รู้หรือไม่ เรามีระบบปกป้องข้อมูลส่วนบุคคล เมื่อเดินทางข้ามประเทศ
การปกป้องข้อมูลส่วนบุคคล ต้องไม่ปกป้องแค่ข้อมูลภายในประเทศ หรือข้อมูลของพลเมืองประเทศนั้นๆ แต่จะต้องครอบคลุมไปยังประเทศอื่นๆทั่วโลก โดยเฉพาะอย่างยิ่งบริษัทหรือองค์กรที่ต้องดูแลข้อมูลส่วนบุคคล ซึ่งจำเป็นต้องมีกฎหมายที่ครอบคลุมตามแต่ละภาคธุรกิจ
CBPR คืออะไร
Cross-Border Privacy Rules (CBPR) เป็นระบบ หรือ มาตรการที่ APEC นำมาใช้อำนวยความสะดวกให้กับนักธุรกิจและผู้ประกอบการ ระหว่างเดินทางไปยังประเทศต่าง ๆ เพื่อดำเนินธุรกิจ ซึ่งชาติสมาชิก APEC ได้ให้การรับรองเพื่อปกป้องข้อมูลส่วนตัวของผู้เดินทาง โดยมาตรการคุ้มครองความเป็นส่วนตัวนี้มีการรับรองในที่ประชุมผู้นำ APEC ตั้งแต่ปี 2548 และมีการปรับปรุงระเบียบล่าสุดเมื่อปี 2558
CBPR คือ ระบบสำหรับการคุ้มครองข้อมูลส่วนบุคคลระหว่างการข้ามแดนไปยังประเทศต่าง ๆ ที่รัฐบาลในแต่ละประเทศให้การรับรอง ซึ่งแม้ประเทศที่มีกฎหมายต่างกัน แต่ระบบ CBPR ก็ยังมีผลคุ้มครองเพื่อปกป้องข้อมูลส่วนบุคคลและข้อมูลทางการค้า ให้เป็นความลับทางธุรกิจ
หลายประเทศทั่วโลกมีการใช้ระบบ CBPR อย่างกว้างขวาง ไม่จำกัดเฉพาะในกลุ่มชาติ APEC แต่ยังมีการใช้งานระบบนี้ในประเทศอื่นๆ เช่น ประเทศที่มีการตกลงทางการค้าระหว่าง สหรัฐอเมริกา เม็กซิโก ญี่ปุ่น แคนาดา เกาหลีใต้ ออสเตรเลีย และไต้หวัน ที่มีการใช้ระบบ CBPR เพื่อปกป้องการส่งข้อมูลข้ามแดน
หลักการให้การคุ้มครองของ CBPR
หลักการคุ้มครองตามระบบ CBPR มี 6 ข้อ ประกอบด้วย
- มาตรฐาน CBPR ประเทศสมาชิกต้องให้การยอมรับข้อกำหนดของ CBPR สากล ว่าด้วยเรื่องกฎหมายและการบังคับใช้เมื่อนักธุรกิจหรือผู้ประกอบเดินทางข้ามแดนไปยังประเทศที่มีการรับรอง CBPR ผู้เดินทางจะได้รับการคุ้มครองและปกป้องข้อมูลตามมาตรฐาน CBPR
- ความรับผิดชอบ ประเทศปลายทางจะมีการระบุหน่วยงานที่รับผิดชอบ ซึ่งอาจเป็นหน่วยงานรัฐหรือเอกชน แล้วแต่กรณี
- การป้องกันตามระดับความเสี่ยง หน่วยงานรัฐหรือเอกชนที่ทำหน้าที่คุ้มครองผู้เดินทางจะต้องดำเนินการป้องกันความปลอดภัยสำหรับข้อมูลส่วนบุคคลตามระดับความรุนแรงของการถูกคุกคามหรือลักษณะที่เป็นความลับ หรือ ความอ่อนไหวของข้อมูล เช่น ข้อมูลส่วนตัว ครอบครัว รายได้ และความลับทางธุรกิจ เป็นต้น
- การจัดการปัญหาข้อร้องเรียน หน่วยงานรัฐหรือเอกชนที่ถูกกำหนดให้ทำหน้าที่คุ้มครองผู้เดินทาง จะต้องดำเนินการตรวจสอบข้อร้องเรียนและไกล่เกลี่ยข้อพิพาทระหว่างผู้เดินทางกับคู่กรณีและเร่งแก้ไขปัญหา
- สิทธิผู้บริโภค นักธุรกิจหรือผู้ประกอบการที่เดินทางข้ามแดน ได้รับสิทธิให้แก้ไขข้อมูลส่วนบุคคลได้ ตามระเบียบที่ CBPR กำหนด
- การปฏิบัติของรัฐ ประเทศสมาชิกจะต้องปฏิบัติตามข้อบังคับว่าด้วยการคุ้มครองและปกป้องข้อมูล ซึ่งมีอย่างน้อย 50 ข้อ เพื่ออำนวยความสะดวกแก่ผู้เดินทางข้ามแดน
ความแตกต่างระหว่าง PDPA กับ CBPR
ทั้งนี้ PDPA กับ CBPR มีความแตกต่างกันตรงที่ PDPA คือกฎหมายที่เน้นการคุ้มครองข้อมูลส่วนบุคคลภายในประเทศไทย โดยองค์กรที่จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคลต้องปฏิบัติตาม
ขณะที่ CBPR คือ ระบบหรือมาตรการที่เน้นการคุ้มครองแก่ประเทศที่เข้าเป็น สมาชิกและใช้งานระบบ CBPR ซึ่งรับรองมาตรฐานให้กับองค์กรที่ผ่านการรับรอง ทำให้โอนข้อมูลส่วนบุคคลระหว่างกันได้ ประเทศที่ใช้ข้อกำหนดนี้ อาทิ ประเทศในกลุ่ม APEC ทั้งหมด สหรัฐอเมริกา เม็กซิโก ญี่ปุ่น แคนาดา สิงคโปร์ เกาหลีใต้ ออสเตรเลีย และไต้หวัน
ที่มา : Law for ASEAN, CBPR
สอบถามข้อมูลผลิตภัณฑ์ “OneFence”
Tel. : 061-462-6414, 02-103-6462
Line : @securitypitch
Email : [email protected]
บทความที่น่าสนใจ