ตอนสหภาพยุโรป (EU) ได้ให้ “ใบเหลือง” กับไทยจากปัญหา Illegal, Unreported and Unregulated (IUU) Fishing เมื่อเดือนเมษายน 2558 ระบุว่าเป็นประเทศที่ไม่ให้ความร่วมมือในการต่อต้านการทำประมงที่ผิดกฎหมาย หลังจากที่ก่อนหน้านั้นไทยถูกปรับลดอันดับไปอยู่ใน Tier 3 จากรายงานสถานการณ์การค้ามนุษย์ของสหรัฐฯ เมื่อเดือนมิถุนายน 2557 ตอนแรกผมเองก็งงว่าเกิดอะไรขึ้น แต่เมื่อพยายามทำความเข้าใจจึงทราบว่า กฎระเบียบ IUU ของ EU ถูกร่างขึ้นเพื่อช่วยขจัดปัญหาการทำประมงผิดกฎหมาย, ไร้การรายงาน และไร้การควบคุม (IUU Fishing) โดยเฉพาะ โดยเพิ่มมาตรการคว่ำบาตรการนำเข้าอาหารทะเลจากประเทศที่เพิกเฉยต่อการแก้ไขปัญหา IUU fishing เข้าไป
เรื่องดังกล่าวทำให้ เห็นแนวโน้มวิกฤติครั้งใหญ่ของอุตสาหกรรมประมงของไทย เพราะหากประเทศไทยไม่สามารถแก้ไขปัญหาการประเมิน IUU Fishing ได้ ผลกระทบที่เกิดจากการห้ามสินค้าในอุตสาหกรรมประมงที่ส่งเข้าไปขายในยุโรป โดยต่อภาพรวมจะทำให้รัฐสูญเสียตัวเลขการส่งออกว่า 1 แสนล้านบาท ทำให้ภาครัฐต้องลงมาแก้ปัญหาต่างๆอย่างจริงจัง ทั้งต้องแก้ไขกฎหมายและการตรวจสอบย้อนหลังโดยตั้งเป้าให้เราพ้นใบเหลืองได้ในปีนี้ ปัญหาส่วนหนึ่งที่เราล่าช้าจากการแก้ปัญหานี้ก็เป็นเพราะความเพิกเฉยของรัฐบาลไทยต่อกฎระเบียบ IUU ในอดีต
มาวันนี้เรากำลังจะเจอกฎระเบียบด้านข้อมูลอันใหม่ของ EU เรื่อง General Data Protection Regulation (GDPR) ที่จะมีผลใช้บังคับในวันที่ 25 พฤษภาคม 2561 ดูผ่านตาอาจคิดว่า GDPR ไม่น่าจะเกี่ยวข้องกับธุรกิจหรือหน่วยงานในไทย ซึ่งผมก็แทบจะไม่เห็นหน่วยงานของรัฐใดๆให้ความจริงจังกับกฎระเบียบนี้มากนัก แต่ก็อาจเห็นหน่วยงานอย่างการบินไทยที่สนใจเรื่องนี้เป็นพิเศษเพราะมีสาขาและเส้นทางการบินไปสู่ประเทศในกลุ่ม EU และผมเคยมีโอกาสได้บรรยายและแลกเปลี่ยนความคิด เลยทราบว่าการบินไทยให้ความสำคัญกับเรื่องนี้มากๆ (ดู Slide การบรรยายได้ที่ >> General Data Protection Regulation (GDPR) Compliance )
GDPR เป็นกฎระเบียบของ EU ที่ออกมาเพื่อป้องกันสิทธิส่วนบุคคลของประชาชนในกลุ่มประเทศ EU โดยระบุไว้ว่า หน่วยงานใดที่เก็บข้อมูลขอประชาชน EU ที่ไม่ปฎิบัติตามจะถูกปรับเป็นจำนวนเงินถึง 20 ล้านยูโร หรือ 2-4% ของรายได้ทั่วโลก ขึ้นอยู่กับว่าวงเงินใดมากกว่า กฎระเบียบมีผลใช้บังคับกับหน่วยงานที่อยู่ใน EU และรวมไปถึงหน่วยงานนอก EU (ซึ่งก็อาจรวมถึงบริษัทและหน่วยงานต่างๆในประเทศไทย) ที่เก็บข้อมูลประชาชน EU หรือนำข้อมูลจากหน่วยงานอื่นไปประมวลผล
ข้อมูลส่วนบุคคลในความหมายของ GDPR ได้ครอบคลุมข้อมูลต่างๆมากมายอาทิเช่น
- ชื่อ, วันเดือนปีเกิด, สัญชาติ, ศาสนา, เชื้อชาติ, อีเมล
- ข้อมูลออนไลน์อาทิเช่น cookies, IP address, ข้อมูลพิกัด GPS
- ข้อมูล Biometric เช่นรายนิ้วมือ, รูปถ่าย
- ข้อมูลสุขภาพ, ข้อมูลด้านการเงิน
ซึ่งหน่วยงานที่เก็บข้อมูลประชาชน EU เหล่านี้ จะต้องมีระบบที่ทราบว่าได้เก็บข้อมูลอะไรไว้ เพราะอะไร เป็นเวลานานแค่ไหน ข้อมูลเหล่านี้ได้มาจากที่ใด และนำไปแชร์หรือให้ใครประมวลข้อมูล เมื่อไร ที่ไหน
โดย GDPR จะมีหลักสำคัญอยู่ 7 ประการคือ
- Consent: การขอความยินยอมจากเจ้าของข้อมูลต้องเข้าใจง่าย และต้องระบุอย่างชัดเจนว่าจะนำข้อมูลไปใช้ทำอะไร เพื่อวัตถุประสงค์ใด
- Breach notification: หากพบว่าข้อมูลรั่วไหล จะต้องแจ้งให้ประชาชนและเจ้าของข้อมูลทราบภายใน 72 ชั่วโมงถึงผลกระทบที่อาจเกิดขึ้น
- Right to access: เจ้าของข้อมูลมีสิทธิที่จะร้องขอเข้าถึงข้อมูล และหน่วยงานที่เก็บข้อมูลจะต้องส่งข้อมูลให้ในรูปแบบอิเล็กทรอนิกส์ที่สามารถนำมาใช้ต่อได้
- Right to be forgotten: เจ้าของข้อมูลสามารถขอให้หน่วยงานที่เก็บข้อมูลลบข้อมูลของตัวเองออกได้
- Data portability: เจ้าของข้อมูลสามารถขอให้หน่วยงานที่เก็บข้อมูลส่งข้อมูลของตัวเองไปให้หน่วยงานอื่นๆได้ รวมทั้งธุรกิจคู่แข่งของหน่วยงานที่เก็บข้อมูล
- Privacy by design: การออกแบบระบบจะต้องคำนึงถึงการป้องกันเรื่องข้อมูลส่วนบุคคล
- Data Protection Officers (DPO):ต้องมีเจ้าหน้าที่คุ้มครองข้อมูล ที่มีหน้าที่ติดตามกิจกรรมประมวลผลข้อมูลขนาดใหญ่ และข้อมูลที่สำคัญ
ทั้งนี้ GDPR ได้จัดกลุ่มของหน่วยงานที่เกี่ยวข้องกับข้อมูลเป็นสองกลุ่มคือ
- หน่วยงานควบคุมข้อมูล (data controller) ที่ได้รับความยินยอมจากเจ้าของข้อมูล (data subject) ในการจัดเก็บข้อมูล
- หน่วยงานที่ประมวลผลข้อมูล (data processer) ที่แม้อยู่นอกประเทศสมาชิก EU ก็ต้องทำตามกฎ GDPR
รูปที่ 1 Data protection model under GDPR (source: Preparing for EU GDPR, IT Governance Ltd)
บริษัทและหน่วยงานในประเทศเราน่าจะมีผลกระทบจากกฎระเบียบ GDPR ของ EU นี้จำนวนมาก คงไม่ใช่แค่สายการบินที่ให้บริการประชาชน EU แต่คงต้องรวมถึงทุกหน่วยงานที่จะทำหน้าที่ Data Controller ในการเก็บข้อมูล หรือเป็น Data Processor อาทิเช่น
- โรงแรมที่จะเก็บข้อมูลนักท่องเที่ยวจากประเทศกลุ่ม EU
- สถาบันการเงินที่อาจมีลูกค้า EU ในการฝากเงิน การทำธุรกรรมการเงินเช่นการแลกเปลี่ยนเงินตรา การใช้บัตรเครดิต หรือการใช้ Mobile Payment
- บริษัทโทรคมนาคมที่นักท่องเที่ยวเข้ามาใช้งานในบ้านเราที่จะมีข้อมูลการใช้งาน พิกัดของผู้ใช้งาน
- E-commerce website จะเก็บข้อมูลของผู้เข้ามาใช้งาน หรือซื้อสินค้าต่างๆที่อาจมาจากกลุ่มประเทศ EU
การที่จะให้หน่วยงานสามารถตามกฎระเบียบ GDPR ไม่ใช่แค่การหาเครื่องมือใดเครื่องมือหนึ่งมาดูเรื่องความปลอดภัยของข้อมูล หรือการป้องกันข้อมูลรั่วไหล จริงๆแล้วมันอาจหมายถึงการปรับระเบียบการเก็บข้อมูลในองค์กร การมีธรรมาภิบาลในการใช้ข้อมูล มีระบบความปลอดภัยที่ดี มีการขออนุญาตการใช้ข้อมูลอย่างถูกต้อง ทราบว่าข้อมูลต่างๆเก็บไว้ที่ใด รวมถึงการออกแบบระบบที่ต้องคำนึงถึงการป้องกันข้อมูลตั้งแต่แรก
คำถามง่ายๆบางครั้งหน่วยงานยังไม่ทราบเลยว่า ข้อมูลลูกค้าอยู่ที่ฐานข้อมูลใดบ้าง เก็บข้อมูลอะไรไว้บ้าง ใครเอาข้อมูลไปประมวลผลบ้าง ถูกใช้งานอย่างเหมาะสมหรือไม่ หรือส่งต่อไปให้ใคร ดังนั้นกรณีแบบนี้ก็จะปฎิบัติตาม GDPR ได้ยากกรณีลูกค้าร้องข้อมูล หรือสั่งให้ลบข้อมูลออก ที่หน่วยงานก็อาจจะไม่ทราบด้วยซ้ำไปว่าข้อมูลอยู่ที่ใด
บางครั้งเราอาจจะเคยได้ยินว่ากฎระเบียบ GDPR อาจไม่สามารถมาใช้บังคับกับหน่วยงานในบ้านเราได้ แต่ประเด็นที่น่าเป็นห่วงคือบริษัทและหน่วยงานต่างๆในประเทศไทยจำนวนมากจะต้องทำธุรกรรมกับบริษัทใน EU ที่เราอาจต้องนำข้อมูลมาประมวลผล เช่นการค้าขายที่อาจต้องใช้ข้อมูลจากประชาชนหรือบริษัทใน EU ซึ่งแม้บริษัทในบ้านเราจะไม่ได้เป็น Data Controller แต่บริษัทใน EU ที่เป็น Data controller ส่งข้อมูลมาให้เราประมวลผลและเราก็กำลังเป็น Data processor ซึ่งหากบริษัทของเราไม่สามารถปฎิบัติตาม GDPR บริษัท EU ที่เป็น Data controller นั้นก็อาจจะถูกปรับ และสุดท้ายก็จะไม่สามารถทำธุรกรรมกับบริษัทในบ้านเราได้
ดังนั้น GDPR กำลังจะกลายเป็นเรื่องใหญ่ของประเทศอีกเรื่องหนึ่ง หากเรายังเพิกเฉยไม่จริงจังกับเรื่องนี้ ในอนาคตเราอาจจะเจอกรณีเดียวกับ IUU Fishing ก็ได้ แต่ความเสียหายงวดนี้คงไม่ได้เจอแค่อุตสาหกรรมเดียวเช่นประมงที่กำลังเกิดขึ้นตอนนี้ และอาจมีความเสียหายในวงกว้างกว่ามาก ฉะนั้นคงถึงเวลาที่ทุกภาคส่วนอาจให้ความสำคัญเรื่องนี้มากกว่านี้
ธนชาติ นุ่มนนท์
IMC Institute
thanachart.org 