Cybersecurity General

กฎหมาย GDPR และธุรกิจ: องค์กรธุรกิจต้องปรับตัวอย่างไรบ้าง?

กฎหมายใหม่ที่จะกระทบธุรกิจน้อยใหญ่ที่เกี่ยวข้องกับสมาชิกในสหภาพยุโรป

อีกไม่กี่เดือนกฎหมายคุ้มครองข้อมูลใหม่ GDPR ก็จะถูกบังคับใช้ สื่อในหลายประเทศก็เริ่มออกมาทำข่าวแทบจะครบทุกซอกทุกมุมของกฎหมายใหม่นี้ และองค์กรธุรกิจต่างพยายามจะเข้าใจและปฏิบัติตาม แต่เราก็ยังไม่ทราบว่าพอถึงเวลาแล้วผลจะออกมาเป็นอย่างไร

วันนี้ผู้เชี่ยวชาญด้านความปลอดภัยระดับโลกขอก ESET นาย Tony Anscombe จะมาอธิบายให้เข้าใจให้ง่ายขึ้น

กำหนดบังคับใช้กฎหมาย GDPR คือวันที่ 25 พฤษภาคม 2018 คุณหวังจะเห็นอะไรมากที่สุด?

จากงานประชุมหลายงานที่ผ่านมาในปีนี้มีสิ่งหนึ่งที่ผมสังเกตได้ก็คือ องค์กรธุรกิจยังคงไม่แน่ใจว่ากฎหมาย GDPR จะมีผลกระทบต่อธุรกิจของพวกเขาอย่างไร จึงไม่สามารถคาดการณ์ได้ว่าพวกเขาจะทำอย่างไรถึงจะเหมาะสม

การเข้าใจทั้งหมดของ GDPR เป็นงานใหญ่สำหรับองค์กรธุรกิจหรือเปล่า แล้วในฐานะเจ้าของธุรกิจเวลา 7 เดือนยังคงปฏิบัติตามทันหรือไม่?

7 เดือนคุณสามารถทำอะไรได้หลายอย่าง ยกตัวอย่างในสหภาพยุโรปมีกฎหมายคุ้มครองข้อมูลอย่าง Directive 95/46/EC สิ่งเหล่านี้เป็นพื้นฐานชั้นดีที่จะเตรียมไปสู่กฎหมาย GDPR ได้

การไม่ปฏิบัติตามแม้เพียงแล็กน้อย อาจทำให้ถูกปรับเป็นเงินจำนวนมากได้ คุณเห็นองค์กรรับมืออย่างไรกับการปรับตัวนี้ และคุณคิดว่าพวกเขาควรทำอย่างไร?

อย่างแรกเลยก็คือผมอยากให้องค์กรนั้นมีผู้เชี่ยวชาญคอยให้คำปรึกษาเกี่ยวกับ GDPR และธุรกิจของพวกเขา พวกเขาต้องทราบก่อนว่าไม่มีมาตรการไหนที่จะสามารถใช้ได้กับทุกองค์กร เพราะโครงส้รางขององค์กรนั้นไม่เหมือนกัน ทางเข้าทางออกของข้อมูลไม่เหมือนกัน และไม่ได้เก็บในที่ๆเดียวกัน

สำหรับองค์กรที่ถือข้อมูลของชาวยุโรปไว้มากๆอย่างร้านค้าออนไลน์ ก็ต้องรับงานหนักเลยใช่หรือเปล่า?

GDPR_May2018-768x512

คุณพูดอย่างนั้นก็ถูก องค์กรที่ขายสินค้าหรือบริการให้กับชาวยุโรป และเก็บข้อมูลเอาไว้จำเป็นต้องรับผิดชอบ ข้อนี้เป็นสิทธิขั้นพื้นฐานเสียด้วยซ้ำ อันที่จริงแล้วคำถามนี้น่าจะถามว่าทางสหภาพยุโรปจะสามารถปรับองค์กรอื่นที่อยู่นอกเขตของสหภาพยุโรปได้หรือเปล่า

มีข้อยกเว้นอะไรกับข้อกฎหมายนี้หรือไม่? อย่างเช่นถ้าผมต้องการแค่จะขายสบู่ทำเองล่ะ

คำตอบคือมีและไม่มี กฎหมาย GDPR มีผลกับทุกธุรกิจ โดยขึ้นกับขนาดของธุรกิจ หากคุณเป็นเจ้าของและดำเนินการเว็บไซต์ขายเองก็ต้องทำตาม แต่ถ้าคุณเพียงติดต่อให้ทาง Amazon ขายให้ก็เพียงให้ข้อมูลกับทางเว็บไซต์ให้ครบเท่านั้นก็เพียงพอ

องค์กรธุรกิจสามารถทำอะไรได้บ้างเพื่อก้าวไปในยุคของการปกป้องข้อมูลส่วนตัว?

ผมแนะนำเป็นอย่างยิ่งให้องค์กรปรึกษาผู้เชี่ยวชาญด้านความเป็นส่วนตัว และให้ความรู็กับพนักงานภายในองค์กรเกี่ยวกับการเก็บและป้องกันข้อมูลองค์กร หนึ่งในพื้นฐานก็คือการใช้การเข้ารหัสเพื่อควบคุมการเข้าถึง (Access Control) ปกป้องข้อมูลในทุกๆที่ๆไป

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ GDPR ทาง ESET ได้จัดเตรียมเพจสำหรับแนะนำให้ผู้ใช้ก่อนที่ทุกอย่างจะเริ่มขึ้นในวันที่ 25 พฤษภาคม 2018

Source: https://www.welivesecurity.com/2017/11/06/businesses-gdpr-compliant/
Translated by: Worapon H.

%d bloggers like this: