บังคับใช้แล้ววันนี้ กฎหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองอียู หากข้อมูลรั่วต้องแจ้งใน 72 ชั่วโมง โทษปรับสูงสุดถึง 20 ล้านยูโร
General Data Protection Regulation (GDPR) คือมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของประชาชนในประเทศที่เป็นสมาชิกภาพของสหภาพยุโรป หรืออียู ซึ่งประกาศเมื่อปี 2559 และใช้เวลา 2 ปีเพื่อให้ภาคเอกชนเตรียมความพร้อมและเริ่มบังคับใช้วันนี้ (25 พ.ค.) ซึ่งเกี่ยวข้องกับแทบทุกองค์กรทั่วโลก มีผลกระทบในวงกว้าง เนื่องจากหลักการใหม่นี้เปิดทางให้ประชาชนของประเทศกลุ่มอียูสามารถควบคุมข้อมูลส่วนตัวของตนเองได้ เมื่อถูกเก็บข้อมูลออนไลน์จากผู้ให้บริการต่างๆ ซึ่งจะต้องจัดเก็บข้อมูลอย่างมีประสิทธิภาพ ลูกค้าสามารถแจ้งขอให้ลบข้อมูล ขอสำเนาของข้อมูล หรือแจ้งให้แก้ไขข้อมูลได้ ซึ่งผู้ให้บริการต้องดำเนินการให้
นอกจากนี้ยังสามารถปฏิเสธการนำข้อมูลส่วนบุคคลของตนไปใช้ในวัตถุประสงค์อื่นๆ ที่ไม่ต้องการได้ กรณีที่เกิดข้อมูลรั่วไหล ผู้ให้บริการต้องแจ้งกับลูกค้าภายใน 72 ชั่วโมง ซึ่งเรื่องนี้สร้างกระแสวิจารณ์ในวงกว้าง เนื่องจากโดยปกติเวลาที่เกิดกรณีดังกล่าวขึ้น บริษัทต่างๆ ต้องใช้เวลานานนับสัปดาห์เพื่อสกัดกั้นและแก้ไขปัญหาก่อนที่จะแจ้งต่อสาธารณชน ซึ่งตามข้อกำหนดของ GDPR กำหนดโทษปรับต่อบริษัทผู้กระทำผิดหรือฝ่าฝืนสูงสุดถึง 20 ล้านยูโร (740 ล้านบาท) หรือ 4% ของรายได้ปีก่อนหน้านั้น ขึ้นกับว่ายอดใดจะมากกว่า ก็จะใช้ตัวเลขนั้น
GDPR จึงไม่เพียงแต่บังคับใช้เฉพาะบริษัทในยุโรปเท่านั้น แต่บังคับใช้กับภาคเอกชนทั่วโลกรวมถึงประเทศไทย เพราะแทบทุกองค์กรต่างมีลูกค้าที่เป็นพลเมืองในประเทศกลุ่มอียูทั้งสิ้น และมีข้อมูลเก็บเอาไว้ในระบบ จึงต้องปฏิบัติตามด้วย และในเมื่อมีผลกับการปรับตัวของผู้ให้บริการออนไลน์ทั่วโลก ก็ย่อมมีผลต่อลูกค้าทั่วไปรวมถึงคนไทยเองด้วย แม้จะเป็นประเทศที่ไม่ได้อยู่ในอียูและไม่ได้อยู่ในขอบข่ายความคุ้มครองของ GDPR ก็ตามที
ช่วงที่ผ่านมาผู้ให้บริการรายสำคัญอย่าง Alibaba หรือ Firefox ต่างก็ส่งอีเมลแจ้งลูกค้าเรื่องหลักการ GDPR และนโยบายการจัดการข้อมูลส่วนบุคคล ขณะที่โรงแรมดุสิตของประเทศไทยก็ส่งแจ้งลูกค้าที่มีข้อมูลในระบบด้วย โดยแจ้งลูกค้าว่าถ้าต้องการยกเลิกอีเมลแจ้งข่าว หรือต้องการยกเลิกไม่ให้โรงแรมเก็บข้อมูลส่วนตัวก็สามารถทำได้
อย่างไรก็ตามมีผู้ที่ตั้งข้อสังเกตว่า ขณะนี้ภาคเอกชนผู้ให้บริการออนไลน์ทั่วโลกมีความพร้อมเพียงใดกับกฎ GDPR และจะสามารถบังคับใช้ได้จริงอย่างเป็นรูปธรรมหรือไม่ จึงต้องจับตาดูท่าทีของทั้งอียูและรัฐบาลของประเทศต่างๆ ต่อเรื่องดังกล่าวต่อไป พร้อมกับโจทย์สำคัญคือการปรับปรุงและบังคับใช้กฎหมายเพื่อปกป้องข้อมูลส่วนบุคคลของผู้บริโภคให้มีความปลอดภัยยิ่งขึ้น
อ้างอิง: