15 สิ่งต้องเตรียมเพื่อรองรับกฎหมายข้อมูลส่วนบุคคล

15 สิ่งต้องเตรียมเพื่อรองรับกฎหมายข้อมูลส่วนบุคคล

ปัจจุบันโลกออนไลน์เข้ามามีอิทธิพลกับชีวิตประจำวันของมนุษย์อย่างมากมาย ไม่ว่าจะเป็นการสื่อสาร การซื้อสินค้า การใช้บริการต่างๆ ผ่านช่องทางออนไลน์  โดยในการทำธุรกรรมออนไลน์นั้นจำเป็นต้องมีการใช้งานข้อมูลส่วนบุคคลเป็นหลักฐานสำคัญในการลงทะเบียนหรือยืนยันการสั่งซื้อหรือใช้บริการ  ดังนั้น ย่อมส่งผลให้มีข้อมูลส่วนตัวหรือข้อมูลส่วนบุคคลต่างๆ อยู่บนระบบออนไลน์เป็นจำนวนมากไม่ว่าจะบนเว็บไซต์หรือบนโปรแกรมประยุกต์ต่างๆ  ทำให้หน่วยงานรัฐหรือหน่วยงานที่รับผิดชอบต้องมีการกำหนดกฎ ระเบียบ ประกาศหรือกฎหมายที่เกี่ยวข้องขึ้นมาเพื่อบังคับใช้งานในการบริหารจัดการและควบคุมความเป็นส่วนตัวหรือปกป้องข้อมูลส่วนบุคคลให้มีความมั่นคงปลอดภัยตลอดวัฎจักรข้อมูล  

วันนี้ทีมงาน Destination One จึงขอนำเสนอ 15 สิ่งที่บริษัทหรือองค์กรต่างๆ ควรจัดให้มีเป็นอย่างน้อยเพื่อเป็นการเตรียมความพร้อมในการปฏิบัติตามกฎ ระเบียบ ประกาศและกฎหมายข้อมูลส่วนบุคคลหรือกฎหมายอื่นใดที่เกี่ยวข้องที่จะมีการประกาศใช้งาน ดังรายละเอียดต่อไปนี้

1> ต้องจัดให้มีนโยบายความเป็นส่วนตัวหรือข้อมูลส่วนบุคคล 

2> ต้องจัดให้แนวปฏิบัติการบริหารจัดการความเป็นส่วนตัวหรือข้อมูลส่วนบุคคล

3> ต้องจัดให้มีทะเบียนข้อมูลส่วนบุคคล (ต้องรู้ว่าข้อมูลอะไรบ้างที่ต้องใช้งานหรือต้องจัดเก็บ เก็บที่ไหน อย่างไร)

4> ต้องมีการกำหนดผู้บริหารหรือตัวแทนผู้บริหารในการบริหารจัดการข้อมูลส่วนบุคคล

5> ต้องมีการกำหนดบทบาทหน้าที่ของพนักงานหรือเจ้าหน้าที่ในการดูแลและปกป้องข้อมูลส่วนบุคคล

6> ความเสี่ยงด้านความเป็นส่วนตัวหรือข้อมูลส่วนบุคคลต้องได้รับการบริหารจัดการ

7> ต้องปกป้องข้อมูลส่วนบุคคลให้มีความมั่นคงปลอดภัย

8> ต้องกำหนดกระบวนการหรือวิธีการทำลายข้อมูลส่วนบุคคลอย่างมั่นคงปลอดภัย

9> ต้องหมั่นสร้างความตระหนักรู้ด้านความเป็นส่วนตัวหรือข้อมูลส่วนบุคคลให้กับผู้ที่เกี่ยวข้องรับรู้รับทราบ

10> พนักงานหรือผู้ที่เกี่ยวข้องต้องปฏิบัติงานตามนโยบายความเป็นส่วนตัวหรือข้อมูลส่วนบุคคลอย่างเคร่งครัด

11> ต้องมีบทลงโทษที่เกี่ยวข้องกับการละเมิดหรือฝ่าฝืนนโยบายความเป็นส่วนตัวหรือข้อมูลส่วนบุคคล

12> ต้องมีการตรวจสอบการปฏิบัติตามนโยบายหรือกฎหมายข้อมูลส่วนบุคคลหรือกฎหมายอื่นใดที่เกี่ยวข้อง

13> ต้องกำหนดช่องทางหรือวิธีการในการเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่แท้จริง

14> ต้องบอกวัตถุประสงค์ในการจัดเก็บ การใช้งานและการอื่นใดของข้อมูลส่วนบุคคลให้เจ้าของรับทราบอย่างชัดเจน

15> ต้องมีหลักฐานหรือวิธีอื่นใดที่แสดงให้เห็นว่าเจ้าของข้อมูลรับทราบและยินยอมปฏิบัติงานตามนโยบาย

 




Content Cr: DestinationOne Counselor
Photo Cr: Dreamstime, Wisconsil Family Law Info

มาตรการด้านความมั่นคงปลอดภัยสารสนเทศที่พึ่งมีเพื่อป้องกันข้อมูลสำคัญรั่วไหล

มาตรการด้านความมั่นคงปลอดภัยสารสนเทศที่พึ่งมีเพื่อป้องกันข้อมูลสำคัญรั่วไหล

การรั่วไหลของข้อมูล หรือ ข้อมูลลูกค้ารั่วไหล เป็นความเสี่ยงที่สำคัญที่องค์กรหรือบริษัทต่างๆ ต้องมีการบริหารจัดการให้อยู่ในระดับที่ยอมรับได้และเป็นไปตามข้อกฎหมายที่เกี่ยวข้อง  ในโลกปัจจุบันนั้นการรั่วไหลของข้อมูลเกิดขึ้นได้ตลอดเวลาเนื่องจากข้อมูลส่วนใหญ่อยู่บนอินเทอร์เน็ตหรือบนพื้นที่เก็บข้อมูลแบบคลาวด์ซึ่งง่ายและเอื้อต่อโอกาสที่จะรั่วไหลได้มากกว่าสมัยก่อนที่มีเพียงแค่บนกระดาษหรือเอกสารเท่านั้น  

ความเสี่ยงเรื่องการรั่วไหลข้อมูลนั้นมีผลกระทบมากมายไม่ว่าจะเป็นด้านชื่อเสียงและภาพลักษณ์ ผลกระทบด้านการเงิน และผลกระทบด้านกฎหมาย  ถึงแม้ว่าเราจะไม่สามารถป้องกันภัยคุกคามหรือความเสี่ยงต่างๆ ได้อย่างสมบูรณ์แบบแต่เราสามารถบริหารจัดการความเสี่ยงเหล่านั้นให้อยู่ในระดับที่ยอมรับได้โดยผ่านทางกระบวนการ วิธีการ และเทคโนโลยีที่มีให้เลือกหลากหลาย โดยพิจารณาให้สมเหตุสมผลกับมูลค่าผลกระทบต่างๆ ที่อาจจะเกิดขึ้น

ในบทความนี้ DestinationOne จึงขอนำเสนอ 9 มาตรการด้านความมั่นคงปลอดภัยสารสนเทศที่องค์กรหรือบริษัทต่างๆ ต้องมีเพื่อป้องกันข้อมูลสำคัญรั่วไหล ดังต่อไปนี้..

·         มาตรการที่ 1 :  ต้องรู้ว่าอะไรคือข้อมูลสำคัญ

o   ก่อนที่เราจะดูแลและปกป้องอะไรเราต้องรู้ก่อนว่าเรามีข้อมูลอะไร สำคัญระดับไหน อยู่ที่ไหน แบบไหน อย่างไรบ้าง

·         มาตรการที่ 2 :  ต้องกำหนดและประกาศใช้งานนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ

o   ต้องมีการกำหนดกรอบ นโยบายหรือแนวปฎิบัติเพื่อให้เกิดความชัดเจนในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

·         มาตรการที่ 3  :  ต้องกำหนดบทบาทหน้าที่ในการดูและและปกป้องข้อมูล

o   ต้องกำหนดบทบาทและหน้าที่ความรับผิดชอบให้กับผู้ที่เกี่ยวข้องทุกคน

·         มาตรการที่ 4 :  ต้องให้ความรู้และสร้างความตระหนักทางด้านความมั่นคงปลอดภัยสารสนเทศ

o   ความตระหนักรู้และความรู้ด้านความมั่นคงปลอดภัยเป็นพื้นฐานที่สำคัญของความมั่นคงปลอดภัย

·         มาตรการที่ 5 : การเปลี่ยนแปลงต่างๆ ต้องได้รับการควบคุมและบริหารจัดการอย่างเหมาะสม

o   ก่อนการเปลี่ยนแปลง ระหว่างการเปลี่ยนแปลง และหลังการเปลี่ยนแปลงต้องบริหารจัดการให้มีความมั่นคงปลอดภัย ต้องมีการวิเคราะห์ผลกระทบ มีแนวทางกู้คืนหรือแนวทางสร้างความต่อเนื่องทางธุรกิจ

·         มาตรการที่ 6 : ต้องกำหนดกระบวนการบริหารจัดการเหตุอุบัติการณ์หรือเหตุละเมิดด้านความมั่นคงปลอดภัย

o   ต้องรายงานเหตุผิดปกติ เหตุน่าสงสัย จุดอ่อนและช่องโหว่อย่างรวดเร็ว และต้องมีกระบวนการหรือวิธีการบริหารจัดการเหตุการณ์ต่างๆ อย่างทันท่วงที

·         มาตรการที่ 7 : ต้องปฎิบัติตามกฎ ระเบียบ ประกาศและกฎหมายที่เกี่ยวข้องอย่างเคร่งครัด

o   ต้องรู้ว่ามีกฎ ระเบียบ ประกาศหรือกฎหมายอะไรบ้างที่ต้องปฎิบัติตาม และได้ปฎิบัติตามแล้วหรือยัง

·         มาตรการที่ 8 : ต้องตรวจสอบและทดสอบด้านความมั่นคงปลอดภัยสารสนเทศอย่างสม่ำเสมอ

o   ต้องหมั่นทบทวน ตรวจสอบ และทบสอบมาตรการป้องกันด้านความมั่นคงปลอดภัยสารสนเทศอย่างสม่ำเสมอตามรอบระยะเวลาหรือความเสี่ยงของระบบต่างๆ

·         มาตรการที่ 9 : ต้องเรียนรู้และปรับปรุงมาตรการด้านความมั่นคงปลอดภัยสารสนเทศอยู่เสมอ

o   ต้องไม่หยุดนิ่ง ต้องเรียนรู้ ต้องพัฒนามาตรการด้านความมั่นคงปลอดภัยอย่างสม่ำเสมอตลอดเวลา

Content Cr: DestinationOne Counselor
Photo Cr: FreeArt.com