาใช้วิเคราะห์ความน่าจะเป็นในอนาคต เช่น ในต่างประเทศนำข้อมูลช็อปปิ้งลิสต์ มาวิเคราะห์แนวโน้มการรหย่าร้าง โดยมีความแม่นยำถึง 70 เปอร์เซ็นต์ หรือหากคุณและเพื่อนค้นหาบน google ในคำค้นเดียวกัน ผลการค้นหาอาจจะแตกต่างกัน เพราะมีการประมวลผลให้ผลการค้นหาตรงกับผู้เสิร์ซมากที่สุด ตรงนี้เองทำให้เราเริ่มตระหนักว่าข้อมูลที่ถูกนำไปใช้นั้น ได้รับความยินยอมจากเราหรือไม่ ผู้ใช้เริ่มตื่นตัวเรื่องความเป็นส่วนตัวมากขึ้น ดังนั้น GDPR ซึ่งเป็นกฎหมายใหม่จะช่วยแก้ปัญหาตรงนี้”

gdpr
ดร.รัฐศาสตร์ กรสูต

อาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ กล่าวว่า เหตุผลที่ทำไม GDPR ส่งผลกระทบกับไทยนั้น เพราะโลกทุกวันนี้เราขับเคลื่อนด้วยข้อมูลและเชื่อมต่อกันด้วยอินเทอร์เน็ต ดังนั้นไม่ใช่เพียงเรื่องกายภาพเท่านั้น หากกล่าวถึงกฎหมาย โดยปกติกฎหมายคือสิ่งที่รัฐใช้อำนาจโดยมีฐานมาจากดินแดนหรือขอบเขตของประเทศใดประเทศหนึ่ง แต่ในปัจจุบันสังคมอินเทอร์เน็ตทำให้ทุกอย่างเป็นสังคมเดียวกัน ทุกคนเป็นประชากรของเฟซบุ๊ก อินสตราแกรม โดยเราเป็นประชากรที่อยู่บนคอมมูนิตี้ออนไลน์เหมือน ๆ กัน

ที่่ผ่านมา เราเรียนรู้การใช้ชีวิตอยู่บนออนไลน์ว่าเป็นอย่างไร มีมาตรฐานกลั่นกรองข้อมูลไปทางเดียวกัน และเมื่อข้อมูลไหลเวียนทั่วโลก และสามารถถูกจับไปเรียกค่าไถ่ได้ หรือชีวิตส่วนตัวถูกนำไปให้คนอื่นรับรู้ ซึ่งไม่ว่าเกิดจุดใดบนโลกก็สามารถลามไปได้หมด ดังนั้นขอบเขตกฎหมายทางกายภาพจึงไม่สามารถจัดการได้อีกต่อไป เป็นสาเหตุว่าทำไมสหภาพยุโรปเข้ามาจัดการตรงนี้ ทั้งนี้กฎหมายเรื่องนี้ไม่ได้เริ่มมี แต่เพียงที่ผ่านมากฎหมายเหล่านี้กระจัดกระจาย ไม่ได้มีมาตรฐานในทางเดียวกัน

GDPR พยายามขยายออกไปนอกสหภาพยุโรป โดยฐานการประมวลผลข้อมูลภายใต้กฎหมายนี้ ต้องมาจากความยินยอมที่ให้ด้วยความเต็มใจ และผู้ที่ให้ความยินยอมมีทางเลือก ซึ่งสิทธิของเจ้าของข้อมูล (Data subject) มีมากขึ้น อาทิ สิทธิที่จะถูกลืม, สิทธิที่จะเข้าถึงเนื้อหาการประมวลผลหรือผู้ควบคุมข้อมูล (Data controller) นำข้อมูลเราไปจัดการอย่างไรบ้าง รวมไปถึงเรื่องของ AI

“สหภาพยุโรปเป็นห่วงเรื่องดังกล่าวต้องการกำกับดูแลการใช้ AI ไม่ให้เลือกปฏิบัติต่อคนและเป็นธรรม โปร่งใส ทั้งนี้เมื่อมีการรั่วไหลหรือละเมิดข้อมูล หน่วยงานควบคุมข้อมูลและผู้ประมวลผลต้องแจ้งให้หน่วยงานกำกับดูแล และประชาชนทราบภายใน 72 ชั่วโมง โดยจะเห็นว่าสิ่งที่ GDPR ต้องการเปลี่ยน คือ ที่ผ่านมาเราแก้ปัญหาที่ละขั้นตอน มีปัญหาก็แก้ แต่ GDPR ต้องการเปลี่ยน คือ ต้องคิดตั้งแต่ต้นในกระบวนการทำธุรกิจ ทำอย่างไรให้การใช้ข้อมูลคุ้มครองตัวเจ้าของข้อมูลและเป็นประโยชน์กับธุรกิจจริงๆ”

ดร.สิทธินัย จันทรานนท์ ผู้อำนวยการสังกัดสำนักงานรองกรรมการผู้อำนวยการใหญ่ สายงานบริหารกฏหมายและบริหารทั่วไป คณะทำงานโครงการ GDPR บมจ.การบินไทย กล่าวว่า การโอนข้อมูลยุโรปมายังประเทศไทยมีขึ้นมานานแล้ว แต่กฎหมายที่ใช้ไม่ได้มีความเข้มข้นเหมือนเช่น GDPR สำหรับการบินไทยนั้นหลังมีการประกาศเรื่อง GDPR เริ่มมีการตื่นตัวตั้งแต่ช่วงเดือนพฤศจิกายนปีที่แล้ว โดยมีการประชุมหารือร่วมกันระหว่างทีมกฎหมายและฝ่ายไอที เพราะการบินไทยมีสาขาในต่างประเทศ มีการให้บริการลูกค้าจากนานาประเทศ และเราจะไม่สามารถทราบล่วงหน้าได้เลยว่าบุคคลที่กฎหมาย GDPR คุ้มครองจะมาอยู่ในมือเราเมื่อใด ดังนั้น ธุรกิจต่าง ๆ อย่านิ่งนอนใจว่าไม่เกี่ยวข้อง ปัจจุบันก็มีหลายธุรกิจนำ GDPR มาประยุกต์ใช้แล้ว ฉะนั้นหาตัวอย่างไม่ยากเหมือนเมื่อก่อน เพียงภาคธุรกิจทำความเข้าใจ GDPR ให้ละเอียดก็จะสามารถปรับตัวและดำเนินการได้อย่างแน่นอน

Avatar photo