GDPR กับสังคมไทย เรื่องใหญ่ที่ไม่ถูกพูดถึง

นคร เสรีรักษ์
วิทยาลัยการปกครองท้องถิ่น มหาวิทยาลัยขอนแก่น
ผู้ก่อตั้ง PrivacyThailand
25 พฤษภาคม 2561 ถูกยกให้เป็นวัน GDPR Day ซึ่งหมายถึงวันที่มีการประกาศใช้ General Data Protection Regulation หรือ กลไกการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป โดยกลไกนี้ถูกสร้างขึ้นเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องสำคัญมากขึ้นไม่ว่าจะเป็นการเพิ่มมาตรการการคุ้มครองและบทลงโทษ อีกทั้ง ขอบเขตการคุ้มครองอย่างกินพื้นที่มาถึงการรับส่งข้อมูลที่อยู่ภายนอกประเทศสมาชิกด้วย
แน่นอนว่า ประเทศไทยเองหากจะต้องติดต่อรับส่งข้อมูลกับทางประเทศสมาชิกสหภาพยุโรปก็จำเป็นจะต้องยกระดับการคุ้มครองข้อมูลส่วนบุคคลให้เท่าเทียมกับประเทศที่มีการใช้ GDPR แต่ทว่า ถ้านับตั้งแต่ปี 2540 กลไกหรือการรออกกฎหมายเพื่อการคุ้มครองข้อมูลส่วนบุคคลกลับไม่มีมีความคืบหน้า 
ตลอดหลายปีที่ผ่านมา มีการจัดทำร่างกฎหมายถึง 5 ฉบับ ผ่านรัฐบาลหลายคณะ จนล่าสุด คณะรัฐประหารในนามคณะรักษาความสงบแห่งชาติ(คสช.) ประกาศจะเร่งออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลเพราะเห็นว่าเป็นกฎหมายสำคัญที่มีความจำเป็นเร่งด่วนต่อกระบวนการปฏิรูปประเทศ โดย รัฐบาล คสช. ได้ส่งร่างกฎหมายไปยังสภานิติบัญญัติแห่งชาติเมื่อเดือนตุลาคม 2557 หลังจากนั้นไม่ถึงสามเดือน สังคมไทยถูกทำให้สับสนมากขึ้นด้วยการที่รัฐบาลชุดเดียวกันได้จัดทำร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลอีกฉบับ ในชุดกฎหมายขับเคลื่อนนโยบายเศรษฐกิจดิจิทัล
อย่างไรก็ดี ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ในฉบับที่ผ่านการตรวจโดยคณะกรรมการกฤษฎีกาและกระทรวงดิจิทัลฯ แล้ว พบว่า การปรับแก้หลายครั้งและมีประเด็นที่ต้องดูกันต่อไปว่าการคุ้มครองข้อมูลส่วนบุคคลตามร่างนี้ จะมีมาตรฐานในระดับที่ทางอียูจะยอมรับหรือไม่ โดยเฉพาะประเด็นการส่งข้อมูลข้ามแดนซึ่งเป็นเรื่องสำคัญที่สุด เพราะการส่งข้อมูลของคนต่างประเทศ ตามมาตรฐานสากลและข้อตกลงระหว่างประเทศจะห้ามส่งข้อมูลไปยังประเทศที่ไม่มีมาตรการคุ้มครองข้อมูลส่วนบุคคล หรือมีแต่ต่ำกว่ามาตรฐานของประเทศผู้ส่ง แต่ทว่าร่างกฎหมายนี้กลับเขียนเพียงแค่ว่า การการส่งข้อมูลข้ามแดนให้เป็นไปตามหลักเกณฑ์ที่กรรมการกำหนด 
ในระหว่างที่ประเทศไทยยังไม่มีกฎหมายคุ้มครองข้อมูล กรรมการที่จะดูแลบริหารกฎหมายก็ยังไม่มี หลักเกณฑ์ที่จะออกมาจึงยังไม่รู้ว่าจะออกมาหน้าตาเป็นอย่างไร ถ้าต้องมีกรณีการแลกเปลี่ยน การรับ-ส่งข้อมูลระหว่างไทยกับประเทศสมาชิกยุโรปย่อมสร้างผลกระทบมหาศาล 
ประเทศไทยคงหลีกเลี่ยงมาตรการ GDPR ได้ยาก เพราะการค้าระหว่างประเทศมีมูลค่าทางเศรษฐกิจสูงมาก  และในการดำเนินธุรกิจทั้งหมดดำเนินการบนระบบอิเล็กทรอนิกส์ จะมีการแลกเปลี่ยนข้อมูลระหว่างผู้ประกอบการตลอดเวลา ปริมาณการรับ – ส่งข้อมูลมีมหาศาล ในบรรดาข้อมูลหล่านี้ย่อมรวมถึงข้อมูลส่วนบุคคลที่เกี่ยวข้องจำนวนมาก ทั้งข้อมูลพลเมืองของประเทศผู้ซื้อและประเทศผู้ขายสินค้าและบริการ อาทิ กลุ่มนักท่องเที่ยวจากยุโรปซึ่งเป็นกลุ่มใหญ่ที่สุดที่ทำรายได้ให้กับภาคการท่องเที่ยวของไทย แน่นอนว่าข้อมูลส่วนบุคคลของนักท่องเที่ยวเหล่านี้จะต้องมีการ รับ–ส่ง-แลกเปลี่ยน กับผู้ให้บริการในประเทศไทยอย่างหลีกเลี่ยงไม่ได้ 
บริษัทและหน่วยงานในประเทศเราน่าจะมีผลกระทบจากกฎระเบียบ GDPR จำนวนมาก ตั้งแต่การเก็บข้อมูลการเดินทางเข้าออกประเทศ ธุรกิจสายการบิน บริษัทท่องเที่ยว โรงแรมที่พัก โรงพยาบาลหรือสถานบริการสุขภาพ สถาบันการเงิน ธุรกิจการเงิน การแลกเปลี่ยนเงินตรา บัตรเครดิต การประกันชีวิต การประกันภัย บริษัทโทรคมนาคม บริษัทที่ดำเนินธุรกิจธุรกรรมออนไลน์ และ E-commerce ทั้งหมด 
ความใหญ่โตของฐานข้อมูลส่วนบุคคลในผู้ประกอบการด้านการเงินการธนาคาร ธุรกิจการติดต่อสื่อสารโทรคมนาคม และโดยเฉพาะธุรกิจที่เกี่ยวข้องกับข้อมูลโดยตรง ไม่ว่าจะเป็นผู้ประกอบการด้านการประมวลผลข้อมูล Big Data Cloud รวมทั้งธุรกิจตลาดหลักทรัพย์ ธุรกิจบริการด้านสุขภาพ ซึ่งหมายความว่าทุกหน่วยงานที่จะทำหน้าที่ Data Controller หรือเป็น Data Processor ที่จะเก็บและประมวลผลข้อมูลส่วนบุคคลของพลเมืองจากประเทศในกลุ่ม EU จะต้องคำนึงถึงการปฏิบัติให้สอดคล้องกับมาตรการ GDPR ด้วยความระมัดระวัง
ยังมีความกังวลจากหลายฝ่ายที่เริ่มตระหนักถึงความสำคัญของ GDPR โดยมองว่าถึงแม้ผู้ประกอบการไทยอาจไม่โดนดำเนินคดีทางกฎหมายจากการไม่ปฏิบัติตามหรือปฏิบัติขัดกับหลักการ GDPR แต่โดยที่ธรรมชาติของการติดต่อธุรกิจระหว่างประเทศต้องมีการแลกเปลี่ยนข้อมูลระหว่างกันอยู่แล้ว หากฝ่ายผู้ประกอบการทางยุโรปเห็นว่าบริษัทคู่ค้าของไทยไม่สามารถปฎิบัติตาม GDPR บริษัท EU ก็จะไม่สามารถแลกเปลียนข้อมูลกับบริษัทในไทย ซึ่งก็จะส่งผลให้ไม่สามารถทำธุรกิจธุรกรรมกันได้ในที่สุด
นอกจากนี้ อียูอาจใช้มาตรการแทรกแซงทางการค้าอื่นๆ ในลักษณะเช่นเดียวกับการให้ “ใบเหลือง” ประเทศไทยจากกรณีปัญหา Illegal, Unreported and Unregulated Fishing(IUU)  เมื่อเดือนเมษายน 2558 โดยระบุว่าเป็นประเทศที่ไม่ให้ความร่วมมือในการต่อต้านการทำประมงที่ผิดกฎหมาย ซึ่งอียูได้ใช้มาตรการคว่ำบาตรการนำเข้าอาหารทะเลจากประเทศที่เพิกเฉยต่อการแก้ไขปัญหา
น่าเสียดายที่ GDPR มีผลบังคับใช้ในเดือนพฤษภาคมนี้แล้ว แต่ดูเหมือนจะยังไม่เป็นที่รู้จักหรือเข้าใจกันอย่างแพร่หลายในประเทศไทยเท่าไรนัก
มีคำถามมากมายที่ชวนสงสัยและกำลังรอคำตอบ จนถึงวันนี้ GDPR เป็นที่รับรู้ของผู้ประกอบการธุรกิจในประเทศไทยมากน้อยเพียงใด? GDPR จะมีผลกระทบต่อธุรกิจทั้งขนาดใหญ่และขนาดเล็กหรือเปล่า? หน่วยงานของรัฐหน่วยใดควรเป็นผู้เผยแพร่ความรู้ความเข้าใจและให้คำแนะนำเกี่ยวกับการปฏิบัติตามหลักเกณฑ์นี้ กระทรวงพาณิชย์ กระทรวงต่างประเทศ หรือกระทรวงดิจิทัล? พลเมืองไทยทั้งผู้ประกอบการหรือผู้บริโภคจะได้รับผลกระทบหรือไม่อย่างไรจากมาตรการนี้? หน่วยงานของรัฐที่เก็บและประมวลผลข้อมูลส่วนบุคคลไม่น้อยไปกว่าภาคเอกชนจะต้องปฏิบัติตาม GDPR หรือไม่? กฎหมายข้อมูลส่วนบุคคลจะเสร็จเมื่อไหร่ จะมีมาตรฐานเทียบเท่า GDPR หรือมาตรการสากลของนานาประเทศหรือไม่? และคำถามสุดท้าย…..คนไทยรู้จักและเข้าใจ GDPR กันหรือยัง?