สวัสดีตัวเองและชาวโลกอีกครั้งนึงฮะ
ครั้งนี้ จะเล่าถึงกฎหมาย GDPR ที่ใช้จริงไปแล้วเมื่อปี 2018 นะฮะ
GDPR (General Data Protection Regulation)
GDPR เป็นกฎหมายที่ออกโดยสหภาพยุโรปนะฮะ พูดถึงการรักษาความเป็นส่วนตัว และข้อมูลสำคัญๆ ของผู้ใช้งานฮะ จริงๆ คือ เขียนไว้ตั้งแต่ปี 2016 แต่ประกาศใช้จริงตอนปี 2018 นะฮะ
บทบาทของคนที่เกี่ยวข้องกับ GDPR
กฏหมาย GDPR แบ่งกลุ่มคนที่เกี่ยวข้องไว้เป็น 3 กลุ่ม ได้แก่
- Data subject
หรือก็คือ พวกเราในฐานะเจ้าของข้อมูลแหละฮะ ถือครองข้อมูลสำคัญๆเอาไว้อยู่ - Data controller
เป็นคนควบคุมกระบวนการตั้งแต่เอาข้อมูลมาทำอะไรบ้าง ทำยังไงบ้าง จนถึงการทำลายข้อมูลฮะ คนกลุ่มนี้จะต้องดูแลข้อมูลในภาพรวมด้วยนะฮะ และเกี่ยวข้องกับการขอการยินยอมจากเจ้าของข้อมูลฮะ - Data processor
คนที่ประมวลผลข้อมูล คำนวณ วิเคราะห์ รวมไปถึงการจับเก็บ ดูแลรักษาข้อมูลฮะ มองว่าเป็นคนของ Data controller ก็ได้ฮะ เพราะเค้าต้องทำตามระเบียบวิธีที่ Data controller กำหนดมาให้ฮะ
ขอบเขตของ GDPR
ทีนี้มาดูว่า แล้วเราจะอยู่ภายใต้ GDPR ตอนไหนฮะ
- เมื่อองค์กรของ Data processor หรือ data controller อยู่ในยุโรป
- เมื่อกระบวนการนั้น ส่งผลกับสินค้า/บริการแก่คนในยุโรป
- เมื่อเกี่ยวข้องกับกิจกรรมในยุโรป หรือประเทศที่มีพันธะทางกฎหมายกับยุโรป
การขอความยินยอม
เมื่อองค์กรนึงจะใช้ข้อมูลของลูกค้าเนี่ย ลูกค้าจำเป็นต้องยินยอมให้เค้าใช้ก่อนนะฮะ แล้วการยินยอมเนี่ย GDPR ได้กำหนดเอาไว้ว่า
- อิสระที่จะให้หรือไม่ให้ข้อมูลก็ได้ (Freely given)
ถ้าไม่ให้ข้อมูล ก็จะต้องไม่มีผลเสียเกิดขึ้นกับตัวลูกค้าด้วยนะฮะ - เจาะจง (Specific)
ข้อกำหนดต้องมี วัตถุประสงค์ต้องชัดเจน ไม่ใช่ว่าขอข้อมูลไปเรื่อย เผื่อไปก่อนแบบนี้ไม่ได้ฮะ - แจ้งก่อน (Informed)
การขอความยินยอมจะต้องแจ้งให้ลูกค้ารู้ก่อนว่า ข้อมูลจะต้องถูกเก็บไปใช้ประโยชน์นะ - ชัดเจน (Unambiguous)
ระบุไว้ชัดเจนว่าขอข้อมูลไปทำอะไร ยังไงบ้าง ไม่ต้องมีตีความกันอีกสองรอบสามรอบฮะ
เนี่ย GDPR ออกแบบมาเพื่อปกป้องลูกค้าแบบเต็มสูบเลยนะฮะ ทีนี้ ทางฝั่งองค์กร เจ้าของธุรกิจจะต้องทำอะไรบ้าง เพื่อให้รองรับ GDPR
การออกแบบความเป็นส่วนตัวของผู้ใช้ (Privacy by design)
จริงๆแล้ว ตัวกฎหมาย GDPR เองไม่ได้กำหนดชัดเจนหรอกนะฮะ ทีนี้เลยมักจะอ้างอิงถึงหลักการ 7 ข้อ สำหรับการคุ้มครองความเป็นส่วนตัว ดังนี้ฮะ
- ป้องกันไว้ก่อน
ออกแบบระบบให้ป้องกันความเสี่ยงที่จะเกิดขึ้นได้ ป้องกันมันเอาไว้ก่อนจะเกิดฮะ - กำหนดให้ความเป็นส่วนตัวเป็นค่าเริ่มต้น
แน่นอน ไม่ใช่ลูกค้าทุกคนจะเข้าใจประเด็นนี้หมด ในฐานะองค์กร จึงต้องบังคับใช้ไว้เป็นค่าตั้งต้นเลยฮะ ป้องกันปัญหาไว้ก่อน - ออกแบบความปลอดภัยไว้ในระดับโครงสร้าง
คือ ให้ตัวระบบมีความปลอดภัยมาตั้งแต่ต้นเลยฮะ ไม่ใช่มาเป็นตัวเสริมเพราะกฎหมายนี้ หรือกฎหมายในอนาคตฮะ - ไม่กระทบกับประสิทธิภาพ
ปลอดภัยมากแต่ใช้งานได้ไม่ดี คงไม่ใช่เรื่องดีนะฮะ - ปลอดภัยจากต้นทางถึงปลายทาง
เรียกอีกอย่างว่า end-to-end security ฮะ มีผลตั้งแต่เริ่มใช้งาน เริ่มเก็บข้อมูล ไปจนถึงตอนสิ้นสุดการใช้งาน เอาข้อมูลไปทำลายฮะ - เปิดเผย โปร่งใส
ตัวระบบไม่คลุมเครือ ผู้ใช้สามารถเห็นได้ว่า ข้อมูลของตัวเองไปไหนบ้าง มาไหนบ้าง ใช้ทำอะไรได้บ้าง รวมไปถึงทุกคนที่เกี่ยวข้องกับกระบวนการนี้เลยฮะ - เน้นผู้ใช้เป็นสำคัญ
ไม่ว่าจะเกิดอะไรข้ึน คำนึงถึงผู้ใช้เป็นหลักฮะ
นี่คือตัวกฎหมาย GDPR ที่มีผลกับอุตสาหกรรมข้อมูลมากๆเลยนะฮะ คราวหน้าจะเป็นเรื่องกฎหมายของฝั่งไทยเรากันนะฮะ รอติดตามชมฮะ 😸
References:
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679
https://www.etda.or.th/content/gdpr-in-a-nutshell