IT & gadget

ไขรหัส ‘จีดีพีอาร์’ ลดความเสี่ยงข้อมูลส่วนบุคคล

By Wariya Khamchana27 เม.ย. 2018 เวลา 11:01 น.
ไขรหัส ‘จีดีพีอาร์’ ลดความเสี่ยงข้อมูลส่วนบุคคล

ทุกวันนี้หลายประเทศเริ่มมีความกังวลต่อการเข้าถึงและใช้งานข้อมูลบิ๊กดาต้าแบบชนิดไร้พรมแดน

กระทั่งเกินขีดความสามารถที่จะกำกับดูแลให้ใช้งานได้อย่างเหมาะสมและไม่ขัดต่อการทำผิดกฎหมาย โดยเฉพาะการป้องกันไม่ให้เกิดการใช้งานที่ละเมิดความเป็นส่วนตัวของเจ้าของข้อมูล ซึ่งปัจจุบันมีกฎหมายหรือข้อบังคับในการกำกับดูแลการเข้าถึงข้อมูลในหลายรูปแบบ อาทิ กฎหมายปกป้องข้อมูลที่ใช้เฉพาะในแต่ละประเทศ กฎหมายกำกับการใช้ข้อมูลเป็นการเฉพาะในแต่ละอุตสาหกรรม ไปจนถึงกฎหมายคุ้มครองการรับ-ส่งข้อมูลข้ามพรมแดนในรูปแบบประเทศต่อประเทศ หรือองค์กรต่อองค์กร

ครั้งนี้ขอกล่าวถึง “กฎการคุ้มครองข้อมูลส่วนตัวของประเทศในกลุ่มสหภาพยุโรป (อียู) หรือ จีดีพีอาร์ (General Data Protection Regulation-GDPR)” ซึ่งเป็นกฎข้อบังคับที่ออกมาเพื่อคุ้มครองข้อมูลส่วนบุคคลของพลเมืองชาวอียูที่อาศัยกลุ่มประเทศสหภาพยุโรป รวมถึงในประเทศต่างๆ ทั่วโลก และกำลังจะมีผลบังคับใช้ในเดือนพ.ค.ปีนี้ แม้จีดีพีอาร์ จะเป็นกฎหมายที่ออกโดย อียู แต่ก็เป็นสิ่งที่ไม่ควรมองข้าม เพราะมีอำนาจครอบคลุมการใช้งานข้อมูลส่วนบุคคลที่กว้างขวางในระดับประเทศต่อประเทศเลยทีเดียว

วิชญ์ วงศ์หาญเชาว์ ผู้จัดการฝ่ายพัฒนาธุรกิจ ดิจิทัลทรานส์ฟอร์เมชั่น บริษัท ยิบอินซอย จำกัด ผู้ให้บริการโซลูชั่นด้านไอซีที กล่าวว่า ความเข้มข้นของ จีดีพีอาร์ คือ การไม่ยินยอมให้มีการไหลออกของข้อมูลส่วนบุคคลไปยังประเทศที่มีมาตรฐานการคุ้มครองที่ต่ำกว่า หรือไม่ได้มาตรฐาน ซึ่งถ้าหากประเทศที่ประกอบธุรกิจ หรือเกี่ยวข้องกับอียูจะด้วยเรื่องใด เกิดตกชั้นเรื่องเกณฑ์การคุ้มครองข้อมูลตามที่ จีดีพีอาร์ กำหนด ก็จะเสียโอกาสในการทำธุรกิจกับอียูไปโดยปริยาย

มาตรฐานใหม่สกัดข้อมูลรั่ว

ส่วนกฎของ จีดีพีอาร์ ที่ประเทศหรือองค์กรไทยที่มีการประกอบธุรกิจ หรือติดต่อกับพลเมืองของอียู ควรจะศึกษาและเตรียมความพร้อมแต่เนิ่นๆ สรุปโดยย่อ ได้แก่ การที่ประเทศหรือองค์กรนั้นๆ ต้องกำหนดให้มีการคุ้มครองสิทธิของเจ้าของข้อมูลให้สามารถย้ายและลบข้อมูลส่วนตัวที่อยู่ในระบบของผู้ให้บริการได้แล้วแต่กรณี และหากมีการนำข้อมูลไปใช้หรือประมวลผล จะต้องขอความยินยอม(consent) จากเจ้าของข้อมูลเสียก่อน รวมถึงต้องจัดเก็บข้อมูลนั้นๆ ไว้ในรูปแบบที่ไม่สามารถระบุตัวตนได้(Anonymous) เพื่อปกป้องความเป็นส่วนตัว แม้การเคลื่อนย้ายถ่ายโอนข้อมูลข้ามพรมแดนก็ต้องมีความปลอดภัยสูง

นอกจากนี้ องค์กรต่างๆ ต้องสร้างมาตรฐานการปกป้องข้อมูลส่วนบุคคลเพื่อกันการสูญหาย หรือถูกนำไปเปิดเผยโดยไม่ได้รับการยินยอมจากเจ้าของข้อมูล จะต้องมีระบบแจ้งเตือนเมื่อเกิดข้อมูลรั่วไหล โดย จีดีพีอาร์ กำหนดให้ต้องรายงานความเสียหายที่เกิดขึ้นภายใน 72% ชั่วโมง รวมถึงการประเมินแนวนโยบายการปกป้องข้อมูล เพื่อนิยามความเสี่ยงที่มีผลต่อข้อมูลของลูกค้า การทบทวนข้อปฏิบัติเพื่อบ่งชี้ความเสี่ยงได้อย่างแม่นยำ ซึ่งประเทศหรือองค์กรที่ไม่ปฏิบัติตามจะมีบทลงโทษด้วยการเสียค่าปรับตั้งแต่สิบถึงยี่สิบล้านยูโรเลยทีเดียว

มองในมุมบวก จีดีพีอาร์ จึงไม่ต่างจากการสร้างมาตรฐานใหม่ของการปกป้องข้อมูลที่ทำให้เจ้าของข้อมูลเข้าใจถึงสิทธิความเป็นส่วนตัวของข้อมูลที่ต้องไม่ถูกละเมิด ขณะที่องค์กรหรือหน่วยงานต่าง ๆ สามารถใช้เป็นโอกาสในการยกระดับระบบบริหารจัดการข้อมูลเพื่อเพิ่มประสิทธิภาพการดำเนินงาน หรือการประกอบธุรกิจ และสร้างความเชื่อมั่นในสายตาลูกค้า ผ่านการนิยามข้อมูลส่วนบุคคลให้ชัดเจน และกำหนดระดับการป้องกันอย่างเข้มข้น

ลดความเสี่ยงทุกรูปแบบ

กฎของ จีดีพีอาร์ ได้ช่วยกำหนดนิยามข้อมูลส่วนบุคคลที่ให้การคุ้มครองไว้ชัดเจนไว้แล้ว ซึ่งประกอบด้วย ข้อมูลที่ใช้ระบุตัวตนเบื้องต้น เช่น ชื่อ ที่อยู่ เลขที่บัตรประชาชน ข้อมูลที่ระบุตัวตนบนเว็บ เช่น จุดที่อยู่ (Location) ไอพีแอดเดรส ข้อมูลบันทึกการเข้าเว็บไซต์ (Cookies) ป้ายอิเล็กทรอนิกส์ที่อ่านค่าได้ด้วยคลื่นวิทยุ (RFID tag) ข้อมูลทางด้านสุขภาพและพันธุศาสตร์ ข้อมูลด้านชีววิทยา ข้อมูลด้านชาติพันธุ์หรือชนกลุ่มน้อย หรือ ข้อมูลความคิดเห็นทางการเมือง ฯลฯ

ส่วนการดำเนินการจะครอบคลุมใน 3 ขั้นตอน คือ ขั้นตอนการจัดเก็บข้อมูล(Data Collectors) ซึ่งเป็นการกำหนดวัตถุประสงค์และแนวปฏิบัติในการจัดเก็บข้อมูลประเภทต่างๆ เพื่อใช้ในการประมวลผลไว้ให้ชัดเจน ขั้นตอนการประมวลผลข้อมูล(Data Processors) โดยการนำข้อมูลไปประมวลผลจะต้องทำบนความรับผิดชอบที่จะไม่ให้เกิดการรั่วไหลของข้อมูล หรือนำไปใช้งานที่ไม่ตรงตามวัตถุประสงค์หรือข้อกำหนดที่วางไว้ 

และ ขั้นตอนการปกป้องข้อมูล(Data Protection) คือ การจัดให้มีเจ้าหน้าที่ด้านการปกป้องข้อมูล (Data Protection Officer-DPO) ที่มีหน่วยงานการกำกับควบคุมโดยตรง (Supervisory Authorities) เพื่อติดตามดำเนินการให้เป็นไปตามกลยุทธ์ด้านความปลอดภัยของข้อมูลตามข้อบังคับ หรือจะลงรายละเอียดถึงระดับของการประเมินความเสี่ยง(Risk Assessment) หรือประเมินผลกระทบต่อความเป็นส่วนตัว (Privacy Impact Assessment – PIA) เพื่อการันตีว่ามีความตั้งใจปฏิบัติตามกฎการคุ้มครองข้อมูลส่วนบุคคล และพยายามลดความเสี่ยงทุกรูปแบบในสายตาของนานาประเทศเมื่อติดต่อกับองค์กรของตน

ไพร้ซวอเตอร์เฮาส์คูเปอร์ส(พีดับเบิลยูซี) สำรวจบริษัทสัญชาติอเมริกัน พบว่า 92% มีการพิจารณาถึงข้อบังคับของ จีดีพีอาร์ และเห็นว่ามีความสำคัญเป็นอันดับต้นในการปกป้องข้อมูล

เนื้อหาที่เกี่ยวข้อง