สวัสดีตัวเองและชาวโลกอีกครั้งนึงฮะ

ครั้งนี้ จะเล่าถึงกฎหมาย GDPR ที่ใช้จริงไปแล้วเมื่อปี 2018 นะฮะ

GDPR (General Data Protection Regulation)

GDPR เป็นกฎหมายที่ออกโดยสหภาพยุโรปนะฮะ พูดถึงการรักษาความเป็นส่วนตัว และข้อมูลสำคัญๆ ของผู้ใช้งานฮะ จริงๆ คือ เขียนไว้ตั้งแต่ปี 2016 แต่ประกาศใช้จริงตอนปี 2018 นะฮะ

บทบาทของคนที่เกี่ยวข้องกับ GDPR

กฏหมาย GDPR แบ่งกลุ่มคนที่เกี่ยวข้องไว้เป็น 3 กลุ่ม ได้แก่

1. Data subject
   หรือก็คือ พวกเราในฐานะเจ้าของข้อมูลแหละฮะ ถือครองข้อมูลสำคัญๆเอาไว้อยู่
2. Data controller
   เป็นคนควบคุมกระบวนการตั้งแต่เอาข้อมูลมาทำอะไรบ้าง ทำยังไงบ้าง จนถึงการทำลายข้อมูลฮะ คนกลุ่มนี้จะต้องดูแลข้อมูลในภาพรวมด้วยนะฮะ และเกี่ยวข้องกับการขอการยินยอมจากเจ้าของข้อมูลฮะ
3. Data processor
   คนที่ประมวลผลข้อมูล คำนวณ วิเคราะห์ รวมไปถึงการจับเก็บ ดูแลรักษาข้อมูลฮะ มองว่าเป็นคนของ Data controller ก็ได้ฮะ เพราะเค้าต้องทำตามระเบียบวิธีที่ Data controller กำหนดมาให้ฮะ

ขอบเขตของ GDPR

ทีนี้มาดูว่า แล้วเราจะอยู่ภายใต้ GDPR ตอนไหนฮะ

1. เมื่อองค์กรของ Data processor หรือ data controller อยู่ในยุโรป
2. เมื่อกระบวนการนั้น ส่งผลกับสินค้า/บริการแก่คนในยุโรป
3. เมื่อเกี่ยวข้องกับกิจกรรมในยุโรป หรือประเทศที่มีพันธะทางกฎหมายกับยุโรป

การขอความยินยอม

เมื่อองค์กรนึงจะใช้ข้อมูลของลูกค้าเนี่ย ลูกค้าจำเป็นต้องยินยอมให้เค้าใช้ก่อนนะฮะ แล้วการยินยอมเนี่ย GDPR ได้กำหนดเอาไว้ว่า

1. อิสระที่จะให้หรือไม่ให้ข้อมูลก็ได้ (Freely given)
   ถ้าไม่ให้ข้อมูล ก็จะต้องไม่มีผลเสียเกิดขึ้นกับตัวลูกค้าด้วยนะฮะ
2. เจาะจง (Specific)
   ข้อกำหนดต้องมี วัตถุประสงค์ต้องชัดเจน ไม่ใช่ว่าขอข้อมูลไปเรื่อย เผื่อไปก่อนแบบนี้ไม่ได้ฮะ
3. แจ้งก่อน (Informed)
   การขอความยินยอมจะต้องแจ้งให้ลูกค้ารู้ก่อนว่า ข้อมูลจะต้องถูกเก็บไปใช้ประโยชน์นะ
4. ชัดเจน (Unambiguous)
   ระบุไว้ชัดเจนว่าขอข้อมูลไปทำอะไร ยังไงบ้าง ไม่ต้องมีตีความกันอีกสองรอบสามรอบฮะ

เนี่ย GDPR ออกแบบมาเพื่อปกป้องลูกค้าแบบเต็มสูบเลยนะฮะ ทีนี้ ทางฝั่งองค์กร เจ้าของธุรกิจจะต้องทำอะไรบ้าง เพื่อให้รองรับ GDPR

การออกแบบความเป็นส่วนตัวของผู้ใช้ (Privacy by design)

จริงๆแล้ว ตัวกฎหมาย GDPR เองไม่ได้กำหนดชัดเจนหรอกนะฮะ ทีนี้เลยมักจะอ้างอิงถึงหลักการ 7 ข้อ สำหรับการคุ้มครองความเป็นส่วนตัว ดังนี้ฮะ

1. ป้องกันไว้ก่อน
   ออกแบบระบบให้ป้องกันความเสี่ยงที่จะเกิดขึ้นได้ ป้องกันมันเอาไว้ก่อนจะเกิดฮะ
2. กำหนดให้ความเป็นส่วนตัวเป็นค่าเริ่มต้น
   แน่นอน ไม่ใช่ลูกค้าทุกคนจะเข้าใจประเด็นนี้หมด ในฐานะองค์กร จึงต้องบังคับใช้ไว้เป็นค่าตั้งต้นเลยฮะ ป้องกันปัญหาไว้ก่อน
3. ออกแบบความปลอดภัยไว้ในระดับโครงสร้าง
   คือ ให้ตัวระบบมีความปลอดภัยมาตั้งแต่ต้นเลยฮะ ไม่ใช่มาเป็นตัวเสริมเพราะกฎหมายนี้ หรือกฎหมายในอนาคตฮะ
4. ไม่กระทบกับประสิทธิภาพ
   ปลอดภัยมากแต่ใช้งานได้ไม่ดี คงไม่ใช่เรื่องดีนะฮะ
5. ปลอดภัยจากต้นทางถึงปลายทาง
   เรียกอีกอย่างว่า end-to-end security ฮะ มีผลตั้งแต่เริ่มใช้งาน เริ่มเก็บข้อมูล ไปจนถึงตอนสิ้นสุดการใช้งาน เอาข้อมูลไปทำลายฮะ
6. เปิดเผย โปร่งใส
   ตัวระบบไม่คลุมเครือ ผู้ใช้สามารถเห็นได้ว่า ข้อมูลของตัวเองไปไหนบ้าง มาไหนบ้าง ใช้ทำอะไรได้บ้าง รวมไปถึงทุกคนที่เกี่ยวข้องกับกระบวนการนี้เลยฮะ
7. เน้นผู้ใช้เป็นสำคัญ
   ไม่ว่าจะเกิดอะไรข้ึน คำนึงถึงผู้ใช้เป็นหลักฮะ

นี่คือตัวกฎหมาย GDPR ที่มีผลกับอุตสาหกรรมข้อมูลมากๆเลยนะฮะ คราวหน้าจะเป็นเรื่องกฎหมายของฝั่งไทยเรากันนะฮะ รอติดตามชมฮะ 😸

References:
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679
https://www.etda.or.th/content/gdpr-in-a-nutshell