Digital Forensics:GDPR
กฎหมาย GDPR ฉบับรวบรัด
อะไร อย่างไร เกี่ยวกับ GDPR
“General Data Protection Regulation” หรือเรียกด้วยอักษรย่อว่า GDPR เป็นกฎหมายของสหภาพยุโรปว่าด้วยมาตรการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล ซึ่งมีผลบังคับใช้วันที่ 25 พฤษภาคม พ.ศ. 2561 ที่ผ่านมา จึงอาจส่งผลกระทบต่อหลายฝ่าย โดยเฉพาะอย่างยิ่ง หน่วยงานต่าง ๆ ไม่ว่าภาครัฐ ภาคเอกชน หรือ ภาคธุรกิจที่มีการดำเนินการเกี่ยวกับการเก็บข้อมูลส่วนบุคคล หรือ การให้บริการออนไลน์แก่บุคคลที่อยู่ในสหภาพยุโรป ดังนั้น การเตรียมความพร้อมและทำความเข้าใจกฎหมาย GDPR จึงมีความจำเป็นเพื่อส่งเสริมการคุ้มครองข้อมูลส่วนบุคคลของภาคธุรกิจให้เทียบเท่ากับมาตรฐานสากล และป้องกันผลกระทบจากกฎหมายที่อาจเกิดขึ้นอีกด้วย
เนื่องจากการปฏิบัติให้สอดคล้องกับกฎหมาย GDPR มีหลายขั้นตอน เพื่อให้เข้าใจภาพรวมของกฎหมาย GDPR ได้ง่ายขึ้น ผู้อ่านสามารถทำความเข้าใจโดยเริ่มต้นจากสรุปย่อหลักสำคัญต่าง ๆ ดังนี้
ข้อมูลส่วนบุคคล (Personal Data)
ข้อมูลส่วนบุคคลตามนิยามของ GDPR คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม รวมถึงข้อมูลที่นำมารวมกันแล้วสามารถใช้ระบุอัตลักษณ์ของบุคคลได้
ตัวอย่างข้อมูลส่วนบุคคล
- ชื่อ-นามสกุล
- ที่อยู่บ้าน
- อีเมล เช่น name.surname@company.com
- หมายเลขบัตรประจำตัว
- ข้อมูลที่ตั้ง (Location Data) เช่น ข้อมูลที่ตั้งจากโทรศัพท์เคลื่อนที่
- IP Address
- Cookie ID
- หมายเลข ID เพื่อใช้ในการโฆษณาในโทรศัพท์เคลื่อนที่
- เวชระเบียนและข้อมูลสุขภาพอื่น ๆ ซึ่งสามารถใช้ระบุอัตลักษณ์ของผู้ป่วยได้
- พฤติกรรมการบริโภคสินค้า-บริการ
ตัวอย่างข้อมูลที่ไม่นับว่าเป็นข้อมูลส่วนบุคคล
- หมายเลขจดทะเบียนบริษัท
- อีเมล เช่น info@company.com
- ข้อมูลนิรนาม
บทบาทของผู้เกี่ยวข้องกับการประมวลผลข้อมูล
GDPR ได้ให้คำจำกัดความและหน้าที่ของบทบาทของผู้เกี่ยวข้องกับการประมวลผลข้อมูลหลักไว้ 3 บทบาท ดังนี้
- ผู้ควบคุมข้อมูลส่วนบุคคล (Controller) คือ กำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูล ซึ่งโดยส่วนมากจะเป็นผู้ขอความยินยอมจากเจ้าของข้อมูล เช่น ผู้ให้บริการเว็บไซต์ต่าง ๆ
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Processor) คือ ผู้ประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์และวิธีการของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งในทางปฏิบัติอาจเป็นบุคคลเดียวกับผู้ควบคุมข้อมูลส่วนบุคคลก็ได้ อนึ่ง “การประมวลผลข้อมูล” (Processing) ตามกฎหมาย GDPR นั้น ไม่ใช่เพียงแค่การวิเคราะห์ หรือ จัดการข้อมูลแบบทั่วไปเท่านั้น แต่ให้รวมถึงการบันทึกและจัดเก็บข้อมูลด้วย
- เจ้าของข้อมูลส่วนบุคคล (Data Subject)
ขอบเขตการบังคับใช้โดยสังเขป
หลักเกณฑ์ที่จะต้องพิจารณาต่อไปคือ การประมวลผลข้อมูลส่วนบุคคลกระทำ “ที่ใด” และข้อมูลส่วนบุคคลเป็น “ของใคร” ซึ่งกฎหมาย GDPR ได้กำหนดให้ “การประมวลผลข้อมูล” ในลักษณะต่อไปนี้ต้องตกอยู่ภายใต้ขอบเขตการบังคับใช้ของกฎหมาย GDPR ดังนี้
- “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” มีสถานประกอบการอยู่ภายในสหภาพยุโรป
- “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ไม่มีสถานประกอบการอยู่ภายในสหภาพยุโรป แต่การประมวลผลนั้นเกี่ยวข้องกับการเสนอสินค้าหรือบริการให้แก่บุคคลผู้พำนักในสหภาพยุโรป
- “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ไม่มีสถานประกอบการอยู่ภายในสหภาพยุโรป แต่การประมวลผลนั้นเกี่ยวข้องกับการเฝ้าสังเกตพฤติกรรมที่เกิดขึ้นในสหภาพยุโรป ทั้งนี้ หากมีการประมวลผลข้อมูลส่วนบุคคลนอกอาณาเขตของสหภาพยุโรป และประเทศนั้นมีผลผูกพันทางกฎหมายกับประเทศสหภาพยุโรป เช่น สนธิสัญญา จะตกอยู่ภายใต้ขอบเขตการบังคับใช้ของ GDPR เช่นเดียวกัน
หลักการขอ “ความยินยอม” (Consent)
เมื่อการประมวลผลข้อมูลส่วนบุคคลตกอยู่ภายใต้ขอบเขตการบังคับใช้กฎหมาย GDPR ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องปฏิบัติตามหลักพื้นฐานในการประมวลผลข้อมูลส่วนบุคคล เช่น ต้องประมวลผลข้อมูล “โดยชอบด้วยกฎหมาย” เป็นธรรม และโปร่งใสต่อเจ้าของข้อมูล ซึ่งการประมวลผลข้อมูลจะชอบด้วยกฎหมายหรือไม่นั้น ต้องพิจารณาจาก “ความยินยอม” (Consent) ซึ่งเป็นหัวใจสำคัญของการคุ้มครองข้อมูลส่วนบุคคล
ตามกฎหมาย GDPR นั้น การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล จะต้องเป็นไปตามหลักเกณฑ์ทั้ง 4 ข้อ ต่อไปนี้
- เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมอย่างเสรี (Freely given) หมายถึง เจ้าของข้อมูลมีทางเลือกในการตัดสินใจว่าจะให้หรือไม่ให้ข้อมูลส่วนใดบ้าง และการไม่ให้ความยินยอมในส่วนนั้นต้องไม่ทำให้เกิดผลเสียแก่เจ้าของข้อมูลส่วนบุคคล
- มีวัตถุประสงค์ที่เฉพาะเจาะจงในการขอความยินยอม (Specific) หมายถึง การประมวลผลข้อมูลนต้องเป็นไปเพื่อวัตถุประสงค์ที่แจ้งเจ้าของข้อมูลส่วนบุคคลเท่านั้น
- แจ้งการประมวลผลข้อมูลให้เจ้าของข้อมูลส่วนบุคคลทราบ (Informed) หมายถึง เจ้าของข้อมูลส่วนบุคคลต้องทราบแล้วว่าจะมีการประมวลผลนั้น ๆ ก่อนให้ความยินยอม
- เจ้าของข้อมูลต้องแสดงความยินยอมอย่างไม่กำกวม (Unambiguous) หรือ เป็นการแสดงออกโดยชัดเจน ต้องปราศจากความลังเลสงสัยในการตีความว่าเป็นการกระทำของเจ้าของข้อมูลหรือไม่ เช่น การกดอัปโหลดภาพบัตรประจำตัวประชาชน การลงลายมือชื่ออิเล็กทรอนิกส์
Privacy by Design
กฎหมาย GDPR กล่าวถึงหลักการ Privacy by Design คือ ฝ่ายผู้ควบคุมข้อมูลต้องคำนึงถึงสิทธิความเป็นส่วนตัวของเจ้าของข้อมูลตั้งแต่ขั้นออกแบบ คงไว้ตลอดกระบวนการที่ตามมา ซึ่งสามารถประยุกต์ใช้ได้ทั้งในบริบทของการพัฒนาระบบ ผลิตภัณฑ์ บริการ แผนธุรกิจ ฯลฯ โดยเรื่อง Privacy by Design นี้มีอยู่ในกระบวนการทางวิศวกรรมบางสาขาและปฏิบัติกันมานานพอสมควรแล้ว แต่ไม่เคยมีการบัญญัติไว้เป็นกฎหมายแน่ชัดมาก่อนจนกระทั่งกฎหมาย GDPR มีผลบังคับใช้
กฎหมาย GDPR ไม่ได้กล่าวถึงหน้าที่ผู้ประมวลผลข้อมูลในหลักการ Privacy by Design อย่างแน่ชัด แต่ระบุว่าผู้ควบคุมข้อมูลต้องเลือกผู้ประมวลผลข้อมูลที่ปฏิบัติตามมาตรการทางเทคนิคและทางการจัดการองค์กรที่เหมาะสมและเพียงพอต่อการคุ้มครองความเป็นส่วนตัวของเจ้าของข้อมูล
นักพัฒนาจำนวนมากมักอ้างอิงถึงหลักการพื้นฐาน 7 ประการ ดังนี้
- กันไว้ดีกว่าแก้ (Proactive not reactive; preventative not remedial) ผู้ออกแบบต้องป้องกันมากกว่าแก้ไข คือ คาดคะเนถึงเหตุการณ์ที่ไม่พึงประสงค์และสุ่มเสี่ยงต่อความเป็นส่วนตัวของผู้ใช้ แล้วดำเนินมาตรการการป้องกันไว้ก่อนที่จะเกิดขึ้นจริง เริ่มต้นจากการตระหนักถึงคุณประโยชน์ของการปฏิบัติตามนโยบายความเป็นส่วนตัวที่เข้มข้น ยึดมั่นในการใช้มาตรการสูงสุดในการคุ้มครองความเป็นส่วนตัว
- ตั้งเป็นค่าตั้งต้น (Privacy as the Default Setting) การคุ้มครองข้อมูลส่วนบุคคลจะต้องเป็นไปโดยอัตโนมัติและยังคงอยู่แม้ผู้ใช้ไม่ได้กระทำการใดเพิ่มเติม หากระบุการใช้ข้อมูลส่วนบุคคลไว้ไม่ชัดเจน จะต้องใช้มาตรการคุ้มครองขั้นสูงสุดเป็นมาตรฐานตั้งต้น
- ฝังอยู่ในแม่แบบ (Privacy Embedded into Design) มาตรการความเป็นส่วนตัวจะต้องรวมอยู่ในแม่แบบและสถาปัตยกรรมอย่างกลมกลืน มิใช่เพียงอุปกรณ์เสริมในภายหลังเพื่อสอดคล้องกับกฎหมาย
- ยังคงเต็มประสิทธิภาพ (Full Functionality — Positive-Sum, not Zero-Sum) นอกจากความเป็นส่วนตัวที่ออกแบบจะเป็นไปตามข้อกำหนดทางกฎหมายแล้ว จะต้องไม่ลดทอนประสิทธิภาพการทำงานของระบบ ผู้ใช้ไม่ต้องเลือกสิทธิประโยชน์ประการใดประการหนึ่ง อาทิ ระหว่างความเป็นส่วนตัวกับความปลอดภัย ในขณะที่สามารถได้รับสิทธิประโยชน์ทั้งสองได้
- จากต้นจรดปลาย (End-to-End Security — Lifecycle Protection) ความเป็นส่วนตัวต้องฝังตัวอยู่ในระบบ เริ่มใช้งานตั้งแต่ก่อนเก็บข้อมูล และมีผลต่อเนื่องตลอดอายุการเก็บรักษาข้อมูล เพื่อสร้างความมั่นใจว่าข้อมูลทั้งหมดได้รับการคุ้มครองและถูกทำลายทิ้งเมื่อสิ้นสุดการใช้งาน
- ประจักษ์และโปร่งใส (Visibility and Transparency — Keep it Open) ผู้มีส่วนได้ส่วนเสียทุกคนจะต้องได้รับแจ้งถึงมาตรการทางธุรกิจและเทคโนโลยีที่ใช้เพื่อให้บรรลุวัตถุประสงค์ที่แจ้งไว้ และอนุญาตให้ขอตรวจสอบได้ กรรมวิธีทั้งหมดต้องโปร่งใสทั้งต่อผู้ใช้และผู้ให้บริการ
- ผู้ใช้คือศูนย์กลาง (Respect for User Privacy — Keep it User-Centric) ผู้ออกแบบและผู้ให้บริการต้องให้ความสำคัญต่อความเป็นส่วนตัวของผู้ใช้เป็นสำคัญ โดยมีมาตรการ เช่น แจ้งเตือนตามความเหมาะสม และจัดสรรตัวเลือกความเป็นส่วนตัว (Privacy Option) ที่ใช้งานง่าย
ที่มา: https://bit.ly/2TvnVYj
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
No comments:
Post a Comment