xs
xsm
sm
md
lg

ดีอีสร้างมาตรฐานคุ้มครองข้อมูลส่วนบุคคล หลัง EU ใช้ GDPR จุฬาฯ เตรียมทำคู่มือ

เผยแพร่:   ปรับปรุง:   โดย: MGR Online


ก.ดิจิทัลฯ เร่งสร้างมาตรฐานคุ้มครองข้อมูลส่วนบุคคล รองรับ กม. หลังสหภาพยุโรปประกาศใช้ GDPR ด้านนิติจุฬาฯ เตรียมจัดทำคู่มือเผยแพร่ความรู้ ย้ำต้องเริ่มใช้ทันทีที่ กม.มีผล ชี้คนไทยใช้สื่อออนไลน์อันดับต้นของโลก หวั่นทำผิดเจอโทษปรับสูงถึง 20 ล้านยูโร

วันนี้ (4 ก.ค.) ดร.พิเชฐ ดุรงคเวโรจน์ รมว.ดิจิทัลเพื่อเศรษฐกิจและสังคม กล่าวระหว่างเป็นประธานเปิดงานและปาฐกถาพิเศษ โครงการสัมมนาเชิงลึกเรื่อง “แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพื่อรองรับการมีผลบังคับใช้ของ GDPR” จัดโดยศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ว่าการคุ้มครองข้อมูลส่วนบุคคลไม่ใช่เรื่องใหม่ เพราะมีพัฒนาการมากมายทั้งในกฎหมายต่างประเทศและข้อตกลงระหว่างประเทศ โดยพัฒนาการขั้นล่าสุด ได้แก่ สหภาพยุโรปได้ประกาศใช้ GDPR (EU General Data Protection Regulation) เป็นการแก้ไขปรับปรุงหลักการคุ้มครองข้อมูลส่วนบุคคลฉบับเก่าให้มีผลบังคับใช้ตั้งแต่วันที่ 25 พ.ค.ที่ผ่านมา รัฐบาลได้เร่งรัดดำเนินการตามนโยบายดิจิทัลโดยได้ผลักดันร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ซึ่งได้รับความเห็นชอบจากคณะรัฐมนตรีแล้ว และกำลังอยู่ในกระบวนการนิติบัญญัติตามขั้นตอนที่อาจต้องใช้เวลาอีกประมาณ 6-7 เดือน ในขณะนี้ก็ไม่อยากให้รอกฎหมาย แต่เราควรต้องเร่งสร้างมาตรฐานของเราขึ้นมา เพราะถึงอย่างไรก็ต้องมีระบบการรับรองมาตรฐานคุ้มครองข้อมูลส่วนบุคคล การที่จุฬาลงกรณ์มหาวิทยาลัยซึ่งเป็นหน่วยงานด้านการศึกษาและมีภารกิจในการให้ความรู้แก่ประชาชนได้ร่วมกันกับภาคเอกชนริเริ่มในเรื่องนี้จึงเป็นนิมิตหมายที่ดี ทันต่อสถานการณ์

ด้าน ผศ.ดร.ปารีณา ศรีวนิชย์ กล่าวว่า ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัยเล็งเห็นความสำคัญและความจำเป็นที่ต้องจัดทำคู่มือแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพื่อรองรับการมีผลบังคับใช้ของ GDPR การจัดอบรมให้ความรู้และเผยแพร่แนวปฏิบัติฯ ที่จัดทำขึ้น จึงร่วมกันกับองค์กรภาครัฐและเอกชน จัดทำแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลสำหรับผู้ประกอบการที่จะนำไปปฏิบัติอันจะเป็นประโยชน์ให้ผู้ประกอบการ อีกทั้งเป็นการเตรียมความพร้อมให้แก่ผู้ประกอบการไทยให้ทราบมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลล่าสุดและแนวปฏิบัติที่สามารถนำไปใช้ได้จริง

ขณะที่ ผศ.ดร.ปิยะบุตร บุญอร่ามเรือง ที่ปรึกษา รมว.ดิจิทัล นักวิชาการคณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย เปิดเผยว่า ปัจจุบันคนไทยใช้สื่อสังคมออนไลน์และบริการทางอินเทอร์เน็ตต่างๆ เป็นอันดับต้นๆ ของโลก แต่มาตรการด้านความมั่นคงปลอดภัยทางไซเบอร์นั้นถือว่าไม่สู้ดีนัก โดยเฉพาะส่วนที่เกี่ยวกับมาตรการทางกฎหมายและความพร้อมของหน่วยงานต่างๆ ในประเทศ ที่ผ่านมาประเทศไทยตกเป็นข่าวถึงความไม่ปลอดภัยทางไซเบอร์ที่อื้อฉาว เช่น กรณีมหาวิทยาลัยธรรมศาสตร์ถูกใช้เป็นฐานการโจรกรรมข้อมูลจากบริษัท Sony Pictures กรณี ATM 21 แห่งของธนาคารออมสินถูกโจมตีด้วยมัลแวร์และขโมยเงินไป 12 ล้านบาท กรณี McAfee ตรวจสอบพบว่ามหาวิทยาลัยธรรมศาสตร์ถูกใช้เป็นฐานโจมตีทางไซเบอร์ กรณีนาย Niall Merrigan นักวิจัยด้านความปลอดภัย ที่คอยสำรวจและตรวจสอบการสร้างโฟลเดอร์ Amazon S3 บนระบบ Cloud ซึ่งหลังจากสแกนเจอโฟลเดอร์ที่เปิดเอาไว้ หรือไม่ได้ล็อก ก็จะเลือกเข้าไปดูโฟลเดอร์ที่มีข้อมูลเยอะๆ ว่าเก็บอะไรเอาไว้บ้าง ซึ่ง 1 ใน 1000 นั้นก็คือโฟลเดอร์เก็บข้อมูลลูกค้าของ Truemove H

“ในส่วนของไทยนั้นยังไม่มีกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ส่งผลให้เกิดการเปิดเผยข้อมูลส่วนบุคคลมาก แม้รัฐบาลจะได้พยายามผลักดันให้มีการตรากฎหมายการคุ้มครองข้อมูลส่วนบุคคลเป็นเวลากว่า 10 ปีแล้ว แต่ความตระหนักรู้เรื่องความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยยังมีอยู่ค่อนข้างน้อยหรือไม่ได้รับความสนใจ”

ทั้งนี้ สาระสำคัญของการประกาศใช้ GDPR โดยสหภาพยุโรป ซึ่งเป็นการแก้ไขปรับปรุงหลักการคุ้มครองข้อมูลส่วนบุคคลฉบับเก่าให้มีผลบังคับสรุปได้ดังนี้ (1) กำหนดการใช้อำนาจนอกอาณาเขต คือ ข้อมูลส่วนบุคคลของสหภาพยุโรปอยู่ภายใต้ความคุ้มครองไม่ว่าจะอยู่ในที่ใดในโลก (2) บทลงโทษสูงขึ้น โดยองค์กรที่กระทำผิดอาจต้องจ่ายค่าปรับสูงถึงอัตราร้อยละ 4 ของผลประกอบการรายได้ทั่วโลก (3) การขอความยินยอมจากเจ้าของข้อมูลต้องชัดเจนและชัดแจ้ง (4) การแจ้งเตือนเมื่อเกิดเหตุข้อมูลรั่ว หากพบว่าข้อมูลรั่วไหล หน่วยงานผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลต้องแจ้งให้หน่วยงานกำกับดูแล และประชาชนทราบภายใน 72 ชั่วโมง (5) ขอบเขตสิทธิของเจ้าของข้อมูล ผู้ควบคุมข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบว่าข้อมูลจะถูกใช้อย่างไร เพื่อวัตถุประสงค์ใด และต้องจัดทำสำเนาข้อมูลให้กับเจ้าของข้อมูลในรูปแบบอิเล็กทรอนิกส์ โดยห้ามเก็บค่าใช้จ่ายเพิ่ม (6) สิทธิในการโอนข้อมูลไปยังผู้ประกอบการอื่น (7) สิทธิที่จะถูกลืม เจ้าของข้อมูลสามารถขอให้หน่วยงานควบคุมข้อมูลลบข้อมูลของตัวเองออกได้

นอกจากการควบคุมการส่งข้อมูลภายในประเทศสมาชิกสหภาพยุโรปแล้ว สำหรับประเทศที่ไม่ได้เป็นสมาชิกสหภาพยุโรป หากจะทำการติดต่อรับ-ส่งข้อมูลกับบุคคลของประเทศสมาชิก ก็ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมเพียงพอเช่นกัน ซึ่งเป็นเหตุให้ผู้ประกอบการไทยต้องปรับตัวเพื่อรองรับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลดังกล่าว ที่ผ่านมากว่า 20 ปี รัฐบาลได้ผลักดันให้มีกฎหมายการคุ้มครองข้อมูลส่วนบุคคลฯ มาโดยตลอด แต่ก็ยังไม่ประสบความสำเร็จ ยังต้องดำเนินการตามขั้นตอนการพิจารณาอีกหลายขั้นตอน ในขณะที่องค์กรเอกชนทั้งหลายต่างได้รับผลกระทบจากการบังคับใช้ GDPR และมีความกังวลต่อการดำเนินการจัดการข้อมูลในความครอบครองของตนเพื่อให้เป็นไปตามหลักเกณฑ์ดังกล่าว โดยเฉพาะอย่างยิ่งองค์กรที่กระทำผิดอาจต้องจ่ายค่าปรับสูงถึงอัตราร้อยละ 4 ของผลประกอบการรายได้ทั่วโลก โดยค่าปรับสูงสุดคิดเป็นมูลค่าถึง 20 ล้านยูโร


ดีอีสร้างมาตรฐานคุ้มครองข้อมูลส่วนบุคคล หลัง EU ใช้ GDPR จุฬาฯ เตรียมทำคู่มือ
ดีอีสร้างมาตรฐานคุ้มครองข้อมูลส่วนบุคคล หลัง EU ใช้ GDPR จุฬาฯ เตรียมทำคู่มือ
กำลังโหลดความคิดเห็น