Top 10 สิ่งที่ควรรู้เกี่ยวกับ GDPR และโบนัส!! สิ่งที่ลงมือทำได้ก่อนถึงกำหนดบังคับใช้ในวันที่ 25 May 2018

AC in RSAC18 ep3 banner

มาต่อกันที่ตอนที่ 3 ของ Series ACinfotec พาเที่ยวงาน RSAC 2018 ณ Moscone Center, San Francisco  ครับ ในตอนนี้จะนำข้อมูลสรุปของ Session: Top 10 GDPR Challenges and How to Solve Them by May 25  ซึ่งถือเป็น Hot Trends ของโลกในเวลานี้ (รวมถึงในไทยด้วย) มาเล่าสู่กันฟัง

Session นี้จัดที่ South Expo Briefing Center ซึ่งเป็นพื้นที่บรรยายในบริเวณ Expo (พื้นที่ออกบูธของ Product Vendors) ของอาคาร Moscone South โดยนับเป็นอีก Session นึงที่คนแน่นมากจนที่นั่งเต็ม ต้องยืนฟังกันเลยทีเดียว

 

ประเด็นสำคัญของ Session คือ Top 10 GDRP Challenges ซึ่งประกอบด้วย

#1 Data Protection Officer (DPO)

[Article 37] องค์กรต้องแต่งตั้งผู้ทำหน้าที่เป็น Data Protection Officer เพื่อทำหน้าที่เป็นผู้คอยตรวจสอบและควบคุมการใช้งานข้อมูลส่วนบุคคลให้เป็นไปอย่างเหมาะสมและสอดคล้องกับ GDPR รวมถึงรับเรื่องร้องเรียน ดำเนินการสอบสวน และแก้ไขปัญหาเกี่ยวกับข้อร้องเรียนที่เกิดขึ้น ซึ่งแน่นอนว่าไม่มีองค์กรใดในไทยเคยมีตำแหน่งหรือบทบาทหน้าที่นี้มาก่อน แล้วใครควรทำหน้าที่นี้ในองค์กรล่ะ โดยทั่วไปแล้วก็คงไม่พ้นเป็นความรับผิดชอบของหัวหน้าฝ่าย Compliance ขององค์กรนั่นเอง นอกจากนี้ องค์กรยังควรจัดตั้ง Data Protection Steering Committee เพื่อทำหน้าที่กำกับดูแลการดำเนินการเกี่ยวกับ GDRP ทั้งหมดขององค์กร

 

#2 Legal basis for processing [Article 6, 9] ประเด็นสำคัญที่สุดคือใช้งานข้อมูลส่วนบุคคลอย่างเหมาะสม และมีจริยธรรม (เก็บเท่าที่จำเป็น และไม่นำไปเปิดเผยโดยไม่ได้รับอนุญาต) ในกรณีนี้ต้องมีการแจ้งให้เจ้าของข้อมูล (Data Subject) ทราบว่าองค์กรของท่านเก็บข้อมูลของเขาเมื่อไหร่ (Notification) เก็บข้อมูลอะไรบ้าง และจะนำไปใช้งานอย่างไร โดยต้องให้เจ้าของข้อมูลตกลงยินยอม (Consent) ในการเก็บข้อมูลเหล่านั้นด้วย

 

#3 Building a data inventory [Article 30] หากเราไม่ทราบว่ามีข้อมูลส่วนบุคคลอะไรอยู่ตรงไหนบ้าง ก็ไม่สามารถจะปกป้องข้อมูลเหล่านั้นได้ และไม่สามารถปฏิบัติตาม GDPR ได้อย่างแน่นอน ดังนั้นการจัดทำ Data Inventory จึงเป็นสิ่งสำคัญมาก ปัญหาคือการจัดทำ Data Inventory โดยมากมักใช้การสัมภาษณ์ Process Owner เป็นหลัก และมักพบว่า Process Owner ไม่ทราบว่ามีข้อมูลส่วนบุคคลอะไรบ้าง จัดเก็บอยู่ที่ไหน หรือทราบไม่ครบทั้งหมด กรณีนี้อาจต้องใช้ Data Discovery Tool เข้ามาช่วย และรีบดำเนินการ Implement Information Classification (หรือการกำหนดชั้นความลับของข้อมูล) โดยเร่งด่วน

 

#4 Data subject access requests (DSARs) [Article 15] อีกหนึ่งข้อยากของ GDPR เพราะ Data Subject สามารถร้องขอให้องค์กรชี้แจงว่าได้จัดเก็บข้อมูลส่วนบุคคลอะไรไว้บ้าง ซึ่งองค์กรจะต้องจัดส่งข้อมูลดังกล่าวให้โดยมิชักช้า (without undue delay) ซึ่งโดยมากคือภายใน 48-72 ชั่วโมง การจะปฏิบัติตามข้อนี้ได้จะต้องมีระบบและกระบวนการรองรับ รวมถึงผู้ปฏิบัติงานที่ได้รับการอบรมตามกระบวนการอย่างเหมาะสม

 

#5 Right to be erased / right to be forgotten (RtbE / RtbF) [Article 16-17] ข้อนี้ก็ยากเช่นกัน เพราะ Data Subject สามารร้องขอให้องค์กรแก้ไขข้อมูลให้ถูกต้อง หรือลบข้อมูลของเขาได้ในกรณีที่ไม่มีความจำเป็นต้องใช้งานข้อมูลดังกล่าวแล้ว ประเด็นนี้สำคัญ เพราะไม่ใช่ว่า Data Subject จะขอให้ลบข้อมูลได้ทุกกรณี การลบข้อมูลต้องไม่ขัดต่อกฎหมายอื่น และต้องไม่ละเมิดสิทธิของผู้อื่นด้วย

#6 Technical and organizational security controls ใน Article 32 ว่าด้วยเรื่อง Security of Process ได้กำหนดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม ทั้งนี้ GDPR ไม่ได้ระบุให้ทำ Encryption หรือ Pseudonymization แต่อย่างใด (ทุกอย่างขึ้นกับความจำเป็นและความเสี่ยง) รวมถึงไม่ได้กำหนดให้องค์กรต้องได้รับการรับรอง ISO 27001 ด้วย และการได้รับการรับรอง ISO 27001 ก็ไม่ได้เป็นเครื่องยืนยันว่าองค์กรจะผ่านข้อกำหนดของ GDPR หากแต่ ISO 27001 มีส่วนช่วยให้สอดคล้องกับ Article 32 ของ GDPR ได้ ถ้า apply Scope ของ ISMS ที่ข้อมูลส่วนบุคคลอย่างเหมาะสม

#7 Breach notification กรณีที่ข้อมูลส่วนบุคคลรั่วไหลโดยไม่ได้รับอนุญาต (Breach) องค์กรต้องแจ้ง (Notify) ให้ Supervisory Authority (ปัจจุบันยังไม่มีในประเทศไทย แต่อาจติดต่อโดยตรงได้ที่ http://edps.europa.eu/) ทราบภายใน 72 ชั่วโมง และแจ้งให้เจ้าของข้อมูล (Data Subject) ทราบอย่างรวดเร็ว (Without undue delay) หรือคือภายใน 72 ชั่วโมงเช่นกัน การจะทำเช่นนี้ได้ต้องเตรียมความพร้อมด้าน Incident Response และมีการซักซ้อมการดำเนินการ (Exercise) อย่างสม่ำเสมอ สำหรับองค์กรที่ยังไม่มีกระบวนการด้าน Incident Response หรือต้องการศึกษาข้อมูลเพิ่มเติม แนะนำให้อ่านจากเอกสาร NIST SP 800-61 Computer Security Incident Handling Guide ซึ่งสามารถใช้เป็นแนวทางในการสร้างกระบวนการดังกล่าวได้

#8 High risk processing and data protection impact assessments [Article 35] กำหนดให้องค์กรต้องทำการประเมินผลกระทบต่อข้อมูลส่วนบุคคล (DPIA) สำหรับกรณีที่มีการใช้งานข้อมูลส่วนบุคคลในลักษณะที่มีความเสี่ยงสูง (High Risk Data Processing) เช่น มีการเฝ้าติดตาม (Monitor) ข้อมูลส่วนบุคคลของ Data Subject เพื่อนำไปใช้ในวัตถุประสงค์ด้านการประมวลผลข้อมูลหรือจัดทำโปรไฟล์ (Processing/Profiling) หรือมีการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลในปริมาณมาก (Large Scale) เป็นต้น

จะเห็นได้ว่าไม่ใช่ทุกองค์กรต้องทำ DPIA หรือแม้แต่ต้องทำ DPIA สำหรับข้อมูลส่วนบุคคลทุกประเภท หากแต่ต้องทำ DPIA สำหรับกรณีที่มีความเสี่ยงสูง (High Risk) เท่านั้น ดังนั้นการ Implement GDPR ภายในองค์กรจึงไม่ได้เริ่มจากการทำ DPIA (ต่างจากการทำ Business Continuity Plan ซึ่งต้องเริ่มจากการทำ BIA ก่อน)

 

ข้อสังเกต: ใน GDPR ไม่ได้ระบุวิธีการทำ DPIA ไว้ ดังนั้น องค์กรสามารถใช้วิธีใดก็ได้ที่สมเหตุสมผลและสามารถให้ผลลัพธ์ที่น่าเชื่อถือ อย่างไรก็ตาม ทีมงาน ACinfotec แนะนำให้ใช้วิธีการประเมินตามที่ระบุในเอกสาร WP 248 Guideline on Data Protection Impact Assessment (DPIA) ซึ่งจัดทำโดย Data Protection Working Party

สามารถดาวน์โหลดได้ที่ http://ec.europa.eu/newsroom/document.cfm?doc_id=44137

#9 Cross-border data transfers [Article 44-49] การรับส่งข้อมูลส่วนบุคคลข้ามพรมแดนหรือข้ามประเทศ (เช่น ระหว่างไทยกับ EU) ต้องเป็นไปตามหลักสำคัญ 3 ประการ ได้แก่

  • ต้องมีเหตุอันสมควรให้เคลื่อนย้ายข้อมูลออกนอก EU และการเคลื่อนย้ายข้อมูลนั้นต้องไม่ขัดต่อกฎหมาย
  • ต้องมีการแจ้งให้เจ้าของข้อมูลทราบ (Notification) และให้เจ้าของข้อมูลตกลงยินยอม (Consent) ในการเคลื่อนย้ายข้อมูลข้ามประเทศ
  • กรณีที่มีการแลกเปลี่ยนข้อมูลกับ Third Parties ต้องลงนามในข้อสัญญาที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคล (จัดทำสัญญาใหม่หรือปรับปรุงสัญญาเดิม) และในกรณีนี้จะทำให้ Third Parties ต้องปฏิบัติตาม GDPR ด้วย

 

#10 Third parties [Article 28, 44-49] สำหรับข้อนี้ ต้องทำความเข้าใจคำว่า Data Controller และ Data Processor ก่อน

  • Data Controller คือ Entity ที่พิจารณาวัตถุประสงค์และวิธีการในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคล และจัดเป็นผู้รับผิดชอบหลัก (Main Responsible Entity)
  • Data Processor คือ Entity ที่ประมวลผลข้อมูลส่วนบุคคลให้กับ Data Controller ตามวัตถุประสงค์และวิธีการที่ Data Controller กำหนด Data Processor มีหน้าที่ต้องปฏิบัติตาม GDPR เช่นเดียวกัน

องค์กรของท่านอาจเป็น Data Controller, Processor หรือทั้งสองอย่างก็ได้ ในกรณีที่องค์กรของท่านใช้บริการ Third Parties ในการประมวลผลข้อมูลส่วนบุคคล ต้องมีการกำกับดูแล (เช่น จัดทำสัญญาและหมั่นตรวจสอบ) ให้ Third Parties (ในที่นี้คือ Data Processor) ต้องปฏิบัติตามข้อกำหนดใน Article 28 Processor Responsibilities ด้วย

 

โบนัส!! สิ่งที่ลงมือทำได้ก่อนถึงกำหนดบังคับใช้ในวันที่ 25 May 2018

สิ่งที่สำคัญที่สุดอันดับแรกคือการทำความเข้าใจว่าองค์กรของท่านเข้าข่ายต้องปฏิบัติตาม GDPR หรือไม่ (Scope) เพราะไม่ใช่ทุกองค์กรที่ Process ข้อมูลส่วนบุคคลของ EU Citizen จะเข้าข่ายเสมอไป

หากองค์กรของท่านมีลักษณะหรือการดำเนินงานในข้อใดข้อหนึ่งต่อไปนี้ถือว่าเข้าข่าย

  • ตั้งอยู่ใน EU และมีการ Process ข้อมูลส่วนบุคคล
  • ตั้งอยู่ในประเทศอื่น ๆ โดยเป็นสาขาของบริษัทแม่ที่ตั้งอยู่ใน EU และมีการ Process ข้อมูลส่วนบุคคล
  • ตั้งอยู่ในประเทศไทย และมีการ Process ข้อมูลส่วนบุคคลของคนที่อาศัยอยู่ในภูมิภาค EU (ไม่ว่าจเป็น EU Citizen หรือไม่ก็ตาม) เป็นส่วนหนึ่งของเป้าหมายในการดำเนินธุรกิจ หรือมีการรับส่งข้อมูลส่วนบุคคล Cross-Border กับบริษัทในภูมิภาค EUเฉพาะข้อนี้ ขอยกตัวอย่างประกอบความเข้าใจ ดังนี้ หากองค์กรของท่านตั้งอยู่ในประเทศไทยและมีการดำเนินธุรกิจโดยเน้นกลุ่มเป้าหมายเป็นลูกค้าจากสหภาพยุโรป เช่น ธุรกิจสายการบิน โรงแรม หรือโรงพยาบาล กรณีนี้เข้าข่ายต้องปฏิบัติตาม GDPR

    แต่หากองค์กรของท่านไม่ได้ดำเนินธุรกิจโดยมีกลุ่มเป้าหมายเป็นลูกค้าจากสหภาพยุโรป แต่มีลูกค้าที่เป็น EU Citizen มาใช้บริการองค์กรของท่านเองในประเทศไทย (เช่น โรงพยาบาล โรงแรม หรือ Travel Agency) กรณีนี้ไม่เข้าข่ายต้องปฏิบัติตาม GDPR

    ข้อควรระวัง: ถึงแม้องค์กรของท่านจะไม่เข้าข่ายในตอนแรก แต่หากท่านมีการนำส่งข้อมูลส่วนบุคคลของคนที่อาศัยอยู่ในภูมิภาค EU ให้องค์กรอื่นนำไปใช้งานต่อ (เช่น เพื่อวัตถุประสงค์ทางการตลาด) หรือมีการส่งข้อมูลส่วนบุคคลกลับไปยังบริษัทที่ตั้งอยู่ในภูมิภาค EU กรณีนี้ องค์กรของท่านจะกลายเป็นเข้าข่ายต้องปฏิบัติตาม GDPR ทันที

หากไม่เข้าข่ายข้อใดข้อหนึ่งข้างต้น องค์กรของท่านอาจไม่จำเป็นต้องปฏิบัติตาม GDPR อย่างไรก็ตาม ควรปรึกษานักกฎหมายหรือผู้เชี่ยวชาญเพื่อความมั่นใจอีกครั้ง เพราะการตีความขอบเขตการบังคับใช้ของ GDPR ในหลายประเด็นยังคงเป็นที่โต้เถียงกันจนถึงขณะนี้หากองค์กรของท่านเข้าข่ายต้องปฏิบัติตาม GDPR ให้ดำเนินการดังนี้

ทำทันที: จัดตั้ง Data Protection Steering Committee (และ Sub-Committee ที่เกี่ยวข้อง) และแต่งตั้ง Data Protection Officer (DPO) สำหรับองค์กรที่เข้าข่ายตามที่ได้อธิบายไว้ข้างต้น

 

ทำภายใน 25 วัน

  • งานส่วนที่ 1:
    • Article 30: จัดทำ Data Inventory
    • List รายชื่อ Third Parties ที่เกี่ยวข้อง และติดต่อประสานงานเพื่อลงนามในข้อสัญญาที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคล (จัดทำสัญญาใหม่หรือปรับปรุงสัญญาเดิม)
  • งานส่วนที่ 2:
    • เตรียมการเรื่อง DSARs, RtbE/RtbF, Breach Notification และ Cross-Border Data
  • งานส่วนที่ 3:
    • ดำเนินการในส่วนอื่น ๆ ที่เหลือ ได้แก่ สร้างมาตรการรักษาความมั่นคงปลอดภัย (Information Security Controls), ทำการประเมินผลกระทบต่อข้อมูลส่วนบุคคล (DPIA) สำหรับกรณีที่มีการใช้งานข้อมูลส่วนบุคคลในลักษณะที่มีความเสี่ยงสูง (High Risk Data Processing)

อ่านบทความ Series ACinfotec พาเที่ยวงาน RSA Conference 2018 ย้อนหลังได้ที่นี่

Ep1: แนะนำภาพรวมของงาน RSAC 2018  >>Click<<

Ep2: Opening Keynote >>Click<<