|||

GDPR คืออะไร และส่งผลกระทบอะไรต่อธุรกิจ

ในวันที่ 25 พฤษภาคม 2561 ที่ผ่านมา กลุ่มประเทศในสหภาพยุโรปได้เริ่มบังคับใช้โครงสร้างกฏหมายที่มีชื่อว่า General Data Protection Regulation” เพื่อเป็นมาตรการให้กับธุรกิจทุกประเภทที่มีการเก็บข้อมูลของผู้ใช้ว่าจะต้องมีมาตรฐานในการเก็บรักษาข้อมูลธุรกิจอย่างไรบ้างเพื่อที่จะเป็นมิตรต่อผู้บริโภคมากที่สุด นับเป็นการปรับโครงสร้างชุดกฏหมายที่เกี่ยวข้องกับการรักษาข้อมูล หรือที่ในยุโรปเรียกกันเป็นมาตรฐานว่า Data Privacy & Protection” ครั้งใหญ่ที่สุดในรอบ 20 ปี และมีผลบังคับใช้ให้กับธุรกิจทุกประเภทที่มีการให้บริการให้กับผู้ใช้ที่อยู่ในเขตสหภาพยุโรปหรือมีการทำงานกับข้อมูลของผู้ใช้ที่มาจากประเทศในกลุ่มนี้เป็นนัยสำคัญ ไม่ว่าบริษัทนั้นจะตั้งอยู่ในเขตยุโรปจริงหรือไม่ก็ตาม จึงได้ส่งผลกระทบต่อธุรกิจดิจิตอลทั่วโลกเป็นอย่างมาก ตามที่บางท่านอาจสังเกตว่ามีการส่งอีเมลจากบริการอินเทอร์เน็ตเหล่านั้นในระยะเวลาใกล้ๆกัน รวมถึงการแสดงกล่องข้อความต่างๆเกี่ยวกับเรื่องนี้ในแอปพลิเคชันชื่อดังที่เราใช้กันอยู่เป็นประจำ

ทั้งนี้ แม้ข้อบังคับชุดนี้จะได้เริ่มใช้งานแล้ว แต่ยังมีหลายบริษัทที่ยังไม่ทราบถึงการมีตัวตนของกฏหมายชุดนี้ ในครั้งนี้ รวมถึงเพื่อเป็นการทำความเข้าใจสิทธิ์ของเราในฐานะผู้บริโภค ผมจึงขออนุญาตนำภาพรวมและผลกระทบของมันในมุมต่างๆมาเล่าให้ฟังกันในบทความนี้ครับ

กฏข้อบังคับ GDPR

ข้อบังคับต่างๆในชุดกฏหมาย GDPR นั้นมีรายละเอียดค่อนข้างมากในระดับที่ควรอาศัยการว่าจ้างฝ่ายกฏหมายที่มีเชี่ยวชาญในเรื่องนี้เพื่อมาเป็นที่ปรึกษาในการปรับและสร้างบริการที่จะช่วยให้การให้บริการของธุรกิจเป็นไปตามข้อบังคับของกฏหมาย แต่เพื่อทำความเข้าใจภาพรวมแล้ว อาจสรุปโดยสังเขปได้ว่า เพื่อให้บริการของธุรกิจเป็นไปตามข้อบังคับของ GDPR ธุรกิจนั้นๆจำเป็นที่จะต้องสามารถแสดงว่า

1) ข้อมูลส่วนตัวของผู้ใช้งานนั้น ได้ถูกจัดเก็บไว้ที่ไหน

2) เซิฟเวอร์ที่จัดเก็บและใช้งานข้อมูลเหล่านั้น ตั้งอยู่ที่ใด

3) มีใครที่สามารถเข้าถึงข้อมูลเหล่านั้นได้อีกนอกจากธุรกิจนั้นๆ และ

4) ข้อมูลที่จัดเก็บนั้นมีอะไรบ้าง และข้อมูลใดถูกใช้งานบ้าง เพื่อเหตุใด

ข้อมูลส่วนตัว ดังกล่าวนั้นครอบคลุมทุกๆเรื่องตั้งแต่ สถานที่ใช้งาน ข้อมูลสุขภาพ ข้อมูลการเงิน หรือข้อมูลที่เราระบุไว้ตามโซเชียลเน็ตเวิร์คเพื่อระบุรสนิยมหรือประวัติของเรา อย่างเช่น ภาพยนตร์ที่เราชอบ สถานที่ที่เราทำงาน และข้อมูลอื่นๆใดๆก็ตามที่จะสามารถทำให้ระบบคอมพิวเตอร์สามารถระบุตัวตนของเราได้ โดยผู้ใช้ทุกคนจะต้องได้รับการแจ้งล่วงหน้าอย่างชัดเจนในระดับที่ไม่ได้สามารถกดผ่านได้ง่ายๆเหมือนข้อตกลงการใช้บริการของหลายๆบริการ ว่าข้อมูลส่วนบุคคลของเราจะได้รับการจัดเก็บและถูกใช้ไปในทางใด โดยแม้ผู้ใช้จะยอมให้ผู้ให้บริการ ทำหน้าที่เป็น ผู้จัดเก็บข้อมูล เก็บรักษาข้อมูลได้ แต่ผู้ใช้ก็จะต้องยังสามารถเลือกที่จะไม่ให้ ผู้ใช้ข้อมูล อย่างเช่นบริษัทโฆษณา เข้าถึงข้อมูลส่วนบุคคลเหล่านั้นได้อีกด้วย

ความครอบคลุมของ GDPR

GDPR มีผลต่อธุรกิจทุกประเภทที่มีการใช้งานข้อมูลใดๆก็ตามที่เกี่ยวข้องกับบุคคลหรือพฤติกรรมของบุคคล หรือที่เรียกว่า ข้อมูลส่วนบุคคล โดย รวมไปถึงข้อมูลตั้งแต่ ชื่อ นามสกุล ที่อยู่ผู้ใช้ บัตรประชาชน ไปจนถึงตำแหน่งที่ตั้งของผู้ใช้งานที่ดึงมาจากระบบ GPS ของโทรศัพท์มือถือ หรือ IP Address ของผู้ใช้งาน และมีกฏข้อบังคับพิเศษสำหรับกลุ่มธุรกิจที่มีข้อมูลเชิงลึกอย่าง เพศสภาพ เชื้อชาติ ความคิดเห็นทางการเมือง ข้อมูลสุขภาพ ฯลฯ ที่ถูกจัดว่าเป็นกลุ่มข้อมูล Sensitive data” และ ข้อมูลที่เกี่ยวข้องกับผู้ยังไม่บรรลุนิติภาวะอีกด้วย

ธุรกิจที่มีการใช้งานข้อมูลดังกล่าวนั้นไม่จำเป็นจะต้องมีการตั้งถิ่นฐานอยู่ในสหภาพยุโรป แต่หากมีการวิเคราะห์ ติดตาม หรือให้บริการกับผู้ใช้ในสหภาพยุโรปก็จำเป็นที่จะต้องปฏิบัติตามกฏหมายชุดนี้ โดยจะถูกจัดกลุ่มระหว่างกลุ่ม ผู้ใช้ข้อมูล หรือ Data Processor” และกลุ่ม ผู้ควบคุมข้อมูล” หรือ Data Controller” โดยบางธุรกิจอาจมีบทบาททั้งสองอย่างก็เป็นได้ และจะต้องทำตามกฏข้อบังคับที่เกี่ยวข้องกับข้อมูลทั้งสองกลุ่ม

การแบ่งกลุ่มแบบนี้ หมายความว่าแม้ว่าธุรกิจของคุณจะเป็นเพียง ผู้ใช้ข้อมูล ที่ได้มาจาก บริษัทผู้ให้ข้อมูลอื่นๆ อย่างเช่น การใช้บริการโฆษณาในลักษณะการเลือกกลุ่มเป้าหมายตามการจัดกลุ่มประเภทลูกค้า อย่างเช่น กลุ่มผู้มีอายุ 20-30 หรือกลุ่มผู้จบการศึกษาปริญญาตรี คุณก็จะต้องทราบและปฏิบัติตามกฏข้อบังคับ GDPR และมีความรับผิดชอบในการสืบสวน ติดตาม และยืนยันว่าข้อมูลที่ได้มานั้น มาจากแหล่งข้อมูลที่มีการปฏิบัติตามกฏ GDPR อันเกี่ยวข้องกับการยินยอมให้ใช้ข้อมูลแล้วเช่นกันอีกด้วย

ซึ่งนิยามดังกล่าวนี้ แปลว่าเว็บไซท์สื่อที่มีการติดตั้งเครื่องมือติดตามวิเคราะห์การใช้งานผู้ใช้ที่เรียกกันว่าเครื่องมือ Web Analytics อย่างเช่น Google Analytics หรือ Facebook Pixel นั้น ก็จำเป็นจะต้องมีการปฏบัติตามกฏ GDPR รวมไปถึงธุรกิจอีคอมเมิร์ซที่มีการค้าขายให้กับบุคคลที่อยู่ในสหภาพยุโรปอีกด้วย

ผลกระทบต่อมูลค่าของ Startup

จะเห็นว่ากฏข้อบังคับนี้ค่อนข้างครอบคลุมและถูกออกแบบมาเพื่อรักษาความเป็นส่วนตัวของผู้บริโภคโดยสำคัญ โดยกลุ่ม Startup ซอฟท์แวร์ที่นิยมเก็บข้อมูลไว้ก่อนเพื่อนำไปใช้ทีหลังจะไม่สามารถนำข้อมูลไปใช้โดยที่เราไม่รู้ตัวได้อีกต่อไป รวมถึงผู้ให้บริการยักษ์ใหญ่อย่าง Facebook, Google ที่มีรายได้มหาศาลจากการนำข้อมูลของผู้ใช้อย่างเราไปสร้างเครื่องมือโฆษณาก็จะต้องทำการใส่ใจการใช้ข้อมูลและการเปิดให้ผู้ใช้ภายนอกใช้ข้อมูลเหล่านี้เป็นอย่างมากอีกด้วย

แต่แม้กฏหมายกลุ่มนี้ จะดูเหมือนออกมาเพื่อควบคุมการใช้ข้อมูลบริษัทเทคโนโลยีชั้นนำและปราบกลุ่มบริษัทที่ใช้ข้อมูลไปในทางที่ไม่ดีแล้ว มันยังน่าที่จะส่งผลต่อการเกิดขึ้นและเติบโตของ Startup ใหม่ๆ อยู่หลายอีกมิติอยู่เช่นกัน ได้แก่

1) ข้อจำกัดจากการที่ต้องลงทุนในเรื่องของการรักษาข้อมูลที่เพิ่มขึ้น

แม้โครงสร้างกฏหมายเหล่นี้จะออกมาเพื่อควบคุมบริษัทซอฟทืแวร์ใหญ่ๆ แต่บริษัทเกิดใหม่ก็จำเป็นที่จะต้องมีการระมัดระวังการใช้ข้อมูล มีการออกแบบมาตรการการใช้ข้อมูล และลงทุนในเรื่องของโครงสร้างข้อมูล กฏหมาย และฝ่ายบริการที่เกี่ยวข้องกับข้อมูลเหล่านี้อีกด้วย จนอาจจะทำให้มีอัตราการเกิดของสตาร์ทอัพที่ลดลงจากข้อจำกัดที่มีมากขึ้น และความสามารถในการต่อสู้ของบริษัทที่มีทรัพยากรเหนือกว่า เพื่อใช้กฏหมายมาปราบบริษัทเกิดใหม่ที่มีขนาดเล็กกว่าและมีเวลาและทรัพยากรไม่เท่ากัน

2) ลักษณะธุรกิจของบริษัทที่ฟรี อาจแพ้ทางให้กับธุรกิจที่มีการเก็บค่าบริการ

ในยุคที่ผ่านมา มี Startup จำนวนมากที่ระดมทุนจากนักลงทุนได้โดยยังไม่มีโมเดลธุรกิจแต่มีจำนวนผู้ใช้งานจำนวนมาก เพราะนักธุรกิจคาดหวังว่าบริษัท Startup เหล่านี้ อาจได้รับการซื้อโดยบริษัทเทคโนโลยีที่ใหญ่อยู่แล้ว หรือสามารถนำข้อมูลผู้ใช้มาสร้างรายได้จากการขายข้อมูลเพื่อทำการโฆษณา ซึ่งการทำธุรกิจในลักษณะนี้จะมีความเสี่ยงมากขึ้นในอนาคตว่าผู้ใช้อาจจะไม่ยินยอมให้นำข้อมูลไปใช้ในลักษณะดังกล่าว รวมถึงตุนทุนในการจัดเก็บและให้บริการข้อมูลตามข้อบังคับของ GDPR ซึ่งในขณะเดียวกัน ธุรกิจที่ออกแบบมาแบบมีวิธีการหารายได้และโครงสร้างราคาที่ชัดเจน พร้อมจำนวนผู้ใช้ที่ยอมเสียเงินให้กับบริการเหล่านั้น อาจได้รับความสนใจจากนักลงทุน และสามารถมีทรัพยากรที่โดดเด่นกว่าบริษัทในกลุ่มแรกที่เคยต่อสู้กับคู่แข่งอย่างง่ายดายจากทั้งราคาที่ฟรี และทรัพยากรที่หนุนหลังอยู่จากนักลงทุน เป็นต้น

3) วิธีทำการตลาดของบริษัทซอฟท์แวร์

ที่ผ่านมา บริษัทซอฟท์แวร์มักมีวิธีการเติบโตที่ใช้ประโยชน์จากความสามารถของเครื่องมือโฆษณาในปัจจุบันเป็นอย่างสูง แต่ภายใต้สภาพแวดล้อมที่มีชุดกฏหมาย GDPR ได้รับการบังคับ และการถูกกล่าวหาเรื่องความปลอดภัยของข้อมูลและการนำข้อมูลไปใช้ในเชิงเหยียดผิวโดยการเลือกโฆษณาใส่กลุ่มเป้าหมายเฉพาะสีผิวบางสีของ Facebook แล้ว เครื่องมือโฆษณาต่างๆที่ได้รับความนิยมเริ่มได้มีการลดทอนความสามารถในการเล็งกลุ่มเป้าหมายแล้ว รวมถึงการจำกัดสิทธิ์ในการเข้าถึงข้อมูลที่มาจากบริษัทผู้ให้ข้อมูลภายนอกที่ผู้ใช้ไม่ได้ให้ความยินยอมมาก่อน ทำให้ความแม่นยำของการสื่อสารน้อยลง และอาจเกิดการใช้เครื่องมือตลาดที่ไม่ใช่ดิจิตอลมากขึ้นเช่นเดียวกัน

การบังคับใช้และบทลงโทษหากไม่ปฏิบัติตาม GDPR

สุดท้ายแล้ว กฏหมายจะมีความศักดิ์สิทธิก็ต่อเมื่อมันได้ถูกบังคับใช้ และการที่ GDPR นั้นอยู่ภายใต้การออกแบบและควบคุมของสหภาพยุโรปนั้น ก็เป็นหนึ่งในเหตุผลที่บริษัทเทคโนโลยีทั่วโลกต่างให้ความสำคัญในการปฏิบัติตามเป็นอย่างสูง เพราะสหภาพยุโรปนั้นขึ้นชื่อในเรื่องของการปกป้องความเป็นส่วนตัวของผู้บริโภค ยกตัวอย่างเช่น Google Maps ที่ถูกบังคับให้เซ็นเวอร์บ้านของบุคคลต่างๆในแผนที่ของตนเองในประเทศเยอรมนี เป็นต้น

สำหรับ GDPR นี้ จะมีหน่วยงานที่ช่วยตรวจสอบและบังคับใช้งานกว่า 44 หน่วยงานที่แตกต่างกัน และหากบริษัทใดถูกตรวจสอบและค้นพบว่าทำผิดแล้ว จะสามารถถูกลงโทษได้มากถึง 4% ของรายได้ทั่วโลก หรือ 20 ล้านยูโร แล้วแต่ว่าจำนวนใดจะสูงกว่ากัน

จึงเป็นเรื่องที่น่าสนใจว่าบริษัทรายใดจะเป็นบริษัทแรกที่ได้รับบทลงโทษนี้ เพราะสหภาพยุโรปนั้นน่าที่จะต้องการบริษัทตัวอย่างในการแสดงว่ากฏหมายนี้ เอาจริง

บทสรุป

ที่ผ่านมา บริษัทที่มีข้อมูลจำนวนมากนั้น ส่วนใหญ่แล้วอาจไม่รู้ด้วยซ้ำว่าข้อมูลต่างๆนั้นถูกเก็บไว้ที่ไหนบ้าง และมีใครได้นำข้อมูลของตนเองไปใช้ในทางใดบ้าง จากการที่มีผู้ใช้และบริการจำนวนมากอยู่ทั่วโลก และขณะเดียวกัน บริษัท Startup เกิดใหม่ก็จะมีต้นทุนทั้งเรื่องของการเงิน และเวลา ที่จะต้องให้ความสำคัญกับข้อมูลเหล่านี้เป็นอย่างมาก

แต่อย่างไรก็ตาม เรื่องนี้อาจทำให้ธุรกิจยุคใหม่ให้ความสำคัญกับรายได้และต้นทุนของตนเองมากขึ้น รวมถึงการมีวิธีการจัดเก็บรายได้ที่ชัดเจน รวมไปถึงมีการจัดเก็บข้อมูลผู้ใช้อย่างมีกลยุทธ์ ไม่ปล่อยให้รั่วไหลจนเกิดการนำไปใช้ในทางที่ผิดเหมือนที่ผ่านมา

การที่โครงสร้างกฏหมายชุดนี้ได้รับความสำคัญ จึงอาจเกิดผลกระทบอีกมากมายที่คาดไม่ถึง และไม่ว่ามันจะออกมาเป็นอย่างไร ก็น่าจะมีทั้งผู้ที่ได้รับผลกระทบในทางลบ และทางบวกอย่างคาดไม่ถึงอย่างแน่นอนครับ

–-

เลอทัด ศุภดิลก

กรรมการผู้จัดการ บริษัท เซลสุกิ จำกัด

www.sellsuki.co.th

Up next “Fintech” คืออะไร? ตอนที่ 1 - M-Pesa ตัวอย่างความสำเร็จของระบบการเงินดิจิตอล
Latest posts GDPR คืออะไร และส่งผลกระทบอะไรต่อธุรกิจ “Fintech” คืออะไร? ตอนที่ 1 - M-Pesa ตัวอย่างความสำเร็จของระบบการเงินดิจิตอล The New Disuptive Technologies: 2018 & Beyond การปรับกลยุทธ์ครั้งยิ่งใหญ่ ครั้งใหม่ของ Facebook Startup Tech Trends 2018 - เมื่อเทรนด์ 2017 จะแพร่หลายในปี 2018 “HQ Trivia” - The Future of TV เกมฮิตใหม่ที่อาจเป็นตัวอย่างของรายการทีวีในอนาคต Facebook Ads vs. Google Ads การต่อสู้ระหว่าง “Search” กับ “Discovery” Just Jack - Annabel’s Dilemma Bitcoin คืออะไร และทำไมมันถึงได้รับความสนใจ วิธีเริ่มต้นแบบเล็กๆของเหล่า Startup Unicorn มูลค่าพันล้าน The Fundamentals of AI - Machine Learning, Neural Network, Deep Learning - พื้นฐานแนวคิดของ “AI” ในยุคปัจจุบัน The WeChat Economy - มองเทรนด์ “Tech Startup” อนาคต จากการใช้ “WeChat” ในประเทศจีน การพลิกโฉม ”วิธีการซื้อ″ ด้วยนวัตกรรมจาก Amazon - How Amazon is Re-inventing How We Buy AliPay - เครื่องมือครองโลกของ Jack Ma ที่คุณอาจคาดไม่ถึง - Jack Ma’s Strategy to Conquer the World ทิศทางการเติบโตของ ”ห้างออนไลน์″ ในประเทศไทย - The Future of Marketplaces in Thailand Digital Transformation : จากการบริโภค Product สู่ Service Fast Growing Silicon Valley Startups 2017 - เทรนด์ Startup จาก Silicon Valley ที่จะมาแรงในปี 2017 การปฏิวัติข่าวสารจากยุค Google สู่ Facebook Status Seekers เมื่อผู้บริโภคต้องการ “สถานะ” มากยิ่งกว่า “การแก้ปัญหา” The Different Types of Conversational Commerce Online to Offline 31 The Future of Apps Pirate Metrics for Startups (AARRR) The Rise of Chat Bots E-commerce Delivery in Thailand Conversational Commerce Solar Energy Startups Facebook Thailand Startup = การเติบโตที่รวดเร็ว (Growth) Startup Investment The Future of Messaging