Breaking News

ใครคือผู้ได้รับผลกระทบจากกฏหมาย GDPR

กฏหมาย GDPR กำลังจะถูกใช้ในกลุ่มประเทศ EU ประมาณกลางปี 2018 โดยเรื่องนี้มีผู้ได้ผลกระทบไม่น้อย วันนี้เราจึงสรุปบทความที่นำเสนอถึงมุมมองว่า GDPR นั้นมีผลกระทบอย่างไร จริงๆแล้วใครมีผลกระทบบ้างและบริษัทหรือผู้ให้บริการ Cloud มีการรับมือกับกฏหมายนี้อย่างไร ซึ่งแม้แต่ในประเทศเราเองหากท่านใดที่มีการทำธุรกิจกับกลุ่มประเทศใน EU หรือมีการใช้ Cloud ในโซนนั้นก็ได้รับผลกระทบเช่นเดียวกัน

ส่วนนึงที่สำคัญมากกับกฏหมายนี้คือคำว่า ‘Data Localization‘ ซึ่งอ้างถึงการเก็บข้อมูลต้องอยู่ภายในภูมิภาคหรือประเทศเดียวกันกับที่ๆ ข้อมูลนั้นเกิดขึ้น ซึ่งประเทศอย่าง จีน เยอรมัน สวิตเซอร์แลนด์ เนเธอแลนด์ รัสเซีย อินโดนีเซีย แคนย่า แทนซาเนีย และอีกหลายประเทศสามารถผ่านคำสั่งนี้ก่อนปี 2018 แล้ว อันที่จริงแล้ว GDPR ได้กล่าวถึงการที่ข้อมูลส่วนบุคคลจะสามารถถูกส่งไปในประเทศนอก EU ซึ่งมีระดับการปกป้องที่ได้รับการรับรองแล้วเท่านั้น หากองค์กรใดมีข้อสงสัยแม้เพียงน้อยนิดต่อปลายทางนั้นก็ไม่สามารส่งข้อมูลไปที่นั่นได้ เนื่องด้วยบทปรับอันแสนแพงหลายองค์กรจึงต้องทำให้แน่ใจว่าข้อมูลของลูกค้าจะไม่ออกไปนอก EU รวมถึงประเทศที่ข้อมูลนั้นเกิดขึ้นด้วย นอกจากนี้ภายในกฏหมาย GDPR ยังมีนิยามคำว่า ‘Data Controller’ และ ‘Data Processor’ ที่ต้องเข้าใจดังนี้

  • Data Controller หมายถึง บุคคล ผู้มีอำนาจสาธารณะ บริษัทตัวแทนหรือบุคคลอื่นใดไม่ว่าจะเป็นบริษัทเดียวหรือมีส่วนร่วมกัน ที่มีสามารถกำหนดจุดประสงค์และหนทางก็การประมวลผลข้อมูลส่วนบุคคล ยกตัวอย่างเช่น หน่วยงานรัฐบาล องค์กรอาสาสมัครต่างๆ กลุ่มบริษัทค้าขาย สถาบัน หรือโรงพยาบาลต่างๆ ที่มีการเก็บข้อมูลส่วนบุคคล ทั้งนี้องค์กรกว่า 80% ทั่วโลกตกอยู่ในกลุ่มนี้
  • Data Processor หมายถึง บุคคล ผู้มีอำนาจสาธารณะ บริษัทตัวแทนหรือบุคคลอื่นใด ที่ทำการประมวลผลข้อมูลส่วนบุคคลในรูปแบบตัวแทนของกลุ่ม Controller ยกตัวอย่างเช่น  บริษัทที่บัญชี บริษัทวิจัยทางการตลาด และ Cloud Service provider ล้วนตกอยู่ในกลุ่มนี้ทั้งสิ้น

*ตัวอย่างเพิ่มเติมหากองค์กรของคุณควบคุมและมีส่วนรับผิดชอบกับข้อมูลส่วนบุคคลที่ถืออยู่ บริษัทของคุณคือ Data Controller ในทางกลับกันถ้าบริษัทของคุณถือข้อมูลส่วนบุคคลอยู่แต่มีองค์กรอื่นทำหน้าที่ตัดสินใจและรับผิดชอบสิ่งที่เกิดขึ้นกับข้อมูลบริษัทอื่นนั้นจะกลายเป็น Data Controller และบริษัทของคุณคือ Data Processor

ถึงแม้ Public Cloud จะมีผลประโยชน์มากมายต่อองค์กรผู้ใช้งานแต่มันยังขาดความสามารถในการมองเห็นหรือทราบว่าข้อมูลถูกเก็บที่ไหน อย่างไร รวมถึงการใช้งานว่ามีการประมวลผลอย่างไร นี่คือสิ่งที่ GDPR มองว่าเป็นปัญหา ดังนั้นบริษัทข้ามชาติที่มีการใช้งาน Cloud ต้องมั่นใจว่าข้อมูลส่วนบุคคลนั้นจะไม่เล็ดลอดออกไปจากขอบเขตที่กำหนดไว้ มิเช่นนั้นทั้งองค์กรและบริการ Cloud นั้นถือว่าละเมิดกฏหมาย ด้วยเหตุนี้เองตอนนี้ผู้ให้บริการ Cloud รายหลักๆ จึงเริ่มขยายโครงสร้างพื้นฐานของตนออกไปทั่ว EU เพื่อให้เข้ากับกฏหมายนี้

ส่วนบริษัทที่เล็กลงมาและไม่มีทรัพยากรที่จะขยายตัวได้อย่างรายใหญ่ ก็อาจจะจับมือกับผู้ให้บริการ Cloud เพื่อให้สามารถผ่านกฏหมายนี้ไปให้ได้ ในส่วนของผู้ใช้งาน Cloud ระดับองค์กรเองเราคาดหวังว่าจะเรียกร้องไปยังผู้ให้บริการ Cloud ของตนเพื่อสร้างความสามารถในการมองเห็นว่าข้อมูลองค์กรนั้นถูกเก็บหรือมีการจองพื้นที่ใช้งานอย่างไร หรือองค์กรอาจมีกลยุทธ์การใช้งาน Cloud หลายๆ เจ้า (Multi-Cloud) ที่จะทำให้องค์กรสามารถมีตัวเลือกในประเทศที่ต้องการผ่านกฏหมายและถ่วงดุลย์กันเพื่อจะสามารถย้ายค่ายได้หากผู้ให้บริการรายใดเกิดปัญหาหรือมีความเสี่ยงขึ้น

ที่มา : https://www.scmagazine.com/gdpr-and-data-localization-the-significant-and-often-unforeseen-impact-on-the-cloud/article/718552/




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Azure ประกาศฟีเจอร์ตรวจจับ Fileless Attack ด้วย Security Center เข้าสู่สถานะ GA แล้ว

Fileless Attack เป็นวิธีการโจมตีสมัยใหม่ที่ได้รับความนิยมเป็นอย่างมากเพราะช่วยให้สามารถหลีกเลี่ยงการตรวจจับของ Antivirus หรือกลไกการตรวจสอบแบบเดิมซึ่งตอนนี้ทาง Azure ได้พัฒนาความสามารถบน Security Center ให้ตรวจจับการโจมตีชนิดนี้ได้และได้ประกาศเป็นสถานะพร้อมใช้งานจริงแล้ว

รายงานพบ Data Center ส่วนใหญ่ไม่พร้อมรับมือกับสภาพอากาศเปลี่ยนแปลงรุนแรง

Uptime Institute ได้จัดทำรายงานเพื่อศึกษาถึงผลกระทบจากภัยธรรมชาติและการเปลี่ยนแปลงสภาวะทางสภาพอากาศต่อ Data Center โดยจุดประสงค์เพื่อให้ผู้ให้บริการตระหนักถึงความเสี่ยงของผลกระทบที่จะเกิดขึ้นซึ่งพบว่าผู้ประกอบการต่างๆ ไม่เคยวางแผนรองรับหรือไม่ได้ตระหนักถึงความเสี่ยงจะเกิดกับ Data Center ของตน