General Data Protection Regulation (GDPR)

1 15

General Data Protection Regulation (GDPR) เป็นกฏหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองที่อาศัยอยู่ในเขตสหภาพยุโรป เพื่อตอบรับกระแสของการใช้อินเทอร์เน็ต ซึ่งมีผลบังคับใช้อย่างสมบูรณ์ในเดือนพฤษภาคมปีพ. ศ. 2561 ที่ผ่านมา ข้อบังคับนี้จะช่วยเพิ่มสิทธิส่วนบุคคลข้อมูลของผู้บริโภค และข้อกำหนดต่าง ๆ ในการรักษาตัวตนของลูกค้า GDPR มีผลในการใช้บังคับกับ บริษัท หรือผู้ให้บริการข้อมูลต่าง ๆ ผ่านเครือข่ายอินเทอร์เน็ต ทั่วโลกที่ทำธุรกิจกับลูกค้าที่มีภูมิลำเนาอยู่ในกลุ่มประเทศ EU ซึ่งกฎหมายนี้ไม่ได้มีผลกับบริษัทไอทีเท่านั้น แต่ยังมีกับผลผู้ให้บริการด้านสุขภาพ, คนขายประกัน, ธนาคาร และอีกหลายบริษัทที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคลที่ความละเอียดอ่อนอย่างหลีกเลี่ยงไม่ได้

การรักษาข้อมูลส่วนบุคคล (Personal Data) มีระบุไว้ในกฎหมายของสหรัฐอเมริกา และชาติตะวันตกอื่น ๆ โดยมีการเรียชุดข้อมูลนี้ว่า “ข้อมูลที่สามารถระบุตัวตนได้” (PII : Personally Identifiable Information) ข้อมูลใด ๆ ที่เกี่ยวกับบุคคลธรรมดาที่ระบุตัวหรือระบุตัวได้ สามารถระบุได้ว่าคือบุคคลใดโดยตรงหรือโดยอ้อมโดยเฉพาะอย่างยิ่งโดยการอ้างอิงถึงหมายเลขบัตรประจำตัวหรือปัจจัยหนึ่งหรือหลายอย่างที่กล่าวถึงตัวตนทางกายภาพสรีรวิทยาจิตวิทยาเศรษฐกิจวัฒนธรรมและสังคม ข้อมูลเหล่านี้เช่น 

  • หมายเลขประจำตัวส่วนบุคคลเช่นหมายเลขใบอนุญาตขับขี่หมายเลขหนังสือเดินทางหมายเลขประจำตัวผู้ป่วยหมายเลขบัตรเครดิตหรือหมายเลขประกันสังคม
  • ชื่อรวมทั้งชื่อเต็มของแต่ละบุคคลนามสกุลเดิมหรือนามสกุลเดิมของมารดา
  • ข้อมูลเนื้อหาเช่นที่อยู่ MAC หรือ IP ตลอดจนตัวระบุแบบคงที่อื่น ๆ ที่สามารถเชื่อมโยงบุคคลใดบุคคลหนึ่งได้
  • ข้อมูลที่อยู่เช่นที่อยู่อีเมลหรือที่อยู่ถนนและหมายเลขโทรศัพท์สำหรับธุรกิจหรือวิธีการส่วนบุคคล
  • ลักษณะทางชีววิทยาหรือส่วนบุคคลเช่นภาพลักษณะเด่นลายนิ้วมือรังสีเอกซ์ลายเซ็นเสียงการสแกนม่านตาหรือรูปทรงเรขาคณิตของใบหน้า
  • ข้อมูลเกี่ยวกับบุคคลที่เชื่อมโยงกับสถานที่เกิดวันเกิดศาสนากิจกรรมตัวชี้วัดทางภูมิศาสตร์ข้อมูลทางการศึกษาการเงินหรือทางการแพทย์

กฎหมาย General Data Protection Regulation หรือ GDPR เป็นการปรับปรุงกฎหมายฉบับเดิมที่เกี่ยวข้องกับการคุ้มครองข้อมูลใน EU โดยเพิ่มสิทธิ์ให้พลเมืองใน EU สามารถควบคุมข้อมูลส่วนตัวได้มากขึ้น ผู้ให้บริการผ่านออนไลน์ ต้องชี้แจงหลักเกณฑ์และความรับผิดชอบต่อข้อมูลให้ชาวยุโรปทราบด้วย ข้อมูลส่วนบุคคล ของGDPR หมายถึงข้อมูลส่วนบุคคลเป็นข้อมูลเกี่ยวกับบุคคลที่ระบุหรือระบุตัวได้โดยตรงหรือโดยอ้อม ซึ่งน่าจะเรียกได้ว่าเป็นขั้นกว่าของ PII เพราะเป็นการมุ่งเน้นที่จะรักษาสิทธิความเป็นส่วนตัว ปกป้องข้อมูล ด้วยกระบวนการทางเทคนิค และวิธีการดำเนินงาน (Process)เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลที่ได้รับมา ถูกเก็บรวบรวมและเก็บรักษาทั้งของพนักงานลูกค้าลูกค้าและผู้ใช้ ได้รับการคุ้มครองอย่างเหมาะสม

GDPR Process

Consent
การเก็บหรือประมวลผลข้อมูลส่วนบุคคลต้องได้รับการยินยอมจากจากผู้ใช้ก่อนเสมอ โดยผู้ใช้สามารถเห็นคำร้องขอได้ชัดเจน ไม่ได้มัดรวมๆ ซ่อนไว้กับข้อตกลงการใช้งานอื่นๆ หรือไม่มีการติ๊กกล่องยินยอมไว้เป็นค่าเริ่มต้น, โดยยังต้องอธิบายการเอาข้อมูลไปใช้ให้เข้าใจง่ายชัดเจน, และผู้ใช้สามารถถอดถอนสิทธิการใช้ข้อมูลได้เสมอ

Data breaches
เมื่อมีการรั่วไหลของข้อมูล ผู้ที่รับผิดชอบจะต้องรายงานต่อเจ้าหน้าที่ที่เกี่ยวข้องภายใน 24 ชม. หรืออย่างช้า 72 ชม.หลังจากที่ทราบว่ามีการรั่วไหล และผู้ใช้จะต้องได้รับการแจ้งให้ทราบถึงการรั่วไหล และความเสียหายที่เกิดขึ้น

Right of access
ผู้ใช้มีสิทธิทราบวิธีที่ข้อมูลส่วนบุคคลถูกรวบรวม, การนำข้อมูลไปใช้, วิธีประมวลผลข้อมูล นอกจากนี้ยังสามารถเข้ามาตรวจสอบข้อมูลที่ถูกจัดเก็บไว้ได้โดยตรง

Right to be forgotten
ผู้ใช้สามารถขอให้ลบข้อมูลส่วนบุคคลได้ เมื่อไม่ต้องการใช้งานแล้ว

Data Portability
ผู้ใช้สามารถร้องขอให้โอนข้อมูลส่วนบุคคลจากผู้ให้บริการหนึ่งไปอีกผู้ให้บริการหนึ่งได้

Record of processing activities
ผู้ให้บริการต้องเก็บบันทึกประวัติการประมวลผลข้อมูล รวมถึงวัตถุประสงค์ของการประมวลผล ซึ่งเจ้าหน้าที่ที่รับผิดชอบต้องสามารถขอตรวจสอบได้

Data Protection Officer (DPO)
ธุรกิจที่เกี่ยวข้องกับารประมวลผลหรือติดตามข้อมูลส่วนบุคคลของผู้ใช้จำนวนมาก หรือประมวลผลข้อมูลส่วนบุคคลในหมวดพิเศษจะต้องมีพนักงานตำแหน่ง Data Protection Officer เพื่อคอยกำกับให้การปฎิบัติงานในบริษัทสอดคล้องกับข้อกำหนดของ GDPR และเป็นตัวแทนสำหรับการติดต่อสอบถามเกี่ยวกับการปกป้องข้อมูล 

 “GDPR” มีผลบังคับใช้มาตั้งแต่วันศุกร์ที่ 25 พฤษภาคม 2018 กับ 

28 ประเทศ ซึ่งทั้งหมดเป็นสมาชิกของ EU
กรีซ, โครเอเชีย, เช็กเกีย, ไซปรัส, เดนมาร์ก, เนเธอร์แลนด์, บัลแกเรีย, เบลเยียม, โปรตุเกส, โปแลนด์, ฝรั่งเศส, ฟินแลนด์, มอลตา, เยอรมนี, โรมาเนีย, ลักเซมเบิร์ก, ลัตเวีย, ลิทัวเนีย, สเปน, สโลวาเกีย, สโลวีเนีย, สวีเดน, สหราชอาณาจักร (หรือที่คนนิยมเรียกว่า อังกฤษ), ออสเตรีย, อิตาลี, เอสโตเนีย, ไอร์แลนด์ และฮังการี
ซึ่งกฎหมาย GDPR ถือเป็นสิ่งที่สร้างผลกระทบครั้งใหญ่ต่อการเก็บข้อมูลที่จะกลายเป็นหลักฐานบนโลกออนไลน์ หรือ Digital Footprint และยังสร้างผลกระทบต่อวิธีการปกป้องข้อมูลของเราจากผู้ให้บริการ Application และเครื่องมือต่าง ๆ ที่จะมีขึ้นในอนาคต 

ตอนต่อไปผมจะมาเล่าถึงกฏหมาย GDPR แบบไทย ๆ ที่กำลังจ่อ ๆ ว่าจะคลอดเร็ว ๆ นี้ครับ

1 15

Sam Koolvisutjit

10 years+ experience in Cloud, Mobility, IT Management, IT Operation, ITIL, Project management especially on Datacenter, Network, Telecommunication and Call center in Banking, Airline, Automotive, etc.

Comments

  1. ReplyPat
    Brilliant ka

This site uses Akismet to reduce spam. Learn how your comment data is processed.