GDPR กม.คุ้มครองข้อมูล EU บังคับใช้แล้ว “สพธอ.” ย้ำไม่ไกลตัว “รัฐ-เอกชน” เสี่ยงกระทบหมด โดยเฉพาะอุตสาหกรรมท่องเที่ยว เร่งสำรวจอัพเกรดก่อนถูกปรับ 4% รายได้
นางสุรางคณา วายุภาพ ผู้อำนวยการสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ. กล่าวว่า เมื่อ 25 พ.ค. 2561 “GDPR : General Data Protection Regulation” กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (EU) มีผลบังคับใช้ ซึ่งอาจส่งผลกระทบต่อผู้ประกอบการไทย โดยเฉพาะผู้ค้าออนไลน์ จากเกณฑ์คุ้มครองข้อมูลส่วนบุคคลที่ครอบคลุมถึงพลเมืองยุโรปที่อยู่นอก EU ด้วย ขณะที่ประเทศไทยมีนักท่องเที่ยวยุโรปเข้ามาถึง 6.5 ล้านคน สร้างรายได้ในปี 2560 ถึง 4.8 แสนล้านบาท ไม่รวมถึงมูลค่าที่บริษัทไทยค้าขายกับยุโรป ดังนั้น GDPR จึงไม่ใช่เรื่องไกลตัว โดยเฉพาะในอุตสาหกรรมท่องเที่ยว
- ประกาศแล้ว! พระราชกฤษฎีกาเงินช่วยค่าครองชีพผู้รับเบี้ยหวัดบำนาญ รับ 11,000 บาทต่อเดือน
- บังคับใช้แล้ว! หลักเกณฑ์การดำเนินงาน 30 บาทรักษาทุกที่ ด้วยบัตรประชาชนใบเดียว
- อะไรทำให้ “ทองคำ” แพง สงคราม หรือการเก็งกำไร ?
ทั้งการฝ่าฝืน GDPR ยังมีโทษคือถูกปรับ 4% ของรายได้ หรือ 20 ล้านยูโร แม้ยังเป็นประเด็นว่าจะบังคับใช้กับประเทศนอก EU ได้แค่ไหน แต่ในทางธุรกิจอาจใช้มาตรการกดดันทางการค้าแทนได้ ขณะเดียวกันหากระบบมีความอ่อนแอ เปิดช่องให้ถูกโจมตีทางไซเบอร์ ย่อมกระทบต่อความเชื่อมั่นทางธุรกิจ
“หลักการสำคัญ GDPR คือ การเก็บข้อมูลส่วนบุคคลที่ต้องได้รับความยินยอมในการจัดเก็บอย่างชัดเจน, มีการแจ้งวัตถุประสงค์ให้เข้าใจง่าย, ต้องแจ้งแก้ไข ลบ หรือหยุดการประมวลผลเมื่อไม่จำเป็น หรือไม่ประสงค์ให้นำข้อมูลไปใช้ และเพิ่มมาตรการแจ้งเหตุเมื่อข้อมูลรั่วภายใน 72 ชั่วโมง”
ฉะนั้นแต่ละหน่วยงานต้องสำรวจรูปแบบการจัดเก็บ-ใช้ข้อมูลในปัจจุบัน และประเมินว่าจะต้องปรับปรุงให้รัดกุมขึ้นเพียงใด ทั้งต้องอบรมพนักงานให้ตระหนักถึงความสำคัญ โดย สพธอ.ได้ตั้งศูนย์ DPKC เพื่อให้ความรู้สาธารณะ
ด้านนาย Bruno Gencarelli หัวหน้าฝ่ายป้องกันการรั่วไหลของข้อมูลระหว่างประเทศ คณะกรรมาธิการยุโรป กล่าวเสริมว่า GDPR จะบังคับใช้โดยไม่คำนึงถึงถึงขนาดธุรกิจว่าเล็กหรือใหญ่ หากมีเป้าหมายคู่ค้าคือ เจ้าของข้อมูลที่อยู่ในยุโรป ยกตัวอย่างเช่น เว็บไซต์มีภาษาหรือรายละเอียดเจาะจงสำหรับลูกค้า EU, จัดโปรแกรมการท่องเที่ยวเป็นพิเศษสำหรับลูกค้า EU เป็นต้น
“GDPR กำหนดให้คู่ค้าต้องมีมาตรฐานดูแลข้อมูลส่วนบุคคลให้อยู่ระดับเดียวกับ EU ซึ่งรองรับธุรกิจในยุคดิจิทัลที่มีการถ่ายโอนข้อมูลระหว่างประเทศอย่างมาก เพื่อให้ปัจเจกบุคคลควบคุมข้อมูลของตัวเองที่อยู่ในมือภาคธุรกิจได้”
โดยหลังจากนี้จะมีการตั้งคณะกรรมการเพื่อออกแนวปฏิบัติในการเก็บ ใช้ โอนย้ายข้อมูล รวมถึงการให้ความยินยอม ชี้ขาดข้อขัดแย้ง รวมถึงตั้งเจ้าหน้าที่กำกับดูแลการปฏิบัติตาม GDPR ซึ่งจะรวมถึงการดูแลในกรณีข้อมูลข้ามพรมแดนด้วย หน่วยงานต่าง ๆ จึงจำเป็นต้องติดตามข้อมูลอย่างใกล้ชิด
