ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) คืออะไร? ส่งผลยังไงกับบริษัทไทย

Last updated: Dec 18, 2018  |  Article

ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) คืออะไร? ส่งผลยังไงกับบริษัทไทย

     ระเบียบการคุ้มครองข้อมูลทั่วไป หรือ General Data Protection Regulation (GDPR) คือ ระเบียบในกฎหมายของสหภาพยุโรปที่ว่าด้วยเรื่องการคุ้มครองข้อมูลของประชากรที่อาศัยอยู่ในสหภาพยุโรปทุกคนเพื่อให้มั่นใจว่าข้อมูลจะถูกเก็บเป็นความลับ ไม่รั่วไหลโดยง่าย เช่น ข้อมูลส่วนตัวของพลเมืองสหภาพยุโรป (Personal Data) จะต้องถูกจัดเก็บและนำไปใช้งานอย่างถูกกฎหมาย อย่างโปร่งใสโดยมีวัตถุประสงค์การใช้งานที่ชัดเจนและเฉพาะเจาะจง

     ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) นี้จะช่วยให้ประชากรที่อาศัยอยู่ในสหภาพยุโรปรับรู้ถึงข้อมูลที่ถูกจัดเก็บได้ง่ายขึ้น รู้ว่านำข้อมูลไปใช้อะไรและช่วยให้ป้องกันไม่ให้ถูกเก็บข้อมูลอย่างพร่ำเพรื่อ ระเบียบการคุ้มครองข้อมูลทั่วไปนี้ เริ่มบังคับใช้อย่างเป็นทางการในวันที่ 25 พฤษภาคม 2561 พร้อมกันทั่วโลก และเนื่องจากระเบียบการคุ้มครองทั่วไปนี้เป็นระเบียบไม่ใช่คำสั่ง จึงไม่จำเป็นต้องให้ประเทศต่าง ๆ ร่างกฎหมายขึ้นมาใหม่แต่จะมีผลการบังคับใช้ได้โดยตรง

องค์กรใดบ้างที่มีผลต่อระเบียบการคุ้มครองทั่วไป

     หากพูดโดยภาพรวม ระเบียบการคุ้มครองทั่วไปจะส่งผลกระทบต่อ "ทุก" องค์กรที่มีการเก็บข้อมูลและมีการประมวลผลข้อมูลของประชากรในสหภาพยุโรป ไม่ว่าจะเป็น ลูกค้า หรือพนักงาน ซึ่งองค์กรที่ถูกส่งผลกระทบมากกับระเบียบการคุ้มครอง (GDPR) ทั่วไปนี้ ได้แก่

  1. International Business องค์กรหรือบริษัทที่เกี่ยวข้องกับต่างประเทศ เช่น ธุรกิจระหว่างประเทศ 
  2. International school/ University โรงเรียนหรือมหาวิทยาลัยที่มีความเกี่ยวข้องกับต่างประเทศ เช่น โรงเรียนนานาชาติ, โรงเรียนระหว่างประเทศ
  3. Website เว็ปไซต์ขององค์กร เนื่องจากระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) นับว่า IP address ถือเป็นข้อมูลที่สามารถระบุตัวตนของผู้ใช้งานได้จึงต้องเก็บข้อมูลให้เป็นความลับเช่นกัน หากเว็ปไซต์ใดต้องการป้องกันการเข้าถึงเว็ปไซต์จากพลเมืองของสหภาพยุโรป ท่านสามารถใช้ Location filtering เพื่อป้องกัน Traffic จากพลเมืองสหภาพยุโรปได้
  4. Hotel โรงแรมเป็นอีกหนึ่งธุรกิจที่ได้รับผลกระทบจากระเบียบการคุ้มครองทั่วไปเนื่องจากลูกค้าขององค์กรมีความหลากหลายมากในการเข้าใช้บริการในโรงแรม
  5. Bank ธนาคาร เนื่องจากเป็นองค์กรที่มีลูกค้าที่เป็นพลเมืองในสหภาพยุโรปอยู่และเป็นองค์กรที่ต้องให้ความสำคัญและความปลอดภัยกับข้อมูลเป็นอย่างสูง
  6. Hospital โรงพยาบาล เนื่องจากลูกค้าจากต่างชาติอย่างพลเมืองในสหภาพยุโรปเริ่มเข้าใช้บริการกับโรงพยาบาลหรือคลินิกไทยเพิ่มสูงขึ้น
  7. Insurance บริษัทประกัน

ข้อมูลใดบ้าง ที่ต้องจัดเก็บให้ได้ตามระเบียบการคุ้มครองทั่วไป (GDPR)

     สหภาพยุโรปได้ขยายความคำว่า ข้อมูลส่วนบุคคล (Personal Data) ที่องค์กรต้องจัดเก็บเพิ่มมากขึ้นและชัดเจนมากขึ้นซึ่งได้แก่ ข้อมูลที่ระบุตัวตนถึงบุคคลได้ เช่น อายุ เพศ ชื่อ อีเมล์ รวมถึงข้อมูลที่สามารถระบุตัวตนได้ทางออนไลน์อย่าง IP address ก็ถือว่าเป็นหนึ่งในข้อมูลที่ต้องจัดเก็บด้วย นอกจากนั้นยังมีข้อมูลอื่นๆ เช่น ข้อมูลด้านเศรษฐกิจ ด้านศาสนา ด้านสุขภาพ ที่ถือว่าเป็นข้อมูลที่สามารถระบุตัวตนไปยังประชากรของสหภาพยุโรปได้อีกด้วย

องค์กรจะต้องจัดเก็บข้อมูลนี้ถึงเมื่อไหร่

     การเก็บข้อมูลขององค์กรจะขึ้นอยู่กับช่วงเวลาที่พลเมืองสหภาพยุโรปสามารถเข้าถึงข้อมูลดังกล่าวได้ ถ้าหากพลเมืองสหภาพยุโรปคนใดต้องการเข้าถึงข้อมูลจะต้องทำยื่นเรื่องขอหรือ Subject Access Request (SAR) แก่ผู้เก็บข้อมูล ซึ่งปกติจากระเบียบการเดิมผู้ร้องขอจะสามารถเข้าถึงข้อมูลที่จัดเก็บได้เป็นเวลาย้อนหลัง 40 วัน แต่ระเบียบการใหม่ได้ปรับลดลงมาเหลือ 30 วัน ดังนั้นผู้เก็บข้อมูลหรือองค์กรจะต้องจัดเก็บข้อมูลไว้อย่างต่ำ 30 วันเพื่อรองรับต่อการร้องขอ ซึ่งระเบียบได้ระบุไว้ว่าผู้เก็บข้อมูลจะต้องบอกได้อย่างชัดเจนว่า เก็บข้อมูลได้อย่างไร จุดประสงค์ของการใช้ข้อมูลคืออะไร และกระบวนการใช้งานของข้อมูล โดยต้องเป็นภาษาที่ชัดเจนและเข้าใจง่ายแก่ผู้ร้องขอด้วย นอกจากนั้นผู้ร้องขอมีสิทธิในการลบข้อมูลหากข้อมูลดังกล่าวไม่เกี่ยวข้องอีกต่อไป (Right to be forgetten) เช่น ข้อมูลที่ไม่ได้ถูกใช้งานแต่ผู้เก็บข้อมูลก็ยังคงจัดเก็บ ซึ่งผู้เก็บข้อมูลหรือองค์ก็ต้องมีความรับผิดชอบในการลบข้อมูลรวมถึงสำเนาและลิ้งของข้อมูลที่อยู่บนอินเตอร์เน็ตทั้งหมดด้วย เช่น บน Google เป็นต้น 

หากไม่ทำตามระเบียบการคุ้มครองทั่วไป (GDPR) จะเกิดอะไรขึ้น

     องค์กรหรือผู้จัดเก็บข้อมูลของพลเมืองสหภาพยุโรปจำเป็นต้องเก็บข้อมูลของพลเมืองสหภาพยุโรปให้เป็นความลับและห้ามรั่วไหล ซึ่งหากไม่ทำตามและหากเกิดการรั่วไหลของข้อมูลเกิดขึ้น องค์กรดังกล่าวจะถูกบทลงโทษจากระเบียบการคุ้มครองทั่วไป (GDPR) เป็นค่าปรับที่เพิ่มความรุนแรงกว่าแต่ก่อนมาก โดยปรับสูงสุดเป็นมูลค่า 20 ล้านยูโร หรือราวๆ 700 ล้านบาท โดยค่าปรับดังกล่าวจะขึ้นอยู่กับสัดส่วนการรั่วไหลของข้อมูล หากข้อมูลรั่วไหลเยอะ ค่าปรับยิ่งสูงตาม

     ดังนั้นเพื่อความปลอดภัยของข้อมูลและผู้ที่เกี่ยวข้องกับข้อมูล องค์กรควรทำการจัดเก็บข้อมูลดังกล่าวให้เป็นความลับ รวมถึงควรมีระบบป้องกันจากภัยคุกคาม เช่น Log Collector ที่สามารถทำ Proactive Protection หรือ ทำ Report ที่รองรับต่อระเบียบการคุ้มครองทั่วไปนี้ด้วย (ต้องอ่านได้ง่ายและชัดเจน)

       หากท่านกำลังมองหาโซลูชั่นที่ช่วยในการป้องกันให้ข้อมูลของบริษัทท่านปลอดภัยพร้อมสามารถรองรับการทำตามระเบียบการคุ้มครองทั่วไป (GDPR) ท่านสามารถปรึกษากับบริษัท DTCi ได้ที่ช่องทางติดต่อนี้ https://www.dtci.co.th/Contact หรือด้านล่างได้เลยครับ

 

ติดต่อเรา
ผู้เชี่ยวชาญด้านความต่อเนื่องของธุรกิจ
DTC Internetworking Co.,Ltd.
123/3 Nonsi Road., Chongnonsi, Yannawa, Bangkok 10120
Tel: 02-294-6776     Email: Sales@dtci.co.th

Powered by MakeWebEasy.com