ในวันที่ 25 พฤษภาคมนี้ ระเบียบการคุ้มครองข้อมูลส่วนบุคคลโดยสหภาพยุโรป (GDPR : General Data Protection Regulation) จะมีผลบังคับใช้ไม่เพียงธุรกิจที่ตั้งในสหภาพยุโรปที่จะได้รับผลกระทบและต้องปฎิบัติตามแล้ว
ระเบียบดังกล่าวยังส่งผลกระทบถึงธุรกิจไทย ที่มีสินค้าหรือบริการที่เกี่ยวข้องกับการใช้ข้อมูล ควบคุมหรือประมวลผล หรือจัดเก็บข้อมูลส่วนบุคคลของพลเมืองในอียูด้วย ไม่ว่าจะเป็นการให้สินค้าหรือบริการทั้งทางอินเทอร์เน็ต หรือแบบดั้งเดิม
พูดง่ายๆ ก็คือ ผู้ประกอบการ (แม้มีสถานประกอบการตั้งอยู่นอกสหรัฐ) ที่มีลูกค้าหรือนำเสนอสินค้าและบริการไปในยุโรป และทุกกิจกรรมที่มีลักษณะการติดตามพฤติกรรมของพลเมืองยุโรป หรือติดตามตำแหน่งสถานที่ของบุคคลที่พักอาศัยในยุโรป ก็ล้วนเข้าข่ายทั้งสิ้น (แม้การประมวลผลนั้นไม่ได้กระทำในยุโรป)
อาทิ ธุรกิจไทยที่มีเว็บไซต์ให้เลือกเปลี่ยนภาษาหรือสกุลเงินที่ใช้ในอียู และธุรกิจที่เสนอบริการข้ามแดน ทั้งอีคอมเมิร์ซ บริการออนไลน์ สายการบิน ผู้ให้บริการมือถือ และโทรคมนาคม เว็บโฮสติ้ง ธุรกิจรับสมัครงาน และสถาบันการเงินธนาคาร ที่เชื่อมต่อกับเครือข่ายธนาคารในยุโรป
ประเภทข้อมูลที่เกี่ยวข้องกับความเป็นส่วนตัวและ GDPR ให้การคุ้มครอง ได้แก่ ข้อมูลพื้นฐาน ชื่อ ที่อยู่ และเลขบัตรประจำตัวประชาชน ข้อมูลเว็บ โลเกชั่น ไอพี แอดเดรส ข้อมูล cookie และ แทค RFID ข้อมูลสุขภาพและพันธุรกรรม ข้อมูลไบโอแมริกซ์ ข้อมูลจริยธรรม ความคิดเห็นทางการเมืองและรสนิยมทางเพศ
ปัจจุบันยักษ์ใหญ่อินเทอร์เน็ตระดับโลกทั้ง Facebook Google eBay ได้แจ้งมาตรการการปรับเปลี่ยนนโยบายคุ้มครองข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามกฎระเบียบของ GDPR แล้ว
ใน GDPR กำหนดให้ผู้ประมวลผล หรือผู้ควบคุมข้อมูล ต้องแจ้งวัตถุประสงค์ของการประมวลผลข้อมูล และต้องได้รับความยินยอม (Concent) จากเจ้าของข้อมูลส่วนบุคคลนั้น โดยการขอความยินยอมต้องชัดเจนและง่ายต่อการเข้าใจ และจะต้องมีระบบให้สามารถยกเลิกการยินยอมนั้นได้โดยสะดวกด้วย เช่น การสมัครบริการใดๆ ผู้ให้บริการออนไลน์ต้องแจ้งด้วยภาษาให้เข้าใจง่ายๆ ว่า จะใช้ข้อมูลส่วนตัวที่ได้แจ้งไว้นั้นไปใช้บริการใดบ้าง และหากผู้ใช้จะยกเลิกบริการและการยิมยอมนั้นต้องทำได้ง่าย ไม่ใช่ยากที่จะยกเลิก
นอกจากนั้น GDPR ยังให้สิทธิกับเจ้าของข้อมูลส่วนบบุคคลนั้น ในการร้องขอ ผู้ควบคุมและผู้ประมวลผลข้อมูลในการลบข้อมูลของตนเอง หรือระงับการเผยแพร่ออกจากระบบ (Right to be Forgotten)
เช่น ข้อมูลนั้นไม่ถูกต้องหรือไม่อัพเดทแล้ว หรือ การขอให้ลบข้อมูลของตนเอง เมื่อยกเลิกการยินยอมที่จะให้ใช้ข้อมูล หรือมีการใช้ข้อมูลไม่เป็นไปตามวัตถุประสงค์ที่แจ้งไว้แต่เริ่มแรก
ขณะเดียวกัน GDPR ยังใช้หลักการสิทธิที่จะได้รับการคุ้มครองตั้งแต่ต้น (Privacy By Design) ผู้ให้บริการต้องมีมาตรการทางเทคนิคและการบริหารที่เหมาะสม ที่จะวางระบบที่ให้การปกป้องข้อมูล ตั้งแต่การออกแบบบริการ มากกว่าการมาเพิ่มหรือดำเนินการในภายหลัง เช่น เครือข่ายโซเชียลเน็ตเวิร์ค ที่อาจตั้งค่าความเป็นส่วนตัวข้อมูลให้ผู้ใช้แชร์ภาพแบบสาธารณะตามมาตรฐานที่กำหนดไว้ (by default) ซึ่งต้องปรับเป็นให้ตั้งค่าแบบปิด
และผู้ควบคุมข้อมูลจะเก็บและประมวลผลข้อมูลได้เท่าที่จำเป็น (data minimization) และต้อง จำกัดการเข้าถึงข้อมูลโดยผู้ที่ไม่เกี่ยวข้องใดๆ กับการประมวลผลข้อมูล
โทษปรับสูง 20 ล้านยูโร
อีกทั้ง GDPR ยังกำหนดบทลงโทษปรับที่ค่อนข้างสูงไว้ด้วย กรณีที่ผู้ควบคุมและผู้ประมวลผลข้อมูล ทำให้เกิดข้อมูลส่วนตัวรั่วไหล (data breach) ก็จะมีบทลงโทษถูกปรับสูงสุดถึง 20 ล้านยูโร หรือ 4% ของรายได้รวมทั่วโลกทั้งปีขององค์กรนั้นๆ และเมื่อเกิดข้อมูลรั่วไหล องค์กรที่จัดเก็บหรือประมวลผลหรือควบคุมข้อมูลนั้น ต้องแจ้งให้เจ้าของข้อมูลทราบทันทีภายใน 72 ชั่วโมง
ข้อมูลจากการสำรวจโดยไพร้สวอเตอร์คูเปอร์ หรือ PwC พบว่า กว่า 68% ของบริษัทที่สำรวจและตั้งในสหรัฐ ระบุว่า อาจต้องใช้เงิน ราว 1-10 ล้านดอล่าร์สหรัฐเพื่อให้สอดรับกับจีดีพีอาร์ และอีก 9% ระบุว่า อาจต้องใช้เงินสูงกว่า 10 ล้านดอลล่าร์สหรัฐ
ขณะที่การ์ทเนอร์ คาดการณ์ว่า บริษัทในสหภาพยุโรปจะใช้จ่ายโดยเฉลี่ย 1.4 ล้านดอลล่าร์สหรัฐ เพื่อให้สอดคล้องกับ GDPR ขณะที่ธุรกิจในสหรัฐจะมีการใช้จ่ายอย่างน้อยล้านดอลล่าร์สหรัฐ เพื่อรับมือกับ GDPR
ดังนั้น GDPR ไม่ใช่เรื่องไกลตัว แม้ว่าการค้าระหว่างประเทศไทยกับอียู อาจไม่ได้มีมากมายมหาศาลเทียบเท่าการค้าระหว่างไทยกับสหรัฐ หรือไทยกับจีน
แต่ด้วยโลกของดิจิทัลที่มีการรับส่งข้อมูลระหว่างประเทศ (cross border transaction) การประมวลผลข้อมูลขนาดใหญ่ (big data analytic& artificial intelligence) ก็ยากที่จะหลีกเลี่ยงที่จะไม่กระทบข้อมูลส่วนบุคคลในยุโรป เช่น ผู้ประกอบการท่องเที่ยวใดๆ หรือธุรกิจโทรศัพท์มือถือ โรงพยาบาล ที่มีลูกค้าเป็นชาวยุโรป ก็ยากที่จะไม่กระทบ
ในข้อกำหนดของ GDPR ของอียู จะให้ทำธุรกรรมกับประเทศ หรือองค์กรที่มีมาตรฐานการคุ้มครองข้อมูลเทียบเท่ากับ GDPR ต้องระมัดระวังมากขึ้น ดังนั้นหากองค์กรไม่ได้มีมาตรฐานและนโยบายความเป็นส่วนตัว (Privacy policy) ก็อาจถูกระงับการติดต่อธุรกิจได้
ดังนั้น ภาคธุรกิจ ควรตื่นตัวและเร่งเตรียมการประเมินความพร้อมขององค์กรที่จะรองรับกับ GDPR ทั้งด้านกฎหมายและองค์รวมของการบริหารจัดการช้อมูลขององค์กรทั้งกระบวนการ และเทคโนโลยีที่จำเป็น ทั้งเรื่องของการระบุตรวจสอบตัวตน (identity management) การกำหนดสิทธิเข้าถึงระบบ (access control) การบริหารข้อมูล (data management ) และการเข้ารหัสข้อมูล ทั้งที่เก็บในองค์กรและข้อมูลที่อยู่นอกองค์กร อย่างคลาวด์ (cloud encryption) และเทคโนโลยีป้องกันข้อมูลสูญหาย (data loss prevention)
ทั้งนี้ภาคธุรกิจควรเตรียมตัวในวันนี้ หากมองว่ายังไม่กระทบและไกลตัว ที่สุดแล้วในอนาคต ประเด็นเรื่องการคุ้มครองข้อมูล จะทวีความสำคัญยิ่งขึ้นอย่างแน่นอน ตามปริมาณการใช้ข้อมูลดิจิทัลที่เพิ่มสูงขึ้น และตามความเสี่ยงที่รุนแรงของข้อมูลรั่วไหล เพิ่มขึ้น รวมทั้งภัยคุกคามไซเบอร์ที่เพิ่มขึ้นเป็นเงาตามตัวนั่นเอง
ไทยดันร่างพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
ในระดับรัฐบาลเอง ล่าสุดรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม นายพิเชฐ ดุรงคเวโรจน์ ระบุว่า ร่างพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กำลังจะเข้าสู่การพิจารณาของคณะรัฐมนตรีภายในเดือนพฤษภาคมนี้ จากนั้นก็เข้าสู่การพิจารณาของสภานิติบัญญัติแห่งชาติ
โดยคาดว่ากฎหมายฉบับนี้ จะมีผลบังคับใช้ได้ทันภายในสิ้นปีนี้ และยังได้มอบหมายให้ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) ทำหน้าที่ให้ความรู้ด้านข้อมูลส่วนบุคคล (Data Privacy Knowledge Centre) เพื่อสร้างการรับรู้สาธารณะ
ตัวบทกฎหมายของร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนั้น ต้องมาลุ้นกันว่า จะมีความเป็นสากล และเทียบเท่ากับ GDPR หรือไม่ ด้วยเจตจำนงค์ของอียู ในการบังคับใช้กฎหมายดังกล่าว เพื่อเพิ่มความเข้มข้นการคุ้มครองข้อมูลส่วนบุคคลภายใต้แรงถาโถมของข้อมูลดิจิทัลที่ไร้พรมแดน จากความนิยมการใช้บริการคลาวด์ คอมพิวติ้ง การประมวลผลข้อมูลขนาดให ญ่ และอินเทอร์เน็ตในทุกสิ่ง (IoT)
