25 พ.ค. 2561 “กฎการคุ้มครองข้อมูลส่วนตัวของประเทศในกลุ่มสหภาพยุโรป (EU)” หรือที่เรียกกันว่า GDPR (General Data Protection Regulation) จะมีผลบังคับใช้ แม้จะเป็นกฎที่ออกโดยสหภาพยุโรป แต่มีความสำคัญกับผู้ประกอบการไทย เพราะเป็นกฎที่ใช้คุ้มครองข้อมูลส่วนบุคคลของพลเมือง EU ที่อาศัยอยู่ในสหภาพยุโรปและประเทศต่างๆ ในโลก
“วิชญ์ วงศ์หาญเชาว์” Business Development – Digital Transformation บริษัท ยิบอินซอย จำกัด ระบุว่า GDPR มีอำนาจครอบคลุมการใช้งานข้อมูลส่วนบุคคลที่กว้างขวางในระดับประเทศต่อประเทศ ทั้งยังมีความเข้มข้น คือ การไม่ยินยอมให้มีการไหลออกของข้อมูลส่วนบุคคลไปยังประเทศที่มีมาตรฐานการคุ้มครองที่ต่ำกว่า หรือไม่ได้มาตรฐาน ซึ่งถ้าหากประเทศที่ประกอบธุรกิจ หรือเกี่ยวข้องกับอียูจะด้วยเรื่องใด เกิดตกชั้นเรื่องเกณฑ์การคุ้มครองข้อมูลตามที่ GDPR กำหนด ก็จะเสียโอกาสในการทำธุรกิจกับ EU ไปโดยปริยาย
- “มะพร้าว” ราคาพุ่งเป็นประวัติการณ์ ลูกเดียว 65-80 บาท เกิดอะไรขึ้น?
- บริษัทดังประกาศปิดกิจการ ทุกสาขาทั่วประเทศ เลิกจ้างหลายชีวิต
- ปิดทุกสาขาตั้งแต่วันนี้ “อร่อยดี” ร้านอาหารไทยจานด่วน ในเครือ CRG
สำรวจก่อนโดนปรับ
ดังนั้นกิจการที่ทำธุรกิจหรือติดต่อกับพลเมือง EU ต้องเตรียมพร้อมด้วยการกำหนดให้มีการคุ้มครองสิทธิของเจ้าของข้อมูลให้สามารถย้ายและลบข้อมูลส่วนตัวที่อยู่ในระบบของผู้ให้บริการได้ และหากมีการนำข้อมูลไปใช้หรือประมวลผล จะต้องขอความยินยอม (consent) จากเจ้าของข้อมูลเสียก่อน รวมถึงต้องจัดเก็บข้อมูลนั้น ๆ ไว้ในรูปแบบที่ไม่สามารถระบุตัวตนได้ (Anonymous) เพื่อปกป้องความเป็นส่วนตัว แม้การเคลื่อนย้ายถ่ายโอนข้อมูลข้ามพรมแดนก็ต้องมีความปลอดภัยสูง
ทั้งยังต้องสร้างมาตรฐานการปกป้องข้อมูลส่วนบุคคลเพื่อกันการสูญหาย หรือถูกนำไปเปิดเผยโดยไม่ได้รับการยินยอมจากเจ้าของข้อมูล จะต้องมีระบบแจ้งเตือนเมื่อเกิดข้อมูลรั่วไหล เนื่องจาก GDPR กำหนดให้ต้องรายงานความเสียหายที่เกิดขึ้นภายใน 72% ชั่วโมง รวมถึงการประเมินแนวนโยบายการปกป้องข้อมูล เพื่อนิยามความเสี่ยงที่มีผลต่อข้อมูลของลูกค้า
“หากไม่ปฏิบัติตาม GDPR จะมีบทลงโทษด้วยการเสียค่าปรับตั้งแต่ 10 – 20 ล้านยูโรเลยทีเดียว”
จะสร้างหรือรักษาโอกาสทางธุรกิจจาก GDPR อย่างไร
ขั้นแรก คือ การศึกษาที่มาที่ไป และประเภทของข้อมูลที่มีหรือใช้อยู่ในองค์กร ซึ่ง ณ เวลานี้ อาจต้องเน้นข้อมูลที่เกี่ยวข้องกับ EU ว่ามีผลกระทบต่อธุรกิจอย่างไร ข้อมูลได้ถูกจัดเก็บและมีการประมวลผล ณ ที่ใด และหากข้อมูลนั้นถูกจัดเก็บและประมวลผลอยู่ภายนอกองค์กรจะเป็นอย่างไร
ขั้นตอนต่อไป คือ การประเมินระบบความปลอดภัยด้านข้อมูล เพื่อดูว่าส่วนใดที่เป็นไปตามกฎของ GDPR แล้ว ส่วนใดที่ต้องตรวจสอบและปรับปรุง หากไม่มีแผนตอบรับความเสี่ยงต่อการรั่วไหลของข้อมูลก็ให้ดำเนินการเสีย หรือถ้ามีอยู่แล้วก็ต้องทดสอบแผนว่า สามารถบรรเทาความเสียหายได้ภายใน 72 ชั่วโมงหรือไม่ เพราะการปรับปรุงให้สอดรับกับกฎของ GDPR จะเป็นหนทางหนึ่งในการการันตีความได้เปรียบทางการแข่งขันทางธุรกิจหรือบริการกับกลุ่มประเทศหรือพลเมืองชาว EU ได้อย่างแน่นอน
IBM ชี้เป็นโอกาสอัพเกรดมาตรฐาน
ด้าน “กิตติพงษ์ อัศวพิชยนต์” รองกรรมการผู้จัดการ ธุรกิจซอฟต์แวร์ บริษัท ไอบีเอ็ม ประเทศไทย จำกัด กล่าวว่า การเริ่มบังคับใช้ GDPR เกิดขึ้นในช่วงที่ผู้บริโภคขาดความเชื่อมั่นอย่างมากต่อความสามารถของธุรกิจที่จะปกป้องข้อมูลส่วนบุคคลของพวกเขา ปัจจัยเหล่านี้ก่อให้เกิดแรงผลักดันขนานใหญ่ให้องค์กรต้องทบทวนวิธีจัดการกับความรับผิดชอบต่อข้อมูล และเริ่มต้นฟื้นคืนความเชื่อมั่นซึ่งเป็นสิ่งจำเป็นในสภาพเศรษฐกิจที่ขับเคลื่อนด้วยข้อมูลในปัจจุบัน
โดยช่วงสัปดาห์ก่อนถึงวันที่ 25 พ.ค. 2561 สถาบันการศึกษาคุณค่าทางธุรกิจ (Institute for Business Value:IBV) ของไอบีเอ็ม ได้สำรวจผู้นำธุรกิจกว่า 1,500 คนที่รับผิดชอบการปฏิบัติตามข้อกำหนดของ GDPR ขององค์กรต่างๆ ทั่วโลก ผลสำรวจแสดงให้เห็นว่าบริษัทต่างๆ มอง GDPR เป็นโอกาสในการเพิ่มความเชื่อมั่นของลูกค้าและช่วยผลักดันนวัตกรรม กล่าวคือ
84% เชื่อว่าหลักฐานที่พิสูจน์ว่าองค์กรปฏิบัติอย่างสอดคล้องกับ GDPR จะช่วยสร้างความแตกต่างในทางบวกในสายตาของผู้บริโภค
76% มองว่า GDPR จะสร้างความสัมพันธ์ที่น่าเชื่อถือขึ้นกับเจ้าของข้อมูล (data subjects) อันจะนำสู่โอกาสใหม่ๆ ทางธุรกิจ
แม้จะมองว่าเรื่องนี้เป็นโอกาส แต่มีองค์กรเพียง 36% เท่านั้นที่เชื่อว่าจะสามารถปฏิบัติให้สอดคล้องกับ GDPR ได้อย่างสมบูรณ์ภายในวันที่ 25 พ.ค. นี้
ได้โอกาสลดปริมาณการจัดเก็บข้อมูล
อีกสิ่งสำคัญที่พบในการวิจัยครั้งนี้ คือ องค์กรต่างๆ ใช้ GDPR เป็นโอกาสในการลดปริมาณข้อมูลที่องค์กรรวบรวม จัดเก็บ และแบ่งปันลงอย่างมาก โดย
80% กล่าวว่าองค์กรกำลังลดปริมาณข้อมูลส่วนบุคคลที่จัดเก็บ
78% กำลังลดจำนวนคนที่ได้รับสิทธิ์เข้าถึงข้อมูลส่วนบุคคล
70% กำลังกำจัดข้อมูลที่ไม่จำเป็นต้องใช้อีกต่อไป