GDPR ความปลอดภัยด้านข้อมูลของพลเมือง EU

GDPR ความปลอดภัยด้านข้อมูลของพลเมือง EU

GDPR ความปลอดภัยด้านข้อมูลของพลเมือง EU

General Data Protection Regulation (GDPR)
ข้อบังคับของการป้องกันข้อมูลในแบบทั่วไป


Breaking down GDPR compliance and how it protects EU citizens’ data (ลดการปฏิบัติตาม GDPR และปกป้องข้อมูลของสหภาพยุโรปเป็นอย่างไร)

 

 

At a Glance:

 มีหลายเหตุการณ์ชวนปวดหัวเกิดขึ้นมากมายในช่วงหลายปีที่ผ่าน ซึ่งปัญหาความไม่ปลอดภัยในระบบเครือข่ายต่างระบาดไปทั่วประเทศต่างๆในทวีปยุโรป จึงเป็นเหตุให้ EU ได้ผ่านกฎระเบียบคุ้มครองข้อมูลทั่วไปในชื่อ “General Data Protection Regulation (GDPR)” ภายในปี 2560 ทั้งนี้มีเป้าหมายเพื่อให้องค์กรต่างๆในประเทศสมาชิก EU ได้เพิ่มประสิทธิภาพในเพิ่มความปลอดภัยในการปกป้องข้อมูล ถึงแม้ว่า GDPR จะพึ่งถูกนำมาใช้อย่างจริงจังในปี 2560 ก็ตาม แต่ GDPR  ก็เริ่มมีการใช้งานกันมาตั้งปี 25 พฤษภาคม พ.ศ. 2561 เลยทีเดียว

ถึงแม้ว่าองค์กรของคุณจะไม่ได้ตั้งอยู่ในกลุ่มประเทศ EU ก็ตาม แต่หากธุรกรรมที่คุณทำนั้นเกี่ยวข้องกับการจัดเก็บและจัดการข้อมูลส่วนบุคคลของพลเมืองของ EU คุณก็จะต้องปฏิบัติตามข้อกำหนดด้านความปลอดภัยนี้ ซึ่งหากไม่ปฏิบัติตามก็อาจจะโดนปรับมากถึง 4% ของรายได้องค์กรต่อปี หรืออาจะสูงถึง 20 ล้านยูโร (มีโอกาสเพิ่มขึ้นได้มากกว่านี้แล้วแต่การพิจารณา)

 

Key Points of the GDPR

 

    • Privacy By Design: เป้าหมายหลังขอ GDPR คือการปกป้องข้อมูลของพลเมือง EU เอาไว้ให้แน่นหนามากที่สุด ซึ่งในส่วนนี้จะรวมไปถึง ชื่อ ที่อยู่ อีเมล์ รวมไปถึงรายละเอียดทางด้านการแพทย์และข้อมูลด้านการเงินส่วนตัวอีกด้วย ซึ่งสิ่งที่สำคัญเลยก็คือ IP ซึ่งในส่วนนี้จะถูกเรียกว่า Privacy By Design เป็นส่วนเริ่มต้นของ GDPR

 

    • Data Custodianship: นอกจากหลักเกณฑ์การคุ้มครองและดูแลข้อมูลแล้วนั้น ในส่วนนี้ยังถือเป็นการคุ้มครองข้อมูลทั่วไปทั้งในระบบเก็บรักษาและข้อมูลที่ถูกทำลายไป

 

    • Right To Erasure: แนวคิด “Right to be forgotten” แนวคิดที่ทำลายความเป็นส่วนตัวในการเข้าถึงข้อมูลส่วนตัว ซึ่งเกิดการใช้ฟ้องร้องแก่ “Google” เมื่อปี 2006 เป็นผลทำให้ GDPR สามารถลบข้อมูลที่ส่วนตัวของจากการเก็บไว้ในองค์กรต่างๆ อีกทั้ง “แต่ละองค์กรจะต้องได้รับการยินยอมจากแต่ละบุคคลอีกด้วยก่อนที่จะมีเก็บป้อนข้อมูลส่วนบุคคลต่างๆ ซึ่งทางเจ้าของข้อมูลก็มีสินที่จะถอนความยินยอมได้ด้วยเช่นเดียวกัน”

 

  • Breach Notification Requirements: นอกจากข้อกำหนดด้านการรักษาข้อมูลของผู้ใช้แล้ว GDPR ยังรวมไปถึงกฎการแจ้งข้อมูลที่ละเมิดข้อบังคับต่างๆ ที่อาจจะละเมิดตามกฎของแต่ละประเทศในกลุ่ม EU ซึ่งจะมีการรายงานและจัดการการละเมิดภายใน 72 ชั่วโมงหลังเกิดการละเมิดขึ้น

 

Considerations for Becoming GDPR Compliant
(3 ข้อควรพิจารณาในการเป็นไปตามข้อกำหนดของ GDPR)

 

    •  ทำความเข้าใจเกี่ยวกับ “เครือข่ายและขอบเขตข้อมูล” ที่คุณมี  ตรวจสอบความพร้อมขององค์กรว่ามีเครือข่ายการจัดเก็บข้อมูลที่มีประสิทธิภาพมากเพียงใด รวมไปถึงการวางขอบเขตของการเข้าถึงข้อมูลส่วนบุคคล ผู้ใดมีสิทธิเข้าถึงข้อมูลได้บ้าง และตรวจสอบการเข้าถึงที่ไม่ได้รับอนุญาตอยู่เป็นประจำ

 

    • ประเมินความแข็งแกร่งของการควบคุมและโปรแกรมที่มีคุณจะต้องทดสอบความแข็งแกร่งของระบบควบคุมที่มีอยู่เสมอ ทั้งการทดสอบประสิทธิภาพและการหาช่องโหว่ ซึ่งไม่ใช่แค่เพียงโปรแกรมเท่านั้น แต่ยังรวมไปถึงบุคลากรและกระบวนการอีกด้วยที่จะพัฒนาไม่ให้เกิดข้อผิดพลาดอยู่เสมอ

 

  • มีการกำหนดกระบวนการและการประกาศสื่อสารที่เป็นทางการหากมีการเตรียมตัวและกระบวนที่ดีการละเมิดข้อมูลก็จะไม่เกิดขึ้นอย่างแน่นอน องค์กรจะต้องมั่นใจว่าการทดสอบกระบวนการเป็นไปอย่างมีประสิทธิภาพและสามารถตอบสนองต่อความเสี่ยงที่อาจจะเกิดขึ้นได้

 

General Data Protection Regulation (GDPR)  จะได้รับการประกาศใช้อย่างเป็นทางการในวันที่ วันที่ 28 พฤษภาคม 2018 ซึ่งองค์กรที่อยู่ภายใต้ขอบเขตที่กล่าวถึงไปจะต้องมีการเตรียมตัวให้พร้อมในการปรับเปลี่ยนองค์กรให้เป็นไปตามข้อกฎหมาย และยังเพิ่มประสิทธิภาพในการคุ้มครองข้อมูลไม่ให้เกิดความเสียหายได้อีกด้วย

 

Reference : https://www.rapid7.com/fundamentals/gdpr/

Monster Connect
Monster Connect