GDPR คืออะไร คือ กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป เริ่มบังคับใช้แล้วเมื่อ 25 พฤษภาคม 2018 ที่ผ่านมา ซึ่งกฎหมายนี้กระทบกับผู้ใช้งานออนไลน์ และผู้ประกอบการออนไลน์ทั่วโลก แต่ผู้ประกอบการธุรกิจ และผู้ใช้อินเทอร์เน็ตในไทยอาจยังไม่ทราบว่าจะกระทบอย่างไรในเมื่อ GDPR บังคับใช้แล้ว ทาง DEPA ร่วมกับ มหาวิทยาลัยธรรมศาสตร์ จัดงานสัมมนา DIGITAL THAILAND FORUM ครั้งที่ 1 ในหัวข้อ GDPR เพื่อให้ความรู้ เกี่ยวกับหลักคุ้มครองข้อมูลส่วนบุคคล GDPR และผลกระทบต่อธุรกิจไทย เมื่อวันอังคารที่ 19 มิถุนายน 2018 ที่ผ่านมา
ดร.รัฐศาสตร์ กรสูต รองผู้อำนวยการสำนักงานส่งเสริมเศรษฐกิจดิจิทัล หรือ DEPA กล่าวว่า “เรื่องข้อมูลอิเล็กทรอนิกส์ หรือ Database นี่มีมานานแล้วตั้งแต่ปี 1974 หรือประมาณ 44 ปีแล้ว แรกๆ database ออกแบบไว้สำหรับเป็นเครื่องช่วยจำและเป็นหลักฐานที่อ้างอิงได้ว่าจำว่าเกิดอะไรขึ้น มีการเปลี่ยนแปลงอะไรบ้าง ผ่านมา 40 กว่าปี ข้อมูลมีความสำคัญมากขึ้นเรื่อยๆเปรียบเทียบเปรียบเสมือนก๊าซ ถ่านหิน น้ำมัน เพราะคนที่เก็บข้อมูล จะพบสัจธรรมที่ว่า คนที่มีความรู้คือคนที่มีอำนาจ คนที่เก็บและคงถือข้อมูลไว้ นั่นแหละในมือเค้าถือความรู้และอำนาจอยู่
ประเทศที่มีความตื่นตัวเร็วอย่างจีน เค้าออกกฎหมายสักพักใหญ่ ถ้าใครทำธุรกิจกับจีนคงทราบดีว่า ที่ว่าท่านต้องเก็บข้อมูลประชากรจีน ไว้กับ SERVER ที่จีนเท่านั้น ห้ามเอาออกนอกประเทศจีน ถ้าเอาข้อมูลออกมาจะผิดกฎหมายทันที
ในไทยก็มีตื่นตัวกันสักพัก ทั้ง IBM และ MICROSOFT เปิดสำนักงานในไทยนาน 60 ปีแล้ว ไทยเริ่มตื่นตัวมากๆในช่วงปี 1996 ซึ่งเป็นช่วงที่มีอินเทอร์เน็ตเข้ามาไทยใหม่ๆ เริ่มมี พรบ.เกี่ยวกับคอม ครั้งแรกเมื่อปี 2001 ครั้งแรกที่กระทรวงไอซีทีเดิม คือ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์ , จากนั้นก็มี พรบ.คอม ออกมา แล้วออกมากขึ้นเรื่อยๆ ล่าสุด 22 พค. 2018 ครม. เห็นชอบ เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งเร็วๆนี้จะออกมาในรูปแบบ พรบ.จริงๆ ซึ่งมีการแชร์กับกฎหมายอื่นๆทั่วโลกด้วย ดังนั้นกิจกรรมเสวนาครั้งนี้ จะพบความเหมือนและการปรับตัวเข้ากับกฎหมายใหม่ที่กำลังจะเกิดขึ้น”
ดร.สุวรรณ จันทิวาสารกิจ ผู้อำนวยการหลักสูตรนโยบายและการบริหารดิจิทัล วิทยาลัยนวัตกรรม มหาวิทยาลัยธรรมศาสตร์ กล่าวว่า “เรื่อง Privacy หรือความเป็นส่วนตัวของเรา รู้หรือไม่ว่าหากคุณกำลังซื้อของกับ Amazon ซึ่งเราจะติดต่อกับ Amazon เท่านั้น ในการซื้อของ แต่กลับพบว่ามีการแลกเปลี่ยนกับเว็บอื่นๆซึ่งเป็นอะไรไม่รู้ขณะที่เรากำลังซื้อของด้วย ยังดีที่แบบตามดูน้อย เพราะ Amazon ขึ้นชื่อเรื่องความปลอดภัยในการซื้อของอยู่แล้ว หากคุณใช้บริการกับเว็บอื่นๆเช่นดูหนังออนไลน์ฟรี ก็อาจพบเว็บอื่นๆคอยแลกเปลี่ยนข้อมูลกว่า 50 เว็บเลยทีเดียว และจากเคสล่าสุดเรื่อง facebook ที่ขายข้อมูลให้กับ cambridge analytica แล้วมาท้ายสุดข้อมูลเหล่านั้นอยู่บน Trump Campaign ทำให้คนอื่นเริ่มไม่พอใจ facebook เรื่องข้อมูลส่วนตัวรั่วไหล และผู้ใช้เริ่มตื่นตัวเรื่องความเป็นส่วนตัวมากขึ้น ดังนั้น GDPR ซึ่งเป็นกฎหมายใหม่จะช่วยแก้ปัญหาตรงนี้”
GDPR คืออะไร เป็นกฎหมายของยุโรปแต่ทำไมส่งผลกระทบผู้ใช้และผู้ให้บริการบนโลกอินเทอร์เน็ตทั่วโลก
อ.ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ กล่าวว่า ” เพราะโลกขับเคลื่อนด้วยข้อมูล เชื่อมต่อกันด้วยอินเทอร์เน็ต และหลายๆอย่างที่ไม่ใช่แค่โลกกายภาพอีกต่อไปแล้ว สิ่งที่เชื่อมต่อกันกลายเป็นข้อมูลที่เราใช้แทบทุกๆวัน และลูกค้าก็ไม่ใช่แค่ลูกค้าในประเทศเท่านั้น แต่เป็นลูกค้าทั่วโลก ปัญหาคือ เวลาคิดถึงกฎหมาย กฎหมายคือเป็นสิ่งที่รัฐใช้อำนาจ ต้องมีฐานมาจากดินแดน จากขอบเขตของประเทศใดประเทศหนึ่ง เมื่อก่อนกฎหมายจะดูแลพฤติกรรมของคนภายในดินแดนของรัฐนั้นๆ สังคมต่างกันก็มีกฎเกณฑ์ที่ต่างกันได้ แต่ปัญหามีอยู่ว่าสังคมออนไลน์ สังคมอินเทอร์เน็ต กลายเป็นสังคมเดียวกันไปแล้ว เกือบทุกคนเป็นประชากร Facebook เริ่มมีมาตรฐานเชิงคุณธรรมศีลธรรม ว่ากฎเกณฑ์การใช้ชีวิตร่วมกันบนโลกออนไลน์มันเป็นอย่างไร เมื่อข้อมูลไหลเวียนได้ทั่วโลก ก็อาจให้เกิดอันตรายถึงเรียกค่าไถ่ได้ หากเกิดจุดใดจุดหนึ่งของโลก ก็ลามได้ทั่วโลก ทำให้ขอบเขตของกฎหมายที่จัดการได้ทางกายภาพ มันจัดการไม่ได้อีกต่อไป นั่นคือเหตุผลว่าทำไม EU ถึงพยายามเอื้อมมือเข้ามาจัดการการดูแลข้อมูลที่อยู่นอกดินแดนของเค้า
ข้อมูลสำคัญกับเรามานานแล้ว แต่กฎหมายแต่ละประเทศมันแตกต่างกัน ดังนั้นทางฝั่งยุโรปจะเริ่มออกแบบกฎหมายกลาง ให้เริ่มเป็นมาตรฐานเดียวกัน data คือสิ่งที่ขับเคลื่อน
ทุกวันนี้ข้อมูลผู้ใช้ของเราบนโลกออนไลน์ ไม่ใช่แค่อยู่ในบ้านเท่านั้น ยังมีอยู่บน Cloud หรือ Server ประเทศอื่นด้วย คุณแน่ใจได้อย่างไรว่าข้อมูลส่วนตัวของเราจะได้รับการคุ้มครอง GDPR นี้จะช่วยให้ ความเชื่อใจ ความเป็นส่วนตัว และความปลอดภัยของข้อมูลทำให้เกิดขึ้นได้ ”
ซึ่งจากการรับฟังเนื้อหาในการสัมนา ร่วมกับข้อมูลในเอกสารประกอบการบรรยายของ อ.ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ สามารถสรุปพอสังเขปได้ดังนี้
ความเปลี่ยนแปลงจาก GDPR โดยสรุป
- หากพบว่าผิดกฎ องค์กรต้องจ่ายค่าปรับ 4% ของผลประกอบการรายได้ทั่วโลกทั้งหมด หรือกว่า 20 ล้านยูโร ตัวอย่างความผิดเช่น การได้ข้อมูลมาโดยเจ้าของข้อมูลไม่ได้ให้การยินยอม
- การขอความยินยอมจากเจ้าของข้อมูลต้องใช้ภาษาเข้าใจง่าย ใช้ภาษาที่รวบรัดชัดเจน เช่นเดียวกันกับการถอนความยินยอม ก็ต้องทำได้ง่าย
- ต้องมีการแจ้งเตือนเมื่อเกิดเหตุข้อมูลรั่ว หากพบข้อมูลรั่วไหล หน่วยงานควบคุมข้อมูลและผู้ประมวลผลข้อมูลต้องแจ้งให้หน่วยงานกำกับดูแล และประชาชนทราบภายใน 72 ชั่วโมง
- GDPR ให้ความสำคัญกับความเป็นส่วนตัวตั้งแต่การออกแบบ (Privacy by Design) คือการให้หน่วยงานควบคุมข้อมูลตระหนักความสำคัญของข้อมูล โดยเริ่มจากการออกแบบบริการที่คิดถึงการป้องกันข้อมูลตั้งแต่แรกเลย ไม่ใช่ออกแบบแล้ว ค่อยมาเพิ่มเรื่องการป้องกันข้อมูล และใช้มาตรการทางเทคนิคที่เหมาะสมและมีประสิทธิภาพในการป้องกันข้อมูล
- ต้องมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ Data Protection Officers (DPO) ต้องจ้างเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO เข้ามาในบริษัทเลย โดย เจ้าหน้าที่่คุ้มครองข้อมูล มีหน้าที่ติดตามกิจกรรมประมวลผลข้อมูลขนาดใหญ่ และข้อมูลอ่อนไหว คุณสมบัติของ DPO คือ มีความรู้ความเชี่ยวชาญการจัดเก็บข้อมูล, รายงานการทำงานตรงต่อผู้บริหาร, ต้องไม่ทำงานอื่นที่อาจสร้างความขัดแย้งเรื่องผลประโยชน์
อ.ฐิติรัตน์ ยังกล่าวเสริมว่า “แนวคิดของ GDPR ไม่ใช่เรื่องความคุ้มครองความเป็นส่วนตัวอย่างเดียว แต่เป็นเรื่องความคุ้มครองความเป็นส่วนตัวและสร้างสมดุลกับสิทธิอื่นๆด้วยเพื่อทำให้นวัตกรรมเกิดขึ้น และธุรกิจมันทำงานได้ ”
วิธีสร้างความเชื่อใจตามที่ GDPR ต้องการให้เราทำ
อ.ฐิติรัตน์ให้คำแนะนำในเรื่องนี้ว่า
- ถ้าสามารถขอความยินยอมจากผู้ใช้ได้ ก็ขอ เป็นคำยินยอมที่ถูกต้องอย่างที่เค้าต้องการ แต่ถ้าความยินยอมไม่ใช่ฐานที่จะช่วยประมวลผลได้ ต้องเช็คให้ดีว่าฐานอื่นๆว่ามีอะไรที่เป็นไปได้บ้าง และขอเฉพาะที่จำเป็นจริงๆเท่านั้น
- การแชร์บุคคลที่ 3 นั้นต้องส่งข้อมูลมันอัปเดต
- ต้องทำให้ระบบมันปลอดภัยในการปกป้องข้อมูลด้วย
อ.ฐิติรัตน์ได้อธิบายถึงการคิดเรื่อง Privacy by Design ธุรกิจควรถามตัวเองว่า
- เรามี Data ทำอะไรบ้าง ในมือที่เราจะต้องใช้ ในการทำธุรกิจของเรา และเราจำเป็นต้องใช้มันจริงๆหรือไม่
- การเก็บข้อมูลนี่เก็บจากข้อมูลโดยตรงจากเจ้าของข้อมูล หรือจากบุคคลที่ 3 เพราะการเก็บจากบุคคลที่ 3 จะมีโอกาสผิดพลาด ไม่สมบูรณ์
- มีเครื่องมืออะไรบ้างที่ทำให้ข้อมูลเหล่านั้นปลอดภัย
อ.ฐิติรัตน์ได้แนะนำว่าโดยสรุปรวมแล้ว การที่เราจะรับมือกับกฎหมายใหม่ๆอย่าง GDPR ต้องรู้จักข้อมูลและจัดระบบข้อมูลของเราให้ดี
- มีข้อมูลมาก มีอำนาจมาก มีความเสี่ยงมาก GDPR บางท่านคิดว่าท่านไม่เสี่ยง ท่านไม่ต้องแคร์ก็ได้ เพียงแต่อย่าลืมความเสี่ยงนั้นไม่ใช่แค่ความเสี่ยงเรื่องกฎหมายเท่านั้น ยังมีความเสี่ยงเรื่องชื่อเสียง ความเชื่อใจของคน ซึ่งสำคัญกว่ากฎหมายอีก
- Data Protection เป็นเรื่องของทุกคน เพราะถ้าพลาดจุดนึงมันรั่วไปได้หมด และกระทบทุกคน
- อย่ามองว่า ความเป็นส่วนตัว และความโปร่งใส มันเป็นภาระที่ยุ่งยาก เพราะสามารถเปลี่ยนเป็นข้อได้เปรียบของธุรกิจเราได้ ถ้าสามารถสร้างความเชื่อใจ
- รู้ไว้ว่าคนมีทางเลือกที่ไม่เหมือนกันเกี่ยวกับ Privacy ในแต่ละคน
อ่านข่าวเพิ่มเติมเกี่ยวกับ GDPR ได้ที่ GDPR กฎหมายใหม่ ที่ผู้ใช้เน็ตทั่วโลกต้องรู้