Cybersecurity and Privacy Blog

กฎหมาย “จีดีพีอาร์” ปลุกธุรกิจตื่นตัวคุ้มครองข้อมูลส่วนบุคคล

26 กรกฎาคม 2561

โดย วิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานธุรกิจที่ปรึกษา บริษัท PwC ประเทศไทย

เมื่อไม่นานมานี้ วงการโลกออนไลน์ถูกปลุกให้ตื่นอีกครั้งจากข่าวการรั่วไหลของข้อมูลผู้ใช้งานเฟซบุ๊กให้แก่บริษัทให้คำปรึกษาทางการเมืองแห่งหนึ่ง เพราะประเด็นนี้สะท้อนให้เห็นว่า การจะเปลี่ยนผ่านองค์กรสู่ดิจิทัลนั้น ไม่ใช่เพียงการลงทุนด้านระบบ บุคลากร หรือโฟกัสเพียงการลงทุนด้านการรักษาความปลอดภัยของข้อมูล (Data Security) เท่านั้น แต่ต้องคำนึงถึงการควบคุม รวบรวม จัดเก็บ และการใช้งานข้อมูลส่วนบุคคล (Data Privacy) ด้วย ซึ่งที่ผ่านมาหลายประเทศทั่วโลกได้มีมาตรการในการปกป้องข้อมูลส่วนบุคคลของประชากรของตนผ่านการประกาศกฎหมายออกมาบังคับใช้อย่างจริงจัง

ล่าสุด เมื่อวันที่ 25 พฤษภาคม 2561 ที่ผ่านมา สหภาพยุโรป หรือ อียู ได้ประกาศใช้กฎหมายเกี่ยวกับการคุ้มครองสิทธิและข้อมูลส่วนบุคคลของพลเมืองในกลุ่มประเทศสหภาพยุโรป หรือที่เรียกว่า General Data Protection Regulation (GDPR) ซึ่งกฎหมายฉบับนี้ สร้างความตื่นตัวให้กับบริษัททั่วโลกเป็นอย่างมาก เพราะอัตราค่าปรับสำหรับบริษัทที่ฝ่าฝืนนั้นสูงถึง 4% ของผลประกอบการทั่วโลก (Global turnover) ลองคิดเล่นๆ ดูว่า ถ้าบริษัทที่มีรายได้จากทั่วโลก 10,000 ล้านดอลลาร์ จะต้องเสียค่าปรับถึง 400 ล้านดอลลาร์เลยทีเดียว นี่จึงทำให้ผู้บริหารและผู้นำองค์กรต่างๆ ต้องหันมาศึกษากฎหมายจีดีพีอาร์ฉบับนี้กันอย่างละเอียด

โดยทั้งนี้ รายงาน “Pulse Survey: US Companies ramping up General Data Protection Regulation (GDPR) budgets” ของ PwC ได้ทำการสำรวจความคิดเห็นผู้บริหารด้านความปลอดภัยของข้อมูลระดับอาวุโสของบริษัทในสหรัฐอเมริกาจำนวน 200 คน พบว่า 92% ของผู้ตอบแบบสอบถามบอกว่า กฎหมายจีดีพีอาร์เป็นภารกิจหลักในการปกป้องข้อมูลและมีการปฏิบัติตามข้อกฎหมายอย่างจริงจัง นอกจากนี้ ผลสำรวจดังกล่าวยังพบว่า ผู้บริหารระดับสูงถึง 77% มีแผนที่จะมีการลงทุนด้านจีดีพีอาร์ถึง 1 ล้านดอลลาร์ หรือมากกว่านั้น

สำหรับธุรกิจไทยก็เช่นกัน ดิฉันขอแบ่งประเภทของธุรกิจที่คาดว่า จะได้รับผลกระทบจากกฎหมายฉบับนี้ออกเป็น 3 ประเภท ได้แก่ 1) ธุรกิจที่ดำเนินกิจการหรือมีสาขาอยู่ในกลุ่มประเทศในอียู เช่น ธุรกิจส่งออกสินค้า อาหาร และธนาคาร ซึ่งสำหรับตอนนี้ สถาบันการเงินหลายแห่งเริ่มมีการตื่นตัวเพราะเชื่อว่า ธุรกิจจะได้รับผลกระทบโดยตรงจากจีดีพีอาร์ 2) บริษัทที่แม้จะยังไม่มีธุรกิจในอียูขณะนี้ แต่มีแผนที่จะขยายธุรกิจที่นั่น เช่น ธุรกิจที่มองว่า อียูจะเป็นตลาดใหญ่ และ 3) ประเภทสุดท้ายคือ ธุรกิจที่ไม่มีสาขาอยู่ในอียู แต่มีลูกค้าเป็นพลเมืองอียู เช่น โรงแรม แอปพลิเคชันจองที่พัก และ สายการบิน เป็นต้น  

มาถึงตรงนี้ ดิฉันมีคำแนะนำในการเตรียมพร้อมสำหรับกฎหมายจีดีพีอาร์มาฝากภาคธุรกิจไทยกันด้วย โดยสิ่งแรกที่ต้องปฏิบัติคือ ประเมินว่าธุรกิจของเราได้รับผลกระทบจากจีดีพีอาร์มากน้อยแค่ไหน และกระทบด้านใดบ้าง หลังจากนั้นมาดูว่า ธุรกิจของเราจะรับมือกับเรื่องนี้อย่างไร โดยต้องตรวจสอบว่า ธุรกิจของเราเก็บข้อมูลของลูกค้าประเภทใดบ้าง มีกระบวนการในการขอการยอมรับ (Consent) จากลูกค้าแล้วหรือยัง รวมถึงมีความสามารถในการป้องกันข้อมูลส่วนบุคคล และมีนโยบายป้องกันข้อมูลส่วนตัวของลูกค้าดีแค่ไหน และเรามีการฝ่าฝืนกฎและข้อบังคับใดไปบ้างหรือเปล่า

ในส่วนผู้ใช้งานออนไลน์เอง ก็ต้องปกป้องคุ้มครองข้อมูลส่วนบุคคลของตัวเองเช่นกัน โดยทุกครั้งที่เราเข้าเว็บไซต์ หรือดาวน์โหลดข้อมูลอะไร ต้องอ่านคำชี้แจงสิทธิส่วนบุคคลในการใช้งานอย่างละเอียด หรือ หากเคยลงทะเบียนออนไลน์ หรือในแอปพลิเคชันใดๆ ก็ตาม ต้องถามตัวเองว่า ทราบหรือไม่ว่าองค์กรนั้นๆ นำข้อมูลเราไปใช้ทำอะไรบ้าง และเขาได้ขออนุญาตจากเราหรือยัง

อย่างที่กล่าวไป กฎหมายจีดีพีอาร์ส่งผลกระทบต่อธุรกิจทั่วโลกที่ทำธุรกิจกับอียู หลายๆ ประเทศในแถบเอเชียแปซิฟิกที่ตื่นตัวในการคุ้มครองข้อมูลส่วนบุคคลของประชากรในประเทศตนเองเป็นอย่างมาก เช่น สิงคโปร์ สาธารณรัฐประชาชนจีน และเขตบริหารพิเศษฮ่องกง แห่งสาธารณรัฐประชาชนจีน เป็นต้น ในส่วนของไทยเอง ก็เร่งผลักดันให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของประเทศ ล่าสุด คณะรัฐมนตรีเร่งประกาศใช้ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หลังจากมีการปรับแก้ไขหลายครั้ง ถึงคราวภาคธุรกิจไทยต้องเร่งปรับตัวในเรื่องนี้กันอย่างจริงจังเพราะจะมีส่วนสำคัญต่อชื่อเสียง ภาพลักษณ์ และความสามารถในการแข่งขันของทั้งตัวธุรกิจและประเทศชาติ

//จบ//