เหลือเวลาอีกแค่ 8 เดือนก่อนกฎหมายคุ้มครองข้อมูล General Data Protection Regulation (GDPR) จะถูกบังคับใช้ และส่งผลต่อธุรกิจทุกขนาด ทุกประเทศที่มีข้อมูลของประชากรในสหภาพยุโรป
กฎหมาย GDPR ถูกคิดมาเพื่อเป็นตัวกลางของกฎหมายคุ้มครองอื่นๆ ที่เกียวกับความเป็นส่วนตัว ทำให้ผู้บริโภคสามารถควบคุมสิทธิในข้อมูลของตัวเองได้ดียิ่งขึ้น ทั้งมีสิทธิที่จะรู้ว่าข้อมูลของตนไปอยู่ที่ไหนบ้างและถูกใช้อย่างไร กับสิทธิที่สามารถสั่งให้องค์กรลบข้อมูลของตัวเองหากไม่มีความจำเป็นต้องใช้ และอื่นๆ
บทลงโทษสำหรับคนที่ไม่ปฏิบัติตาม เป็นเงินค่าปรับสูงถึง 20 ล้านยูโร หรือคิดเป็น 4% ของผลประกอบการทั้งปี
สำหรับองค์กรใหญ่ๆอาจไม่ต้องกังวลมากนัก แต่สำหรับธุรกิจเล็กๆคงไม่คิดอย่างนั้น แม้ค่าปรับจะมีค่ามหาศาลแต่ในยุโรป มีเพียง 1 ใน 5 ขององค์กรเท่านั้นที่เตรียมพร้อมกับกฎหมายใหม่นี้ อาจเป็นเพราะองค์กรที่มีฐานอยู่นอกเขตยุโรปไม่ทราบว่ากฎหมายใหม่นี้ส่งผลถึงองค์กรด้วย ทำให้องค์กรมากกว่าครึ่ง (52%) ไม่รู้ว่า GDPR ส่งผลต่อองค์กรของตัวเองอย่างไร
1. กำหนดมุมมองที่บริษัทใช้เพื่อควบคุมข้อมูล
ก่อนอื่นคุณต้องเข้าใจว่าองค์กรของคุณบริหารจัดการข้อมูลของคุณอย่างไร ส่วนของการควบคุมเป็นเพียงครึ่งหนึ่งที่ GDPR ต้องการ เพราะ GDPR ต้องการทราบผู้ที่ดำเนินการด้วย หรือก็คือต้องรู้ว่าข้อมูลถูกเก็บอยู่ที่ไหนขององค์กร ไม่ว่าองค์กรของคุณจะทำหน้าที่ประมวลผลข้อมูล ควบคุมข้อมูล หรือทั้งสองอย่าง
2. เรียนรู้จากอดีต
ถามตัวเองว่าที่ผ่านๆมาคุณรับมือกับเหตุการณ์ที่ข้อมูลภายในองค์กรของคุณตกอยู๋ในมือของคนภายนอกอย่างไร เขียนทุกอย่างเป็นขั้นตอนออกมา เพราะในข้อบังคับของ GDPR นั้น เมื่อเกิดเหตุการณ์ล้วงข้อมูลขึ้น องค์กรที่ได้รับผลกระทบจะต้องรายงานต่อผู้รับผิดชอบ ภายใน 72 ชั่วโมง
3. แต่งตั้งผู้รับผิดชอบดูแลข้อมูล
การจ้างผู้ดูแลข้อมูลเป็นเรื่องที่ใช้เงินค่อนข้างมาก และดูสิ้นเปลือง เพราะหน้าที่ของผู้ดูแลนั้นไม่ได้ใช้เวลาเท่ากับงานประจำ เพียงแค่รายงาน และช่องทางบริการจัดการทรัพยากรที่มีเพื่อป้องกัน และลดผลกระทบจากการล้วงข้อมูล
4. ให้ความรู้กับพนักงานในองค์กรทุกคน
หนึ่งในจุดประสงค์ของ GDPR ก็คือมอบอำนาจในการควบคุมข้อมูลส่วนตัวของผู้บริโภค อย่างอำนาจในการสั่งลบข้อมูลส่วนตัวจากองค์กรที่ไม่ได้ใช้แล้ว และทำให้ข้อมูลของเยาวชนนั้นปลอดภัยมากยิ่งขึ้น
5. ทำความรู้จักกับผู้กำกับดูแล
ผู้มีอำนาจที่เกี่ยวข้องกับคุณขึ้นอยู่กับที่ๆองค์กรของคุณตั้งอยู่ ไม่ใช่ตำแหน่งของที่ทำงาน ซึ่งอาจทำให้องค์กรที่มีหลายสาขาทำงานไม่สะดวก แต่ไม่ว่าอย่างไรก็ตามคุณต้องรู้ว่าผู้ที่กำกับดูแลคุณนั้นเป็นหน่วยงานไหน
เหลือเวลาอีก 8 เดือนก่อนกฎหมายใหม่นี้จะถึงกำหนดบังคับใช้ องค์กรธุรกิจจำเป็นต้องพร้อม และปฏิบัติตาม ก่อนที่ทุกอย่างจะสายไป
Source: https://www.welivesecurity.com/2017/10/10/sme-ready-gdpr/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
เหลือเวลาอีกแค่ 8 เดือนก่อนกฎหมายคุ้มครองข้อมูล General Data Protection Regulation (GDPR) จะถูกบังคับใช้ และส่งผลต่อธุรกิจทุกขนาด ทุกประเทศที่มีข้อมูลของประชากรในสหภาพยุโรป
กฎหมาย GDPR ถูกคิดมาเพื่อเป็นตัวกลางของกฎหมายคุ้มครองอื่นๆ ที่เกียวกับความเป็นส่วนตัว ทำให้ผู้บริโภคสามารถควบคุมสิทธิในข้อมูลของตัวเองได้ดียิ่งขึ้น ทั้งมีสิทธิที่จะรู้ว่าข้อมูลของตนไปอยู่ที่ไหนบ้างและถูกใช้อย่างไร กับสิทธิที่สามารถสั่งให้องค์กรลบข้อมูลของตัวเองหากไม่มีความจำเป็นต้องใช้ และอื่นๆ
บทลงโทษสำหรับคนที่ไม่ปฏิบัติตาม เป็นเงินค่าปรับสูงถึง 20 ล้านยูโร หรือคิดเป็น 4% ของผลประกอบการทั้งปี
สำหรับองค์กรใหญ่ๆอาจไม่ต้องกังวลมากนัก แต่สำหรับธุรกิจเล็กๆคงไม่คิดอย่างนั้น แม้ค่าปรับจะมีค่ามหาศาลแต่ในยุโรป มีเพียง 1 ใน 5 ขององค์กรเท่านั้นที่เตรียมพร้อมกับกฎหมายใหม่นี้ อาจเป็นเพราะองค์กรที่มีฐานอยู่นอกเขตยุโรปไม่ทราบว่ากฎหมายใหม่นี้ส่งผลถึงองค์กรด้วย ทำให้องค์กรมากกว่าครึ่ง (52%) ไม่รู้ว่า GDPR ส่งผลต่อองค์กรของตัวเองอย่างไร
1. กำหนดมุมมองที่บริษัทใช้เพื่อควบคุมข้อมูล
ก่อนอื่นคุณต้องเข้าใจว่าองค์กรของคุณบริหารจัดการข้อมูลของคุณอย่างไร ส่วนของการควบคุมเป็นเพียงครึ่งหนึ่งที่ GDPR ต้องการ เพราะ GDPR ต้องการทราบผู้ที่ดำเนินการด้วย หรือก็คือต้องรู้ว่าข้อมูลถูกเก็บอยู่ที่ไหนขององค์กร ไม่ว่าองค์กรของคุณจะทำหน้าที่ประมวลผลข้อมูล ควบคุมข้อมูล หรือทั้งสองอย่าง
2. เรียนรู้จากอดีต
ถามตัวเองว่าที่ผ่านๆมาคุณรับมือกับเหตุการณ์ที่ข้อมูลภายในองค์กรของคุณตกอยู๋ในมือของคนภายนอกอย่างไร เขียนทุกอย่างเป็นขั้นตอนออกมา เพราะในข้อบังคับของ GDPR นั้น เมื่อเกิดเหตุการณ์ล้วงข้อมูลขึ้น องค์กรที่ได้รับผลกระทบจะต้องรายงานต่อผู้รับผิดชอบ ภายใน 72 ชั่วโมง
3. แต่งตั้งผู้รับผิดชอบดูแลข้อมูล
การจ้างผู้ดูแลข้อมูลเป็นเรื่องที่ใช้เงินค่อนข้างมาก และดูสิ้นเปลือง เพราะหน้าที่ของผู้ดูแลนั้นไม่ได้ใช้เวลาเท่ากับงานประจำ เพียงแค่รายงาน และช่องทางบริการจัดการทรัพยากรที่มีเพื่อป้องกัน และลดผลกระทบจากการล้วงข้อมูล
4. ให้ความรู้กับพนักงานในองค์กรทุกคน
หนึ่งในจุดประสงค์ของ GDPR ก็คือมอบอำนาจในการควบคุมข้อมูลส่วนตัวของผู้บริโภค อย่างอำนาจในการสั่งลบข้อมูลส่วนตัวจากองค์กรที่ไม่ได้ใช้แล้ว และทำให้ข้อมูลของเยาวชนนั้นปลอดภัยมากยิ่งขึ้น
5. ทำความรู้จักกับผู้กำกับดูแล
ผู้มีอำนาจที่เกี่ยวข้องกับคุณขึ้นอยู่กับที่ๆองค์กรของคุณตั้งอยู่ ไม่ใช่ตำแหน่งของที่ทำงาน ซึ่งอาจทำให้องค์กรที่มีหลายสาขาทำงานไม่สะดวก แต่ไม่ว่าอย่างไรก็ตามคุณต้องรู้ว่าผู้ที่กำกับดูแลคุณนั้นเป็นหน่วยงานไหน
เหลือเวลาอีก 8 เดือนก่อนกฎหมายใหม่นี้จะถึงกำหนดบังคับใช้ องค์กรธุรกิจจำเป็นต้องพร้อม และปฏิบัติตาม ก่อนที่ทุกอย่างจะสายไป
Source: https://www.welivesecurity.com/2017/10/10/sme-ready-gdpr/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: