GDPR ความปลอดภัยของผู้ใช้ ถือเป็นความหนักใจขององค์กรหรือไม่ อย่างไร?

ความเป็นส่วนบุคคล หรือ Privacy นั้น กลายเป็นประเด็นที่น่าสนใจ และเป็นเรื่องหลักที่ทุกคนควรให้ความสำคัญ โดยทั่วไปแล้วหมายถึง สิทธิที่จะอยู่ตามลำพัง และเป็นสิทธิที่เจ้าของสามารถที่จะควบคุมข้อมูลของตนเอง ในการจะเปิดเผยหรือไม่เปิดเผยให้กับผู้อื่น สิทธินี้หมายรวมถึงทั้งปัจเจกบุคคล กลุ่มบุคคล และองค์การต่าง ๆ

เมื่อเทคโนโลยีที่มาในหลากหลายรูปแบบ ทำให้ขอบเขตของความเป็นส่วนบุคคลนั้นลดน้อยลงไป จนส่งผลต่อความปลอดภัยของเจ้าของข้อมูลได้ เมื่อเกิดเหตุการณ์ Data Breach ทำให้ข้อมูลส่วนบุคคลถูกขโมยไปใช้ในทางที่ไม่ถูกต้อง หลายประเทศจึงมีการออกกฎหมายเพื่อคุ้มครองข้อมูลของผู้บริโภคหรือที่เรียกกันว่า GDPR

GDPR ย่อมาจาก General Data Protection Regulation คือ กฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคฉบับใหม่ของ EU (European Union) โดยให้ความคุ้มครองกับพลเมืองที่อาศัยอยู่ในเขตสหภาพยุโรป เน้นว่าครอบคลุมทุกคนที่อาศัยอยู่ในเขต EU โดยไม่จำเป็นว่าต้องมีสัญชาติใน EU นะ กฎหมายนี้มีข้อกำหนดให้ธุรกิจต่าง ๆ โดยเฉพาะธุรกิจที่เกี่ยวข้องกับบริการทางอินเทอร์เน็ต ต้องปฏิบัติตามมาตรการต่าง ๆ ที่กำหนดไว้ เพื่อเพิ่มความเข้มงวดในการคุ้มครองข้อมูลส่วนตัวของผู้บริโภค ส่วนมากมักเกี่ยวกับว่าข้อมูลถูกนำไปใช้ที่ไหน และนำไปใช้อะไร และสิทธิต่าง ๆ ในการจัดการกับข้อมูลเหล่านั้น

อะไรบ้างที่เป็นข้อมูลส่วนบุคคล?

ข้อมูลส่วนบุคคลประกอบด้วยอะไรก็ตามที่จะบ่งบอก หรือระบุตัวตนได้ ในทางตรงไปตรงมา ได้แก่ เลขประจำตัว ชื่อ นามสกุล วันเดือนปีเกิด รูปลักษณ์ ลักษณะทางกายภาพ ที่อยู่ เบอร์โทรศัพท์ หมายเลขบัตรเครดิต ข้อมูลทางการแพทย์ และข้อมูลละเอียดอ่อนอื่น ๆ (Sensitive Information) เช่น ข้อมูลไบโอเมทริกส์ ไม่ว่าจะเป็น ลายนิ้วมือ เล็บ เส้นผม ดีเอ็นเอ และอื่น ๆ หรือรวมถึงข้อมูลในเชิงไลฟ์สไตล์ สถานะทางเศรษฐกิจ สถานะทางสังคม ศาสนาและความเชื่อต่าง ๆ ทั้งยังคุ้มครองข้อมูลที่สามารถชี้กลับมายังตัวบุคคลได้ด้วยเช่นกัน เช่น IP address หรืออัตลักษณ์บนโลกโซเชียล

ภายใต้ GDPR บริษัทใดก็ตามที่ถือครองข้อมูลเหล่านี้อยู่ ต้องวางมาตรการควบคุม และจัดการอย่างเหมาะสม เพื่อจัดเก็บรักษาข้อมูลส่วนบุคคลทั้งหมดอย่างมั่นคงปลอดภัย ก่อนที่จะขอเข้าถึงข้อมูลส่วนบุคคลนั้น ๆ การขอความยินยอมจากผู้บริโภคจะต้องมีข้อความที่อ่านเข้าใจง่าย ใช้ภาษาที่รวบรับชัดเจน ไม่คลุมเครือ และการถอนความยินยอมก็ต้องทำได้ง่ายด้วยเช่นกัน ยิ่งไปกว่านั้น เจ้าของข้อมูลสามารถขอให้หน่วยงานควบคุมข้อมูล ลบข้อมูลของตัวเองออกได้ หรือที่เรียกว่า สิทธิ์ที่จะถูกลืม (Right to be Forgotten) โดยองค์กรจะต้องจัดการให้ตามคำขออย่างเหมาะสมรวดเร็ว

บทลงโทษจากการไม่ปฏิบัติตามกฎนั้นถือว่าค่อนข้างแรงทีเดียว รวมถึงหากเกิดกรณี Data Breach ขึ้น ค่าปรับนั้นสูงถึง 4% ของผลประกอบการรายได้ทั่วโลกทั้งหมด หรือกว่า 20 ล้านยูโรเลย