Data Protection - หลักการป้องกันข้อมูล
ตราบเท่าที่คุณยังมีความจำเป็นที่จะต้องมีการประมวลผลข้อมูล คุณสามารถทำมันต่อไปอย่างถูกต้องตามกฎหมาย โดยยึดมั่นในข้อปฏิบัติเหล่านี้
แต่ละองค์กรต่างก็ได้รับผลกระทบจากการดำเนินงาน ที่สหภาพยุโรปประกาศบังคับใช้กฎหมายที่มีชื่อว่า “General Data Protection Regulation” (GDPR) ซึ่งเป็นมาตรการคุ้มครองข้อมูลส่วนบุคคลฉบับใหม่ของ EU ทั้งนี้ก็เพื่อเป็นการสร้างการตระหนักถึงความสำคัญของความเป็นส่วนตัว และความปลอดภัยของข้อมูลส่วนบุคคลอย่างจริงจัง ซึ่งมีผลบังคับใช้ตั้งแต่ 25 พฤษภาคม 2018 และมีแนวโน้มว่าหลายคนกำลังติดอยู่ในขั้นตอนของการปรับเปลี่ยนกระบวนการของพวกเขา ในนาทีสุดท้าย
กฎระเบียบใหม่ที่สหภาพยุโรปได้กำหนดขึ้นมานั้น แสดงให้เห็นถึงการสั่นสะเทือนที่ใหญ่ที่สุดในทศวรรษที่ผ่านมา ซึ่งมันมีผลต่อการป้องกันข้อมูล (Data protection) โดยการพลิกอำนาจจาก "ผู้ควบคุมข้อมูล" (Data Controller) และ "ผู้ประมวลผลข้อมูล" (Data Processor) ไปเป็น "บุคคลที่เป็นเจ้าของข้อมูล" (data subject) ณ ช่วงเวลานี้ บุคคลต่างก็มีการพูดถึงมากขึ้น สำหรับวิธีการที่จะนำมาใช้ในการประมวลผลข้อมูลของพวกเขา และข้อมูลใดบ้างที่พวกเขาจะสามารถรวบรวมและเก็บไว้ได้
GDPR เป็นมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของประชาชนที่อยู่ในประเทศที่เป็นสมาชิกภาพของสหภาพยุโรป หรือEU ทั้งนี้ยังหมายรวมถึงองค์กรต่างๆ จากทั่วทุกมุมโลก ไม่ว่าจะเป็นสัญชาติใดก็ตามที่มีธุรกิจเกี่ยวพันและต้องถือครองข้อมูลส่วนบุคคลของพลเมืองยุโรป ด้วยกฎระเบียบและค่าปรับที่มีความเข้มงวดมากขึ้น โดยมีการออกแบบมาเพื่อผลักดันให้มีการเปลี่ยนแปลงทางวัฒนธรรม ซึ่งองค์กรต่างๆ ก็ได้ให้ความสำคัญกับการปกป้องข้อมูลของผู้ใช้ นอกจากนี้ยังรวมถึงข้อมูลทั้งหมดที่ธุรกิจอาจจะเข้าไปมีส่วนในการจัดการ ไม่ว่าจะเป็นในส่วนของฐานข้อมูลของลูกค้า ซึ่งเป็นส่วนหนึ่งของแคมเปญการตลาด หรือ Human Resources record (HR record) ซึ่งเป็นบันทึกที่เกี่ยวกับพนักงาน ของแผนกทรัพยากรมนุษย์
ในปัจจุบัน หลายๆ องค์กรจำเป็นต้องมีการปรับการประมวลผลของข้อมูลผู้ใช้อย่างต่อเนื่อง โดยมีการตั้งคำถามว่าเหตุใดพวกเขาจะต้องทำการเก็บรักษาข้อมูลที่พวกเขาได้ทำการเก็บรวบรวมไว้ และโดยที่ไม่แน่ใจว่าพวกเขาจำเป็นที่จะต้องใช้มันอีกหรือไม่
หน่วยงาน Information Commissioner’s Office (ICO) ซึ่งเป็นหน่วยงานที่กำกับดูแลข้อมูลแห่งชาติของสหราชอาณาจักร (UK) ได้มอบหมายให้มีการบังคับใช้ กฎหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป หรือ GDPR ใน
สหราชอาณาจักร เช่นเดียวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ปี 2018 ซึ่งมีบทบัญญัติเฉพาะของสหราชอาณาจักรที่นอกเหนือไปจากข้อกฎหมายของ GDPR
ข้อบังคับนี้ ได้รับการดำเนินการมาจนถึงปัจจุบัน ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ปี ค.ศ. 1998 (Data Protection Act 1998) โดยได้มีการระบุไว้อย่างชัดเจนในชุดของหลักการ ซึ่งเป็นหัวใจสำคัญของวิธีการที่บริษัทควรทำการกำหนดโครงสร้างนโยบายข้อมูลของพวกเขา เพื่อให้มั่นใจว่ามีความสอดคล้องกับมาตรฐานที่ทันสมัยที่สุดสำหรับการปกป้องข้อมูล
หลักความชอบด้วยกฎหมาย (Lawfulness), ความเป็นธรรม (Fairness) และความโปร่งใส (Transparency)
นี่เป็นหลักการแรกที่ค่อนข้างจะต้องให้ความสำคัญที่สุด โดยข้อมูลส่วนบุคคลทั้งหมดจะต้องได้รับการประมวลผลอย่างเป็นธรรม, ถูกต้องตามกฎหมาย และในลักษณะที่โปร่งใสอย่างตรงไปตรงมา ทั้งนี้ องค์กรมีหน้าที่รับผิดชอบในการแจ้งให้ทุกคนที่พวกเขาได้ทำการรวบรวมข้อมูลทราบ เกี่ยวกับวิธีที่ข้อมูลจะถูกนำไปใช้ และข้อมูลเหล่านั้นจะถูกส่งต่อไปที่ใคร นอกจากนี้ ในขั้นตอนของการเก็บรวบรวมข้อมูล, การประมวลผล และการเปิดเผยข้อมูล จะต้องต้องเป็นไปตามที่กฎหมายกำหนด
วัตถุประสงค์ที่จำกัด
การเก็บรวบรวมข้อมูลจะต้องเป็นไปตามเหตุผลที่ระบุไว้ อย่างถูกต้องตามกฎหมายและโปร่งใส ซึ่งมันจะต้องไม่ดำเนินการไปในทางที่ขัดแย้งกับจุดประสงค์เดิม
การจัดเก็บเฉพาะที่จำเป็น(Data Minimization)
องค์กรต่างๆ ที่มีหน้าที่รับผิดชอบในการเก็บรวบรวมข้อมูล จะต้องทำการตรวจสอบเพื่อให้แน่ใจว่าข้อมูลที่เกี่ยวข้องเหล่านั้นมีความเพียงพอและไม่มากจนเกินไป ซึ่งจะต้องสัมพันธ์กับวัตถุประสงค์เดิมของมัน ที่เป็นเหตุผลในการเก็บรวบรวม นอกจากนี้ ในประเด็นของข้อมูลที่นอกจากองค์กรจะมีสิทธิ์ในการเข้าถึงข้อมูลใดๆ ที่เกี่ยวกับพวกเขา ไม่ว่าจะเป็นการจัดเก็บข้อมูลในรูปแบบใดก็ตาม ทั้งในรูปแบบของบันทึกย่อที่เขียนด้วยลายมือ, อีเมล หรือแม้กระทั่งเอกสารที่ถูกจัดทำขึ้นอย่างเป็นการ (Formal document)
ความถูกต้องแม่นยำ
องค์กรต่างๆ จำเป็นต้องมีภาระรับผิดชอบ เพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลที่จัดทำขึ้นนั้นมีความถูกต้องและเป็นปัจจุบัน ซึ่งก็หมายความว่า องค์กรควรทำการตรวจสอบข้อมูลส่วนบุคคลที่จัดทำขึ้นเป็นระยะๆ อย่างสม่ำเสมอ รวมทั้งทำการแก้ไขข้อมูลเก่าหรือข้อมูลที่ไม่ถูกต้อง นอกจากนี้ บุคคลยังมีสิทธิที่จะลบหรือทำลายข้อมูลที่ไม่ถูกต้องเกี่ยวกับพวกเขา
หลักการจัดเก็บข้อมูลที่จำกัด (Storage limitations)
เมื่อข้อมูลรายบุคคลได้ทำหน้าที่ของมันตามวัตถุประสงค์ในการประมวลผลข้อมูลเป็นที่เรียบร้อยแล้ว มันจะต้องถูกลบหรือถูกทำลาย เว้นเสียแต่ว่ามีเหตุผลอื่นๆ ในการเก็บรักษาไว้ ซึ่งจะต้องเป็นไปตามที่กฎหมายกำหนด ทั้งนี้ องค์กรควรมีกระบวนการตรวจสอบก่อนที่จะมีการทำความสะอาดฐานข้อมูล
การรักษาความถูกต้องของข้อมูล (Integrity) และการรักษาความลับ (Confidentiality)
ข้อมูลที่องค์กรได้รับมานั้น จะต้องทำการเก็บรักษาไว้อย่างปลอดภัย และในส่วนของผู้ควบคุมข้อมูล (Data controller) ที่จะต้องมีหน้าที่ในการดำเนินการตามขั้นตอนที่เหมาะสม เพื่อให้มั่นใจในความน่าเชื่อถือของพนักงานทุกคนที่มีสิทธิ์เข้าถึงข้อมูลส่วนบุคคล ในกรณีที่มีบุคคลที่สามนำข้อมูลไปใช้ในการประมวลผล องค์กรต้องมั่นใจได้ว่ามีการทำสัญญากับผู้ประมวลผลข้อมูลนั้นๆ โดยจะต้องมีมาตรการรักษาความปลอดภัยที่เหมาะสม
หลักการอื่นๆ
การประมวลผลข้อมูลตามสิทธิประโยชน์ของแต่ละบุคคล และการถ่ายโอนข้อมูลไปยังต่างประเทศ เป็นสองหลักสำคัญการภายใต้ข้อกำหนดที่มีมาก่อนหน้านี้ แต่ได้ถูกแยกออกมาเป็นข้อกำหนดของตัวเอง ภายใต้ระเบียบของ GDPR โดยให้รายละเอียดที่ครอบคลุมถึงวิธีการเหล่านี้ว่าถูกนำมาประยุกต์ใช้ภายใต้กฎหมายอย่างไร
ในส่วนของ "หลักความรับผิดชอบ"(Accountability) ยังมีผลบังคับใช้ภายใต้กฎระเบียบชุดใหม่ของสหภาพยุโรป พร้อมกับ หน่วยงานที่ทำหน้าที่ในการควบคุมข้อมูลที่เจ้าของข้อมูลรับบริการ (Data controller) ที่คาดว่าจะมีความรับผิดชอบมากขึ้น สำหรับสิ่งที่พวกเขาทำกับข้อมูลส่วนบุคคล และวิธีการปฏิบัติ ทั้งนี้ก็เพื่อให้สอดคล้องกับหลักการอื่นๆ ซึ่งภายใต้หลักการนี้ ต้องใช้มาตรการและการบันทึกที่เหมาะสม เพื่อแสดงให้เห็นถึงการปฏิบัติตามกฎระเบียบ ตามที่ได้คาดการณ์ไว้
ที่มา:www.itpro.co.uk