1

2

Timeline เหตการณการใหการของ Mark Zuckerberg

ตอสมาชกวฒสภาสหรฐอเมรกา และ การบงคบใชกฎหมาย GDPR

Facebook – Cambridge Analytica Incident GDPR

1995

เรมการใชกฎหมาย Data Protection Directive 1995 ซงใหการคมครองสทธและขอมลสวนบคคลของชาวยโรป

2010

หลงจาก Facebook เปดใหบรการ เปนเวลา 4 ป (ในชวงแรกตองเปนคนทม อาย 13 ปขนไป และมอเมล) บรษทสญชาตอเมรกานกไดเปดตวบรการแบบใหมทเรยกวา ‘Open Graph’ ซงเปน Platform ส าหรบใหผพฒนาจาก ภายนอกเขามาฝง Application เชอมกบ Facebook เพอใหบรการเสรมแก ผใชงาน โดยบรการดงกลาวจะ ท างานคลายกบการฝ ง Link ออกไปภายนอกโดยระบตวตนผใชงาน รวมถงใหขอมลของผใชแกผพฒนาเจา ของ Application เสรมดงกลาว โดยมากมกจะมาในรปการณท า Quiz หรอ การท านายดวงชะตา (ซงจะดงขอมลของผใชไปเพอท าการค านวณผลลพธ)

2012

เมอตวตนและขอมลสวนตวของพลเมอง ยโรปมการปรากฎในพนททมากกวา แตกอน ซงมการแสดงตวตนในโลก ออนไลนมากขนอยางตอเนอง คณะมนตรยโรป (European Council)

3

จงไดเสนอตอทประชมใหมการปรบปรง กฎเกณฑการคมครองพลเมองยโรป

2013

Alexander Kogan นกวทยาศาสตรขอมลชาวรสเซยทท างานทมหาวทยาลยแคมบรดจ ไดพฒนา Application ชอวา ‘Thisisyourdigitallife’ ขนมา ซงขอมลของบญชผใชกวา 300,000 คน รวมถงขอมลของเพอนในบญชดงกลาว ถกน ามาใชในการทดสอบดานจตวทยา ของ Cambridge Analytica บรษทวจยขอมลเพอกลยทธทางการเมอง

2014

Facebook ไดประกาศการปรบเปลยนกฎการเขาถง ขอมล ซงจะจ ากดการเขาถงขอมลของ ผพฒนา การระงบบญชการใชงาน และ การปรบแตงคาความเปนสวนตวของ ผใชงานทงายขน

2014

รฐสภายโรปเหนชอบการรางกฎหมาย คมครองขอมลสวนบคคลและสทธของพลเมองยโรป โดยใหมการหารอรายละเอยด รางกฎหมายในชวงป 2015

2015

ส านกขาว The Guardian รายงานขาวา Cambridge Analytica มสวนในการท า แผนการรณรงคหาเสยงเลอกตงการเปนผแทนพรรค Republican ลงชงชยเปน ประธานาธบดสหรฐของ Ted Cruz ซงท าให Facebook ตองเรยกรองให Cambridge Analytica ลบขอมลผใช ดงกลาว ซงตอมา Cambridge Analytica กแจงวาตนไดลบขอมลผใช ทบนทกไวแลว (โดย Facebook กไมได ตดตามตอวาลบทงหมดหรอไม หรอ มการส ารองขอมลไวกอนลบหรอไม)

2015

มการพดคย หารอ และปรบแกราง กฎหมาย General Data Protection Regulation รายมาตราตลอดทงป

4

2016

Donald Trump ไดรบเลอกตงเปน ประธานาธบดสหรฐอเมรกา หลงจากถกมองวามคะแนนความนยม นอยกวา Hilary Clinton ผสมครลงเลอกตงจากพรรค Democrat มาตลอด โดยสอหลายส านกขดคยวาม ความสมพนธทดกบ Robert Mercer ซงใหทนสนบสนน Cambridge Analytica และไดใชบรการในการเลอก ค าหาเสยงทดงดดคะแนนเสยงของกลมคนทยงไมตดสนใจเลอกใคร ค าหาเสยงท โจมตฝงตรงขาม และค าหาเสยงทตอกย าความคดของผทเลอกตน โดยการศกษาการท างานของ Feed ใน Facebook เพอใหมการแสดงผลทเปนประโยชนในการหาเสยงของ Donald Trump

2016

หลงจากการหารอรางกฎหมายมากวา 1 ป รฐสภายโรปและคณะมนตรยโรปใหการเหนชอบกบรางกฎหมาย โดยจะใหมผลบงคบในอก 2 ป คอ วนท 25 พฤษภาคม 2018 เพอใหบรษทและหนวยงานทจะไดรบผลกระทบมเวลาในการปรบตว

2018

- Federal Trade Commission เรมการสอบสวน Facebook กรณขอมลรวไหลวาอาจกระทบตอขอมลสวนบคคลของประชาชนชาวสหรฐอเมรกา - สมาชกวฒสภาสหรฐอเมรกาเรยกให Mark Zuckerberg มาชแจงกรณทเกดขน โดยตองตอบค าถามตางๆ ทถามโดยวฒสมาชกสหรฐอเมรกาในวนท 10-11 เมษายน

2018

กฎหมาย General Data Protection Regulation จะมผลบงคบใชในวนท 25 พฤษภาคม โดยจะมผลบงคบใชรวมกบ Data Protection Directive 1995 ไปจนป 2020

5

- Mike Schroepfer,Facebook CTO ใหการตอ Digital, Culture, Media and Sport Committee ของรฐสภาสหราชอาณาจกรในวนท 27 เมษายน และ รฐสภาสหราชอาณาจกรเรยกรองให Mark Zuckerberg เขาใหการตอรฐสภา - Cambridge Analytica ประกาศปดบรษทลง โดยมขาววาพนกงานในบรษทไดรวมกนเขาไปท างานในบรษทใหมชอ SCL

ค าอธบายเพมเตม

• คณะมนตรยโรป (European Council) คอ ทประชมทประกอบดวยผน ารฐบาลของประเทศสมาชก

ซงเปนตวแทนของรฐสมาชก

• คณะกรรมาธการยโรป (European Commission) เปนองคกรฝายบรการของสหภาพยโรป

อนมหนาทคอ การออกกฎระเบยบขอบงคบตางๆ โดยสมาชกจะใหสตยสาบานวาจะตดสนใจ

โดยค านงถงประโยชนของสหภาพยโรป

• รฐสภายโรป (European Parliament) จะมสมาชก 751 คนมาจากการเลอกต งโดยตรงของ

พลเมองยโรป ถอเปนฝายนตบญญตของสหภาพยโรป

6

ประเดนทมการถกเถยงในการซกถาม

• กรณขอมลร วไหลของ Facebook และ Cambridge Analytica

• การแทรกแซงการเลอกต ง และ โฆษณาทางการเมอง เชน การแทรกแซงของร สเซยในการเลอกต งประธานาธบดสหร ฐในป 2016

• การจ าแนก hate speech

• ขอมลท Facebook ไดเกบรวมรวบจากผใช

• ความปลอดภ ยของขอมลสวนต ว

สรปภาพรวมการซกถาม Mark Zuckerberg ในวนท 10-11 เมษายน

• ประเดนหล กในการซ กถามคอ ความปลอดภ ยของขอมลสวนบคคล และการแทรกแซงการเลอกต งประธานาธบดของสหร ฐฯ ในป 2016 รวมท งความโปรงใสของ Facebook ในการจ ดการขอมลสวนต ว

• ตลอดการซ กถาม วฒสภาไดถาม Mark Zuckerberg เกยวก บการบรหารขอมลบนอนเทอรเนตและส งคมออนไลน, กระบวนการบรหารขอมลสวนต วของ Facebook, กระบวนการจ ดการเมอเกดกรณขอมลร วไหล (กรณ Cambridge Analytica), ความเกยวของของ Facebook ในดานการโฆษณา, การหาเสยงและ ปญหาดานการเมอง ) รวมถง วธการร บมอปญหาดานการเลอกปฏบ ต (Discrimination) หรอการจ ดการขอมลสวนต วของผเยาว

7

• วฒสภาไดเอยถงกฎหมาย ขอบ งค บและขอตกลง ท งทมผลบ งค บใชแลว หรอก าล งจะรางเปนกฎหมาย เชน FTC consent decree, GDPR, Total Information Awareness, Honest Ads Act, proposed US Immigration policy, Children’s Online Privacy Protection Act

• วฒสภาพยายามผล กด นให Facebook ปร บปรงนโยบายความเปนสวนต ว และรวมมอก บร ฐบาลเพอสรางกฎขอบ งค บในจ ดการเนอหาทเปนอ นตรายบน internet

• วฒสภาคอนขางก งวลก บวธการเขาถงและการจ ดการขอมลสวนต วผใชของ Facebook และบรการออนไลน อน ๆ เชน WhatsApp, Instagram รวมถง อ เมล , mobile texts และ cross-device tracking

• มองวา Terms of Service อานเขาใจไดยาก สงผลใหไมมคนอานกอนทจะกดยนยอม โดยไมร บทราบสทธของตนเอง

ความคดเหนตอทางวฒสภา (Senate)

• เรยก Facebook เขามาพบเพอแสดงวาร ฐบาลมอ านาจในการควบคม Facebook ไดและตองการค าตอบจาก Facebook ในกรณ Cambridge Analytica และการแทรกแซงการเลอกต ง รวมถงแสดงความร บผดชอบตอพลเมองสหร ฐอเมรกา ทางทม Young Blood มองวาเปนความส าเรจทเรยก Facebook เขามาซ กถามได แตในขณะเดยวก นกลมเหลวทไมสามารถระบจ านวนผใชทไดร บผลกระทบและใหความชวยเหลอได

• พยายามทจะให Facebook เปดเผยการท างานภายใน

• ไมไดกดด น Facebook เตมท ซงอาจจะเกดจาก o เปนบรษ ทอเมรก น และมผใชอเมรก นใชจ านวนมาก o มเวลาจ าก ดในการซ กถาม o ขาดความรเกยวก บเทคโนโลย และ Facebook ในเชงลก

• วฒสภาบางทานไมไดมค าถามตอ Facebook แตมค ารองขอหรอค าแถลงเพอบ นทกอยางเปนทางการ เชน รองขอให Facebook เพมความร บผดชอบตอส งคมในดานตาง ๆ และรวมมอก บร ฐบาลในการออกกฎขอบ งค บในอนาคต รวมถงชวยเหลอการพ ฒนาการเขาถง Internet ของประชาชนในชนบท หรอสราง Facebook แบบเสยเงนส าหร บผใชทไมตองการเหนโฆษณา

ความคดเหนตอทาง Facebook

• จดยนของ Facebook

8

o พ นธกจของ Facebook คอเปน platform ในการเชอมตอผคนเขาดวยก น ใหพนทในการแสดงออกแกทกคน และสน บสนนประชาธปไตย

o Dr. Kogan และ Cambridge Analytica ใช app platform ในทางทผด (abuse) o มมาตรการปองก น hate speech แต A.I. ย งไมสามารถจ าแนกไดอยางมประสทธภาพ

เนองจากปญหาความหลากหลายทางภาษา จงตองใชควบคก บพน กงานตรวจสอบเนอหา (ในปจจบ นสามารถใช A.I. จ าแนกเนอหาทางการกอการรายได 99% โดยทไมมผใชเหน)

o มมาตรการปองก นขาวปลอม, propaganda, โฆษณาทางการเมอง เชน การตรวจสองบ ญชผใชปลอมหรอการตรวจสอบทต งของผซอโฆษณา แตย งสามารถหลบเลยงไดโดยการใช Proxy ในสหร ฐ เปนตน ในปจจบ นใช A.I. ควบคก บพน กงานตรวจสอบเนอหา

o ไมไดขายขอมลสวนต วของผใชแกผซอโฆษณา แตจะสามารถระบไดวาจะใหโฆษณาเขาถงผใชกลมใด

o ผใชสามารถควบคมขอมลของตนเองทเผยแพรเอง (user-generated contents) ไดท งหมด

• Facebook ไมตองการทจะท าหนาทควบคมเนอหาเอง แตพรอมจะสน บสนนขอบ งค บของร ฐบาลทเหมาะสม

• Facebook ยอมร บวามการดงขอมล (cookie) จาก web browser และการเขาไปด content ใน FB โดยไม log in เชนปม Like ในบทความ

• Mark Zuckerberg ไดตอบค าถาม โดยอางองแถลงการณและอปสรรคขอจ าก ดของท ง อตสาหกรรมเปนหล ก และพยายามเลยงค าถามในประเดนทมความสมเสยง (sensitive issues) รวมถงการบรหารงานภายในของ Facebook o ใน note สวนต วของ Mark มขอความระบไววา "If attacked: Respectfully, I reject

that. Not who we are" น นคอให Mark พดเลยงหรอกลาวปฏเสธหากวฒสมาชก วพากษวจารณ Facebook อยางรนแรง Source: https://www.cnbc.com/2018/04/10/mark-zuckerberg-senate-hearing-notes.html

ตวอยางการใชภาษาเพอเลยงความรบผดชอบในทางกฎหมาย

Klobuchar (senator): “…Would you support a rule that would require you to notify your users of a breach within 72 hours?”

Zuckerberg: “Senator, that makes sense to me. And I think we should have our team follow up with—with yours to—to discuss the details around that more” (p. 50-51).

9

Cruz (senator): “…Do you consider yourself a neutral public forum, or are your right under the First Amendment?”

Zuckerberg: “Well, senator, our goal is certainly not to engage in political speech. I am not that familiar with the specific legal language of the—the law that you—that you speak to. So I would need to follow up with you on that. I’m just trying to lay out how broadly I think about this” (p. 65).

Markey (senator): “…So I’m going to ask it one more time. Yes or no. Should Facebook get clear permission from users before selling or sharing sensitive information about your health, your finances, your relationships? Should you have to get their permission?”

Zuckerberg: “Senator, we do require permission to use the—the system, and to – to put information in there, and for– for all the uses of it. I want to be clear. We don’t sell information. So regardless of whether we could get permission to do that, that’s just not a thing we’re going to do” (p. 90-91).

ขอสงเกตเพมเตมจากทม Young Blood

• Feed ของ Facebook มการปร บแตงเนอหาใหเขาก บความชอบของผใช ซงขอมลเหลานอาจถกน าไปใชประโยชนตาง ๆ ท งทางการคา และการเมอง เชนในกรณการเลอกต ง ปธน. สหร ฐฯ รอบในป 2016 รวมถงอาจจะท าใหผใชไดร บขอมลจากดานเดยวและถกโนมนาวเพอผลประโยชนทางการเมอง

• ควรมกฎหมายควบคม Internet service providers ดวยนอกจาก edge services อยาง Facebook

• GDPR ระบวาตองมความสามารถให user opt-in, opt-out ไดงาย ในขณะท Mark ยอมร บวาปจจบ นย งไมเปนแบบน น o ปจจบ น Facebook ใชเปด Ads personalization เปนคา default o ต วเลอกในการ opt-out อยใน setting

• GDPR ก าหนดให Terms of Service อานงายและเขยนดวยภาษาทช ดเจน o Terms of Service ของบรการในอนเทอรเนตในปจจบ น ย งเขาใจไดยาก ซงไดมความ

พยายามทจะท าใหผใชเขาใจสทธของตนเองไดงายขน แตทางทม Young Blood ย งมขอสงส ยวาใครจะสามารถระบไดวา Terms of Service ด งกลาวอานงายหรอยาก

• GDPR ระบวา data subject ตองรวา ขอมลเราไปอยทไหนและถกใชอยางไรบาง o สมมตวา Cambridge Analytica เอาขอมลจาก Facebook แลวสงใหคนอนแลวบอกวา

ต วเองลบหล งจากทผ ใชแจงขอใหลบ แบบนจะท าอยางไร --> ในกรณผด เนองจาก

10

Cambridge Analytica ไมไดระบหรอแจงผใชวาจะน าขอมลไปให third-party (purpose limitation + no consent from user)

o นอกจากนย งไมแนใจวาขอมลถกส าเนาไว หรอ แมกระท ง Mark เองกยอมร บวาขอมลของตนถกน าไปใชประโยชนดวย

11

“General Data Protection Regulation (GDPR)” เปนกฎเกณฑของสหภาพยโรป วาดวยมาตรการ การปกปองความเปนสวนตวของขอมล

GDPR จะมผลบงคบใชวนท 25 พฤษภาคม 2561 น โดยสวนมากมความคลายคลงกบกฎหมายเดม คอ “1995 Data Protection Directive” ซ งสหภาพยโรปประกาศใชต งแตป 2538 เ พอตอบรบกบ ความเปลยนแปลงทางเทคโนโลยของยคปจจบนทมการผลตขอมลขนมาจ านวนมหาศาลอยางรวดเรว และสามารถถายโอนกนไดโดยไมจ าเปนตองเคลอนยายอปกรณดงเชนในอดต

ความเปลยนแปลงส าคญทท าให GDPR แตกตางจาก Data Protection Directive เดม ทงในแงของ ผใหขอมล (Data Subject) ผเกบขอมล (Data Controller) และผประมวลขอมล (Data Processor) ไดแก

1. ผลบงคบใชนอกอาณาเขต (Extra-territorial Applicability)

แตเดม 1995 Data Protection Directive มผลบงคบใชเฉพาะในอาณาเขตสหภาพยโรปเทานน แต GDPR ไดเพมใหมผลบงคบใชนอกอาณาเขต หากมขอมลของพลเมองของสหภาพยโรป หรอมขอมล ของผทพ านกในอาณาเขตสหภาพยโรป เกบหรอประมวลขอมลภายในอาณาเขตสหภาพยโรป หรอแมแต น าขอมลไปใชเพอสนคาหรอบรการภายในสหภาพยโรป

2. การปองกนความเปนสวนตวตงแตขนการออกแบบ (Privacy by Design)

การวางแผนระบบใหเขากบกฎของ GDPR ตองเปนความส าคญอนดบตน คอ มการค านงถงตงแต ขนออกแบบ ไมเพยงแคแตงเตมเสรมขนมาในภายหลง โดยหลกการนยดถอปฏบตกนในวงการมานานแลว แต GDPR เพงมการระบไวเปนตวบทกฎหมาย

12

3. การแจงเตอนเหตรวไหลของขอมล (Data Breach Notification) เมอททราบวาขอมลของตน มการรวไหล ตองแจงตอทางการและผใหขอมลภายใน 72 ชวโมง

4. เจาหนาทดแลความปลอดภยของขอมล (Data Protection Officer: DPO)

ในองคกรทมบคลากรมากกวา 250 คน ตองมการมอบหมายเจาหนาทใหดแลดานความปลอดภย ของขอมลโดยเฉพาะ

5. โทษ (Penalty)

ในกรณทไมไดปฏบตตามเงอนไขของ GDPR น าไปสความเสยงตอสทธ และเสรภาพของผใหขอมล กจะมโทษตามกฎหมาย โดยโทษสงสดคอมการฝาฝนกฎพนฐาน เชน ไมไดรบความยนยอม จากผใหขอมล ตองโทษปรบถงรอยละ 4 ของรายไดประจ าปทวโลก (Annual Global Turnover) แตไมนอยกวา 20 ลานยโร

6. ความยนยอมของผใหขอมล (Consent)

ขอความขอเจตจ านงของผใหขอมลตองเปนภาษาทเขาใจงายและเขยนไวในบรเวณทเหนไดชดเจน และผใหขอมลสามารถขอเปลยนความยนยอมทใหไวไดทกเมอ

7. สทธการเขาถง (Right to Access) และการถายโอนขอมล (Data Portability)

ผใหขอมลสามารถขอทราบวาผเกบขอมลบนทกขอมลใดไวบาง ผประมวลขอมลน าขอมลสวนใดไปใช เพออะไร รวมถงสามารถขอส าเนาขอมลของตนในรปแบบดจทลและโอนใหผเกบหรอผประมวลรายอนได โดยไมเสยคาใชจาย

8. สทธการลบ (Right to Erasure)

มกเรยกกนวา สทธการถกลม (Right to be Forgotten) คอ ผใหขอมลสามารถขอใหผเกบขอมล ลบขอมลทกรายการท เกยวของกบตนเอง และขอใหผประมวลขอมลยตการใชขอมลของตนได โดยไมเสยคาใชจาย

ความเปลยนแปลงทงหมดนแสดงใหเหนถงการยายอ านาจและกรรมสทธขอมลจากเดมซงเปนของผเกบขอมลและผประมวลขอมล ไปยงผใหขอมล

13

12 ขนตอนเตรยมความพรอมรบ GDPR

Information Commissioner’s Office (ICO), UK ไดใหแนวทางในการปร บต วเพอเตรยมพรอมร บความเปลยนแปลงทจะเกดขน จากการเรมใช GDPR ซงจะมผลบ งค บใชต งแตว นท 25 พฤษภาคม พ.ศ. 2561

1. Awareness การสรางความตระหนก

เรมจากผมอ านาจในการต ดสนใจและบคคลส าค ญในองคกร ตองทราบถงขอกฎหมายทเปลยนแปลงไป เพอร บมอก บ GDPR เพราะเปนกลมทจะตองประเมนผลกระทบทอาจเกดขนและทางออกหากเกดปญหาเรองการปฏบ ตตามขอก าหนดใหม

2. Information you hold ใสใจกบขอมลทมอย

ควรมการบ นทกวาขอมลสวนบคคลทเกบไว มทมาจากทใดและผทสามารถเขาถงขอมล โดยจะตองสามารถตรวจสอบ

3. Communicating privacy information การสอสารขอมลสวนบคคล

ตองพจารณาแผน Privacy Information ในปจจบ น และวางแผนเพอร บเปลยนแปลงใหท นทวงทกอน GDPR เรมมผลบ งค บใช

4. Individuals’ rights สทธสวนบคคล

ตองตรวจสอบข นตอนการท างานเพอใหแนใจวาครอบคลมก บสทธสวนบคคลทพงมทกประการ รวมถงวธการลบขอมลสวนบคคล และการสงตอขอมลในรปแบบอเลกทรอนกส ซงประกอบไปดวย

14

• สทธทจะไดร บแจง • สทธในการเขาถง • สทธในการแกไข • สทธในการลบลาง • สทธในการจ าก ดการประมวลผลขอมล • สทธในการถายโอนขอมล • สทธในการปฎเสธไมใหใชขอมล • สทธทจะไมใชการต ดสนใจโดยอ ตโนม ตในการประมวลผลขอมล

5. Subject access requests การขอเขาถงขอมล

ตองปร บปรงวธการท างานใหสอดคลองก บสถานการณในปจจบ น และวางแผนในการด าเนนการ เพอพรอมร บค ารองขอตางๆ ภายในระยะเวลาทก าหนดขนมาใหม โดยมเงอนไข ด งน

• ไมสามารถเรยกเกบคาธรรมเนยม • มเวลาหนงเดอนในการปฏบ ตตามขอก าหนด ซงส นกวาในปจจบ นทก าหนดให 40 ว น • สามารถปฏเสธหรอเรยกเกบเงนส าหร บค าขอทไรเหตผลอยางช ดเจน หรอเกนความ

จ าเปน • ในกรณทปฏเสธค าขอตองระบเหตผล ผทถกปฎเสธมสทธรองเรยนตอหนวยงานก าก บ

ดแลและกระบวนการยตธรรม 6. Lawful basis for processing personal data หลกการเบองตนทางกฎหมายในการ

ประมวลผลขอมลสวนบคคล

ตองระบหล กการเบองตนทางกฎหมาย ส าหร บกจกรรมการประมวลผลใน GDPR ท งดานเอกสารและปร บปรงค าชแจงเกยวก บขอมลสวนบคคลใหเปนปจจบ น

7. Consent ความยนยอม

ตองรายงานวธการจ ดเกบและจ ดการก บขอมล วาไดร บความยนยอมจากเจาของขอมล และอาจจะตองท าการเปลยนแปลงเงอนไขการจ ดการขอมลทมอยใหเปนไปตามมาตรฐานของ GDPR

8. Children เยาวชน

ตองเรมค านงถงการจ ดการระบบในการยนย นต วตนและไดร บความยนยอมจากพอแม หรอผปกครองส าหร บกจกรรมการประมวลผลขอมลใด ๆทเกดขนก บขอมลของเยาวชน

9. Data breaches การละเมดขอมล

15

ตองตรวจสอบใหแนใจวามข นตอนทเหมาะสมในการตรวจหา รายงานและตรวจสอบการละเมดขอมลสวนบคคลทอาจเกดขน องคกรบางแหงตองแจง ICO (และหนวยงานอน ๆ ) เมอตรวจพบการละเมดขอมลสวนบคคล

10. Data Protection by Design and Data Protection Impact Assessments การปองกนขอมลดวยการออกแบบและการปกปองขอมล

ควรเรมประเมนสถานการณทจะเกดขน เพอท าความเขาใจก บค าแนะน าของ ICO พรอมค าแนะน าจากมาตรา 29 และหาแนวทางในการน าไปใชในองคกร

11. Data Protection Officers เจาหนาทคมครองขอมล

ตองมเจาหนาทคมครองขอมล หรอ Data Protection Officers (DPO) จากเดมทองคกรตองแจงกจกรรมการประมวลผลขอมลตอหนวยงานทองถน (Local Data Protection Authority) ทเปนขอบ งค บตามกฎหมายเดม (Data Protection Act 1998) ภายใตกฎ GDPR นไมตองแจงแลว แตตองจางเจาหนาทคมครองขอมล หรอ DPO เขามาในบรษ ท

12. International การท างานระดบสากล

หากองคกรตองท างานรวมก บประเทศสมาชกสหภาพยโรปมากกวาหนงประเทศ (เชน มการโอนยายขอมลขามพรมแดน) ตองตรวจสอบขอมลน าของคณหนวยงานก าก บดแลการปองก น มาตรา 29 เพอเปนแนวทางในการด าเนนงาน

มมมองทางดานการสอสาร

• ขอมลของเราทอยบนอนเทอรเนตไมไดปลอดภ ยเสมอไป แมขอมลน นๆ จะอยบนแพลตฟอรมของผใหบรการทมนโยบายจะปกปองขอมลและความเปนสวนต ว

16

• ขอมลสวนต วของผใช ไมวาจะเปนการโพสตขอความ , กดไลก, สนทนาก บเพอน สามารถน ามาวเคราะหและประมวลผลเพอประโยชนทางธรกจตางๆได ผานเทคโนโลย Big Data

• โฆษณาบนเฟสบก กเปนหนงในสงท Algorithm น าขอมลของผใช ไปประมวลผลเพอประโยชนทางธรกจบนโลกออนไลน

• ต วอยาง กรณการหาเสยงเลอกต งประธานาธบดสหร ฐอเมรกา ท โดน ลด ทร มป รวมเปนหนงในผสม คร เมอป 2016 และสามารถชนะการเลอกต งคร งน นได โดยการท าสอประชาส มพ นธผานเฟสบก

• เชอก นวา โดน ลด ทร มป ไดใชบรการ Cambridge Analytica ซงมขอมลสวนต วของผใชงานเฟสบกทร วไหล ในการวเคราะหขอมลบคคลในการประชาส มพ นธและหาเสยงใหต วเอง

• หากขอส นนษฐานทวาเปนความจรง กสามารถน าขอมลเหลาน น มาจ ดท าสอประชาส มพ นธเพอโนมนาวใจคนใหเหนพองตองก นก บนโยบายของพรรคได เพราะมขอมลของกลมเปาหมายตางๆ ท งเรองความชอบ ความคด ความก งวล และอนๆ

• ด งน น หากมขอมลทสามารถน ามาวเคราะหอยางละเอยดจนพบวา จดจงใจในสารแบบใดทจะเขาถงกลมเปาหมายได กไมใชเรองยากทจะโนมนาวใจคนกลมน นๆ

• อยางเชน โฆษณาทใชส าหร บการหาเสยงของ โดน ลด ทร มป ทสวนใหญแลวจะเปนการน าขอเสยของคแขงมาใชใหเกดประโยชน ในเรองของการเบยงเบนประเดน เพอหลกเลยงทจะไมพดถงขอเสยของตนเอง

• หรอ การโฆษณาทแสดงถงการเขาอกเขาใจปญหาเรองของเศรษฐกจของอเมรกา ทถอเปนปญหาใหญของประชากรตองการแกไข

• และเมอผนวกก บการใชเฟสบกในการประชาส มพ นธหาเสยงเลอกต ง โดยการเปลยน feed ของผใชงาน ใหแสดงแตเนอหาทเกยวของก บความสนใจของคนน นๆ (ซงแนนอนวาเมอมขอมลของผใชงานทหลดร วออกไป กยงเปนการเปดโอกาสใหยงร บรไดวา ผใชงานคนไหน เหมาะก บสอประเภทไหน อยางไร) กยงเปนโอกาสในการชงพนทสอใหก บ โดน ลด ทร มป มากเทาน น

• การไดมาซงขอมลสวนบคคลเปนไปโดยมชอบของ Aleksandr Kogan ผานแอพพลเคชนนนอาจจะไมผด แตการสงตอมความผดแนนอน และตามทตกลงไว Cambridge Analytica สญญาวาแลววาจะท าลายขอมลทง แตสดทายกลบน าไปใชประโยชนในการหาเสยงของ โดน ลด ทร มป แทน

• ซงการบงคบใช GDPR ท าใหคนทวโลกตนตวอกครง และหนมาใหความส าคญดานความเปนสวนตวและความปลอดภยบนโลกออนไลนมากยงขน

17

มมมองทางดานการเมอง

• การปรบการแสดง Feed ของ Facebook ทเลอกแสดงแตเนอหาทตรงกบความชอบของผใช ท าใหคนสามารถเขาถงขาวสารไดนอยลง รวมทงมมมมองทแคบลงในการรบฟงความคดเหน ทแตกตาง ตลอดจนอาจท าใหคนมความเชอในความคดของตนวาเปนมมมองของคนสวนใหญ หรอเปนมมมองเดยวทถกตอง

• ความเสอมถอยของพลงในการโฆษณาของสอกระแสหลก โดยหากขอกลาวหาทวา Donald Trump สามารถชนะการเลอกตงดวยการใชบรการของ Cambridge Analytica เปนจรง จะสะทอนวา สอสงคมออนไลน แสดงใหเหนถงอทธพลในการเปนสอทมผลตอความเชอ และ การตดสนใจทางการเมองของผลงคะแนนเสยง

• จากเหตการณท เกดขน เมอดจากจงหวะเวลา แมวาเรองของ Cambridge Analytica จะเกดขนมาตงแตในป 2014 แตการทสอเลอกจะเลนประเดนนในชวงเวลาน นาจะมาจาก การเลอกตงกลางเทอมในสหรฐอเมรกาซงจะมผลตอจ านวนสมาชกสภาผแทนของสหรฐฯ จากแตละพรรค ซงมหนาทในการออกกฎหมายทจะคมครองประชาชน หรอ การเพมอ านาจ ใหเจาหนาทรฐ

• สวนในกรณของการบงคบใชกฎหมาย GDPR นน ถอวา EU ยงใหความส าคญในการคมครองสทธ และขอมลสวนบคคล ดวยการออกกฎหมายทน าหนากอนกฎหมายอนๆ ในโลก

• การออกบทลงโทษทมผลบงคบใชขามรฐหรอพนทอธปไตยถอวาเปนเรองท ใหมมาก และนาตดตามวา หากจ าเปนตองลงโทษจรง EU จะบงคบใชบทลงโทษอยางไร ใหบรษททอาจ ตงอยในพนทนอกเขต EU ท าตามกฎหมายของ EU

• EU ไดแสดงใหเหนวา ตวตนและขอมลออนไลนนน จ าเปนตองไดรบการปกปอง เนองจากมฐานะ คลายเปนทรพยสนของผใชทเปนพลเมอง EU

18

มมมองทางดานความพรอมขององคกรและภาคธรกจ

• มการคาดการณจาก Gartner ซงเปนหนงในองคกรช นน าดาน research ของโลกออกมาบอกวา

50 % ขององคกรท วโลกจะไมสามารถปฏบ ตตาม GDPR ไดท น deadline ซงกคอว นท 25

พฤษภาคมน

19

• การคาดการณนสอดคลองก บรายงานฉบ บหนงทจ ดท าขนโดย Crowd Research Partner ทท าการส ารวจบคลากรดาน Information Security กวา 400,000 คนในชวงตนป 2018 ทผานมาเกยวก บผลกระทบของกฏ GDPR รวมถงแผนการเตรยมความพรอมขององคกรเพอเปน GDPR-compliant ในรายงานด งกลาวพบขอมลเชงลกส าค ญๆด งน

• มเพยง 7 % ของคนทตอบแบบส ารวจบอกวาองคกรของตน comply ก บ GDPR แลว 32 % ขององคกรไดเรมกระบวนการเพอท า GDPR-compliant แลวแตไมคดวาจะสามารถส าเรจท น deadline อก 28 % ไดมการวางแผนแลวแตย งไมไดเรมท า GDPR-compliant สวนทเหลอมเพยง 33 % ไดเรมท า GDPR-compliant และคาดวาจะส าเรจท น

20

• ค าถามส าค ญถ ดมาพดถง scale ของการเปลยนแปลงดาน security และ techขององคกร กวา 84 % ตอบวาตองมการเปลยนแปลง สวน 16 % ทเหลอไมจ าเปนตองเปลยนแปลงอะไรเลย

• ความทายทายส าค ญขององคกรในการท า GDPR-compliant เรยงล าด บจากมากไปนอย คอ 1) ขาดผเชยวชาญทมท กษะดานการคดวเคราะห 2) ขาดงบประมาณ 3) ย งขาดความเขาใจใน GDPR 4) ขาด tech ทจ าเปน 5) ขาดการสงเสรมจากฝายบรหาร

• ในสวนของงบประมาณทใชท า GDPR-compliant อางองจากGartner พบวางบประมาณทใชคอประมาณ 1,000,000 $ ซงตรงก บบทส ารวจจาก Paul Hastings ทไดส ารวจองคกรเชน บรษ ทใน

21

Financial Times 100 หรอแมแต Fortune 500 พบวาบรษ ทเหลานได เตรยมงบประมาณจ านวนด งกลาวไวส าหร บท า GDPR-compliant

• งบประมาณขางบนนาจะตองน ามาใชในการท าหรอปร บปรง inventory of user data เพอใหเปน GDPR-compliant รวมถงตองมการปร บปรง tech และหา solution อนๆ เพอใหผใชงานไดใชสทธอ นพงมทจะมาพรอม GDPR

22

• นอกจากน ย งตองน ามาใชปร บปรงดานธรรมภบาลของขอมล (Data Governance) ในองคกร โดยกวา 56 % ของผตอบแบบส ารวจคาดวาตองมการเพมงบประมาณในการด าเนนการเรองด งกลาวเพมขนกวาเดม 10-50 %

• แตมประเดนทนาสงส ยในรายงานคอ กวา 77% ของผตอบส ารวจ คาดวาตองใชเวลาไมเกน 500 staff hours ในการท า GDPR-compliantในปน ซงถอวานอยมาก

23

• สวนค าถามทส าค ญทสอดคลองก บรายงานของ Gartner ขางตนคอ องคกรคาดวาตองใช

เวลานานกเดอนกวาจะสามารถปฏบ ตตามกฏของ GDPR ได โดยกวา 41 % ขององคกรตองใช

เวลาหนงปขนไป และมเพยง 43 % ทสามารถท าไดภายใน 3 เดอน

• ประเดนทงทายทนาสนใจคอ GDPR นอกจากจะน ามาซงความเปลยนแปลงในองคกรแลว ย งเปน

โอกาสของธรกจเนอดวยจะมความตองการ DPO เพมขนถง 28,000 อ ตรา

24

ADDITIONAL RESOURCES

Facebook:

www.theguardian.com/technology/2018/mar/21/mark-zuckerberg-response-facebook-cambridge-analytica

www.cnet.com/news/facebook-cambridge-analytica-data-mining-and-trump-what-you-need-to-know/

www.usatoday.com/story/tech/2018/03/21/facebook-ceo-mark-zuckerberg-finally-speaks-cambridge-analytica-we-need-fix-breach-trust/445791002/

www.cnbc.com/2018/03/22/mark-zuckerberg-facebook-ceo-apology-what-he-said-on-the-data-breach.html

www.variety.com/2018/digital/features/facebook-privacy-crisis-big-data-mark-zuckerberg-1202741394/

www.politico.eu/article/facebook-cambridge-analytica-data-protection-privacy-mark-zuckerberg-regulators/

www.vox.com/policy-and-politics/2018/3/21/17144748/case-against-facebook

www.irishtimes.com/business/technology/data-privacy

www.digitaltrends.com/social-media/what-facebook-users-should-know-about-cambridge-analytica-and-privacy/

www.reuters.com/article/us-facebook-privacy-eu-exclusive/exclusive-facebook-to-put-1-5-billion-users-out-of-reach-of-new-eu-privacy-law-idUSKBN1HQ00P

GDPR:

In a nutshell:

www.comparex-group.com/web/com/about/press/2017/gdpr-in-a-nutshell.htm

www.composity.com/blog/eu-general-data-protection-regulation-in-nutshell

www.wired.co.uk/article/what-is-gdpr-uk-eu-legislation-compliance-summary-fines-2018

25

www.eugdpr.org/key-changes.html

www.b-hive.eu/news-full/2017/3/2/the-gdpr-in-a-nutshell-ten-things-you-have-to-be-aware-of

www.dcslsoftware.com/need-2018-gdpr-nutshell/

www.techtalkthai.com/what-is-gdpr-basics/

www.themomentum.co/general-data-protection-regulation-europe/

www.youtube.com/watch?v=B6Dzc7_3w-k

Analysis and suggested compliance:

www.iapp.org/resources/article/top-10-operational-impacts-of-the-gdpr/

www.ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf

www.composity.com/blog/best-practices-on-meeting-gdpr-requirements

GDPR and Thailand:

www.lexology.com/library/detail.aspx?g=f59a65dc-6568-4738-aca5-56b3be033411

www.blognone.com/node/100324

www.nationmultimedia.com/detail/Economy/30334057

www.bact.cc/2017/gdpr-data-governance/