ใครคือผู้ได้รับผลกระทบจากกฏหมาย GDPR

กฏหมาย GDPR กำลังจะถูกใช้ในกลุ่มประเทศ EU ประมาณกลางปี 2018 โดยเรื่องนี้มีผู้ได้ผลกระทบไม่น้อย วันนี้เราจึงสรุปบทความที่นำเสนอถึงมุมมองว่า GDPR นั้นมีผลกระทบอย่างไร จริงๆแล้วใครมีผลกระทบบ้างและบริษัทหรือผู้ให้บริการ Cloud มีการรับมือกับกฏหมายนี้อย่างไร ซึ่งแม้แต่ในประเทศเราเองหากท่านใดที่มีการทำธุรกิจกับกลุ่มประเทศใน EU หรือมีการใช้ Cloud ในโซนนั้นก็ได้รับผลกระทบเช่นเดียวกัน

ส่วนนึงที่สำคัญมากกับกฏหมายนี้คือคำว่า ‘Data Localization‘ ซึ่งอ้างถึงการเก็บข้อมูลต้องอยู่ภายในภูมิภาคหรือประเทศเดียวกันกับที่ๆ ข้อมูลนั้นเกิดขึ้น ซึ่งประเทศอย่าง จีน เยอรมัน สวิตเซอร์แลนด์ เนเธอแลนด์ รัสเซีย อินโดนีเซีย แคนย่า แทนซาเนีย และอีกหลายประเทศสามารถผ่านคำสั่งนี้ก่อนปี 2018 แล้ว อันที่จริงแล้ว GDPR ได้กล่าวถึงการที่ข้อมูลส่วนบุคคลจะสามารถถูกส่งไปในประเทศนอก EU ซึ่งมีระดับการปกป้องที่ได้รับการรับรองแล้วเท่านั้น หากองค์กรใดมีข้อสงสัยแม้เพียงน้อยนิดต่อปลายทางนั้นก็ไม่สามารส่งข้อมูลไปที่นั่นได้ เนื่องด้วยบทปรับอันแสนแพงหลายองค์กรจึงต้องทำให้แน่ใจว่าข้อมูลของลูกค้าจะไม่ออกไปนอก EU รวมถึงประเทศที่ข้อมูลนั้นเกิดขึ้นด้วย นอกจากนี้ภายในกฏหมาย GDPR ยังมีนิยามคำว่า ‘Data Controller’ และ ‘Data Processor’ ที่ต้องเข้าใจดังนี้

  • Data Controller หมายถึง บุคคล ผู้มีอำนาจสาธารณะ บริษัทตัวแทนหรือบุคคลอื่นใดไม่ว่าจะเป็นบริษัทเดียวหรือมีส่วนร่วมกัน ที่มีสามารถกำหนดจุดประสงค์และหนทางก็การประมวลผลข้อมูลส่วนบุคคล ยกตัวอย่างเช่น หน่วยงานรัฐบาล องค์กรอาสาสมัครต่างๆ กลุ่มบริษัทค้าขาย สถาบัน หรือโรงพยาบาลต่างๆ ที่มีการเก็บข้อมูลส่วนบุคคล ทั้งนี้องค์กรกว่า 80% ทั่วโลกตกอยู่ในกลุ่มนี้
  • Data Processor หมายถึง บุคคล ผู้มีอำนาจสาธารณะ บริษัทตัวแทนหรือบุคคลอื่นใด ที่ทำการประมวลผลข้อมูลส่วนบุคคลในรูปแบบตัวแทนของกลุ่ม Controller ยกตัวอย่างเช่น  บริษัทที่บัญชี บริษัทวิจัยทางการตลาด และ Cloud Service provider ล้วนตกอยู่ในกลุ่มนี้ทั้งสิ้น

*ตัวอย่างเพิ่มเติมหากองค์กรของคุณควบคุมและมีส่วนรับผิดชอบกับข้อมูลส่วนบุคคลที่ถืออยู่ บริษัทของคุณคือ Data Controller ในทางกลับกันถ้าบริษัทของคุณถือข้อมูลส่วนบุคคลอยู่แต่มีองค์กรอื่นทำหน้าที่ตัดสินใจและรับผิดชอบสิ่งที่เกิดขึ้นกับข้อมูลบริษัทอื่นนั้นจะกลายเป็น Data Controller และบริษัทของคุณคือ Data Processor

ถึงแม้ Public Cloud จะมีผลประโยชน์มากมายต่อองค์กรผู้ใช้งานแต่มันยังขาดความสามารถในการมองเห็นหรือทราบว่าข้อมูลถูกเก็บที่ไหน อย่างไร รวมถึงการใช้งานว่ามีการประมวลผลอย่างไร นี่คือสิ่งที่ GDPR มองว่าเป็นปัญหา ดังนั้นบริษัทข้ามชาติที่มีการใช้งาน Cloud ต้องมั่นใจว่าข้อมูลส่วนบุคคลนั้นจะไม่เล็ดลอดออกไปจากขอบเขตที่กำหนดไว้ มิเช่นนั้นทั้งองค์กรและบริการ Cloud นั้นถือว่าละเมิดกฏหมาย ด้วยเหตุนี้เองตอนนี้ผู้ให้บริการ Cloud รายหลักๆ จึงเริ่มขยายโครงสร้างพื้นฐานของตนออกไปทั่ว EU เพื่อให้เข้ากับกฏหมายนี้

ส่วนบริษัทที่เล็กลงมาและไม่มีทรัพยากรที่จะขยายตัวได้อย่างรายใหญ่ ก็อาจจะจับมือกับผู้ให้บริการ Cloud เพื่อให้สามารถผ่านกฏหมายนี้ไปให้ได้ ในส่วนของผู้ใช้งาน Cloud ระดับองค์กรเองเราคาดหวังว่าจะเรียกร้องไปยังผู้ให้บริการ Cloud ของตนเพื่อสร้างความสามารถในการมองเห็นว่าข้อมูลองค์กรนั้นถูกเก็บหรือมีการจองพื้นที่ใช้งานอย่างไร หรือองค์กรอาจมีกลยุทธ์การใช้งาน Cloud หลายๆ เจ้า (Multi-Cloud) ที่จะทำให้องค์กรสามารถมีตัวเลือกในประเทศที่ต้องการผ่านกฏหมายและถ่วงดุลย์กันเพื่อจะสามารถย้ายค่ายได้หากผู้ให้บริการรายใดเกิดปัญหาหรือมีความเสี่ยงขึ้น

ที่มา : https://www.scmagazine.com/gdpr-and-data-localization-the-significant-and-often-unforeseen-impact-on-the-cloud/article/718552/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เตือน Z-wave Downgrade Attack อุปกรณ์ IoT กว่า 100 ล้านชิ้นเสี่ยงถูกแฮ็ก

นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ค้นพบวิธีการโจมตีแบบ Downgrade Attack บนอุปกรณ์ IoT ที่ใช้โปรโตคอล Z-wave ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าถึงอุปกรณ์ได้โดยไม่ได้รับอนุญาตแม้ว่าจะใช้กลไกการเข้ารหัสข้อมูลก็ตาม อุปกรณ์ IoT กว่าร้อยล้านชิ้นจากหลายพันยี่ห้อตกอยู่ในความเสี่ยง

พบมัลแวร์ตัวใหม่ ‘VPNFilter’ มุ่งโจมตี Router มีเหยื่อแล้วกว่า 5 แสนราย

นักวิจัยด้านความมั่นคงปลอดภัยจาก Cisco ได้พบกลุ่มเราเตอร์กว่า 5 แสนอุปกรณ์ที่ตกเป็นเหยื่อของมัลแวร์ตัวใหม่ชื่อว่า ‘VPNFilter’ โดยมัลแวร์ตัวนี้มีความซับซ้อนในการปฏิบัติการสูง สามารถรอดจากการบูตระบบ ค้นหาส่วนประกอบของ SCADA หรือทำลายฟังก์ชันของ Firmware จนอุปกรณ์ไม่สามารถใช้งานได้ นอกจากนี้มัลแวร์สามารถปฏิบัติการได้ในเราเตอร์หลายยี่ห้อรวมถึงอุปกรณ์ NAS …