การรักษาความปลอดภัยข้อมูล ความรับผิดชอบของคุณภายใต้ GDPR – ตอนที่ 2

นี่คือโพสต์ที่เจ็ดและสุดท้ายในชุดบล็อกของเราเกี่ยวกับข้อบังคับทั่วไปเกี่ยวกับการคุ้มครองข้อมูลของสหภาพยุโรป ซึ่งมีผลใช้บังคับเต็มรูปแบบเมื่อวันที่ 25 พฤษภาคมปีนี้ (2018)

ตลอดซีรีส์นี้ เราได้ดูว่ากฎระเบียบใหม่เหล่านี้ส่งผลต่อธุรกิจที่รวบรวม จัดเก็บ และใช้ข้อมูลส่วนบุคคลอย่างไร และที่สำคัญที่สุดคือ เราสามารถทำอะไรได้บ้างเพื่อหลีกเลี่ยงการไม่ปฏิบัติตามข้อกำหนด ซึ่งภายใต้ GDPR อาจส่งผลให้ต้องเสียค่าปรับสูงถึง 20 ล้านยูโร (ประมาณ 23,000,000 ดอลลาร์สหรัฐ) หรือ 4% ของรายได้ทั่วโลกแล้วแต่จำนวนใดจะสูงกว่า

แม้ว่าเราจะสรุปได้ว่าสิ่งที่อยู่ใน GDPR ส่วนใหญ่ไม่ใช่เรื่องใหม่ แต่เราก็สังเกตว่าเมื่อพิจารณาโดยรวมแล้ว กฎระเบียบใหม่ถือเป็นการเปลี่ยนแปลงที่ชัดเจนจากธรรมชาติโดยนัยของกฎหมายคุ้มครองข้อมูลก่อนหน้านี้ที่มี “แนวทางปฏิบัติที่ดีที่สุด” ไปสู่ชุดข้อกำหนดทางกฎหมายที่ชัดเจนที่บริษัทต่างๆ ต้องปฏิบัติตาม

ในซีรีส์ที่ผ่านมา เราได้ศึกษาว่าอะไรคือ “ข้อมูลส่วนบุคคล” การประมวลผลข้อมูลนี้ต้อง “ถูกต้องตามกฎหมาย” และ “โปร่งใส” ตามระเบียบข้อบังคับใหม่ และการรวบรวมการตั้งค่าของลูกค้าและข้อมูลความยินยอมมีความสำคัญต่อเรื่องนี้อย่างไร เราได้ศึกษาการจัดการบันทึกรายละเอียดและรายละเอียดคร่าวๆ และองค์กรต่างๆ ต้องมั่นใจว่าระบบจัดการเนื้อหาขององค์กรและการเก็บถาวรที่ใช้จัดเก็บข้อมูลส่วนบุคคลนั้นเป็นไปตามข้อกำหนดและสามารถรองรับสิทธิ์ใหม่ที่บุคคลมีภายใต้ GDPR ได้ และจะต้องทำอย่างไรหากไม่เป็นไปตามข้อกำหนด ล่าสุด เราได้ตรวจสอบวิธีการต่างๆ เพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลของลูกค้าได้รับการรักษาความปลอดภัยภายในระบบเหล่านี้เมื่อผู้มีส่วนได้ส่วนเสียภายในจำเป็นต้องเข้าถึงเอกสารโดยใช้การเข้ารหัสระดับหน้า ในครั้งนี้ เราจะดูวิธีอื่นๆ ที่บริษัทต่างๆ สามารถปกป้องและรักษาความปลอดภัยข้อมูลของลูกค้าได้ โดยเฉพาะเมื่อเอกสารของลูกค้าอยู่ระหว่างการขนส่ง

ธุรกิจและองค์กรทั้งหมดจำเป็นต้องส่งและแลกเปลี่ยนเอกสารของลูกค้าเป็นครั้งคราว แต่การทำเช่นนี้มีความเสี่ยงที่ข้อมูลลับจะถูกเปิดเผยโดยไม่ได้ตั้งใจ การสื่อสารจะต้องสามารถไหลลื่นได้โดยไม่ติดขัดเพื่อให้กระบวนการทางธุรกิจต่างๆ ดำเนินไปได้ และมีโซลูชันต่างๆ มากมายที่พร้อมให้ความช่วยเหลือเพื่อลดความเสี่ยงเหล่านี้

ตัวอย่างเช่น ผู้รับเอกสารทุกคนไม่จำเป็นต้องทราบหรือดูข้อมูลละเอียดอ่อนหรือเป็นความลับที่อยู่ในเอกสารนั้น และการแก้ไขข้อมูลส่วนบุคคลในกรณีนี้สามารถเป็นวิธีแก้ปัญหาที่เหมาะสมได้ ในอดีต การแก้ไขเอกสารที่พิมพ์ออกมาหมายถึงการทำเครื่องหมายหรือกล่องสีดำทับข้อมูลส่วนบุคคลเพื่อปกปิดไม่ให้ผู้ดูเห็น แต่ในปัจจุบัน ด้วยการสื่อสารแบบดิจิทัล ซอฟต์แวร์แก้ไขที่ซับซ้อนทำให้สามารถลบข้อความละเอียดอ่อนออกจากเอกสารได้ทั้งหมดหรือเข้ารหัสเพื่อให้ได้ผลลัพธ์เดียวกัน

ทางเลือกอื่นคือ ถ้าจำเป็นต้องส่งเอกสารทั้งหมด PDF ที่ลงนามแล้ว ซึ่งจะสร้าง PDF และวางแฮชของเนื้อหาลงในลายเซ็นดิจิทัล จะส่งคำเตือนหาก PDF ถูกแทรกแซงหรือแก้ไขโดยบุคคลอื่นก่อนที่ผู้รับที่ตั้งใจจะเปิด ซึ่งเป็นการเตือนให้ฝ่ายต่างๆ ทราบถึงการละเมิดความปลอดภัยที่อาจเกิดขึ้น ซึ่งสามารถดำเนินการแก้ไขได้อย่างรวดเร็วเพื่อให้แน่ใจว่าข้อมูลของลูกค้าได้รับการปกป้อง

ภายใต้ข้อบังคับทั่วไปเกี่ยวกับการคุ้มครองข้อมูลฉบับใหม่ องค์กรต่างๆ มีความรับผิดชอบที่ชัดเจนในการทำให้แน่ใจว่ามีมาตรการรักษาความปลอดภัยที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลที่ตนถือครอง ไม่ว่าจะอยู่ในสถานะเก็บถาวรหรืออยู่ระหว่างการส่ง และต้องมีการรับผิดชอบที่ชัดเจนเกี่ยวกับมาตรการที่ตนได้นำมาใช้ รวมถึงวิธีการประเมินและจัดการความเสี่ยงด้านความปลอดภัยที่เกี่ยวข้องด้วย

ดูรายละเอียดโซลูชัน Redaction Express และ Signed PDF ของ CrawfordTech อย่างละเอียดเพื่อให้แน่ใจว่าคุณกำลังทำทุกอย่างที่จำเป็นภายใต้ GDPR เพื่อรักษาความปลอดภัยข้อมูลของลูกค้าของคุณ