ลงทะเบียน
ใกล้กัน ช่วยให้คุณแชร์เรื่องราวต่างๆ กับผู้คนมากมาย

General Data Protection Regulation (GDPR) ที่จะมีผลใช้บังคับในวันที่ 25 พฤษภาคม 2561 GDPR เป็นกฎระเบียบของ EU ที่ออกมาเพื่อป้องกันสิทธิส่วนบุคคลของประชาชนในกลุ่มประเ ทศ EU โดยระบุไว้ว่า หน่วยงานใดที่เก็บข้อมูลขอประชาชน EU ที่ไม่ปฎิบัติตามจะถูกปรับเป็นจำนวนเงินถึง 20 ล้านยูโร หรือ 2-4% ของรายได้ทั่วโลก ขึ้นอยู่กับว่าวงเงินใดมากกว่า กฎระเบียบมีผลใช้บังคับกับหน่วยงานที่อยู่ในสหภาพยุโรป (EU) และรวมไปถึงหน่วยงานนอก EU  (ซึ่งก็อาจรวมถึงบริษัทและหน่วยงานต่างๆในประเทศไทย) ที่เก็บข้อมูลประชาชน EU หรือนำข้อมูลจากหน่วยงานอื่นไปประมวลผล

ข้อมูลส่วนบุคคลในความหมายของ GDPR ได้ครอบคลุมข้อมูลต่างๆมากมายอาทิเช่น

  • ชื่อ, วันเดือนปีเกิด, สัญชาติ, ศาสนา, เชื้อชาติ, อีเมล
  • ข้อมูลออนไลน์อาทิเช่น cookies, IP address, ข้อมูลพิกัด GPS 
  • ข้อมูล Biometric เช่นรายนิ้วมือ, รูปถ่าย
  • ข้อมูลสุขภาพ, ข้อมูลด้านการเงิน

ซึ่งหน่วยงานที่เก็บข้อมูลประชาชน EU เหล่านี้ จะต้องมีระบบที่ทราบว่าได้เก็บข้อมูลอะไรไว้ เพราะอะไร เป็นเวลานานแค่ไหน ข้อมูลเหล่านี้ได้มาจากที่ใด และนำไปแชร์หรือให้ใครประมวลข้อมูล เมื่อไร ที่ไหน

 

โดย GDPR จะมีหลักสำคัญอยู่ 7 ประการคือ

  • Consent: การขอความยินยอมจากเจ้าของข้อมูลต้องเข้าใจง่าย และต้องระบุอย่างชัดเจนว่าจะนำข้อมูลไปใช้ทำอะไร เพื่อวัต ถุประสงค์ใด 
  • Breach notification:  หากพบว่าข้อมูลรั่วไหล จะต้องแจ้งให้ประชาชนและเจ้าของข้อมูลทราบภายใน 72 ชั่วโมงถึงผลกระทบที่อาจเกิดขึ้น
  • Right to access: เจ้าของข้อมูลมีสิทธิที่จะร้องขอเข้าถึงข้อมูล และหน่วยงานที่เก็บข้อมูลจะต้องส่งข้อมูลให้ในรูปแบบอิเล็ กทรอนิกส์ที่สามารถนำมาใช้ต่อได้
  • Right to be forgotten: เจ้าของข้อมูลสามารถขอให้หน่วยงานที่เก็บข้อมูลลบข้อมูลขอ งตัวเองออกได้
  • Data portability: เจ้าของข้อมูลสามารถขอให้หน่วยงานที่เก็บข้อมูลส่งข้อมูล ของตัวเองไปให้หน่วยงานอื่นๆได้ รวมทั้งธุรกิจคู่แข่งของหน่วยงานที่เก็บข้อมูล
  • Privacy by design: การออกแบบระบบจะต้องคำนึงถึงการป้องกันเรื่องข้อมูลส่วนบุ คคล
  • Data Protection Officers (DPO):ต้องมีเจ้าหน้าที่คุ้มครองข้อมูล ที่มีหน้าที่ติดตามกิจกรรมประมวลผลข้อมูลขนาดใหญ่ และข้อมูลที่สำคัญ

ทั้งนี้ GDPR ได้จัดกลุ่มของหน่วยงานที่เกี่ยวข้องกับข้อมูลเป็นสองกลุ่ มคือ

  • หน่วยงานควบคุมข้อมูล (data controller) ที่ได้รับความยินยอมจากเจ้าของข้อมูล (data subject) ในการจัดเก็บข้อมูล
  • หน่วยงานที่ประมวลผลข้อมูล (data processer) ที่แม้อยู่นอกประเทศสมาชิก EU ก็ต้องทำตามกฎ GDPR

Screenshot 2018-03-24 21.29.45

รูปที่ 1 Data protection model under GDPR (source: Preparing for EU GDPR, IT Governance Ltd)

บริษัทและหน่วยงานในประเทศเราน่าจะมีผลกระทบจากกฎระเบียบ GDPR ของ EU นี้จำนวนมาก คงไม่ใช่แค่สายการบินที่ให้บริการประชาชน EU แต่คงต้องรวมถึงทุกหน่วยงานที่จะทำหน้าที่ Data Controller ในการเก็บข้อมูล หรือเป็น Data Processor อาทิเช่น

  • โรงแรมที่จะเก็บข้อมูลนักท่องเที่ยวจากประเทศกลุ่ม EU
  • สถาบันการเงินที่อาจมีลูกค้า EU ในการฝากเงิน การทำธุรกรรมการเงินเช่นการแลกเปลี่ยนเงินตรา การใช้บัตรเครดิต หรือการใช้  Mobile Payment
  • บริษัทโทรคมนาคมที่นักท่องเที่ยวเข้ามาใช้งานในบ้านเราที่ จะมีข้อมูลการใช้งาน พิกัดของผู้ใช้งาน
  • E-commerce website จะเก็บข้อมูลของผู้เข้ามาใช้งาน หรือซื้อสินค้าต่างๆที่อาจมาจากกลุ่มประเทศ EU

การที่จะให้หน่วยงานสามารถตามกฎระเบียบ GDPR ไม่ใช่แค่การหาเครื่องมือใดเครื่องมือหนึ่งมาดูเรื่องความ ปลอดภัยของข้อมูล หรือการป้องกันข้อมูลรั่วไหล จริงๆแล้วมันอาจหมายถึงการปรับระเบียบการเก็บข้อมูลในองค์ กร การมีธรรมาภิบาลในการใช้ข้อมูล มีระบบความปลอดภัยที่ดี มีการขออนุญาตการใช้ข้อมูลอย่างถูกต้อง ทราบว่าข้อมูลต่างๆเก็บไว้ที่ใด รวมถึงการออกแบบระบบที่ต้องคำนึงถึงการป้องกันข้อมูลตั้งแ ต่แรก

 

คำถามง่ายๆบางครั้งหน่วยงานยังไม่ทราบเลยว่า ข้อมูลลูกค้าอยู่ที่ฐานข้อมูลใดบ้าง เก็บข้อมูลอะไรไว้บ้าง ใครเอาข้อมูลไปประมวลผลบ้าง ถูกใช้งานอย่างเหมาะสมหรือไม่ หรือส่งต่อไปให้ใคร ดังนั้นกรณีแบบนี้ก็จะปฎิบัติตาม GDPR ได้ยากกรณีลูกค้าร้องข้อมูล หรือสั่งให้ลบข้อมูลออก ที่หน่วยงานก็อาจจะไม่ทราบด้วยซ้ำไปว่าข้อมูลอยู่ที่ใด

บางครั้งเราอาจจะเคยได้ยินว่ากฎระเบียบ GDPR อาจไม่สามารถมาใช้บังคับกับหน่วยงานในบ้านเราได้ แต่ประเด็นที่น่าเป็นห่วงคือบริษัทและหน่วยงานต่างๆในประเ ทศไทยจำนวนมากจะต้องทำธุรกรรมกับบริษัทใน EU ที่เราอาจต้องนำข้อมูลมาประมวลผล เช่นการค้าขายที่อาจต้องใช้ข้อมูลจากประชาชนหรือบริษัทใน EU  ซึ่งแม้บริษัทในบ้านเราจะไม่ได้เป็น Data Controller แต่บริษัทใน EU ที่เป็น Data controller ส่งข้อมูลมาให้เราประมวลผลและเราก็กำลังเป็น Data processor  ซึ่งหากบริษัทของเราไม่สามารถปฎิบัติตาม GDPR บริษัท EU ที่เป็น Data controller นั้นก็อาจจะถูกปรับ และสุดท้ายก็จะไม่สามารถทำธุรกรรมกับบริษัทในบ้านเราได้

 

ที่มา:

https://th.wikipedia.org/wiki/รัฐสมาชิกสหภาพยุโรป
https://thanachart.org/2018/03/24/กฎระเบียบ-eu-เรื่อง-gdpr-general-data-protection-regulation-ก/

 

Captcha Challenge
ลองรูปภาพใหม่
Type in the verification code above