GDPR คืออะไร? กฎหมายใหม่ ที่ผู้ใช้เน็ตทั่วโลกต้องรู้

วันที่เผยแพร่: 
Wed 30 May 2018

GDPR คืออะไร เป็นประเด็นร้อนสำคัญที่แม้ว่าจะเป็นกฎหมายใหม่ของยุโรป แต่กลับกระทบผู้ใช้อินเทอร์เน็ตทั่วโลกอย่างหลีกเลี่ยงไม่ได้ และเริ่มมีผลบังคับใช้แล้วเมื่อ 25 พฤษภาคม 2018 ที่ผ่านมาดังนั้นผู้ใช้อินเทอร์เน็ตรวมถึงผู้ให้บริการต่างๆทั้งเว็บไซต์ อีคอมเมิร์ซ SME ผู้ประกอบการท่องเที่ยว โรงแรม รวมถึงผู้พัฒนาแอปอื่นๆ ควรทราบเกี่ยวกับ GDPR ด้วย

GDPR คืออะไร

GDPR (The General Data Protection Regulation) คือ กฏหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป หากทำผิดมีโทษค่อนข้างแรง อย่างเช่น มีกำหนดค่าปรับสูงสุดถึง 20 ล้านยูโร หรือ 4% ของรายได้ต่อปีของบริษัท ค่าใดค่าหนึ่งที่สูงกว่า ซึ่งแม้บริษัทจะละเมิดข้อกำหนดแค่บางข้อเช่น จัดเก็บข้อมูลไม่ตรงตามข้อกำหนด, หรือไม่แจ้งผู้ดูแลและเจ้าของข้อมูลเมื่อเกิดการรั่วไหลของข้อมูล ก็มีค่าปรับที่สูงถึง 2% ของรายได้ต่อปี นอกจากนี้คุณอาจถูกฟ้องร้องโดยผู้ที่ได้รับผลกระทบข้อมูลด้วย

ดังนั้น เว็บไซต์ไทยและบริการออนไลน์ต่างๆ เช่น เว็บค้นหาและจองที่พัก, โฮมสเตย์, กิจกรรมท่องเที่ยวต่างๆ, หรือแอพฯ จดบันทึกงาน, แอพฯ อ่านข่าวที่มีลูกค้าเป็นชาวยุโรปจึงต้องศึกษาและปรับปรุงการทำงานให้สอดคล้องกับข้อกฎหมาย GDPR ด้วย

GDPR นั้นถูกสร้างขึ้นมาเพื่อปกป้องให้ประชาชนสามารถควบคุมข้อมูลส่วนบุคคลของตัวเองได้ ขณะเดียวกันก็อำนวยความสะดวกให้กับธุรกิจต่างๆ ให้ปฎิบัติงานบนมาตรฐานเดียวกันทุกประเทศในยุโรป โดยออกแบบให้สอดคล้องต่อยุคสมัยและธุรกิจดิจิทัลในปัจจุบัน

ข้อมูลส่วนบุคคล ที่กล่าวถึงใน GPDR คือข้อมูลที่สามารถระบุถึงตัวบุคคลได้ ตัวอย่างเช่น ไอพีแอดเดรส, ชื่อ, รูปถ่าย, ที่อยู่, อีเมล, ข้อมูลทางการแพทย์, รวมถึงข้อความที่บุคคลได้โพสท์บน Social Network และพฤติกรรมผู้ใช้งานออนไลน์

แม้ว่ากฎหมาย GDPR ออกแบบเพื่อคุ้มครองข้อมูลพลเมืองยุโรป ไม่ว่าข้อมูลจะวิ่งไปเก็บอยู่ที่ไหนของโลก โดยสิ่งที่ผู้ให้บริการต่างๆบนเน็ตต้องทำต้องทำหลัง GDPR ได้ประกาศใช้แล้วคือ ผู้ให้บริการจะใช้ข้อมูลอะไรของผู้ใช้ ต้องได้รับความยินยอมจากเจ้าของข้อมูล ในการจัดเก็บข้อมูล รวมทั้งต้องกำหนดขอบเขต วัตถุประสงค์ในการประมวลผลข้อมูลที่ชัดเจน ทั้งนี้การส่งข้อมูลไปต่างประเทศ หรือบริษัทที่อยู่ต่างประเทศ ผู้รับข้อมูลต้องมีการคุ้มครองข้อมูลมาตรฐานเดียวกับบริษัทในยุโรป
หน่วยงานควบคุมข้อมูลต้องกำหนดขอบเขต ระยะเวลาในการประมวลผล และมีมาตรการรักษาความปลอดภัยข้อมูลอย่างรัดกุม

การยินยอมให้ใช้ข้อมูลตาม GDPR

  • เว็บไซต์จะต้องมีการแจ้งและขอความร่วมมือจากผู้เข้าใช้อย่างชัดเจน ห้ามมีระบบบังคับอัตโนมัติในเว็บไชต์นั้นๆ
  • จะต้องมีการแจ้งให้ทราบว่าจะใช้ข้อมูลในทางใด ด้วยข้อความที่ชัดเจน ใช้ภาษาที่เป็นมาตรฐาน เข้าใจได้โดยทั่วกัน
  • ผู้ใช้บริการสามารถขอยกเลิกหรือปฏิเสธการอนุญาตในการเข้าถึงข้อมูลของตนเอง โดยปราศจากความเสียหายใดๆตามมา ผู้ให้บริการควรที่จะมีทางเลือกสำหรับการอนุญาตให้เข้าถึงข้อมูล โดยที่ข้อกำหนดการบริการไม่สามารถนำมาใช้เป็นเงื่อนไขบังคับให้ผู้ใช้ให้ข้อมูลได้
  • ไม่มีความจำเป็นสำหรับการขออนุญาตใช้ข้อมูลเพิ่มเติมยกเว้นในกรณีที่ต้องใช้ข้อมูลร่วมกัน เช่น การส่งบัตรข้อเสนอพิเศษอัตราสำหรับสุดสัปดาห์ให้ลูกค้าที่มาจองโรงแรม
  • เยาวชนอายุต่ำกว่า 16 ปี ไม่มีสิทธิอนุญาตให้เข้าถึงข้อมูลได้
  • ข้อมูลที่พิเศษ เช่น เชื้อชาติ ข้อมูลทางสุขภาพ หรือ ข้อมูลทางพันธุกรรม จะต้องได้รับการอนุญาตอย่างชัดแจ้งจากผู้ใช้บริการ

เนื่องด้วยกฎหมายข้อมูล GDPR ประกาศบังคับใช้แล้ว ในไทยเองก็มีสิ่งที่คล้ายคลึงกับ GDPR เช่นกัน นั่นคือ ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ผ่านมติเห็นชอบจาก ครม. แล้ว เมื่อวันที่ 22 พฤษภาคม 2018 ที่ผ่านมา ก่อนที่เมื่อวันที่ 25 พฤษภาคม 2018 เริ่มบังคับใช้กฎหมาย GDPR

GDPR คืออะไร

และใครที่สังเกตว่าตอนนี้บริการเว็บไซต์ต่างๆอีกมากมาย ต้องคอยอ่านเปลี่ยนแปลงเงื่อนไขการให้บริการ และตอบตกลงต่างๆ ทั้งนี้ก็เพื่อรับทราบเป็นการตอบยอมรับหลังจากที่กฎหมาย GDPR นั่นเอง

ดังนั้นสิ่งที่ผู้ใช้บริการอินเทอร์เน็ตควรทำคือควรศึกษาอ่านเงื่อนไขและกฎการให้บริการของแต่ละบริการอย่างละเอียด ว่าจะใช้ข้อมูลเราทำอะไรบ้าง ขณะเดียวกันผู้ให้บริการก็ปรับปรุงเงื่อนไขและเตรียมรับมือ

12 ขั้นตอนเตรียมความพร้อมรับ GDPR

Information Commissioner’s Office (ICO) แห่งสหราชอาณาจักร ได้ให้แนวทางในการปรับตัวเพื่อเตรียมพร้อมรับความเปลี่ยนแปลงที่จะเกิดขึ้น จากการเริ่มใช้ GDPR ซึ่งมีผลบังคับแล้วเมื่อ 25 พฤษภาคม 2018

  1. Awareness การสร้างความตระหนัก
    เริ่มจากผู้มีอำนาจในการตัดสินใจและบุคคลสำคัญในองค์กร ต้องทราบถึงข้อกฎหมายที่เปลี่ยนแปลงไป เพื่อรับมือกับ GDPR เพราะเป็นกลุ่มที่จะต้องประเมินผลกระทบที่อาจเกิดขึ้นและทางออกหากเกิดปัญหาเรื่องการปฏิบัติตามข้อกำหนดใหม่

     

  2. Information you hold ใส่ใจกับข้อมูลที่มีอยู่
    ควรมีการบันทึกว่าข้อมูลส่วนบุคคลที่เก็บไว้ มีที่มาจากที่ใดและผู้ที่สามารถเข้าถึงข้อมูล โดยจะต้องสามารถตรวจสอบ

  3. Communicating privacy information การสื่อสารข้อมูลส่วนบุคคล
    ต้องพิจารณาแผน Privacy Information ในปัจจุบัน และวางแผนเพื่อรับเปลี่ยนแปลงให้ทันท่วงทีก่อน GDPR เริ่มมีผลบังคับใช้

  4. Individuals’ rights สิทธิส่วนบุคคล
    ต้องตรวจสอบขั้นตอนการทำงานเพื่อให้แน่ใจว่าครอบคลุมกับสิทธิส่วนบุคคลที่พึงมีทุกประการ รวมถึงวิธีการลบข้อมูลส่วนบุคคล และการส่งต่อข้อมูลในรูปแบบอิเล็กทรอนิกส์ ซึ่งประกอบไปด้วย

  • สิทธิที่จะได้รับแจ้ง
  • สิทธิ์ในการเข้าถึง
  • สิทธิในการแก้ไข
  • สิทธิในการลบล้าง
  • สิทธิในการจำกัดการประมวลผลข้อมูล
  • สิทธิในการถ่ายโอนข้อมูล
  • สิทธิในการปฎิเสธไม่ให้ใช้ข้อมูล
  • สิทธิที่จะไม่ใช้การตัดสินใจโดยอัตโนมัติในการประมวลผลข้อมูล
  1. Subject access requests การขอเข้าถึงข้อมูล
    ต้องปรับปรุงวิธีการทำงานให้สอดคล้องกับสถานการณ์ในปัจจุบัน และวางแผนในการดำเนินการ เพื่อพร้อมรับคำร้องขอต่างๆ ภายในระยะเวลาที่กำหนดขึ้นมาใหม่ โดยมีเงื่อนไข ดังนี้
  • ไม่สามารถเรียกเก็บค่าธรรมเนียม
  • มีเวลาหนึ่งเดือนในการปฏิบัติตามข้อกำหนด ซึ่งสั้นกว่าในปัจจุบันที่กำหนดให้ 40 วัน
  • สามารถปฏิเสธหรือเรียกเก็บเงินสำหรับคำขอที่ไร้เหตุผลอย่างชัดเจน หรือเกินความจำเป็น
  • ในกรณีที่ปฏิเสธคำขอต้องระบุเหตุผล ผู้ที่ถูกปฎิเสธมีสิทธิร้องเรียนต่อหน่วยงานกำกับดูแลและกระบวนการยุติธรรม

  1. Lawful basis for processing personal data หลักการเบื้องต้นทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
    ต้องระบุหลักการเบื้องต้นทางกฎหมาย สำหรับกิจกรรมการประมวลผลใน GDPR ทั้งด้านเอกสารและปรับปรุงคำชี้แจงเกี่ยวกับข้อมูลส่วนบุคคลให้เป็นปัจจุบัน

  2. Consent ความยินยอม
    ต้องรายงานวิธีการจัดเก็บและจัดการกับข้อมูล ว่าได้รับความยินยอมจากเจ้าของข้อมูล และอาจจะต้องทำการเปลี่ยนแปลงเงื่อนไขการจัดการข้อมูลที่มีอยู้ให้เป็นไปตามมาตรฐานของ GDPR

  3. Children เยาวชน
    ต้องเริ่มคำนึงถึงการจัดการระบบในการยืนยันตัวตนและได้รับความยินยอมจากพ่อแม่ หรือผู้ปกครองสำหรับกิจกรรมการประมวลผลข้อมูลใด ๆที่เกิดขึ้นกับข้อมูลของเยาวชน

  4. Data breaches การละเมิดข้อมูล
    ต้องตรวจสอบให้แน่ใจว่ามีขั้นตอนที่เหมาะสมในการตรวจหา รายงานและตรวจสอบการละเมิดข้อมูลส่วนบุคคลที่อาจเกิดขึ้น องค์กรบางแห่งต้องแจ้ง ICO (และหน่วยงานอื่น ๆ ) เมื่อตรวจพบการละเมิดข้อมูลส่วนบุคคล

  5. Data Protection by Design and Data Protection Impact Assessments การป้องกันข้อมูลด้วยการออกแบบและการปกป้องข้อมูล
    ควรเริ่มประเมินสถานการณ์ที่จะเกิดขึ้น เพื่อทำความเข้าใจกับคำแนะนำของ ICO พร้อมคำแนะนำจากมาตรา 29 และหาแนวทางในการนำไปใช้ในองค์กร

  6. Data Protection Officers เจ้าหน้าที่คุ้มครองข้อมูล
    ต้องมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ Data Protection Officers (DPO) จากเดิมที่องค์กรต้องแจ้งกิจกรรมการประมวลผลข้อมูลต่อหน่วยงานท้องถิ่น (Local Data Protection Authority) ที่เป็นข้อบังคับตามกฎหมายเดิม (Data Protection Act 1998) ภายใต้กฎ GDPR นี้ไม่ต้องแจ้งแล้ว แต่ต้องจ้างเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO เข้ามาในบริษัท

  7. International การทำงานระดับสากล
    หากองค์กรต้องทำงานร่วมกับประเทศสมาชิกสหภาพยุโรปมากกว่าหนึ่งประเทศ (เช่น มีการโอนย้ายข้อมูลข้ามพรมแดน) ต้องตรวจสอบข้อมูลนำของคุณหน่วยงานกำกับดูแลการป้องกัน มาตรา 29 เพื่อเป็นแนวทางในการดำเนินงาน

QR Code for https://www.stkc.go.th/stiarticle/gdpr-%E0%B8%84%E0%B8%B7%E0%B8%AD%E0%B8%AD%E0%B8%B0%E0%B9%84%E0%B8%A3-%E0%B8%81%E0%B8%8E%E0%B8%AB%E0%B8%A1%E0%B8%B2%E0%B8%A2%E0%B9%83%E0%B8%AB%E0%B8%A1%E0%B9%88-%E0%B8%97%E0%B8%B5%E0%B9%88%E0%B8%9C%E0%B8%B9%E0%B9%89%E0%B9%83%E0%B8%8A%E0%B9%89%E0%B9%80%E0%B8%99%E0%B9%87%E0%B8%95%E0%B8%97%E0%B8%B1%E0%B9%88%E0%B8%A7%E0%B9%82%E0%B8%A5%E0%B8%81%E0%B8%95%E0%B9%89%E0%B8%AD%E0%B8%87%E0%B8%A3%E0%B8%B9%E0%B9%89
เจ้าของข้อมูล: 
https://www.it24hrs.com/2018/gdpr-the-general-data-protection-regulation/
Hits 1,390 ครั้ง
หมวดหมู่ OECD: 
คำสำคัญ: 
ไทย
eu
facebook
gdpr
gdpr คืออะไร
privacy
the general data protection regulation
กฎหมายคุ้มครองข้อมูลส่วนบุคคล
กฏหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป
คืออะไร
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
ยุโรป
สพธอ.
อินเทอร์เน็ต