กฏหมาย GDPR กำลังจะถูกใช้ในกลุ่มประเทศ EU ประมาณกลางปี 2018 โดยเรื่องนี้มีผู้ได้ผลกระทบไม่น้อย วันนี้เราจึงสรุปบทความที่นำเสนอถึงมุมมองว่า GDPR นั้นมีผลกระทบอย่างไร จริงๆแล้วใครมีผลกระทบบ้างและบริษัทหรือผู้ให้บริการ Cloud มีการรับมือกับกฏหมายนี้อย่างไร ซึ่งแม้แต่ในประเทศเราเองหากท่านใดที่มีการทำธุรกิจกับกลุ่มประเทศใน EU หรือมีการใช้ Cloud ในโซนนั้นก็ได้รับผลกระทบเช่นเดียวกัน
ส่วนนึงที่สำคัญมากกับกฏหมายนี้คือคำว่า ‘Data Localization‘ ซึ่งอ้างถึงการเก็บข้อมูลต้องอยู่ภายในภูมิภาคหรือประเทศเดียวกันกับที่ๆ ข้อมูลนั้นเกิดขึ้น ซึ่งประเทศอย่าง จีน เยอรมัน สวิตเซอร์แลนด์ เนเธอแลนด์ รัสเซีย อินโดนีเซีย แคนย่า แทนซาเนีย และอีกหลายประเทศสามารถผ่านคำสั่งนี้ก่อนปี 2018 แล้ว อันที่จริงแล้ว GDPR ได้กล่าวถึงการที่ข้อมูลส่วนบุคคลจะสามารถถูกส่งไปในประเทศนอก EU ซึ่งมีระดับการปกป้องที่ได้รับการรับรองแล้วเท่านั้น หากองค์กรใดมีข้อสงสัยแม้เพียงน้อยนิดต่อปลายทางนั้นก็ไม่สามารส่งข้อมูลไปที่นั่นได้ เนื่องด้วยบทปรับอันแสนแพงหลายองค์กรจึงต้องทำให้แน่ใจว่าข้อมูลของลูกค้าจะไม่ออกไปนอก EU รวมถึงประเทศที่ข้อมูลนั้นเกิดขึ้นด้วย นอกจากนี้ภายในกฏหมาย GDPR ยังมีนิยามคำว่า ‘Data Controller’ และ ‘Data Processor’ ที่ต้องเข้าใจดังนี้
- Data Controller หมายถึง บุคคล ผู้มีอำนาจสาธารณะ บริษัทตัวแทนหรือบุคคลอื่นใดไม่ว่าจะเป็นบริษัทเดียวหรือมีส่วนร่วมกัน ที่มีสามารถกำหนดจุดประสงค์และหนทางก็การประมวลผลข้อมูลส่วนบุคคล ยกตัวอย่างเช่น หน่วยงานรัฐบาล องค์กรอาสาสมัครต่างๆ กลุ่มบริษัทค้าขาย สถาบัน หรือโรงพยาบาลต่างๆ ที่มีการเก็บข้อมูลส่วนบุคคล ทั้งนี้องค์กรกว่า 80% ทั่วโลกตกอยู่ในกลุ่มนี้
- Data Processor หมายถึง บุคคล ผู้มีอำนาจสาธารณะ บริษัทตัวแทนหรือบุคคลอื่นใด ที่ทำการประมวลผลข้อมูลส่วนบุคคลในรูปแบบตัวแทนของกลุ่ม Controller ยกตัวอย่างเช่น บริษัทที่บัญชี บริษัทวิจัยทางการตลาด และ Cloud Service provider ล้วนตกอยู่ในกลุ่มนี้ทั้งสิ้น
*ตัวอย่างเพิ่มเติมหากองค์กรของคุณควบคุมและมีส่วนรับผิดชอบกับข้อมูลส่วนบุคคลที่ถืออยู่ บริษัทของคุณคือ Data Controller ในทางกลับกันถ้าบริษัทของคุณถือข้อมูลส่วนบุคคลอยู่แต่มีองค์กรอื่นทำหน้าที่ตัดสินใจและรับผิดชอบสิ่งที่เกิดขึ้นกับข้อมูลบริษัทอื่นนั้นจะกลายเป็น Data Controller และบริษัทของคุณคือ Data Processor
ถึงแม้ Public Cloud จะมีผลประโยชน์มากมายต่อองค์กรผู้ใช้งานแต่มันยังขาดความสามารถในการมองเห็นหรือทราบว่าข้อมูลถูกเก็บที่ไหน อย่างไร รวมถึงการใช้งานว่ามีการประมวลผลอย่างไร นี่คือสิ่งที่ GDPR มองว่าเป็นปัญหา ดังนั้นบริษัทข้ามชาติที่มีการใช้งาน Cloud ต้องมั่นใจว่าข้อมูลส่วนบุคคลนั้นจะไม่เล็ดลอดออกไปจากขอบเขตที่กำหนดไว้ มิเช่นนั้นทั้งองค์กรและบริการ Cloud นั้นถือว่าละเมิดกฏหมาย ด้วยเหตุนี้เองตอนนี้ผู้ให้บริการ Cloud รายหลักๆ จึงเริ่มขยายโครงสร้างพื้นฐานของตนออกไปทั่ว EU เพื่อให้เข้ากับกฏหมายนี้
ส่วนบริษัทที่เล็กลงมาและไม่มีทรัพยากรที่จะขยายตัวได้อย่างรายใหญ่ ก็อาจจะจับมือกับผู้ให้บริการ Cloud เพื่อให้สามารถผ่านกฏหมายนี้ไปให้ได้ ในส่วนของผู้ใช้งาน Cloud ระดับองค์กรเองเราคาดหวังว่าจะเรียกร้องไปยังผู้ให้บริการ Cloud ของตนเพื่อสร้างความสามารถในการมองเห็นว่าข้อมูลองค์กรนั้นถูกเก็บหรือมีการจองพื้นที่ใช้งานอย่างไร หรือองค์กรอาจมีกลยุทธ์การใช้งาน Cloud หลายๆ เจ้า (Multi-Cloud) ที่จะทำให้องค์กรสามารถมีตัวเลือกในประเทศที่ต้องการผ่านกฏหมายและถ่วงดุลย์กันเพื่อจะสามารถย้ายค่ายได้หากผู้ให้บริการรายใดเกิดปัญหาหรือมีความเสี่ยงขึ้น
ที่มา : techtalkthai
ลิงค์ : https://www.techtalkthai.com/who-is-effected-from-gdpr/
