GDPR โอกาสในการยกระดับมาตรฐานการักษาความปลอดภัยข้อมูลองค์กร

By admin On มี.ค. 22, 2022 152

“กฎการคุ้มครองข้อมูลส่วนตัวของประเทศในกลุ่มสหภาพยุโรป หรือ GDPR จะมีผลบังคับใช้ในวันที่ 25 พฤษภาคม ผู้ประกอบการในไทยสามารถมองได้หลายมุม ทั้งเรื่องผลกระทบการติดต่อธุรกิจกับคนในยุโรป โอกาสและความเสี่ยงต่างๆ แต่ในอีกมุมสามารถใช้เหตุการณ์นี้เป็นจุดเริ่มต้นในการสร้างความได้เปรียบ และสร้างความเชื่อมั่นให้ธุรกิจได้ด้วยมาตรการปกป้องข้อมูลให้ได้ตามหลักเกณฑ์ระดับโลก”

หลังจากที่ประเทศในกลุ่มสหภาพยุโรป กำลังตื่นตัวเรื่องการคุ้มครองข้อมูลส่วนตัว และได้คลอดกฎหมายเกี่ยวกับด้านนี้ที่เรียกว่ากฎการคุ้มครองข้อมูลส่วนตัวของประเทศในกลุ่มสหภาพยุโรป หรือ GDPR (General Data Protection Regulation) ซึ่งจะมีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2561 แน่นอนว่าการขยับในเรื่องกฎระเบียบระดับโลกขนาดนี้ ต้องส่งผลกระทบต่อการดำเนินธุรกิจของผู้ประกอบการไทยอย่างแน่นอน

ที่เห็นชัดเจนคือ ธุรกิจไทยที่มีลูกค้าอยู่ในสหภาพยุโรปที่ต้องอาศัยการวิเคราะห์หรือประมวลข้อมูลส่วนบุคคลของลูกค้าที่อยู่ในยุโรปไม่ว่าจะใช้สำหรับการค้าขายสินค้าและบริการ หรือกิจกรรมทางการตลาดอื่นๆ ที่ต้องใช้การประมวลหรือจัดเก็บข้อมูลส่วนบุคคลของลูกค้า จำเป็นต้องเรียนรู้ที่จะปรับตัว เพื่อปฏิบัติตามกฎระเบียบใหม่ของสหภาพยุโรป

CIO World&Business ได้มองถึงประเด็น GDPR กับการบริหารความเสี่ยงของข้อมูลส่วนบุคคลเพื่อแต้มต่อทางธุรกิจโดยรวบรวมข้อมูลจาก วิชญ์ วงศ์หาญเชาว์ Business Development – Digital Transformation บริษัท ยิบอินซอย จำกัด มาถ่ายทอดในมุมมองดังกล่าว

ก่อนจะไปทำความรู้จักกับ GDPR วิชญ์ อธิบายเริ่มต้นด้วยการตั้งคำถามกับตัวเองว่า “เราได้เคยเปิดเผยข้อมูลส่วนตัวไปกับการทำธุรกรรมใดบ้าง? อย่างเช่น ติดต่อกับธนาคาร หน่วยบริการสุขภาพ ลงทะเบียนใช้งานผ่านอินเทอร์เน็ต หรือเล่นโซเชียลเน็ตเวิร์ค และในแต่ละครั้งเราต้องเปิดเผยข้อมูลส่วนตัวไปมากแค่ไหน เป็นการให้ข้อมูลเพียงชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล์ หรือละเอียดถึงขั้นต้องให้เลขที่บัตรประชาชน เลขบัตรเครดิต หรือกระทั่งการตั้งพาสเวิร์ด ซึ่งถูกบันทึกไว้ในระบบของผู้ให้บริการ”

“เราจะมั่นใจได้อย่างไรกับการที่องค์กรหรือหน่วยงานผู้ให้บริการเหล่านั้นต่างยืนยันว่า ข้อมูลส่วนตัวของเราจะไม่ถูกเปิดเผยจนได้รับความเสียหาย หรือถูกนำไปใช้เพื่อประโยชน์ทางธุรกิจอื่นใด”

จะเห็นว่า หลายประเทศในขณะนี้ เริ่มมีความกังวลต่อการเข้าถึงและใช้งานข้อมูลบิ๊กดาต้าแบบชนิดไร้พรมแดนจนเกินขีดความสามารถที่แต่ละประเทศจะกำกับดูแลให้ใช้งานได้อย่างเหมาะสมและไม่ขัดต่อการทำผิดกฎหมาย โดยเฉพาะการป้องกันไม่ให้เกิดการใช้งานที่ละเมิดความเป็นส่วนตัวของเจ้าของข้อมูล

ซึ่งปัจจุบันมีกฎหมายหรือข้อบังคับในการกำกับดูแลการเข้าถึงข้อมูลในหลายรูปแบบ อาทิ กฎหมายปกป้องข้อมูลที่ใช้เฉพาะในแต่ละประเทศ กฎหมายกำกับการใช้ข้อมูลเป็นการเฉพาะในแต่ละอุตสาหกรรม ไปจนถึงกฎหมายคุ้มครองการรับ-ส่งข้อมูลข้ามพรมแดนในรูปแบบประเทศต่อประเทศ หรือองค์กรต่อองค์กร

GDPR ข้อมูลที่ปลอดภัยสร้างความเชื่อมั่นให้ธุรกิจ

วิชญ์ อธิบายเรื่องของการปกป้องข้อมูลลูกค้าโดยเชื่อมโยงไปถึง “กฎการคุ้มครองข้อมูลส่วนตัวของประเทศในกลุ่มสหภาพยุโรป (อียู) ที่เรียกว่า จีดีพีอาร์ (General Data Protection Regulation-GDPR) ซึ่งเป็นกฎข้อบังคับที่ออกมาเพื่อคุ้มครองข้อมูลส่วนบุคคลของพลเมืองชาวอียูที่อาศัยกลุ่มประเทศสหภาพยุโรป รวมถึงในประเทศต่างๆ ทั่วโลก และกำลังจะมีผลบังคับใช้ในเดือนพฤษภาคมปีนี้

เราจะเห็นว่า แม้ GDPR จะเป็นกฎหมายที่ออกโดยสหภาพยุโรป แต่ก็เป็นสิ่งที่ไม่ควรมองข้าม เพราะมีอำนาจครอบคลุมการใช้งานข้อมูลส่วนบุคคลที่กว้างขวางในระดับประเทศต่อประเทศเลยทีเดียว

“ความเข้มข้นของ GDPR คือ การไม่ยินยอมให้มีการไหลออกของข้อมูลส่วนบุคคลไปยังประเทศที่มีมาตรฐานการคุ้มครองที่ต่ำกว่า หรือไม่ได้มาตรฐาน ซึ่งถ้าหากประเทศที่ประกอบธุรกิจ หรือเกี่ยวข้องกับอียูจะด้วยเรื่องใด เกิดตกชั้นเรื่องเกณฑ์การคุ้มครองข้อมูลตามที่ GDPR กำหนด ก็จะเสียโอกาสในการทำธุรกิจกับอียูไปโดยปริยาย”

ส่วนกฎของจีดีพีอาร์ที่ประเทศหรือองค์กรไทยที่มีการประกอบธุรกิจ หรือติดต่อกับพลเมืองของอียู ควรจะศึกษาและเตรียมความพร้อมแต่เนิ่นๆ สรุปโดยย่อ ได้แก่ การที่ประเทศหรือองค์กรนั้นๆ ต้องกำหนดให้มีการคุ้มครองสิทธิของเจ้าของข้อมูลให้สามารถย้ายและลบข้อมูลส่วนตัวที่อยู่ในระบบของผู้ให้บริการได้แล้วแต่กรณี และหากมีการนำข้อมูลไปใช้หรือประมวลผล จะต้องขอความยินยอม (consent) จากเจ้าของข้อมูลเสียก่อน รวมถึงต้องจัดเก็บข้อมูลนั้นๆ ไว้ในรูปแบบที่ไม่สามารถระบุตัวตนได้ (Anonymous) เพื่อปกป้องความเป็นส่วนตัว แม้การเคลื่อนย้ายถ่ายโอนข้อมูลข้ามพรมแดนก็ต้องมีความปลอดภัยสูง

“นอกจากนี้ องค์กรต่างๆ ต้องสร้างมาตรฐานการปกป้องข้อมูลส่วนบุคคลเพื่อกันการสูญหาย หรือถูกนำไปเปิดเผยโดยไม่ได้รับการยินยอมจากเจ้าของข้อมูล จะต้องมีระบบแจ้งเตือนเมื่อเกิดข้อมูลรั่วไหล โดยจีดีพีอาร์กำหนดให้ต้องรายงานความเสียหายที่เกิดขึ้นภายใน 72% ชั่วโมง รวมถึงการประเมินแนวนโยบายการปกป้องข้อมูล

เพื่อนิยามความเสี่ยงที่มีผลต่อข้อมูลของลูกค้า การทบทวนข้อปฏิบัติเพื่อบ่งชี้ความเสี่ยงได้อย่างแม่นยำ ซึ่งประเทศหรือองค์กรที่ไม่ปฏิบัติตามข้อบังคับของจีดีพีอาร์จะมีบทลงโทษด้วยการเสียค่าปรับตั้งแต่ 10 ถึง20 ล้านยูโรเลยทีเดียว” วิชญ์อธิบาย