Uncategories

10 วิธีเตรียมความพร้อมองค์กรก่อนบังคับใช้กฎหมาย GDPR

10 ขั้นตอนเตรียมพร้อมก่อนเผชิญกับ GDPR

กฎหมายเพื่อการคุ้มครองข้อมูลใหม่ (GDPR) ที่กำลังจะบังคับใช้ใน วันที่ 25 พฤษภาคม ปี 2018 ส่งผลต่อชาวสหภาพยุโรปทั่วโลก และประเทศที่ถือครองข้อมูลของคนของสหภาพยุโรป

จากรายงานของ DMA เมื่อปีที่ผ่านมาพบว่ามีองค์กรถึง 26% ที่ยังไม่พร้อมต่อ GDPR เพราะฉะนั้นวันนี้เราจะมาพูดถึง 10 ขั้นตอนในการเตรียมความพร้อมเข้าสู่ GDPR กัน

1. วางแผนโดยคำนึงถึง GDPR

คุณ Steve Wood หัวหน้าฝ่ายยุทธศาสตร์และข่าวกรองของ ICO บอกว่า “เมื่อ GDPR บังคับใช้ใน EU กฎหมาย GDPR จะส่งผลต่อองค์กรส่วนมากใน UK”

ถึงแม้ประเทศอังกฤษจะกำลังวางแผนจะออกจากสหภาพยุโรป แต่ธุรกิจกับองค์กรก็ยังต้องทำตามกฎของ GDPR ตราบใดที่มียังข้อมูลของชาวสหภาพยุโรปอยู่

2. เพิ่มความรู้ความเข้าใจ

ทุกๆคนในองค์กรเริ่มตั้งแต่พนักงานถึงผู้บริหารจำเป็นต้องเข้าใจกฎหมายใหม่นี้และผลกระทบที่กระทบจะเกิดขึ้นกับองค์กร

จากผลการสำรวจของ Gigamon ในปี 2017 ว่าด้วยความพร้อมขององค์กรใน UK พบว่ามีเพียง 41% ของผู้เชี่ยวชาญด้านไอทีเท่านั้นที่เข้าใจว่า GDPR คืออะไร? และอีก 9% บอก่าไม่รู้เลย

3. ตัดสินใจว่าองค์กรของคุณจะดูแลข้อมูลอย่างไร

ด้วยคำสั่งคุ้มครองข้อมูลของ EU มีเพียงผู้ถือข้อมูลเท่านั้นที่ต้องรับผิดชอบเมื่อกฎหมายถูกบังคับใช้

ทาง ICO อธิบายว่า GDPR นั้นส่งผลต่อผู้ดำเนินการด้วย นี่เป็นเหตุผลสำคัญที่องค์กรต้องตัดสินใจว่าจะทำอย่างไรถึงจะดีที่สุดสำหรับกฎหมาย GDPR

4. ตรวจสอบทุกแง่มุมของข้อมูลในองค์กร

ในองค์กรต้องทราบว่าข้อมูลอะไรถูกเก็บไว้ส่วนไหน ก่อนทำการประเมินความปลอดภัย และใครเป็นผู้กำกับดูแล แล้วมีการแบ่งปันข้อมูลให้กับส่วนไหนบ้าง

มอบหมายงานให้ฝ่าย IT ของคุณจัดการเพราะพวกเขาจะทำทุกอย่างให้ดูง่ายขึ้น และแนะนำไอเดียที่จะนำมาใช้

5. วิเคราะห์การล้วงข้อมูลครั้งๆก่อน

หากองค์กรของคุณเคยเผชิญกับเหตุการณ์ล้วงข้อมูล คุณคงจินตนาการได้ว่าครั้งต่ออะไรเกิดขึ้นอย่างไร? และสามารถกำหนดสิ่งที่คุณต้องการเพื่อป้องกันการล้วงข้อมูลครั้งต่อไป

หนึ่งในมาตรการของ GDPR คือจะต้องรายงานถึงข้อมูลที่ถูกขโมยไปภายใน 72 ชั่วโมงหลังจากที่พบ และรายละเอียดของลักษณะและความรุนแรงของการโจมตี

วิธีนี้เป็นแนวทางให้กับองค์กรที่ไม่รู้จะไปทางไหน เพราะจะมีหน่วยงานเข้ามาช่วยเหลือและสามารถทำงานได้อย่างเป็นขั้นเป็นตอน

6. พบผู้กำกับดูแลข้อมูล DPO

จาก IAPP ผู้กำกับดูแลข้อมูลจะเป็นองค์กรสาธารณะหรือเอกชนที่มีส่วนร่วมในกิจกรรมการตรวจสอบข้อมูลในระดับมหภาค

ผู้กำกับดูแลข้อมูลมีความรู้ความเข้าใจเกี่ยวกับ GDPR เป็นอย่างมาก และสามารถตั้งมาตรฐานในการปฏิบัติตามได้

7. เข้าใจกฎของสิทธิขั้นพื้นฐาน

หนึ่งใจจุดเด่นของ GDPR คือสิทธิส่วนบุคคลที่มากขึ้น และหนึ่งในของเด็ดสำหรับผู้บริโภคของ GDPR ก็คือสิทธิในการสั่งให้องค์กรลบข้อมูลของตัวเองหากไม่มีความจำเป็นต้องใช้ ซึ่งองค์กรธุรกิจจำเป็นต้องโปรโมทสิทธินี้

8. เปิดรับความรู้ใหม่ๆ

GDPR มีเป้าหมายในการสร้างความชัดเจน มาตรการใหม่จำเป็นจ้องให้องค์กรได้แถลงการณ์ที่ชัเจนหรือ “clear affirmative action”

องค์กรอาจจะต้องมีมาตรการในการจำกัดความสามารถในการเข้าถึงข้อมูลของเด็ก หากไม่อยู่ภายใต้การดูแลโดยผู้ใหญ่

ความสามารถดั่งกล่าวหมายถึงข้อมูลเหล่านั้นไปี่ไหน และถูกใช้อย่างไร

9. กำหนดสิ่งที่มีอำนาจการจัดการสูงสุด

หลายองค์กรโดยเฉพาะองค์กรธุรกิจข้ามชาติ หรือมีสาขาทั่วโลก ย่อมต้องพบกับกฎเกณฑ์มากมายที่ต้องปฏิบัติตามซึ่งอาจเคร่งครัดมากกว่า GDPR

ด้วยเหตุนี้อาจทำให้การทำงานเกิดความสับสน จึงจำเป็นต้องกำหนดกฎเกณฑ์ที่มีอำนาจสูงสุด

10. จัดสรรทรัพยากรให้มากขึ้น

เป็นเรื่องที่ดีหากมีการจัดการกับโครงสร้างพื้นฐาน เพื่อจัดการกับทรัพยากรต่างให้เป็นไปตามที่ต้องการ

ความต้องการใหม่ๆมีเข้ามาเสมอและอย่างปล่อยให้งานนี้กลายเป็นดินพอกหางหมูในอนาคต

Source: https://www.welivesecurity.com/2017/04/14/10-ways-prepare-organization-gdpr/
Translated by: Worapon H.

%d bloggers like this: