การใช้ข้อมูลของผู้ใช้ Facebook ในทางที่ผิดของ Cambridge Analytica ได้รับความสนใจจากผู้คนนับล้านทั่วโลก ทำให้ผู้คนตระหนักถึงความสำคัญของความเป็นส่วนตัวของข้อมูลและการปกป้องข้อมูลมากขึ้นกว่าเดิม เนื่องจากผู้คนเริ่มกังวลอย่างมากเกี่ยวกับการเพิ่มการตรวจสอบความเป็นส่วนตัวและความปลอดภัยของข้อมูล ขอขอบคุณสหภาพยุโรปเป็นอย่างสูงที่เข้าใจถึงปัญหาที่องค์กรจัดเก็บ ประมวลผล วิเคราะห์ และใช้ข้อมูลส่วนบุคคลของลูกค้า และสร้างกฎระเบียบที่เข้มงวด – GDPR เป็นผู้กำหนดกฎเกณฑ์ใหม่ที่เข้มงวดในการปกป้องข้อมูลลูกค้า
กฎระเบียบนี้ระบุไว้ว่าอย่างไร มาดูกันในบทความนี้
GDPR คืออะไร
GDPR หรือกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค คือกฎหมายของสหภาพยุโรปที่อาจส่งผลกระทบต่อบริษัทใดๆ ที่ถือหรือประมวลผลข้อมูลสำหรับพลเมืองในสหภาพยุโรป มีกรอบเพื่อให้บทบัญญัติสำหรับธุรกิจในการปกป้องข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรประหว่างการทำธุรกรรมภายในประเทศสมาชิกสหภาพยุโรป
ปัญหาด้านข้อมูลเป็นข่าวใหญ่ในช่วงไม่กี่เดือนที่ผ่านมา โดยเจ้าพ่อเทคโนโลยีรายใหญ่กำลังถูกโจมตีเนื่องจากการจัดการข้อมูลและความปลอดภัยที่ไม่ดี GDPR บังคับให้บริษัทต่างๆ ดูแลและจัดการข้อมูลส่วนบุคคลของพลเมืองในลักษณะที่เหมาะสม ดังนั้นจึงทำให้แน่ใจว่าวิธีที่พวกเขาใช้ข้อมูลนั้นสอดคล้องกับความคาดหวังและความเป็นส่วนตัวของสาธารณชน ภายใต้กฎหมายนี้ องค์กรต้องถือและประมวลผลข้อมูลที่จำเป็นอย่างยิ่งเท่านั้น
GDPR มีจุดมุ่งหมายเพื่อปกป้องความเป็นส่วนตัวของข้อมูล ซึ่งรวมถึง:
ข้อมูลพื้นฐาน เช่น ชื่อ ที่อยู่ หมายเลขประจำตัวประชาชน รายละเอียดการติดต่อ ฯลฯ
- ข้อมูลไบโอเมตริกซ์
- ข้อมูลเชื้อชาติ/ชาติพันธุ์
- ความคิดเห็นทางการเมือง
- ข้อมูลเว็บ เช่น ตำแหน่ง ที่อยู่ IP ข้อมูลคุกกี้ ฯลฯ
แม้ว่า GDPR จะมีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2018 แต่แนวคิดนี้เกิดขึ้นเมื่อ 2 ปีก่อนในเดือนเมษายน 2016
ตาม GDPR ข้อมูลส่วนบุคคลควรเป็น:
- ดำเนินการอย่างยุติธรรมและโปร่งใส ลูกค้าควรตระหนักเป็นอย่างดีว่าข้อมูลของตนถูกนำไปใช้หรือนำไปใช้อย่างไร
- บันทึกเพื่อวัตถุประสงค์เฉพาะและถูกต้องตามกฎหมายเท่านั้น
- บำรุงรักษาอย่างถูกต้อง ควรอัปเดต และใช้เฉพาะที่จำเป็นเท่านั้น
- จัดเตรียมและจัดการในลักษณะที่รับประกันการปกป้องข้อมูล
อ่านต่อ : 5 สารคดีที่สร้างแรงบันดาลใจให้คุณออนไลน์อย่างปลอดภัยยิ่งขึ้น
เหตุใดจึงต้องมี GDPR
เหตุผลเบื้องหลังการร่าง GDPR คือความต้องการของสหภาพยุโรปที่จะนำกฎหมายความเป็นส่วนตัวและการคุ้มครองข้อมูลมาใช้ เช่นเดียวกับการใช้ข้อมูลของผู้คนโดยเฉพาะแพลตฟอร์มเช่น Amazon, Facebook, Google, Twitter ที่บรรจุผู้ใช้ด้วย ADware ตราบใดที่ยักษ์ใหญ่ด้านเทคโนโลยีเหล่านี้ขายข้อมูลของผู้ใช้ให้กับพวกเขา ผลลัพธ์ที่เป็นอันตรายของการอนุญาตอย่างมากมายนั้นแสดงให้เห็นอย่างชัดเจนในกรณีของ Cambridge Analytica ซึ่งโปรไฟล์หลายล้านรายการถูกรวบรวมเพื่อโน้มน้าวการเลือกตั้งประธานาธิบดีสหรัฐในปี 2016
เหตุผลต่อไปคือการแก้ไขปัญหาข้อมูลซึ่งอินเทอร์เน็ตและคลาวด์อนุญาตให้แพลตฟอร์มเหล่านี้ใช้และใช้ข้อมูลส่วนตัวสาธารณะในทางที่ผิด
บริษัทประเภทใดที่อยู่ภายใต้ข้อบังคับนี้
- บริษัทใดๆ ที่จัดเก็บหรือควบคุมข้อมูลพลเมืองสหภาพยุโรปภายในรัฐในสหภาพยุโรป
- ไม่ว่าบริษัทจะไม่ได้อยู่ในขอบเขตของสหภาพยุโรป แม้ว่าบริษัทจะมีลูกค้าในยุโรปและจะจัดเก็บข้อมูลในลักษณะใดก็ตาม บริษัทนั้นก็จะสามารถทำงานภายใต้ GDPR ได้เช่นกัน
- บริษัทที่มีพนักงานมากกว่า 250 คน
- สมาชิกน้อยกว่า 250 คน แต่ระบบประมวลผลข้อมูลมีผลกระทบต่อเจ้าของข้อมูล หรือมีข้อมูลที่ละเอียดอ่อนเกี่ยวกับผู้อยู่อาศัยในยุโรป
โดยพื้นฐานแล้วหมายความว่าเกือบทุกบริษัทต้องพิจารณา GDPR ซึ่งมีความสำคัญสูงสุดในบรรดาเป้าหมายและข้อบังคับขององค์กร
GDPR มีความหมายต่อองค์กรอย่างไร
องค์กรใดๆ ที่ถือและใช้ข้อมูลของพลเมืองสหภาพยุโรป จะต้องปฏิบัติตามกฎใหม่ภายใต้กฎหมายนี้ ไม่ว่าบริษัทจะตั้งอยู่ที่ใดก็ตาม จนถึงขณะนี้ บริษัทต่างๆ ได้เคยขุดข้อมูลโดยการสะสมด้วยวิธีการต่างๆ แต่ตอนนี้จะหยุด ทุกองค์กรที่ใช้ข้อมูลของผู้ใช้โดยการติดตามพฤติกรรมออนไลน์ของตนต้องรวบรวมคำยินยอมจากลูกค้าในภาษาที่เป็นมิตรกับผู้ใช้ และพวกเขาสามารถใช้ชุดข้อมูลนี้ในระยะเวลาที่จำกัด
คนธรรมดามีความหมายอย่างไร
เนื่องจากองค์กรจำเป็นต้องยินยอมให้ผู้ใช้ของตนก่อนที่จะค้นหาข้อมูลส่วนบุคคล ผู้ใช้จะพบคำเตือนและคำขอความยินยอมบ่อยครั้ง เป็นความพยายามร่วมกัน ผู้ใช้จึงควรอ่านข้อกำหนดและเงื่อนไขอย่างน้อยหนึ่งครั้ง
ธุรกิจต้องดำเนินการเปลี่ยนแปลงอะไรบ้าง
เนื่องจากการมาถึงของกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค บริษัทต่างๆ จึงต้องนำแนวทางต่างๆ มาใช้ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลโดยได้รับความยินยอมจากบุคคล
- ตรวจสอบให้แน่ใจว่าคุณมีที่ที่ปลอดภัยสำหรับการจัดเก็บข้อมูลที่สำคัญทั้งหมดของคุณ ตรวจสอบให้แน่ใจว่าข้อมูลถูกต้องและเป็นความลับ พร้อมใช้งานทุกเมื่อที่ต้องการ มีการเข้ารหัสและสำรองข้อมูลอย่างดี
- อย่าลืมว่าซัพพลายเออร์ของคุณปฏิบัติตาม GDPR ด้วย ผู้ให้บริการที่คุณใช้ในการประมวลผลข้อมูลต้องปฏิบัติตามมาตรฐาน GDPR
- รายงานสำนักงานกรรมาธิการข้อมูล (ISO) หากมีการละเมิดข้อมูล จะต้องรายงานภายใน 72 ชั่วโมง คุณเพียงแค่ต้องใช้กระบวนการสัมผัสที่ตรวจจับและตอบสนองต่อการละเมิดข้อมูลได้อย่างรวดเร็ว
- อัปเดต เนื่องจากมีข้อความค้นหาจำนวนมากที่จะเกิดขึ้น เนื่องจากผู้คนจะตระหนักถึงสิทธิ์ความเป็นส่วนตัวของข้อมูลมากขึ้น พวกเขามีแนวโน้มที่จะสอบถามว่าคุณถือและใช้ข้อมูลอย่างไร ดังนั้นคุณจึงต้องตอบรับคำขอเหล่านั้นอย่างมาก
- คุณจะต้องแต่งตั้ง DPO ที่สามารถรับประกันการปกป้อง PII โดยไม่มีผลประโยชน์ทับซ้อน ไม่จำเป็นต้องจ้าง DPO แบบเต็มเวลาทั้งนี้ขึ้นอยู่กับองค์กร คุณยังสามารถจ้าง DPO เสมือนจริงที่สามารถทำหน้าที่เป็นที่ปรึกษาและทำงานเมื่อคุณต้องการได้
- คุณต้องสร้างแผนปกป้องข้อมูลที่แก้ไขและอัปเดตซึ่งสอดคล้องกับข้อกำหนดของ GDPR
- บริษัทขนาดเล็กอาจได้รับผลกระทบจาก GDPR อย่างมีนัยสำคัญมากกว่าบริษัทอื่นๆ พวกเขาอาจไม่มีทรัพยากรที่เหมาะสมในการปฏิบัติตามข้อกำหนดของ GDPR – แหล่งข้อมูลภายนอก ที่ปรึกษา และผู้เชี่ยวชาญด้านเทคนิคสามารถเป็นมือที่ดีสำหรับพวกเขาผ่านกระบวนการนี้และเกิดการหยุดชะงักภายในน้อยที่สุด
- GDPR ขอความโปร่งใสโดยสมบูรณ์ ดังนั้นผู้ใช้สามารถขอให้ลบข้อมูลของตนได้ทุกเมื่อ (เช่น สิทธิ์ที่จะถูกลืม) แก้ไขข้อมูลและควบคุมข้อมูลได้โดยทำตามโครงสร้างที่เป็นทางการ และในกรณีที่เกิดการรั่วไหลของข้อมูล ก็ควรได้รับแจ้งโดยเร็วที่สุด
อ่านเพิ่มเติม: 7 เทรนด์ที่สามารถทำได้ เชิญการโจมตีทางไซเบอร์เพิ่มเติม
เทคโนโลยีช่วยให้ธุรกิจปฏิบัติตาม GDPR ได้อย่างไร
เมื่อ GDPR มาถึง บริษัทต่างๆ ควรทุ่มเททรัพยากรเพื่อปกป้องข้อมูลจากการละเมิด ไปจนถึงการจัดการความเสี่ยงและการปฏิบัติตามข้อกำหนด แม้ว่าบริษัทของคุณจะไม่ได้อยู่ในสหภาพยุโรป แต่ GDPR จะครอบคลุมข้อมูลทั้งหมดของพลเมืองในสหภาพยุโรป ในกรณีที่บริษัทของคุณจัดการข้อมูลนั้น ข้อมูลนั้นจะต้องเป็นไปตามระเบียบข้อบังคับ เนื่องจากมีการประมวลผลและจัดการข้อมูลจำนวนมากเกินไป กฎระเบียบนี้จึงถูกรายงานว่าเป็นหนึ่งในกฎระเบียบที่แพงที่สุดในประวัติศาสตร์ เป็นสิ่งสำคัญสำหรับบริษัทที่จะต้องกำหนดและปฏิบัติตามนโยบายและขั้นตอนต่างๆ อย่างชัดเจนภายใต้กฎหมาย GDPR เพื่อให้เป็นไปตามข้อกำหนด ดังนั้นองค์กรควรดึงถุงเท้าของตนออกก่อนที่กฎหมายนี้จะมีผลบังคับใช้ มิฉะนั้น จะถูกปรับ 4% ตามรายรับทั่วโลกหรือ 20 ล้านยูโร (แล้วแต่จำนวนใดจะมากกว่า) จะถูกเรียกเก็บเงิน
ด้านล่างนี้คือเทคโนโลยีที่ยอดเยี่ยมบางส่วนที่สามารถช่วยบริษัทต่างๆ ให้บรรลุความต้องการของ GDPR
การจัดการข้อมูลและความปลอดภัย
การปกป้องข้อมูลของบริษัทหมายถึงการจำกัดการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ข้อมูลมีแนวโน้มที่จะถูกละเมิดแม้ว่าตำแหน่งจะเป็นสาธารณะ ดังนั้นในขั้นต้นในการบล็อกผู้บุกรุกจากการละเมิดคือการปกป้องตำแหน่งที่จัดเก็บข้อมูล เพื่อรักษาความปลอดภัยของข้อมูล จำเป็นต้องเข้ารหัสด้วยอัลกอริธึมบางอย่างเพื่อสร้างกำแพงป้องกันการละเมิดข้อมูล นับตั้งแต่การนำ Cloud Computing มาใช้ องค์กรสามารถคิดได้ว่าข้อมูลของตนได้รับการปกป้องอย่างดีและอยู่นอกเหนือความเสียหายทางกายภาพใดๆ ข้อมูลที่เข้ารหัสช่วยให้เจ้าหน้าที่ปกป้องข้อมูลไม่ต้องคอยเฝ้าระวัง เนื่องจากต้องมีคีย์ถอดรหัสเพื่ออ่าน แก้ไข และจัดการข้อมูล นอกจากสื่อความปลอดภัยแล้ว องค์กรยังต้องรักษาการตรวจสอบข้อมูลเพื่อตรวจสอบธุรกรรมของข้อมูล เช่น ที่มาที่ไป ระยะเวลาที่ข้อมูลยังคงอยู่ในฐานข้อมูล และวิธีที่มันถูกแบ่งปัน ส่งผลให้การจัดการข้อมูลดีขึ้น
บล็อคเชน
เป็นหนึ่งในเทคโนโลยีที่เกิดขึ้นใหม่ที่สุดในช่วงไม่กี่ปีที่ผ่านมา ซึ่งแน่นอนว่ามีพลังมหาศาลและพิสูจน์ให้เห็นถึงคุณค่าของมันเมื่อเวลาผ่านไป Blockchain ช่วยให้สามารถจัดเก็บข้อมูลในบัญชีแยกประเภทซึ่งจะถูกเข้ารหัสโดยการเข้ารหัส การจัดเก็บข้อมูลในบัญชีแยกประเภทแบบกระจายหมายถึงการกระจายอำนาจข้อมูลระหว่างสถานที่ทางภูมิศาสตร์และบุคคลที่ทำหน้าที่เป็น "พยาน" ในกรณีที่มีการโจมตีทางไซเบอร์ ข้อมูลที่จัดเก็บในบัญชีแยกประเภทเหล่านี้จะไม่เปลี่ยนแปลง กล่าวคือ ไม่สามารถแก้ไขหรือลบได้ มันลดความน่าจะเป็นของการโจมตีที่สำเร็จจนเกือบเป็นศูนย์ เนื่องจากทุกสำเนาที่แจกจ่ายจะต้องถูกโจมตีพร้อมกัน
แพลตฟอร์มที่เปิดใช้งาน API
ทุกองค์กรต้องมุ่งเน้นสถาปัตยกรรมการจัดการ API เพื่อนำกฎมาใช้เพื่อรวบรวมความยินยอมสำหรับการได้มาซึ่งเนื้อหาและแจ้งให้ผู้ใช้ทราบเกี่ยวกับกฎเกณฑ์ในการเข้าถึงข้อมูล เป็นแพลตฟอร์มที่เร็วและถูกกว่า เนื่องจากช่วยลดระยะเวลาที่นักพัฒนาซอฟต์แวร์ต้องใช้ในการเชื่อมต่อเทคโนโลยีกับองค์กร
GDPR จะส่งผลกระทบต่ออุตสาหกรรมเทคโนโลยีอย่างไร
ตามอุตสาหกรรมเทคโนโลยี GDPR เป็น "ความท้าทายด้านการปฏิบัติตามกฎระเบียบที่ร้ายแรงที่สุดในประวัติศาสตร์" GDPR พร้อมที่จะเปลี่ยนแปลงระบบการรวบรวมและการใช้ข้อมูลผู้ใช้ บริษัทเทคโนโลยีหลายแห่งกำลังเผชิญกับความท้าทายในการเตรียมพร้อมสำหรับการปฏิบัติตาม GDPR ความท้าทายที่สำคัญสำหรับบริษัททั้งหมดที่ได้รับการจัดการข้อมูลผู้ใช้เมื่อเร็ว ๆ นี้คือการจัดทำ "ข้อมูลส่วนบุคคล" ของผู้ใช้ทั้งหมด มีแนวทางบางอย่างที่แสดงให้เห็นสิ่งที่ทั้งหมดจะจัดอยู่ในหมวดหมู่ "ข้อมูลส่วนบุคคล" บริษัทต่างๆ จะต้องส่งมอบข้อมูลในรูปแบบที่สามารถดาวน์โหลดได้หรือลบออกตามคำขอ ขั้นตอนทั้งหมดนี้จะต้องจ้างพนักงานเพิ่มขึ้นโดยบริษัทที่ไม่ถูกเลย บริษัทคลาวด์คอมพิวติ้งคือบริษัทที่จะได้รับผลกระทบแย่ที่สุด เนื่องจากผู้ใช้อาจขอให้ลบข้อมูลทั้งหมด ซึ่งจะเป็นปัญหาสำหรับที่เก็บข้อมูลบนคลาวด์ซึ่งโฮสต์และจัดเก็บข้อมูลใดในนามของบริษัทอื่น
มีเพียงไม่กี่บริษัทเท่านั้นที่รายงานความพร้อมสำหรับการปฏิบัติตามข้อกำหนดด้านความเป็นส่วนตัวของข้อมูล การพักผ่อนต้องใช้โชคในการเป็นหนึ่งเดียว
GDPR และโซเชียลมีเดีย
Facebook ที่เป็นเจ้าของแพลตฟอร์มการแชร์รูปภาพ “Instagram” จะเปิดตัวเครื่องมือที่จะช่วยให้ผู้ใช้ดาวน์โหลดข้อมูลส่วนบุคคลของตนในเร็วๆ นี้ ซึ่งจะรวมถึงรูปภาพ วิดีโอ และข้อความ ในขณะที่เตรียมการสำหรับ GDPR ของสหภาพยุโรป เครื่องมือนี้จะช่วยให้ผู้ใช้ค้นหาข้อมูลที่พวกเขาแบ่งปันกับ Instagram ตามรายงานโฆษกของ Instagram กล่าวว่า "เรากำลังสร้างเครื่องมือพกพาข้อมูลใหม่ เร็วๆ นี้ คุณจะสามารถดาวน์โหลดสำเนาของสิ่งที่คุณแชร์บน Instagram รวมถึงรูปภาพ วิดีโอ และข้อความของคุณ”
เนื่องจาก GDPR ตั้งเป้าที่จะให้สิทธิ์แก่ลูกค้าว่า – พวกเขาสามารถเรียกร้องให้ลบข้อมูล หรือเลือกไม่รับการรวบรวมข้อมูลในอนาคต หรือขอสำเนาข้อมูลที่พวกเขาใช้เพื่อส่งต่อไปยังแพลตฟอร์มต่างๆ จะมีรายละเอียดเพิ่มเติมเกี่ยวกับเครื่องมือและคุณสมบัติของมันในไม่ช้า แต่ตอนนี้จะให้คุณดาวน์โหลดและส่งออกสิ่งที่คุณแชร์กับ Instagram ได้
อ่านเพิ่มเติม: การรักษาความปลอดภัยทางไซเบอร์กำลังดีขึ้นหรือแย่ลงไหม
มองไปข้างหน้า:
ข้อความสำหรับองค์กรคือการตระหนักถึงฐานข้อมูลของคุณ เช่น ตำแหน่งที่จัดเก็บข้อมูลหรือข้อมูลที่ละเอียดอ่อน ใครมีสิทธิ์เข้าถึง และใครควรมีสิทธิ์เข้าถึง อย่างไรก็ตาม จะกลายเป็นปัญหาสำคัญ
องค์กรขนาดกลางและขนาดใหญ่ทั้งหมดต้องพร้อมสำหรับการปฏิบัติตาม GDPR ภายในเดือนพฤษภาคม 2018 นอกจากนี้ GDPR ยังเปิดโอกาสให้องค์กรได้อัปเกรดความสามารถในการรักษาความปลอดภัย แม้ว่าความคิดขององค์กรธุรกิจต่างๆ อาจแตกต่างกันไป แต่จนถึงตอนนี้พวกเขาปฏิบัติต่อข้อมูลของตนเป็นสินทรัพย์และทำเหมืองข้อมูลโดยไม่มีข้อบังคับใดๆ แต่จากนี้ องค์กรเหล่านี้จะต้องละเอียดมากขึ้นเกี่ยวกับข้อมูลที่สะสมและการไหลของข้อมูล