General Data Protection Regulation (GDPR) คือกฎหมายของสหภาพยุโรปที่กำกับดูแลวิธีที่องค์กรเก็บรวบรวม จัดเก็บ และประมวลผลข้อมูลส่วนบุคคลของผู้ที่อาศัยอยู่ในสหภาพยุโรป มีผลบังคับใช้เมื่อเดือนพฤษภาคม 2018 และมีขอบเขตนอกอาณาเขต (extraterritorial) หมายความว่าใช้บังคับกับทุกองค์กรที่ประมวลผลข้อมูลของผู้อยู่อาศัยในสหภาพยุโรป ไม่ว่าองค์กรนั้นจะตั้งอยู่ที่ใด ธุรกิจในประเทศไทยที่มีผู้เข้าชมเว็บไซต์ ลูกค้าเป้าหมาย หรือลูกค้าจากสหภาพยุโรป อาจอยู่ในขอบเขตของกฎหมายนี้
GDPR กำหนดอะไรบ้าง?
GDPR กำหนดหน้าที่หลักหลายประการสำหรับองค์กรที่ประมวลผลข้อมูลส่วนบุคคล ข้อกำหนดสำคัญ ได้แก่:
- ต้องมีฐานทางกฎหมาย (lawful basis) สำหรับการประมวลผลข้อมูลทุกประเภท ไม่ว่าจะเป็นความยินยอม ประโยชน์อันชอบธรรม ความจำเป็นตามสัญญา หรือหน้าที่ตามกฎหมาย
- ต้องมีประกาศความเป็นส่วนตัว (privacy notice) ที่ชัดเจนและใช้ภาษาที่เข้าใจง่าย อธิบายว่าเก็บข้อมูลอะไรและเพราะเหตุใด
- ต้องเคารพสิทธิของบุคคล รวมถึงสิทธิในการเข้าถึงข้อมูลของตน แก้ไขข้อมูล หรือขอให้ลบข้อมูล
- ต้องแจ้งเหตุการละเมิดข้อมูล (data breach) ต่อหน่วยงานกำกับดูแลภายใน 72 ชั่วโมงหลังจากพบเหตุ
- ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) สำหรับองค์กรบางประเภท รวมถึงองค์กรที่ประมวลผลข้อมูลอ่อนไหวในปริมาณมาก
GDPR มีผลกับธุรกิจในประเทศไทยหรือไม่?
ธุรกิจที่ตั้งอยู่ในประเทศไทยจะอยู่ภายใต้ GDPR หากเสนอสินค้าหรือบริการแก่บุคคลในสหภาพยุโรป หรือติดตามพฤติกรรมของบุคคลในสหภาพยุโรป การมีเว็บไซต์ที่ผู้เข้าชมจากสหภาพยุโรปเข้าถึงได้และมีฟอร์มติดต่อ ไม่ได้ทำให้เกิดหน้าที่ตาม GDPR โดยอัตโนมัติ อย่างไรก็ตาม การทำการตลาดกับผู้อยู่อาศัยในสหภาพยุโรปอย่างจริงจัง การรับลูกค้าจากสหภาพยุโรป หรือการติดตามพฤติกรรมของพวกเขาผ่านเครื่องมือวิเคราะห์ข้อมูลหรือเครื่องมือโฆษณา มีแนวโน้มมากกว่าที่จะทำให้ธุรกิจไทยเข้าสู่ขอบเขตของกฎหมาย องค์กรที่ไม่แน่ใจในหน้าที่ของตนควรขอคำปรึกษาทางกฎหมายจากผู้เชี่ยวชาญด้าน GDPR
GDPR เกี่ยวข้องกับ PDPA ของไทยอย่างไร?
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของไทย ซึ่งบังคับใช้มาตั้งแต่เดือนมิถุนายน 2022 อ้างอิงจาก GDPR อย่างมาก และมีหลักการหลักหลายอย่างร่วมกัน ได้แก่ ฐานทางกฎหมายสำหรับการประมวลผล ข้อกำหนดด้านความยินยอม สิทธิของเจ้าของข้อมูล และหน้าที่ในการแจ้งเหตุการละเมิด ธุรกิจที่ดำเนินงานในประเทศไทยและให้บริการลูกค้าในสหภาพยุโรปอาจต้องปฏิบัติตามทั้งสองฉบับพร้อมกัน เมื่อข้อกำหนดทับซ้อนกัน โดยทั่วไปมาตรฐานที่เข้มงวดกว่าจะมีผลเหนือกว่า ที่ Phoenix Media การติดตั้งโซลูชันบริหารความยินยอมที่ตอบโจทย์ทั้งข้อกำหนดของ GDPR และ PDPA ถือเป็นส่วนหนึ่งของการตั้งค่าระบบวิเคราะห์ข้อมูลและระบบติดตามให้ลูกค้าที่มีกลุ่มเป้าหมายในต่างประเทศ
ธุรกิจควรทำอย่างไรเพื่อเตรียมตัว?
จุดเริ่มต้นคือการทำความเข้าใจว่าคุณเก็บข้อมูลส่วนบุคคลอะไรบ้าง มาจากไหน และนำไปใช้ทำอะไร จากนั้นธุรกิจควรตรวจสอบนโยบายความเป็นส่วนตัว ทบทวนกลไกการขอความยินยอมคุกกี้บนเว็บไซต์ และตรวจสอบว่าเครื่องมือของบุคคลที่สาม เช่น Google Analytics และ Meta Pixel จัดการข้อมูลของผู้ใช้จากสหภาพยุโรปอย่างไร การปฏิบัติตาม GDPR ไม่ใช่สิ่งที่ทำเพียงครั้งเดียว: แนวปฏิบัติด้านข้อมูล ข้อตกลงกับผู้ให้บริการ และการตั้งค่าความยินยอม จำเป็นต้องได้รับการทบทวนทุกครั้งที่ธุรกิจหรือเครื่องมือที่ใช้มีการเปลี่ยนแปลง คำปรึกษาทางกฎหมายจากผู้เชี่ยวชาญที่มีคุณสมบัติเหมาะสมเป็นสิ่งจำเป็นสำหรับองค์กรที่ประมวลผลข้อมูลส่วนบุคคลของสหภาพยุโรปในระดับที่มีนัยสำคัญ