General Data Protection Regulation หรือ GDPR เป็นกฎหมายของสหภาพยุโรปว่าด้วยมาตรการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล โดยข้อมูลส่วนบุคคลตามนิยามของ GDPR คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม รวมถึงข้อมูลที่นำมารวมกันแล้วสามารถใช้ระบุอัตลักษณ์ของบุคคลได้ เช่น ชื่อ-นามสกุล ที่อยู่ อีเมล หมายเลขบัตรประจำตัว IP Address
แนวคิดพื้นฐานของ Data protection ‘by design’ and ‘by default’ มีการใช้อยู่ในกระบวนการทางวิศวกรรมบางสาขา แต่จะรู้จักกันในชื่อ Privacy by Design (PbD) และได้ถูกนำมาใช้อย่างหลากหลายหลังการบังคับใช้กฎหมาย GDPR เนื่องจากมีการกำหนดไว้ชัดใน Articles 25 (1) และ (2) จึงถือได้ว่าไม่ใช่เรื่องใหม่มากนัก และเนื่องจากการกำหนดถึง Data protection ‘by design’ and ‘by default’ ไว้ชัดใน GDPR ทำให้ ประเทศไทยได้กำหนดไว้ในเรื่องดังกล่าวด้วยเนื่องจากการที่นำกฎหมาย GDPR เป็นต้นแบบในการบัญญัติกฎหมายคุ้มครองข้อมุลส่วนบุคคลขึ้น ส่งผลให้องค์กรที่จัดอยู่ในกลุ่มขอบเขตการทำงานที่มีกิจกรรมประมวลผลข้อมูลส่วนบุคคลรวมอยู่ด้วย ก็ควรจะต้องพึงระวัง และศึกษาแนวคิดพื้นฐานไว้ เพื่อการจัดการดูแลข้อมูลอย่างเป็นระบบ
แล้ว Data protection by design and by default คืออะไร ?
- Data Protection by Default (การคุ้มครองข้อมูลส่วนบุคคลโดยค่าเริ่มต้น) เป็นการกำหนดเพื่อให้มั่นใจว่าผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นเพื่อบรรลุวัตถุประสงค์ตามที่ได้กำหนดไว้ โดยการประมวลผลข้อมูลส่วนบุคคลดังกล่าวจะเชื่อมโยงหลักการพื้นฐานการใช้ข้อมูลอย่างจำกัดและการจำกัดวัตถุประสงค์ เช่น ไม่มีการเลือกอัตโนมัติในหน้าบัญชีลูกค้า
- Data Protection by Design (การคุ้มครองข้อมูลส่วนบุคคลโดยการออกแบบ) เป็นการกำหนดเพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลให้ความสำคัญเรื่องความเป็นส่วนตัวและการคุ้มครองข้อมูล โดยเริ่มจากการออกแบบระบบ บริการ และกระบวนการต่าง ๆ ตลอดถึงการกำหนดวงจรชีวิตของข้อมูล กล่าวคือเป็นการวางแผนมาตรการทางเทคนิคและทางการจัดการองค์กร
ซึ่งหลักการพื้นฐานของ Data Protection by Design จะมีหลักการเดียวกับ Privacy by Design (PbD) ซึ่งเป็นการวางแผนจะต้องครอบคลุมตั้งแต่ขั้นตอนแรกจนไปถึงขั้นตอนสุดท้ายของการออกแบบระบบ ซึ่งมีหลากหลายเทคนิคที่จะช่วยป้องกันข้อมูลไม่ให้ถูกใช้จนเกินขอบเขตที่ระบุ และยังป้องกันการรั่วไหลของข้อมูลอีกด้วย
หลัก 7 ประการของ Privacy by Design (PbD) มีอะไรบ้าง
- Proactive not Reactive; Preventative not Remedial
หรือการคุ้มครองข้อมูลส่วนบุคคลตั้งแต่กระบวนการออกแบบ เป็น วิธีการเชิงรุกไม่ใช่เชิงรับหรือ เน้นเชิงป้องกัน ไม่ปล่อยให้เกิดปัญหาแล้วค่อยแก้ไข (before-the-fact, not after) ตัวอย่างเช่น Google Chrome จะมีข้อความแจ้งเตือนเสมอเมื่อเรากำลังจะเข้าเว็บไซต์ที่มีความเสี่ยงสูง ซึ่งการตัดสินใจว่าเข้า หรือไม่เข้าเว็บไซต์ดังกล่าวเป็นการตัดสินใจของเราเอง
- Privacy as the Default Setting
เป็นแนวทางในการออกแบบ ให้กระบวนการทางธุรกิจ หรือผลิตภัณฑ์ มีความสามารถในการคุ้มครองข้อมูลส่วนบุคคลอย่างอัตโนมัติ หากเจ้าของข้อมูลใช้บริการหรือใช้ผลิตภัณฑ์ ข้อมูลส่วนบุคคลจะต้องได้รับความคุ้มครอง โดยที่ไม่ต้องออกแรง ตั้งค่าใดๆ เลย เช่น เวลาที่สมัครเป็นสมาชิกเว็บไซต์ เว็บไซต์จะมีช่องให้เลือกว่าจะยินยอมทำตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของหรือไม่ และยินยอมให้นำข้อมูลไปประมวลผลหรือไม่ ซึ่งช่องเหล่านั้นต้องไม่ถูกเลือกก่อนล่วงหน้า (ผู้ใช้จะต้องตัดสินใจเองโดยไม่มีการถูกบังคับ)
- Privacy Embedded into Design
เป็นการนำหลักการคุ้มครองข้อมูลส่วนบุคคลผสมผสานเข้ากับการออกแบบ ผลิตภัณฑ์ สถาปัตยกรรมของระบบเทคโนโลยีดิจิทัลและกระบวนการทางธุรกิจ ไม่ใช่การเพิ่มเติมในภายหลัง ซึ่งจะทำให้การคุ้มครองข้อมูลส่วนบุคคลกลายเป็นองค์ประกอบพื้นฐานที่สำคัญของทุกการออกแบบ เพื่อให้บริการหรือผลิตภัณฑ์สามารถคุ้มครองข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพ เช่นการนำเอาหลัก การจัดเก็บเฉพาะข้อมูลที่จำเป็น (Data Minimization) มาใช้
- Full Functionality – Positive-Sum, not Zero-Sum
เจ้าของข้อมูลสามารถที่จะปฏิเสธการให้ข้อมูลกับผู้ให้บริการได้ แต่ยังสามารถใช้งานบริการได้เหมือนเดิม ห้ามบังคับให้เจ้าของข้อมูลให้ข้อมูลกับผู้ให้บริการ โดยใช้คุณสมบัติบางประการของบริการเป็นตัวประกัน เช่น หาก เจ้าของข้อมูลปฏิเสธการให้ตำแหน่งปัจจุบันในโทรศัพท์มือถือ Google Map ก็ยังให้บริการแผนที่ได้เหมือนเดิม เพียงแค่ผู้ใช้ต้องพิมพ์ระบุตำแหน่งปัจจุบันเองเท่านั้น
- End-to-End Security – Full Lifecycle Protection
เอาใจใส่ในการดูแลข้อมูลส่วนบุคคลตั้งแต่ขั้นตอน เก็บรวบรวม ใช้ หรือส่งต่อ จนกระทั่งทำลาย ซึ่งโดยทั่วไปอาจจะใช้การเข้ารหัสข้อมูล และการพิสูจน์ตัวตนก่อนเข้าถึงข้อมูลร่วมในทุกขั้นตอน และรวมถึงการรวบรวมข้อมูล จะต้องมีระบุฐานทางกฎหมายที่ถูกต้อง และเมื่อหลังจากนำมาประมวลผลแล้ว ควรมีการทำลายตามที่ได้กำหนดไว้ในนโนบายการจัดเก็บข้อมูลหรือตามกฎหมายด้วย
- Visibility and Transparency – Keep it Open
เจ้าของข้อมูลส่วนบุคคลควรจะได้รับรู้ว่า องค์กรมีการจัดการกับการคุ้มครองข้อมูลส่วนบุคคลของเขาอย่างไร และองค์กรจะต้องเปิดเผยและสื่อสาร ให้เจ้าของข้อมูลได้รับรู้ ผ่านนโยบายคุ้มครองข้อมูลส่วนบุคคล
- Respect for User Privacy – Keep it User-Centric
การออกแบบไม่ว่าจะเป็นบริการหรือผลิตภัณฑ์หรือกระบวนการทางธุรกิจ จะต้องยึดถือให้ผู้ใช้เป็นหลัก เช่น ต้องคุ้มครองข้อมูลส่วนบุคคลอย่างอัตโนมัติ หรือมีการแจ้งเตือนที่เหมาะสม และออกแบบให้ผู้ใช้งานใช้บริการหรือผลิตภัณฑ์ง่ายที่สุด
ยิ่งแล้วใหญ่กับนักการตลาด นักวางแผนธุรกิจที่จำเป็นต้องมีการเก็บรวบรวม ใช้ เผยแพร่ข้อมูลส่วนบุคคล (ไม่ว่าจะเป็นข้อมูลส่วนบุคคลพนักงานในองค์กร ลูกค้า คู่ค้า) ดังกล่าวไปใช้ในการดำเนินการทางธุรกิจเป็นหลัก ซึ่งหลายๆท่านอาจเกิดคำถามว่า เราทำถูกต้องไหม ? ใช้ข้อมูลถูกต้องไหม ? เก็บข้อมูลถูกต้องไหม ? PDPAThailand ช่วยคุณได้ด้วยบริการให้คำปรึกษาทางด้านกฎหมาย บริการตรวจสอบการบริหารจัดการ ตรวจสอบกระบวนการทำงาน และซอฟต์แวร์ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล โดย Digital Business Consult (DBC) >>> ต้องการอ่านรายละเอียดบริการ คลิก !
