นโยบายการคุ้มครองข้อมูลส่วนบุคคลและข้อปฏิบัติ

เหตุผลที่บริษัทของคุณจำเป็นที่จะต้องมีสิ่งเหล่านี้ และองค์ประกอบใดบ้างที่จำเป็นต้องมี

ไม่ว่าคุณจะทำธุรกิจอะไรก็ตามบนโลกใบนี้ จำเป็นอย่างยิ่งที่บริษัทของคุณจะต้องมีนโยบายและขั้นตอนการปกป้องข้อมูลอย่างเป็นทางการ เพื่อเป็นการรับประกันว่าคุณสามารถที่จะคุ้มครองข้อมูลของลูกค้า, คู่ค้า, พนักงาน และบุคคลอื่น ๆ ที่คุณได้ทำการเก็บรักษาไว้ได้อย่างเหมาะสม

แม้ว่าจะมีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Data Protection Act: DPA) ที่ให้ความคุ้มครองบุคคลและผู้บริโภคมามาตั้งแต่ปี 2541แต่การประกาศใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation: GDPR) ซึ่งมีผลบังคับใช้เมื่อเดือนพฤษภาคม ในปี 2018 ก็เพื่อเป็นการยกระดับการคุ้มครองข้อมูลส่วนบุคคลให้มีความเท่าเทียมกัน โดยกฎหมายนี้มีผลบังคับใช้กับบริษัทใดก็ตามที่มีการติดต่อกับพลเมืองสหภาพยุโรป – ถึงแม้ว่าบริษัทเหล่านั้นจะไม่ได้มีสำนักงานใหญ่ในยุโรปก็ตาม

นอกจากนี้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ DPA ยังได้รับการเปลี่ยนแปลงอย่างมีนัยสำคัญ และการอัพเดตครั้งล่าสุดนั้นก็เพื่อให้หลายๆ อย่าง เป็นไปในทิศทางเดียวกันกับนโยบายของ GDPR โดยกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปดังกล่าว ได้ถูกกำหนดขึ้นมาเพื่อปกป้องให้ประชาชนสามารถควบคุมข้อมูลส่วนบุคคลของตัวเองได้ ขณะเดียวกันก็ยังเป็นการอำนวยความสะดวกให้กับธุรกิจต่างๆ เพื่อให้มีการปฏิบัติงานเป็นมาตรฐานเดียวกันกับทุกประเทศในยุโรป โดยมีการออกแบบเพื่อให้สอดคล้องต่อยุคสมัยและเพื่อธุรกิจดิจิตอลในปัจจุบัน ซึ่งหากองค์กรของคุณไม่ปฏิบัติตามกฎหมาย องค์กรของคุณอาจต้องเผชิญกับค่าปรับที่เป็นเงินจำนวนมากพอที่จะส่งผลกระทบจนทำให้องค์กรธุรกิจขนาดเล็กหรือขนาดกลางอาจถึงขั้นต้องปิดกิจการชั่วคราวได้เช่นกัน ในกรณีที่มีการละเมิดเกิดขึ้น

กฎหมายที่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคลคลทั้งสองแบบนี้ ตั้งขึ้นเพื่อปกป้องประชาชนจากการใช้ข้อมูลส่วนตัวของพวกเขาไปในทางที่ผิด ซึ่งนับว่าเป็นส่วนหนึ่งของความโชคร้ายสำหรับชีวิตสมัยใหม่ เนื่องจากมีข้อมูลจำนวนมากที่อยู่ในรูปแบบดิจิตอล ถ้าการยึดมั่นในกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (DPA) ยังไม่เพียงพอที่จะโน้มน้าวให้คุณพัฒนานโยบายและขั้นตอนปกป้องข้อมูล, และต่อไปนี้คือบทสรุปของเรา ว่าทำไมคุณควรที่จะต้องมีสิ่งเหล่านี้ และองค์ประกอบใดบ้างที่จำเป็นต้องมี เพื่อที่คุณจะได้ทำความเข้าใจนอกเหนือจากที่กล่าวมาข้างต้น

เพราะเหตุใดบริษัทจึงจำเป็นที่จะต้องมีการกำหนดนโยบายและข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล

การกำหนดนโยบายและข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล ก็เพื่อให้เป็นไปตามแนวทางปฏิบัติของ Data Protection Act ที่ไม่เพียงแต่จะมีความสำคัญต่อบริษัทของคุณเท่านั้น แต่คุณจำเป็นที่จะต้องมีเอกสาร หรือเอกสารดังกล่าวนั้นสามารถใช้ได้สำหรับทุกคนในฐานะที่เป็นส่วนหนึ่งของ GDPR ซึ่งมีผลบังคับใช้กับทุกประเทศที่เป็นสมาชิกของสหภาพยุโรป (EU: European Union) ตั้งแต่เดือนพฤษภาคม ปี 2018 หากคุณไม่ปฏิบัติตามกฎข้อบังคับใหม่ที่ว่านี้ธุรกิจของคุณสามารถถูกเรียกเก็บค่าปรับที่เป็นเงินสูงสุดถึง 20 ล้านยูโร หรือ 4% ของมูลค่าการซื้อขายต่อปีของบริษัท ซึ่งขึ้นอยู่กับค่าไหนจะสูงกว่ากัน

นโยบายและข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล ควรมีองค์ประกอบอะไรบ้าง

นโยบายและข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทของคุณ ควรจะถูกสร้างขึ้นเพื่อให้เหมาะสมกับธุรกิจของคุณโดยเฉพาะ ยกตัวอย่างเช่น คุณจะต้องระบุว่า นโยบายโดยรวมเกี่ยวกับข้อมูลและขั้นตอนการทำงานของพนักงานของคุณคืออะไร, แต่ไม่จำเป็นที่จะต้องระบุว่า คุณจะทำอย่างไรกับข้อมูลลูกค้า ในกรณีที่คุณไม่ได้ทำการเก็บรวบรวมข้อมูลเหล่านั้นไว้

แม้ว่า GDPR จะทำให้เกิดการเปลี่ยนแปลงในส่วนของหลักการในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (DPA) ไปอย่างมาก แต่ข้อบังคับทั้งสองก็ยังคงสอดคล้องกับแนวทางดั้งเดิม ดังนั้น นโยบายใดก็ตามที่เกี่ยวข้องกับการออกกฎหมายข้อมูลต้นฉบับ จึงถือว่าเป็นจุดเริ่มต้นที่ดี ซึ่งข้อมูลที่เกี่ยวกับสถานะเหล่านี้ จำเป็นที่จะต้องจัดทำขึ้นโดยบริษัท โดยมีเงื่อนไขดังต่อไปนี้

ข้อมูลทั้งหมดจะต้องได้รับการประมวลผลอย่างเป็นธรรมและถูกต้องตามกฎหมาย
ข้อมูลที่ได้รับจะต้องเป็นไปตามวัตถุประสงค์ที่ระบุไว้อย่างถูกต้องตามกฎหมาย และจะไม่สามารถดำเนินการในลักษณะใดก็ตาม ที่เป็นกันขัดต่อวัตถุประสงค์ดังกล่าว
การเก็บรวมรวมข้อมูลจะต้องมีความเกี่ยวข้องอย่างเพียงพอและไม่มากเกินไป ซึ่งจะต้องสัมพันธ์กับวัตถุประสงค์เดิมที่เป็นเหตุผลในการเก็บรวบรวมข้อมูลเหล่านั้น
เป็นข้อมูลที่มีความถูกต้องและเป็นปัจจุบัน
ไม่ควรเก็บข้อมูลไว้นานเกินความจำเป็น หากมันได้ทำหน้าที่ตามวัตถุประสงค์เป็นที่เรียบร้อยแล้ว มันจะต้องถูกลบหรือถูกทำลาย ยกเว้นในกรณีที่มีเหตุผลอื่นๆ ที่จะต้องเก็บรักษา ซึ่งจะต้องเป็นไปตามที่กฎหมายกำหนด
เป็นการประมวลผลข้อมูลตามสิทธิประโยชน์ของแต่ละบุคคล
ข้อมูลจะต้องถูกเก็บไว้ในที่ๆ ปลอดภัยจากการเข้าถึงโดยไม่ได้รับอนุญาต, การสูญหาย หรือถูกทำลายโดยไม่ตั้งใจ
บริษัทไม่สามารถที่จะทำการถ่ายโอนข้อมูลไปยังประเทศที่อยู่นอกเขตเศรษฐกิจยุโรป (European Economic Area) เว้นแต่ประเทศนั้นจะมีระดับการคุ้มครองข้อมูลส่วนบุคคลที่เทียบเท่ากับกฎหมายฉบับนี้

มันเป็นสิ่งสำคัญที่นโยบายของคุณจะต้องกล่าวถึงประเด็นต่างๆ เหล่านี้ทีละจุด รวมทั้งอธิบายถึงวิธีการที่องค์กรจะทำให้แต่ละจุดนั้นเป็นมีความน่าเชื่อถือ

โดยทั้งหมดนี้จะต้องครอบคลุมถึง วิธีที่ทำให้คุณมั่นใจได้ว่าข้อมูลเหล่านั้นได้รับมาอย่างถูกต้องตามกฎหมาย, วิธีการอัพเดตข้อมูลให้เป็นปัจจุบัน ในกรณีที่มีการเปลี่ยนแปลงใดๆ, วิธีการที่บริษัทของได้คุณวางแผนไว้ เพื่อทำการปกป้องข้อมูลให้ปลอดภัยจากการเข้าถึงโดยไม่ได้รับอนุญาต, วิธีการที่ข้อมูลจะถูกลบออกหรือถูกทำลาย เมื่อไม่ต้องการใช้มันอีกต่อไป รวมถึงวิธีการที่คุณจะรับประกันว่า ข้อมูลที่ไม่ต้องการใช้งานแล้วนั้นจะถูกลบออกจากทุกระบบอย่างถาวร

นอกจากนี้ GDPR ยังได้มีการเพิ่มหลักการใหม่ในเรื่องของการรับผิดชอบ - ดังนั้น จึงเป็นสิ่งสำคัญที่คุณจะต้องเน้นว่าใครจะเป็นผู้รับผิดชอบในการบังคับใช้นโยบายเหล่านี้กับองค์กรของคุณ โดยที่คุณจะต้องตรวจสอบให้แน่ใจด้วยว่า เอกสารได้มีการอธิบายถึงวิธีการที่คุณจะรับประกันว่าพนักงานทั้งหมดของคุณยินดีที่จะปฏิบัติตามนโยบายเหล่านี้ และขั้นตอนการดำเนินใดๆ ที่ธุรกิจของคุณได้เตรียมไว้ ในกรณีที่พนักงานไม่สามารถปฏิบัติตามได้

ที่มา:www.itpro.co.uk