เนื่องจากเส้นตายของ GDPR ใกล้จะถึงจุดสิ้นสุด การเตรียมการบ้าๆ ของบริษัทต่างๆ กำลังจะสิ้นสุดลง เมื่อเห็นการละเมิดข้อมูลจำนวนมาก EU จึงก้าวไปข้างหน้าเพื่อให้ความเป็นส่วนตัวของผู้ใช้มีความสำคัญสูงสุดสำหรับองค์กร
เฟรมเวิร์กใหม่สำหรับการรักษาความปลอดภัยและการป้องกันข้อมูลได้ขยายการบังคับต่างๆ สำหรับองค์กร แม้ว่าหลายบริษัทได้ปฏิบัติตาม GDPR แล้ว แต่ก็ยังมีบางบริษัทที่ประสบปัญหาในการทำให้กฎระเบียบนี้มุ่งสู่เป้าหมาย
การนำ GDPR ไปใช้ไม่ใช่เรื่องของวันหรือเดือน แต่ในที่สุดบริษัทต่างๆ ต้องแก้ไขนโยบาย ขั้นตอน และกระบวนการภายในทั้งหมดเพื่อให้เป็นไปตามข้อกำหนดของ GDPR Compliance
อ่านบทความก่อนหน้าของเราเพื่อดูภาพรวมที่สมบูรณ์เกี่ยวกับ GDPR ผลกระทบ และสิ่งที่ธุรกิจกำลังดำเนินการเพื่อตอบสนองความต้องการของการปฏิบัติตาม GDPR
นี่คือรายการความท้าทายที่สำคัญทั้งหมดที่ GDPR นำมาด้วย!
ความสามารถในการปรับตัว
วันที่ 25 พฤษภาคมเป็นเพียงจุดเริ่มต้น ภาษาที่ใช้ใน GDPR ค่อนข้างคลุมเครือ ซึ่งสร้างปัญหาให้กับบริษัทในการทำความเข้าใจกระบวนการต่างๆ ตามรายงานมีเพียง 25% ของธุรกิจที่มีความคิดอย่างจริงจังเกี่ยวกับกฎระเบียบนี้ นอกจากนี้ ข้อกังวลหลักคือต้นทุนในการดำเนินการ - การเปลี่ยนแปลงและการอัปเดตจำนวนไม่สิ้นสุดในนโยบายภายในต้องใช้เงินลงทุนและความพยายามอย่างมาก
นอกจากนี้ บรรทัดฐานและข้อบังคับเหล่านี้ยังเป็นเรื่องใหม่ ดังนั้นบริษัทอาจต้องใช้เวลาสักระยะในการปรับตัวให้เข้ากับการเปลี่ยนแปลงใหม่ๆ แต่การแก้ปัญหาที่มีระเบียบจะช่วยให้พวกเขาปรับตัวได้ดีกว่าผู้ที่พยายามปรับตัวในภายหลัง
ความท้าทายที่ยิ่งใหญ่สำหรับธุรกิจขนาดเล็ก
ตั้งแต่องค์กรขนาดใหญ่ไปจนถึงธุรกิจขนาดกลางไปจนถึงบริษัทขนาดเล็ก ต่างก็มีข้อมูลที่ละเอียดอ่อนซึ่งจำเป็นต้องได้รับการปกป้อง แม้ว่าจะรวบรวมภายใต้ GDPR แต่ประเด็นสำคัญที่บริษัทขนาดเล็กต้องเผชิญคือ:
- การลงทุนสูงอาจนำมาซึ่งโปรแกรมรักษาความปลอดภัยที่มีเทคโนโลยีสูง
- การแต่งตั้ง DPO (เจ้าหน้าที่คุ้มครองข้อมูล) ในลักษณะเดียวกัน
- ฝึกอบรมพนักงานให้รายงานภายใน 72 ชั่วโมงในกรณีที่ข้อมูลรั่วไหล
- การรักษาการควบคุมคุณภาพด้วยห่วงโซ่อุปทาน - ตรวจสอบว่าซัพพลายเออร์และผู้รับจ้างทั้งหมดที่ดูแลธุรกิจของคุณควรเป็นไปตามมาตรฐาน GDPR
- เตรียมพร้อมสำหรับการพกพาข้อมูล- ในกรณีที่ลูกค้าขอสำเนาข้อมูลของตน
- การแต่งตั้งสมาชิกที่รับผิดชอบแต่เพียงผู้เดียวในการเข้าถึงคำขอของเจ้าของข้อมูล
บริษัทขนาดเล็กมีทรัพยากรน้อยกว่าในการจัดการกับความท้าทายเหล่านี้ และส่วนต่างที่น้อยกว่าในกรณีที่เกิดข้อผิดพลาด (ซึ่งเป็นเรื่องปกติที่จะเกิดขึ้น)
คำขอเจ้าของข้อมูลทั่วไป
นี่คือการเปลี่ยนแปลงและความท้าทายครั้งใหญ่ที่สุดสำหรับองค์กร พวกเขาต้องจัดการกับคำขอของเจ้าของข้อมูลทั้งหมดโดยทันที เนื่องจาก GDPR ให้สิทธิ์แก่บุคคลและผู้ใช้:
– เพื่อสอบถามเกี่ยวกับข้อมูลที่บริษัทเก็บไว้
– มีการใช้ข้อมูลของพวกเขาอย่างไร
– ประเภทของข้อมูลส่วนบุคคลที่เกี่ยวข้อง
– วัตถุประสงค์ในการประมวลผลข้อมูลที่ละเอียดอ่อนของตน
– ลบข้อมูลได้ทุกเมื่อที่ต้องการ และ
– ยื่นเรื่องร้องเรียนต่อหน่วยงานกำกับดูแล
เห็นได้ชัดว่าการสอบถามจะเกิดขึ้นทุกวัน เนื่องจากบริษัทใด ๆ ไม่สามารถละเมิดสิทธิ์นี้ของผู้ใช้ได้ ดังนั้นพวกเขาจึงต้องตั้งค่ากระบวนการที่แจ้งเตือนสมาชิกในทีมที่จำเป็นทุกครั้งที่มีการร้องขอเรื่องข้อมูล ข้อมูลที่ให้ควรมีความโปร่งใส ยุติธรรม และรัดกุมสำหรับผู้ใช้ องค์กรต่างๆ ไม่สามารถใช้ภาษาที่ซับซ้อนไปกว่านี้เพื่อหลอกลวงและสร้างความสับสนให้กับผู้บริโภค
DPO เป็นข้อบังคับ
ด้วยจุดประสงค์เพื่อให้การปกป้องข้อมูลสอดคล้องกันทั่วทั้งประเทศในสหภาพยุโรป การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) จึงถูกมองว่าเป็นผลกระทบที่ดีต่อ GDPR ต่อธุรกิจ ตามมาตรา 37 ของ GDPR กำหนด DPO สำหรับหน่วยงานของรัฐทุกแห่งที่ต้องมีการตรวจสอบและประมวลผลข้อมูลอย่างต่อเนื่อง
GDPR นำมาซึ่งโอกาสในการทำงานใหม่ อพ.เป็นผู้ที่ต้องมีความรู้เกี่ยวกับกฎหมายคุ้มครองข้อมูลอย่างเชี่ยวชาญ GDPR ไม่ได้แสดงอย่างชัดเจนเกี่ยวกับระดับความเชี่ยวชาญที่ อ.ส.ค. ควรมี แต่โดยพื้นฐานแล้ว ตามความซับซ้อนของการประมวลผลข้อมูล ความเชี่ยวชาญที่ อ.ส.ค. ควรมี
อพพ. ควรปฏิบัติหน้าที่และความรับผิดชอบเช่น:
- จัดการเรื่องการปกป้องข้อมูลภายใน
- ดูแลสิทธิ์และความยินยอมของแต่ละบุคคล
- การตรวจสอบการปฏิบัติตามและกฎหมายคุ้มครองอื่นๆ
- ฝึกอบรมเจ้าหน้าที่เกี่ยวกับความสำคัญของข้อกำหนดการปฏิบัติตามข้อกำหนด
- ทำงานร่วมกันกับคอนโทรลเลอร์และโปรเซสเซอร์
การแฮ็กข้อมูลเพิ่มขึ้น
ในขณะที่องค์กรต่าง ๆ กำลังพยายามปฏิบัติตามกฎระเบียบการปกป้องข้อมูลใหม่ ในขณะเดียวกันก็มีรายงานว่าอาชญากรไซเบอร์กำลังขู่กรรโชกบริษัทเพื่อเรียกค่าไถ่ซึ่งน้อยกว่าค่าปรับ GDPR เล็กน้อยสำหรับองค์กรที่ยังไม่ได้ปฏิบัติตาม เมื่อมีผู้คนจำนวนมากขึ้นหลงระเริงในโลกออนไลน์ โอกาสที่พวกเขาอาจติดแรนซัมแวร์ที่เพิ่มขึ้น การโจมตีด้วยการขู่กรรโชกทางอีเมลธุรกิจ BEC (Business Email Compromise) และการขุดคริปโตเคอเรนซี
แม้ว่ากฎระเบียบนี้จะช่วยทำให้ข้อมูลทั้งหมดของเราปลอดภัยขึ้น แต่แฮ็กเกอร์ก็ยังคงทำการแฮกอยู่ดี
ดังนั้นจึงจำเป็นต้องนำวิธีการรักษาความปลอดภัยข้ามรุ่นมาใช้ ซึ่งจะช่วยลดความเสี่ยงของการแฮ็กข้อมูล
ภาระในหน่วยงานที่เป็นทางการ
ผู้เล่นหลักที่เกี่ยวข้องในที่นี้ ได้แก่ ผู้ควบคุมและโปรเซสเซอร์
ตัวควบคุม เป็นผู้รับผิดชอบในการตอบคำถาม “อะไร” “ทำไม” และ “อย่างไร” การประมวลผลข้อมูลส่วนบุคคลของบุคคลที่เกิดขึ้น สามารถเป็นหน่วยงาน หน่วยงานของรัฐ บุคคล หรือองค์กรหรือหน่วยงานใดก็ได้
บทบาทหลักของผู้ควบคุมคือการทำให้ภาพชัดเจนเกี่ยวกับการใช้ข้อมูลของแต่ละบุคคล และในกรณีที่ได้รับความยินยอมจากผู้ใช้ (ซึ่งไม่ได้รับการจัดการอย่างเหมาะสม) บริษัทจะต้องจ่ายค่าปรับ (ตาม GDPR)
โปรเซสเซอร์ เป็นผู้ประมวลผลข้อมูลส่วนบุคคลของผู้ใช้ ในข้อกำหนดของ GDPR ผู้ประมวลผลคือบุคคลหรือหน่วยงานทางกฎหมายที่ประมวลผลข้อมูลในนามของผู้ควบคุม พูดง่ายๆ คือ ผู้ควบคุมคือผู้ที่ตัดสินใจหรือตัดสินใจเกี่ยวกับกิจกรรมการประมวลผลและผู้ประมวลผลดำเนินการเหล่านั้น
ผู้ควบคุมคือผู้ที่เลือกโปรเซสเซอร์เพื่อดำเนินการจัดการต่อไป ดังนั้นมันจึงกลายเป็นภาระที่เท่าเทียมกันสำหรับทั้งคู่ในการดำเนินการข้อมูลอย่างแม่นยำและไปในทิศทางที่ถูกต้อง นอกจากนี้ ยังเป็นความรับผิดชอบของผู้ประมวลผลในการลบข้อมูลเมื่อการประมวลผลเสร็จสิ้น
ภัยคุกคามที่สำคัญต่อนักการตลาด
นักการตลาดพึ่งพาข้อมูลของผู้บริโภคเป็นส่วนใหญ่หรือทั้งหมด ตามแหล่งที่มา มีผู้ใช้เพียง 20% เท่านั้นที่เชื่อว่าแม้กฎระเบียบคุ้มครองข้อมูลนี้จะมีผลบังคับใช้แล้ว บริษัทต่างๆ ก็จะไม่สามารถใช้ จัดการ และปกป้องข้อมูลของตนอย่างเคร่งครัด
ตั้งแต่การอนุญาตข้อมูลไปจนถึงการเข้าถึงข้อมูล นักการตลาดจึงกลายเป็นความรับผิดชอบที่จะต้องดูแลข้อเท็จจริงที่ว่าผู้ใช้สามารถเข้าถึงข้อมูลที่กำลังถูกใช้หรือขายให้กับบุคคลที่สามเพื่อสร้างผลกำไรได้อย่างง่ายดาย เนื่องจากนักการตลาดกลายเป็นสิ่งสำคัญในการทำความเข้าใจว่าคุณกำลังรวบรวมข้อมูลจำนวนเท่าใด และถามตัวเองว่าคุณต้องการข้อมูลการสมรสหรืออาหารที่ชื่นชอบจริงๆ หรือไม่ ก่อนที่พวกเขาจะตกลงเชื่อมต่อกับเพจของคุณ
ประเด็นบางประการที่ GDPR จะส่งผลกระทบต่อกิจกรรมทางการตลาดของคุณ:
- คุกกี้เว็บไซต์- การรวบรวมรูปแบบการค้นหาของผู้เข้าชมเพื่อประโยชน์ของคุณจะไม่ถูกยอมรับอีกต่อไป! ตอนนี้นักการตลาดต้องได้รับความยินยอมสำหรับคุกกี้บนเว็บไซต์ของคุณ ซึ่งควรมีความโปร่งใสและไม่คลุมเครือ นอกจากนี้ คุณต้องแยกทางให้พวกเขาสามารถเพิกถอนความยินยอมได้หากต้องการ
- ผลกระทบสำคัญต่อการจัดการข้อมูลลูกค้า- นักการตลาดต้องพิจารณาใหม่ว่าข้อมูลประเภทใดที่พวกเขาจัดเก็บ วิธีการจัดเก็บ วิธีการประมวลผล ข้อมูลที่พวกเขาแบ่งปันและถ่ายโอน และท้ายที่สุดวิธีการเข้าถึงข้อมูล
- อิทธิพลต่อการตลาดทางอีเมล- นักการตลาดต้องมีเอกสารที่ชัดเจนเกี่ยวกับผู้ใช้ที่ยินยอมรับอีเมลจากคุณพร้อมข้อมูลว่าคุณจะทำการตลาดอย่างไร ในกรณีที่คุณได้รับรายชื่อผู้ใช้จากบุคคลที่สาม คุณต้องตรวจสอบให้แน่ใจว่าพวกเขากำลังมีเอกสารที่คล้ายกันอยู่ด้วย
ผลที่ตามมาจากการละเมิด GDPR
เนื่องจากกฎระเบียบนี้จะส่งผลกระทบต่อแต่ละองค์กรไม่ว่าจะอยู่ที่ใด ในกรณีที่บริษัทของคุณไม่ได้ดำเนินการใดๆ เพื่อรวบรวม ผลกระทบของ GDPR ต่อธุรกิจค่อนข้างสูงเนื่องจากโครงสร้างบทลงโทษแบ่งออกเป็น 2 ระดับขึ้นอยู่กับลักษณะของการละเมิด
- เกณฑ์ละเอียดที่สูงขึ้น ปฏิบัติตามเมื่อองค์กรละเมิด:
– สิทธิส่วนบุคคล
– ความยินยอมของผู้ใช้
– การถ่ายโอนข้อมูล
– การประมวลผลข้อมูล (เมื่อมีการจำกัดเวลาที่แน่นอน)
หากบทความเหล่านี้ดูหมิ่น จะมีการเรียกเก็บค่าปรับ 4% ของผลประกอบการของบริษัทหรือสูงถึง 20 ล้านยูโรแล้วแต่จำนวนใดจะสูงกว่า
- เกณฑ์ละเอียดต่ำ ถูกบังคับใช้กับผู้ควบคุม ผู้ประมวลผล และหน่วยงานเฝ้าระวังอื่น ๆ ในกรณี:
– หากมีการได้มาและประมวลผลข้อมูลส่วนบุคคลของเด็กโดยไม่ได้รับความยินยอม
– หากหน่วยงานกำกับดูแลไม่ได้รับแจ้งภายใน 72 ชั่วโมงของการละเมิดข้อมูล
– หากผู้ใช้หรือลูกค้าที่ข้อมูลรั่วไหลจะได้รับแจ้งภายในกรอบเวลาที่กำหนดและ
– ภาระหน้าที่อื่นๆ ในหน่วยงานเฝ้าระวัง DPO (เจ้าหน้าที่คุ้มครองข้อมูล) และหน่วยรับรอง ฯลฯ
หากบทความเหล่านี้ดูหมิ่น จะมีการเรียกเก็บค่าปรับ 2% ของผลประกอบการของบริษัทหรือสูงถึง 10 ล้านยูโรแล้วแต่จำนวนใดจะสูงกว่า
แม้ว่า GDPR จะทำการเปลี่ยนแปลงที่สำคัญหลายอย่าง แต่ก็ไม่ได้เป็นการละทิ้งหลักการและระบบที่มีอยู่โดยสิ้นเชิง กฎระเบียบนี้จะอยู่กับความท้าทายและข้อเสียทั้งหมด ในขณะเดียวกัน องค์กรต่างๆ ควรหยุดบ่นและเข้าใจถึงโอกาสเช่นกัน กฎระเบียบด้านการปกป้องข้อมูลที่ปฏิวัติใหม่นี้จะคงไว้ซึ่งศักยภาพหรือจะทำให้เทปสีแดงสะดุดซึ่งจะมีการตัดสินในการบังคับใช้ในวันที่ 25 พฤษภาคม 2018
