กฎ GDPR เริ่มมีผลตั้งแต่วันนี้เป็นต้นไป ความซับซ้อนและตัวกฎเองที่ออกแบบมาให้เคร่งครัดเป็นอย่างมากทำให้การบริการจำนวนมากแสดงความกังวล และบริการจำนวนมากก็ไล่ปรับปรุงบริการเพื่อให้รองรับ GDPR กัน

โดยตัว GDPR เองไม่ได้บังคับให้เว็บหรือซอฟต์แวร์ต่างๆ มีฟีเจอร์ใหม่แต่อย่างใด แต่ข้อจำกัดเช่นระยะเวลาที่ต้องตอบสนองต่อคำขอของผู้ใช้ก็ทำจะให้บริการขนาดใหญ่ที่มีผู้ใช้เป็นจำนวนมากก็ต้องทำฟีเจอร์หลักๆ เพื่อหลีกเลี่ยงการทำตามคำร้องขอของผู้ใช้จำนวนมากอยู่ดี บทความนี้รวบรวมฟีเจอร์ของบริการออนไลน์ที่แนะนำให้เพิ่มเข้ามาในบริการยุคต่อไป

อย่างไรก็ดีฟีเจอร์เหล่านี้เป็นเพียงส่วนหนึ่งของการยกระดับบริการให้ครอบคลุมมากขึ้นเท่านั้น ตัวกฎ GDPR เองก็มีเรื่องอื่นๆ ที่ต้องการการปรับปรุงระดับองค์กรมากกว่าการแก้ไขซอฟต์แวร์ เช่น การกำหนดเจ้าหน้าที่ดูแลข้อมูลส่วนบุคคลประจำองค์กร รวมไปถึงการขอความยินยอมผู้ใช้ ที่ยังเป็นที่ถกเถียงกันว่าต้องขอละเอียดเพียงใด

ฟีเจอร์ขอดาวน์โหลดข้อมูลทั้งหมด

ผู้ใช้เฟซบุ๊ก, กูเกิล, หรือทวิตเตอร์ อาจจะเคยเห็นเมนูที่สามารถดาวน์โหลดข้อมูลที่เคยโพสไว้ในบริการเหล่านี้ทั้งหมดออกมาได้ แม้สมัยก่อนบริษัทขนาดใหญ่เหล่านี้จะทำฟีเจอร์เหล่านี้โดยสมัครใจ และเพื่อแสดงตัวว่าผู้ใช้สามารถย้ายไปใช้บริการอื่นได้ แต่ GDPR ทำให้การขอข้อมูลออกจากระบบกลายเป็นสิทธิ์ของผู้ใช้

ปุ่มดาวน์โหลดข้อมูลออกจากระบบ เป็นไปตามการอธิบายกฎที่ 59 ของ GDPR อย่างไรก็ดี ตามตัวกฎเองไม่ได้จำกัดว่าผู้ใช้ต้องดาวน์โหลดข้อมูลตามปุ่มนี้เท่านั้น แต่สามารถส่งจดหมายเป็นลายลักษณ์อักษร หรือแม้แต่แจ้งปากเปล่า

ฟีเจอร์ลบข้อมูล

เราเคยได้ยินกระแส #DeleteFacebook มาก่อนหน้านี้ แต่ GDPR ทำให้การลบข้อมูลออกจากบริการทั้งหมดเป็นสิทธิมาตรฐานของผู้ใช้

ซอฟต์แวร์หลายตัวอาจจะสร้างขึ้นบนแนวคิดว่าข้อมูลไม่มีการลบตลอดไป (ข้อมูลที่ลบเป็นเพียงการซ่อนไว้) GDPR จะบังคับให้ผู้ให้บริการต้องจัดการซอฟต์แวร์และบริการของตนลบข้อมูลออกทั้งหมด หากไม่มีเหตุผลอื่น เช่น เหตุผลทางกฎหมายที่ข้อมูลนั้นอาจถูกสั่งให้เก็บตามกฎหมาย

ล็อกบัญชี

มีบางกรณีที่ผู้ใช้ไม่ต้องการลบข้อมูลออกจากระบบ แต่ต้องการให้หยุดใช้งานข้อมูลไว้ก่อน GDPR ให้สิทธิผู้ใช้ในการขอหยุดใช้งานข้อมูล (right to restriction) เอาไว้ ระบบที่ดีจึงควรมีระบบอัตโนมัติสำหรับการหยุดใช้ข้อมูลทั้งหมด ในกรณีของเว็บไซต์คือการนำข้อมูลของผู้ใช้คนนั้นออกจากเว็บทั้งหมด

ตัวอย่างหนึ่งของการล็อกบัญชี คงเป็นการ deactivate account ของเฟซบุ๊ก

แก้ไขข้อมูลส่วนตัว

GDPR ให้สิทธิผู้ใช้ในการแก้ไขข้อมูลให้ถูกต้อง แม้บริการโดยทั่วไปจะไม่ค่อยมีปัญหานี้ แต่ก็มีบางครั้งที่เกิดปัญหาได้ เช่น ผู้ใช้ไม่สามารถแก้ไขชื่อที่อยู่ของตัวเองหลังจากเปิดใช้งานครั้งแรก คำแนะนำของ ICO หน่วยงานกำกับดูแลของอังกฤษชี้ว่าฟีเจอร์นี้จะสำคัญขึ้น หากส่งผลโดยตรงต่อชีวิตเจ้าของข้อมูลมากขึ้น หากบริการเก็บข้อมูลสำคัญสูง เช่น ข้อมูลทางการแพทย์ หรือข้อมูลทางการเงิน ก็อาจจะต้องหาทางตรวจสอบกันมากขึ้นในกรณีที่ผู้ใช้แจ้งมาว่าข้อมูลผิดและต้องการให้แก้ไข

แม้ตัว GDPR จะไม่ได้กำหนดให้ต้องทำเป็นฟีเจอร์ของบริการโดยตรง แต่ก็กำหนดผู้ให้บริการมีเวลาสูงสุดหนึ่งเดือนในการทำตามคำร้องขอ ICO หน่วยงานกำกับดูแลของอังกฤษแนะนำให้จำกัดเวลาไว้ที่ 28 วันเพื่อไม่ให้มีปัญหาทางกฎหมาย ในกรณีที่แต่ละเดือนมีจำนวนวันไม่เท่ากัน หากบริการมีผู้ใช้เป็นจำนวนมาก และต้องดำเนินการตามฟีเจอร์ต่างๆ ด้วยมือ ตั้งแต่การตรวจสอบผู้ร้องขอว่าเป็นเจ้าของข้อมูลจริง ไปจนถึงการดำเนินการตามคำร้องขอ โอกาสที่จะดำเนินการไม่ทันและกลายเป็นการทำผิดกฎก็จะสูงขึ้น

บริการที่ไม่ได้เชื่อมต่อกับธุรกิจต่างประเทศโดยตรงคงไม่ได้รับผลกระทบจาก GDPR ในตอนนี้ (Blognone เองไม่มีบริการดาวน์โหลดข้อมูลผู้ใช้ออกจากระบบในตอนนี้) แต่เมื่อสหภาพยุโรปเลือกใช้แนวทางนี้ ก็มีความเป็นไปได้ว่าแนวทางเช่นนี้จะแพร่กระจายออกไปอีกหลายประเทศนอกสหภาพยุโรป ตัวฟีเจอร์ต่างๆ อาจจะกลายเป็นฟีเจอร์มาตรฐานที่ผู้ใช้ใช้พิจารณาเข้าใช้บริการ เช่นเดียวกับการเข้ารหัสเว็บด้วย HTTPS แบบทุกวันนี้ที่แม้จะไม่มีการบังคับเป็นกฎหมาย แต่ก็เป็นแนวทางที่ดีที่เว็บส่วนมากต้องทำตามกันในที่สุด

ที่มา - Bozho's Tech Blog ผ่านทาง Hacker News, ICO.org.uk: Guide to the General Data Protection Regulation