เชื่อว่าทุกคนเคยได้ยินกฎหมายรักษาความปลอดภัยข้อมูลส่วนตัวหรือ GDPR ของสหภาพยุโรป ที่สั่นสะเทือนไปทั่วโลกกันแล้ว และกฎนี้ปรับขั้นต่ำหลายล้านเหรียญแบบกะให้ล่มจมกันทีเดียว แล้วคุณมั่นใจหรือยังว่าบริษัทของคุณจะไม่เสี่ยงโดนร่างแหหลังจากกฎหมายนี้มีผลบังคับใช้ในวันที่ 25 พฤษภาคมที่จะถึง?
• GDPR คืออะไร?
General Data Protection Regulation เป็นกฎควบคุมข้อมูลใหม่ของอียูที่ออกมาล้างกฎหมายคุ้มครองข้อมูลเดิมของแต่ละประเทศในสมาชิก
• เขาคิดอย่างไรถึงร่างกฎหมายนี้ขึ้นมา?
เพราะอียูเห็นว่าบริษัทอย่างเฟซบุ๊กและกูเกิ้ลต่างดึงข้อมูลชาวบ้านชาวช่องไปใช้ประโยชน์มั่วกันไปหมด ดังนั้น GDPR จึงออกมาเพื่อรักษาความเชื่อมั่นทางธุรกิจที่อยู่บนโลกดิจิตอล และเพื่อเป็นมาตรฐานกลางของทุกบริษัทให้ปฏิบัติตามเหมือนกันได้ง่ายๆ
• เมื่อไรที่ GDPR มีผลกับเราจริงๆ?
จะมีผลคุ้มครองข้อมูลส่วนตัวของทุกคนที่สังกัดอียูตั้งแต่ 25 พฤษภาคมนี้เป็นต้นไป
• ใครบ้างที่อยู่ภายใต้การควบคุม?
ได้แก่ “ผู้ควบคุม” และ “ผู้จัดการ” ข้อมูล เช่นบริษัทใหญ่กับบริษัทไอทีที่โดนจ้างเอาต์ซอร์สให้ประมวลผลข้อมูล และมีผลต่อองค์กรนอกอียูเมื่อองค์กรดังกล่าวถือครองข้อมูลของคนในอียู
• หลังมีผลแล้ว เรามีหน้าที่อะไรบ้าง?
คุณผู้ถือครองข้อมูลคนอื่น ต้องจัดการข้อมูล “ตามกฎหมาย” อย่างโปร่งใส แยกตามวัตถุประสงค์การใช้งาน และต้อง “ลบทิ้ง” เมื่อไม่จำเป็นต้องใช้
• “ทำตามกฎ” คือทำอย่างไร?
ความหมายกว้างมาก เป็นได้ตั้งแต่แค่ได้รับอนุญาตจากเจ้าของ ไปจนถึงการทำสัญญาตามกฎหมายให้อนุญาต รวมไปถึงการทำทุกอย่างเพื่อปกป้องข้อมูลเช่น การป้องกันการนำข้อมูลไปใช้ประโยชน์หรือหลอกลวง เป็นต้น
• “ความเห็นชอบ” ของเจ้าของข้อมูลตาม GDPR คือ?
ไม่ใช่แค่ทำข้อตกลงยาวๆ แล้วให้ติ๊กว่ายอมรับได้ตามปกติ องค์กรจำเป็นต้องได้รับการยินยอมจากเจ้าของตลอด ตามรายการประเภทของแต่ละข้อมูล และเปิดช่องให้เจ้าของข้อมูลถอนการอนุญาตได้อย่างสะดวกตลอดเวลา
• อะไรบ้างที่ถือเป็น “ข้อมูลส่วนตัว”
มีเยอะมากที่คุณนึกไม่ถึงว่า GDPR ถือเป็นข้อมูลส่วนตัวด้วย เช่น ที่อยู่ไอพี, สถานะทางเศรษฐกิจ, วัฒนธรรม, ข้อมูลเกี่ยวสภาพจิตใจ ฯลฯ แนะนำให้ศึกษาจากกฎหมายอย่างละเอียด
• เราต้องเปิดให้เจ้าของข้อมูลทราบหรือเข้าถึงข้อมูลตัวเองอย่างไรบ้าง?
เจ้าของสามารถร้องขอการเข้าถึงข้อมูลได้ตามช่วงเวลาที่เหมาะสม ที่องค์กรจำเป็นต้องตอบภายในหนึ่งเดือน โดยองค์กรที่เกี่ยวข้องต้องสามารถแสดงถึงความโปรงใสทั้งการจัดเก็บ และประมวลผลข้อมูล
• สิทธิ์ในการสั่งให้ “ลืมมันไปซะ” คืออะไร?
สิทธิ์ของเจ้าของที่จะสั่งลบข้อมูลเมื่อเห็นว่าไม่มีความจำเป็นที่องค์กรต้องเก็บไว้ต่อไป องค์กรที่ถือข้อมูลยังต้องแจ้งองค์กรอื่นที่คัดลอกหรือได้รับการแบ่งปันข้อมูลไปให้ลบให้เกลี้ยงด้วย เช่น กูเกิ้ล
• จะย้ายข้อมูลคนอื่นตามที่ถูกร้องขอได้อย่างไร?
ทำให้อยู่ในรูปที่ใช้นิยมใช้กันโดยทั่วไป เช่นไฟล์ CSV ซึ่งต้องสามารถย้ายข้อมูลไปให้องค์กรอื่นได้เมื่อได้รับการร้องขอจากเจ้าของข้อมูล แบบไม่มีค่าใช้จ่ายภายในหนึ่งเดือน
• ถ้าโดนเล่นงานจนข้อมูลรั่วไหลแล้ว ต้องทำอย่างไร?
คุณมีหน้าที่ต้องแจ้งหน่วยงานภาครัฐที่เกี่ยวข้องภายใน 72 ชั่วโมงถ้ามีความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลอื่น อย่างของอังกฤษก็เป็นคณะกรรมการข้อมูลข่าวสารหรือ Information Commissioner อันได้แก่ประเภทข้อมูล, จำนวนคนที่ได้รับผลกระทบ, ผลกระทบที่น่าจะเกิดตามมา, และการจัดการเบื้องต้นที่คุณทำไปแล้วหรือวางแผนที่จะทำ นอกจากนี้คุณต้องแจ้งแก่เจ้าของข้อมูลที่ได้รับผลกระทบด้วย ไม่งั้นก็จะโดนปรับขั้นต่ำ 10 ล้านยูโร หรือ 2% ของรายได้ทั่วโลกแล้วแต่ว่าอันไหนมากกว่าทันที
• การออกจากอียูของอังกฤษ มีผลกับเราอย่างไร?
ระวังว่าอังกฤษวางแผนจะ Brexit อย่างเร็วสุดปลายเดือนมีนาปีหน้า นั่นคือ GDPR จะยังมีผลอีกเกือบปี และสภาอังกฤษได้ออกกฎหมายควบคุมความปลอดภัยข้อมูลใหม่ด้วยเจตนาเพื่อเอามาใช้แทน GDPR ด้วย แม้รายละเอียดบางอย่างอาจไม่ตรงกันเสียทีเดียว
• แล้วกฎหมายของอังกฤษจะแก้ให้ตรงกับกฎ GDRP หลังออกจากอียูไหม?
น่าจะ เนื่องจากมีความเห็นของทางกระทรวงดิจิตอลว่า อังกฤษจะไม่ทำตัวเป็นอิสระต่อการประสานด้านการควบคุมความปลอดภัยของข้อมูลกับทางสหภาพอียู
• เราต้องจ้างเจ้าหน้าที่ควบคุมความปลอดภัยข้อมูลไหม?
องค์กรที่ให้บริการต่อสาธารณะจำเป็นต้องจ้างทั้งสิ้น โดยเฉพาะบริษัทที่เกี่ยวกับการประมวลผลข้อมูลส่วนตัวผู้อื่น “จำนวนมาก” แต่ก็เปิดให้หลายบริษัทใช้เจ้าหน้าที่ร่วมกันได้ เพียงต้องแจ้งข้อมูลติดต่อเจ้าหน้าที่ให้แก่หน่วยงานรัฐที่ควบคุม โดยเจ้าหน้าที่นี้มีหน้าที่แจ้งและแนะนำองค์กรให้ทำตามกฎ GDPR และคอยตรวจสอบการทำตามกฎระเบียบ และเป็นหน้าด่านติดต่อประสานกับหน่วยงานภาครัฐ
• แล้วเราต้องรีบทำอย่างไรเพื่อเตรียมรับกฎ GDPR?
ก่อนอื่นรีบรับสมัครพนักงานตำแหน่ง Data Protection Officer ก่อนเลยถ้าเราเข้าข่าย พร้อมเช็คกฎและนโยบายเกี่ยวกับการปกป้องข้อมูล โดยเฉพาะที่เกี่ยวกับ “การรับรู้/การอนุญาต” ของเจ้าของข้อมูล ซึ่งควรปรึกษาหน่วยงานรัฐที่ควบคุมในท้องถิ่ง หรือที่ปรึกษาที่เชี่ยวชาญเฉพาะด้าน ทั้งนี้พึงระลึกว่า ควรปกป้องข้อมูลแบบเชิงรุก เข้ารหัสตลอดเท่าที่ทำได้ และอัพเดตโซลูชั่นความปลอดภัยให้ทันสมัยอยู่เสมอ
ที่มา : ITPro