fbpx

ทำไม GDPR จึงสำคัญสำหรับธุรกิจ? – ผู้เชี่ยวชาญด้านความปลอดภัยและไอทีควรทราบอะไรบ้าง

05 Jun ทำไม GDPR จึงสำคัญสำหรับธุรกิจ? – ผู้เชี่ยวชาญด้านความปลอดภัยและไอทีควรทราบอะไรบ้าง


GDPR ย่อมาจาก General Data Protection Regulation หรือระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป เป็นบทบัญญัติหลักภายในพระราชบัญญัติคุ้มครองข้อมูล (DPA) กฏนี้เขียนขึ้นเพื่อช่วยปกป้องข้อมูลทางดิจิทัลของพลเมืองของสหภาพยุโรปและเพื่อให้มั่นใจได้ว่าธุรกิจที่ใช้ข้อมูลเหล่านั้นมีความโปร่งใสและปลอดภัยในการรวบรวมและประมวลผลข้อมูล

 

ถ้าคุณไม่ทราบว่าระเบียบข้อบังคับของ GDPR คืออะไรคุณสามารถอ่านได้ที่นี่

 

บริษัทใดๆก็ตามที่เสนอสินค้าหรือบริการแก่พลเมืองของสหภาพยุโรปจะต้องปฏิบัติตามนโยบายข้อบังคับใหม่อย่างเคร่งครัด หากคุณไม่ได้ให้บริการหรือเสนอสินค้าให้แก่พลเมืองของ EU คุณอาจจำเป็นต้องเปลี่ยนแปลงวิธีการรับข้อมูลมาใช้หรือปรับการประมวลผลข้อมูลส่วนบุคคลด้วยเหมือนกัน

 

GDPR – ทำไมธุรกิจควรให้ความใส่ใจ?

 

  1. บทลงโทษสำหรับการละเมิดและการไม่ปฏิบัติตามข้อตกลงนั้นรุนแรงมาก: มีการกำหนดความรับผิดชอบเพิ่มขึ้นสำหรับธุรกิจและมีบทลงโทษที่ชัดเจนสำหรับผู้ที่ไม่ปฏิบัติตามข้อกำหนด ภายใต้มาตราที่ 83 (5) ว่าด้วยการละเมิดอาจทำให้ต้องเสียค่าปรับสูงเกือบ 20 ล้านยูโรหรือคิดเป็น 4% ของรายได้ทั่วโลก Facebook และ Google กำลังเผชิญหน้ากับการเสียค่าปรับจำนวนมหาศาลนี้เกือบ 10 พันล้านเหรียญ

 

  1. เขตอำนาจศาลขยายออกไปนอกสหภาพยุโรป: ความเข้าใจผิดที่มักจะเกิดขึ้น คือหากคุณไม่ได้อยู่ในสหภาพยุโรปคุณไม่จำเป็นต้องกังวลเกี่ยวกับข้อบังคับนี้ซึ่งเป็นความคิดที่ไม่ถูกต้อง แต่เพราะเป็นระเบียบบังคับที่ใช้คุ้มครองพลเมืองของสหภาพยุโรป ดังนั้นหากพลเมืองของสหภาพยุโรปกำลังดูเว็บไซต์ของคุณหรือใช้แอปพลิเคชันของคุณอยู่ คุณต้องปฏิบัติและปกป้องข้อมูลของเขาตามข้อบังคับ กล่าวคือการบังคับนี้นำไปใช้กับพลเมืองของสหภาพยุโรปในระดับสากล ดังนั้นแม้ผู้เข้าชมเว็บไซต์ที่เป็นของประเทศใดๆที่ไม่ใช่สหภาพยุโรป แต่หากตัวผู้เข้าชมเป็นพลเมืองของสหภาพยุโรป ระเบียบนี้จะถูกบังคับใช้และคุ้มครองเขาทันที ฉะนั้นเว็บไซต์ทั่วโลกต้องปฏิบัติตามกฎระเบียบใหม่นี้

 

  1. ในส่วนของการพัฒนาด้านเทคนิคและองค์กร: นี่เป็นส่วนสำคัญของข้อบังคับใหม่โดยขอให้ผู้ควบคุมข้อมูลระบุการใช้งานอย่างรัดกุม ดำเนินการเป็นขั้นตอนและควบคุมความปลอดภัยอย่างเข้มงวด ซึ่งทั้งหมดที่กล่าวมานี้ควรได้รับการจัดทำเป็นเอกสารอย่างชัดเจนตรงไปตรงมา สม่ำเสมอและสามารถทำซ้ำได้

 

  1. การขยายขอบเขตข้อมูลส่วนบุคคล: สิ่งที่น่ากังวลใจสำหรับเราๆคือ การขยายขอบเขตข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลสำหรับ GDPR คือข้อมูลใด ๆ ที่ทำให้สามารถระบุตัวตนได้โดยตรงหรือโดยอ้อม ตามที่พบเช่น : ชื่อ (จากแบบฟอร์มสอบถาม), อีเมล (จากการสมัครสมาชิกจดหมายข่าว), สถานที่ (จากการติดตามของ Analytics) การขยายขอบเขต คำนี้เป็นสิ่งสำคัญสำหรับผู้เชี่ยวชาญด้านไอที เพราะนั่นรวมไปถึงที่อยู่ IP, GPS, คุกกี้และ UDID ซึ่งที่ยกตัวอย่างมานี้ยังไม่ครอบคลุมทั้งหมด

 

  1. ข้อจำกัดในการจัดเก็บข้อมูล: คุณต้องไม่เก็บข้อมูลส่วนบุคคลไว้นานเกินความจําเป็น ในความเป็นจริงตามกฎระเบียบคุณต้องเก็บไว้ใน “ระยะเวลาที่สั้นที่สุดเท่าที่จะเป็นไปได้” บริษัทของคุณต้องกำหนดระยะเวลาในการเก็บรักษาข้อมูลและดำเนินการลบและอัพเดตข้อมูลด้วย

 

  1. GDPR ขึ้นอยู่กับสิ่งที่คุณจะกระทำต่อข้อมูล: GDPR เป็นข้อบังคับที่มีผลทางด้านกฎหมายต่อธุรกิจทุกขนาดแม้แต่ SMEs ก็ไม่เว้น ขึ้นอยู่กับว่าคุณจะนำข้อมูลไปใช้อย่างไร ไม่ได้เกี่ยวกับว่าธุรกิจของคุณใหญ่แค่ไหน อย่างไรก็ตามข้อบังคับก็ไม่ได้ใช้ได้กับทุกบริษัท เช่น บริษัทที่มีพนักงานต่ำกว่า 250 คน ไม่จำเป็นต้องเก็บบันทึกการใช้ข้อมูลส่วนบุคคลออกมาเป็นเอกสารยืนยันไว้ เว้นแต่หากบริษัทนี้นำข้อมูลส่วนบุคคลที่มีอยู่ไปใช้ในทางที่อาจก่อให้เกิดภัยคุกคามต่อสิทธิและเสรีภาพของเจ้าของข้อมูล บริษัทนี้จึงจะถูกดำเนินคดีหรือเป็นผู้ละเมิดกฏ GDPR

 

ในทำนองเดียวกัน SMEs ควรจะแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer หรือ DPO) หากการประมวลผลข้อมูลส่วนเป็นงานหลักของธุรกิจและอาจก่อให้เกิดภัยคุกคามต่อสิทธิและเสรีภาพของแต่ละบุคคล เช่น การตรวจสอบบุคคลหรือการประมวลผลข้อมูลที่ละเอียดอ่อนต่างๆ เป็นต้น

 

อ่านบทความต่อไปได้ที่นี่ : เราจะทราบได้อย่างไรว่าต้องปฏิบัติตาม GDPR หรือไม่?