Screenshot 2018-03-24 14.05.42

ตอนสหภาพยุโรป (EU) ได้ให้ “ใบเหลือง” กับไทยจากปัญหา Illegal, Unreported and Unregulated (IUU) Fishing เมื่อเดือนเมษายน 2558 ระบุว่าเป็นประเทศที่ไม่ให้ความร่วมมือในการต่อต้านการทำประมงที่ผิดกฎหมาย หลังจากที่ก่อนหน้านั้นไทยถูกปรับลดอันดับไปอยู่ใน Tier 3 จากรายงานสถานการณ์การค้ามนุษย์ของสหรัฐฯ เมื่อเดือนมิถุนายน 2557 ตอนแรกผมเองก็งงว่าเกิดอะไรขึ้น แต่เมื่อพยายามทำความเข้าใจจึงทราบว่า กฎระเบียบ IUU ของ EU ถูกร่างขึ้นเพื่อช่วยขจัดปัญหาการทำประมงผิดกฎหมาย, ไร้การรายงาน และไร้การควบคุม (IUU Fishing) โดยเฉพาะ โดยเพิ่มมาตรการคว่ำบาตรการนำเข้าอาหารทะเลจากประเทศที่เพิกเฉยต่อการแก้ไขปัญหา IUU fishing เข้าไป

เรื่องดังกล่าวทำให้ เห็นแนวโน้มวิกฤติครั้งใหญ่ของอุตสาหกรรมประมงของไทย เพราะหากประเทศไทยไม่สามารถแก้ไขปัญหาการประเมิน IUU Fishing ได้ ผลกระทบที่เกิดจากการห้ามสินค้าในอุตสาหกรรมประมงที่ส่งเข้าไปขายในยุโรป โดยต่อภาพรวมจะทำให้รัฐสูญเสียตัวเลขการส่งออกว่า 1 แสนล้านบาท ทำให้ภาครัฐต้องลงมาแก้ปัญหาต่างๆอย่างจริงจัง ทั้งต้องแก้ไขกฎหมายและการตรวจสอบย้อนหลังโดยตั้งเป้าให้เราพ้นใบเหลืองได้ในปีนี้ ปัญหาส่วนหนึ่งที่เราล่าช้าจากการแก้ปัญหานี้ก็เป็นเพราะความเพิกเฉยของรัฐบาลไทยต่อกฎระเบียบ IUU ในอดีต

มาวันนี้เรากำลังจะเจอกฎระเบียบด้านข้อมูลอันใหม่ของ EU เรื่อง General Data Protection Regulation (GDPR) ที่จะมีผลใช้บังคับในวันที่ 25 พฤษภาคม 2561 ดูผ่านตาอาจคิดว่า GDPR ไม่น่าจะเกี่ยวข้องกับธุรกิจหรือหน่วยงานในไทย ซึ่งผมก็แทบจะไม่เห็นหน่วยงานของรัฐใดๆให้ความจริงจังกับกฎระเบียบนี้มากนัก แต่ก็อาจเห็นหน่วยงานอย่างการบินไทยที่สนใจเรื่องนี้เป็นพิเศษเพราะมีสาขาและเส้นทางการบินไปสู่ประเทศในกลุ่ม EU และผมเคยมีโอกาสได้บรรยายและแลกเปลี่ยนความคิด เลยทราบว่าการบินไทยให้ความสำคัญกับเรื่องนี้มากๆ (ดู  Slide การบรรยายได้ที่  >> General Data  Protection Regulation (GDPR) Compliance )

GDPR เป็นกฎระเบียบของ EU ที่ออกมาเพื่อป้องกันสิทธิส่วนบุคคลของประชาชนในกลุ่มประเทศ EU โดยระบุไว้ว่า หน่วยงานใดที่เก็บข้อมูลขอประชาชน EU ที่ไม่ปฎิบัติตามจะถูกปรับเป็นจำนวนเงินถึง 20 ล้านยูโร หรือ 2-4% ของรายได้ทั่วโลก ขึ้นอยู่กับว่าวงเงินใดมากกว่า กฎระเบียบมีผลใช้บังคับกับหน่วยงานที่อยู่ใน EU และรวมไปถึงหน่วยงานนอก EU  (ซึ่งก็อาจรวมถึงบริษัทและหน่วยงานต่างๆในประเทศไทย) ที่เก็บข้อมูลประชาชน EU หรือนำข้อมูลจากหน่วยงานอื่นไปประมวลผล

ข้อมูลส่วนบุคคลในความหมายของ GDPR ได้ครอบคลุมข้อมูลต่างๆมากมายอาทิเช่น

  • ชื่อ, วันเดือนปีเกิด, สัญชาติ, ศาสนา, เชื้อชาติ, อีเมล
  • ข้อมูลออนไลน์อาทิเช่น cookies, IP address, ข้อมูลพิกัด GPS 
  • ข้อมูล Biometric เช่นรายนิ้วมือ, รูปถ่าย
  • ข้อมูลสุขภาพ, ข้อมูลด้านการเงิน

ซึ่งหน่วยงานที่เก็บข้อมูลประชาชน EU เหล่านี้ จะต้องมีระบบที่ทราบว่าได้เก็บข้อมูลอะไรไว้ เพราะอะไร เป็นเวลานานแค่ไหน ข้อมูลเหล่านี้ได้มาจากที่ใด และนำไปแชร์หรือให้ใครประมวลข้อมูล เมื่อไร ที่ไหน

โดย GDPR จะมีหลักสำคัญอยู่ 7 ประการคือ

  • Consent: การขอความยินยอมจากเจ้าของข้อมูลต้องเข้าใจง่าย และต้องระบุอย่างชัดเจนว่าจะนำข้อมูลไปใช้ทำอะไร เพื่อวัตถุประสงค์ใด 
  • Breach notification:  หากพบว่าข้อมูลรั่วไหล จะต้องแจ้งให้ประชาชนและเจ้าของข้อมูลทราบภายใน 72 ชั่วโมงถึงผลกระทบที่อาจเกิดขึ้น
  • Right to access: เจ้าของข้อมูลมีสิทธิที่จะร้องขอเข้าถึงข้อมูล และหน่วยงานที่เก็บข้อมูลจะต้องส่งข้อมูลให้ในรูปแบบอิเล็กทรอนิกส์ที่สามารถนำมาใช้ต่อได้
  • Right to be forgotten: เจ้าของข้อมูลสามารถขอให้หน่วยงานที่เก็บข้อมูลลบข้อมูลของตัวเองออกได้
  • Data portability: เจ้าของข้อมูลสามารถขอให้หน่วยงานที่เก็บข้อมูลส่งข้อมูลของตัวเองไปให้หน่วยงานอื่นๆได้ รวมทั้งธุรกิจคู่แข่งของหน่วยงานที่เก็บข้อมูล
  • Privacy by design: การออกแบบระบบจะต้องคำนึงถึงการป้องกันเรื่องข้อมูลส่วนบุคคล
  • Data Protection Officers (DPO):ต้องมีเจ้าหน้าที่คุ้มครองข้อมูล ที่มีหน้าที่ติดตามกิจกรรมประมวลผลข้อมูลขนาดใหญ่ และข้อมูลที่สำคัญ

ทั้งนี้ GDPR ได้จัดกลุ่มของหน่วยงานที่เกี่ยวข้องกับข้อมูลเป็นสองกลุ่มคือ

  • หน่วยงานควบคุมข้อมูล (data controller) ที่ได้รับความยินยอมจากเจ้าของข้อมูล (data subject) ในการจัดเก็บข้อมูล
  • หน่วยงานที่ประมวลผลข้อมูล (data processer) ที่แม้อยู่นอกประเทศสมาชิก EU ก็ต้องทำตามกฎ GDPR

Screenshot 2018-03-24 21.29.45

รูปที่ 1 Data protection model under GDPR (source: Preparing for EU GDPR, IT Governance Ltd)

บริษัทและหน่วยงานในประเทศเราน่าจะมีผลกระทบจากกฎระเบียบ GDPR ของ EU นี้จำนวนมาก คงไม่ใช่แค่สายการบินที่ให้บริการประชาชน EU แต่คงต้องรวมถึงทุกหน่วยงานที่จะทำหน้าที่ Data Controller ในการเก็บข้อมูล หรือเป็น Data Processor อาทิเช่น

  • โรงแรมที่จะเก็บข้อมูลนักท่องเที่ยวจากประเทศกลุ่ม EU
  • สถาบันการเงินที่อาจมีลูกค้า EU ในการฝากเงิน การทำธุรกรรมการเงินเช่นการแลกเปลี่ยนเงินตรา การใช้บัตรเครดิต หรือการใช้  Mobile Payment
  • บริษัทโทรคมนาคมที่นักท่องเที่ยวเข้ามาใช้งานในบ้านเราที่จะมีข้อมูลการใช้งาน พิกัดของผู้ใช้งาน
  • E-commerce website จะเก็บข้อมูลของผู้เข้ามาใช้งาน หรือซื้อสินค้าต่างๆที่อาจมาจากกลุ่มประเทศ EU

การที่จะให้หน่วยงานสามารถตามกฎระเบียบ GDPR ไม่ใช่แค่การหาเครื่องมือใดเครื่องมือหนึ่งมาดูเรื่องความปลอดภัยของข้อมูล หรือการป้องกันข้อมูลรั่วไหล จริงๆแล้วมันอาจหมายถึงการปรับระเบียบการเก็บข้อมูลในองค์กร การมีธรรมาภิบาลในการใช้ข้อมูล มีระบบความปลอดภัยที่ดี มีการขออนุญาตการใช้ข้อมูลอย่างถูกต้อง ทราบว่าข้อมูลต่างๆเก็บไว้ที่ใด รวมถึงการออกแบบระบบที่ต้องคำนึงถึงการป้องกันข้อมูลตั้งแต่แรก

คำถามง่ายๆบางครั้งหน่วยงานยังไม่ทราบเลยว่า ข้อมูลลูกค้าอยู่ที่ฐานข้อมูลใดบ้าง เก็บข้อมูลอะไรไว้บ้าง ใครเอาข้อมูลไปประมวลผลบ้าง ถูกใช้งานอย่างเหมาะสมหรือไม่  หรือส่งต่อไปให้ใคร ดังนั้นกรณีแบบนี้ก็จะปฎิบัติตาม GDPR ได้ยากกรณีลูกค้าร้องข้อมูล หรือสั่งให้ลบข้อมูลออก ที่หน่วยงานก็อาจจะไม่ทราบด้วยซ้ำไปว่าข้อมูลอยู่ที่ใด

บางครั้งเราอาจจะเคยได้ยินว่ากฎระเบียบ GDPR อาจไม่สามารถมาใช้บังคับกับหน่วยงานในบ้านเราได้ แต่ประเด็นที่น่าเป็นห่วงคือบริษัทและหน่วยงานต่างๆในประเทศไทยจำนวนมากจะต้องทำธุรกรรมกับบริษัทใน EU ที่เราอาจต้องนำข้อมูลมาประมวลผล เช่นการค้าขายที่อาจต้องใช้ข้อมูลจากประชาชนหรือบริษัทใน EU  ซึ่งแม้บริษัทในบ้านเราจะไม่ได้เป็น Data Controller แต่บริษัทใน EU ที่เป็น Data controller ส่งข้อมูลมาให้เราประมวลผลและเราก็กำลังเป็น Data processor  ซึ่งหากบริษัทของเราไม่สามารถปฎิบัติตาม GDPR บริษัท EU ที่เป็น Data controller นั้นก็อาจจะถูกปรับ และสุดท้ายก็จะไม่สามารถทำธุรกรรมกับบริษัทในบ้านเราได้

ดังนั้น GDPR  กำลังจะกลายเป็นเรื่องใหญ่ของประเทศอีกเรื่องหนึ่ง หากเรายังเพิกเฉยไม่จริงจังกับเรื่องนี้ ในอนาคตเราอาจจะเจอกรณีเดียวกับ IUU Fishing ก็ได้ แต่ความเสียหายงวดนี้คงไม่ได้เจอแค่อุตสาหกรรมเดียวเช่นประมงที่กำลังเกิดขึ้นตอนนี้ และอาจมีความเสียหายในวงกว้างกว่ามาก ฉะนั้นคงถึงเวลาที่ทุกภาคส่วนอาจให้ความสำคัญเรื่องนี้มากกว่านี้

ธนชาติ นุ่มนนท์

IMC Institute

 

 

 

 

 

 

 

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out /  เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out /  เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out /  เปลี่ยนแปลง )

Connecting to %s