Please wait...
SOLUTIONS CORNER
GDPR สำหรับธุรกิจขนาดเล็ก: มีความหมายสำหรับคุณอย่างไร

GDPR สำหรับธุรกิจขนาดเล็ก: มีความหมายสำหรับคุณอย่างไร


 

เราลองมาวิเคราะห์กันดูว่ากฎหมายคุ้มครองข้อมูลใหม่จะส่งผลกระทบต่อ SMB อย่างไร
 
เมื่อวันที่ 25 พฤษภาคม 2561 ที่ผ่านมา ได้เริ่มมีการบังคับใช้กฎหมายที่ว่าด้วยเรื่องของการคุ้มครองสิทธิข้อมูลส่วนบุคคลของ EU Citizen หรือ General Data Protection Regulation (GDPR) ซึ่งเป็นการเปลี่ยนแปลงที่ใหญ่ที่สุดของกฎหมายคุ้มครองข้อมูล นับตั้งแต่มีพระราชบัญญัติคุ้มครองข้อมูลทั่วไปในปี พ.ศ. 2541
 
แม้ว่าการแยกตัวของอังกฤษ (UK) จากสหภาพยุโรป (European Union: EU) กำลังใกล้เข้ามาทุกขณะ แต่กฎเกณฑ์ดังกล่าวก็ยังมีผลบังคับใช้กับบริษัทต่างๆ ที่มีการจัดเก็บข้อมูลบุคคล หรือกระทำการใดๆ กับข้อมูล ของผู้ที่อาศัยอยู่ในสหภาพยุโรป โดยมุ่งเน้นไปที่วิธีการ, สาเหตุและสิ่งที่จะเกิดขึ้น ซึ่งจะส่งผลให้มีการเปลี่ยนอย่างสมบูรณ์ในเรื่องของวิธีการดำเนินธุรกิจทั้งขนาดเล็กและขนาดใหญ่, การรวบรวมข้อมูล, การจัดเก็บและประมวลผลข้อมูล รวมทั้งยังส่งผลต่อการดำเนินงานโดยรวมขององค์กร
 
ประเด็นสำคัญของการออกกฎหมายก็คือ องค์กรจะต้องได้รับความยินยอมอย่างสมบูรณ์จากเจ้าของข้อมูล และความสามารถในการเลือกเพื่อให้มีส่วนร่วมในข้อมูลจากผู้ใช้โดยไม่ก่อให้เกิดความสับสน ซึ่งจะต้องมีการระบุรายละเอียดให้เจ้าของข้อมูลทราบว่า องค์กรกำลังทำการรวบรวมข้อมูลใดอยู่และวัตถุประสงค์ในการนำข้อมูลเหล่านั้นไปใช้ รวมถึงระยะเวลาในการจัดเก็บข้อมูลเหล่านั้น
 
อย่างไรก็ตาม แม้ว่าเวลาจะผ่านมาแล้วสักระยะหนึ่งหลังจากที่ได้มีการประกาศใช้กฎหมายใหม่ แต่องค์กรธุรกิจจำนวนมากก็ยังคงไม่เป็นไปตามที่กฎหมายกำหนด นั่นอาจะเป็นเพราะพวกเขาไม่คิดว่า มันจะต้องถูกไปใช้กับพวกเขาหรือเพราะพวกเขาไม่จำเป็นที่จะต้องประมวลผลข้อมูลจำนวนมาก แต่สิ่งสำคัญที่สุดก็คือ จะต้องต้องจำไว้เสมอว่าทุกธุรกิจที่เกี่ยวข้องกับกลุ่มประเทศในเครือสหภาพยุโรปจะต้องมีการปฏิบัติเพื่อให้สอดคล้องกับ GDPR
 
นี่ข้อข้อเท็จจริงที่เกี่ยวกับ GDPR ที่จะส่งผลกระทบต่อธุรกิจ SMB


 

ฉันจำเป็นที่จะต้องปฏิบัติตามกฎของ GDPR หรือไม่?


ใช่ คุณจำเป็นที่จะต้องจะต้องปฏิบัติตามกฎของ GDPR มีการบิดเบือนข้อมูลมากมายที่มีให้เห็นอยู่ทั่วไปในโลกอินเทอร์เน็ตที่พูดถึงหัวข้อนี้ โดยเฉพาะเมื่อพูดถึงเรื่องของความสัมพันธ์ระหว่างสหราชอาณาจักรกับสหภาพยุโรป ทั้งกฎหมายที่ว่าด้วยการคุ้มครองสิทธิของข้อมูลส่วนบุคคล GDPR และสำนักงานคณะกรรมาธิการด้านข้อมูลข่าวสารแห่ง สหราชอาณาจักร (Information Commissioner’s Office (ICO) ของ UK) ต่างก็มีหน้าที่รับผิดชอบในการบังคับใช้กฎหมายคุ้มครองข้อมูล ซึ่งได้มีการระบุไว้อย่างชัดเจนว่ากฎหมายที่ว่านี่มีผลบังคับใช้กับทุกคน
 
คำแนะนำสำหรับการใช้งานออนไลน์จำนวนมาก มักมีแนวโน้มที่จะพลาดตรงมาตรา 30 ซึ่งในร่างกฎหมายขั้นสุดท้ายนี้ได้มีการระบุถึงความแตกต่างระหว่างประเภทของบันทึกที่บริษัทควรเก็บไว้ โดยขึ้นอยู่กับขนาดของธุรกิจ ว่าพวกเขาเป็นธุรกิจ SMB หรือองค์กรขนาดใหญ่
 
ในส่วนของบริษัทที่มีพนักงานจำนวนน้อยกว่า 250 คน จะต้องมีการเก็บบันทึกภายใน (Internal Records) ที่เกี่ยวกับกิจกรรมการประมวลผล ถ้าหากการประมวลผลข้อมูลนั้นมีโอกาสเสี่ยงต่อสิทธิ์หรือเสรีภาพของบุคคลหรือเกี่ยวข้องกับกิจกรรมที่มีความผิดทางอาญา
 
สำหรับองค์กรธุรกิจที่มีพนักงานจำนวนมากกว่า 250 คน จะต้องมีการเก็บบันทึกรายละเอียดเพิ่มเติม ซึ่งจะต้องประกอบไปด้วยข้อมูลต่อไปนี้ ได้แก่ ชื่อและรายละเอียดเกี่ยวกับองค์กรของคุณ, ชื่อของเจ้าหน้าที่ที่ได้รับมอบหมายในการดูแลป้องกันข้อมูลของคุณ, เหตุผลในการประมวลผลข้อมูล, คำอธิบายหมวดหมู่ของข้อมูลที่กำลังประมวลผล, รายละเอียดเกี่ยวกับผู้รับของข้อมูล, ระยะเวลาที่ข้อมูลจะถูกเก็บรักษา, รายละเอียดเกี่ยวกับการถ่ายโอนข้อมูลที่อยู่นอกสหภาพยุโรป และภาพรวมของมาตรการรักษาความปลอดภัยที่องค์กรของคุณได้วางไว้
 
ยิ่งไปกว่านั้น มีความเป็นไปได้ว่าคุณจำเป็นที่จะต้องเปิดเผยข้อมูลทั้งหมดในส่วนของข้อมูลที่เพิ่มเข้ามา ในกรณีที่องค์กรของคุณเป็นธุรกิจ SMB เนื่องจากคุณจะได้รับการยกเว้น หากคุณมีการดำเนินการกับผู้อยู่อาศัยในสหภาพยุโรปเป็นครั้งคราวเท่านั้น
 
GDPR ได้มีการระบุไว้อย่างชัดเจนว่า “ธุรกิจ SMB จำเป็นที่จะต้องให้รายละเอียดของกิจกรรมการประมวลผลในระดับเดียวกับองค์กรขนาดใหญ่ ในกรณีที่ "การประมวลผลที่ดำเนินการมีแนวโน้มที่จะส่งผลให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของกลุ่มข้อมูล, การประมวลผลนั้นไม่ได้มีการดำเนินการเป็นครั้งคราว หรือการประมวลผลที่รวมถึงหมวดหมู่ของข้อมูลชนิดพิเศษ... หรือข้อมูลส่วนบุคคลที่เกี่ยวข้องกับความผิดทางอาญาและความผิดที่อ้างถึงในมาตรา 10”


 

ฉันจำเป็นต้องมีเจ้าหน้าที่ด้านการปกป้องข้อมูลหรือไม่?


ใช่!! คุณอาจจะจำเป็นที่ต้องมี โดยปัจจัยที่อยู่เบื้องหลังของความจำเป็นว่าคุณต้องการเจ้าหน้าที่ดังกล่าวหรือไม่นั้น ทั้งนี้ก็ต้องขึ้นอยู่กับข้อมูลอะไรที่คุณได้ทำการเก็บรวบรวม และปริมาณของข้อมูลที่คุณได้ทำการเก็บรวบรวมไว้ ซึ่งทั้งสองปัจจัยนี้มีความสำคัญมากกว่าขนาดธุรกิจของคุณ ถ้าหากวัตถุประสงค์หลักของคุณคือ ความต้องการตรวจสอบอย่างสม่ำเสมอและเฝ้าติดตามอย่างเป็นระบบ (Systematic Monitoring) ในส่วนของ Data Subject ที่มีขนาดใหญ่  ในกรณีเช่นนี้ คุณจำเป็นที่จะต้องแต่งตั้งเจ้าหน้าที่ด้านการปกป้องข้อมูล (Data Protection Officer: DPO)
 
นอกจากนี้คุณยังจะต้องแต่งตั้งเจ้าหน้าที่ ในกรณีที่คุณมีการรวบรวมบันทึกการลงโทษทางอาญา, หรือชาติพันธุ์, ความเชื่อทางศาสนาหรือปรัชญา, ความคิดเห็นทางการเมือง, รายละเอียดของสมาชิกสหภาพแรงงาน ในส่วนของสุขภาพ, ชีวิตด้านเพศ (Sex Life) หรือข้อมูลเกี่ยวกับรสนิยมทางเพศ ซึ่งเป็นข้อมูลที่มีขอบเขตที่กว้างขึ้น
 
สหภาพยุโรปได้มีการระบุว่า "กลุ่ม" อาจจะมีการว่าจ้างเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer) หนึ่งคนระหว่างพวกเขา ตราบใดที่เจ้าหน้าที่พร้อมที่จะให้บริการสำหรับแต่ละองค์กร
 
เจ้าหน้าที่ด้านการปกป้องข้อมูลจะอยู่ที่นั่น เพื่อที่จะแจ้งและให้คำแนะนำเกี่ยวกับแนวทางปฏิบัติในการเก็บรวบรวมข้อมูล และสังเกตการณ์, กำกับการปฏิบัติตามกฎเกณฑ์ (Compliance) ตลอดจนทำหน้าที่เป็นจุดเชื่อมต่อกับหน่วยงานที่ให้ความคุ้มครองข้อมูล (Data Protection Authorities: DPAs) ซึ่งในสหราชอาณาจักร (UK) ก็คือสำนักงานคณะกรรมาธิการด้านข้อมูลข่าวสาร (Information Commissioner's Office)


 

ฉันต้องจ่ายค่าปรับอะไรบ้าง ในกรณีที่กระทำความผิด?


ค่าปรับที่สามารถเรียกเก็บภายใต้กฎหมาย GDPR นั้น จัดว่าเป็นจำนวนเงินที่สูงมาก ซึ่งในปัจจุบันนี้ ICO สามารถปรับบริษัทที่ฝ่าฝืนกฎหมาย ได้เป็นเงินที่มากถึง 500,000 ปอนด์ ซึ่งได้มีการดำเนินการนี้แล้วกับ Facebook นับตั้งแต่วันที่มันมีผลบังคับใช้ องค์กรต้องเผชิญกับค่าปรับที่สูงถึง 2% ของผลประกอบการประจำปีหรือคิดเป็นเงินที่มากถึง 10 ล้านยูโร ซึ่งก็แล้วแต่ว่าจำนวนใดจะสูงกว่า สำหรับการละเมิดหลักปฏิบัติของ GDPR แต่สำหรับการละเมิดข้อมูลส่วนบุคคลของผู้คนที่เกิดขึ้นจริงนั้น กฎหมายได้กำหนดค่าปรับไว้สูงสุดถึง 20 ล้านยูโร หรือ 4% ของรายได้ต่อปีของบริษัท แล้วแต่ว่าจำนวนใดจะสูงกว่า
 
สำหรับข้อความที่ว่า “แล้วแต่จำนวนใดจะสูงกว่า" เป็นวลีสำคัญสำหรับ SMB ที่อาจจะต้องพบกับผลกระทบที่รุนแรงทางการเงินที่เกิดจากการละเมิดข้อมูล ซึ่งหมายความว่าความเสี่ยงนั้นใหญ่พอๆ กับองค์กรธุรกิจที่มีขนาดใหญ่ ถ้าไม่ได้ใหญ่เกินไปกว่าองค์กรที่เป็นบริษัทข้ามชาติ (Multinational Enterprises) ที่สามารถรองรับบทลงโทษในไตรมาสการเงินถัดไปได้ โดยไม่มีผลกระทบต่อราคาหุ้นมากเกินไป”
 
อย่างไรก็ตามค่าปรับเหล่านี้จะต้อง "เป็นไปตามความเหมาะสม" (สิงนี้เป็นความจริงที่สำคัญ ที่ผู้เสนอขายบริการในการปกป้องข้อมูลมักจะลืมพูดถึง) ซึ่งหมายความว่าถ้าคุณสามารถพิสูจน์ได้ (พร้อมการเก็บบันทึกและเอกสารประกอบที่ครอบคลุม) ในขณะที่นโยบาย (Policy) และกรอบการกำกับดูแล (Governance framework) ของคุณ จะต้องได้รับการออกแบบมาเพื่อให้สอดคล้องกับ GDPR แต่ถ้าคุณยังคงมีการฝ่าฝืน ICO ก็จะไม่เรียกเก็บค่าปรับที่รุนแรงกับคุณ อย่างไรก็ตาม หากคุณไม่สามารถพิสูจน์ได้ว่าคุณได้พยายามที่จะปฏิบัติตาม GDPR และไม่สนใจกฎหมาย ในส่วนของ ICO ก็ดูเหมือนว่ามีแนวโน้มที่จะปรับคุณด้วยจำนวนเงินที่แพงขึ้น

 

ฉันจะต้องเตรียมตัวอย่างไรสำหรับ GDPR?


เมื่อพิจารณาถึงความสำคัญและผลกระทบที่เกิดจากการเปลี่ยนแปลงซึ่งเกิดจาก GDPR ในส่วนของระเบียบการคุ้มครองข้อมูลทั่วไป และความจริงที่ว่ากฎหมายนั้นมีผลบังคับใช้กับประเทศสมาชิกสหภาพยุโรปทุกประเทศ พบว่ายังมี SMB ที่ไม่มีความรู้เกี่ยวกับหัวข้อดังกล่าวในจำนวนที่ค่อนข้างมาก
 
อย่างไรก็ตาม มีส่วนของขั้นตอนที่ชัดเจนที่ใช้เพื่อจัดกระบวนการภายใน (Internal Processes) และแนวทางปฏิบัติ (Practice) ของคุณ เพื่อให้สอดคล้องกับกฎการป้องกันข้อมูล
 
สิ่งที่เหมาะกับการเริ่มต้นที่ดีที่สุดก็คือ การดูคู่มือ 12 ขั้นตอนของ ICO เพื่อเตรียมความพร้อมสำหรับ GDPR (General Data Protection Regulation) และยังมีบางจุดที่สำคัญสำหรับ SMB ได้แก่ 


 

Document what personal data you hold : การจัดทำเอกสารข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของคุณ

โดยการทำความเข้าใจข้อมูลส่วนบุคคลที่คุณมีอยู่ว่ามันมาจากที่ใดบ้าง, คุณได้แบ่งปันสิ่งที่เก็บรวบรวมไว้นี้ให้กับใคร ทั้งหมดที่กล่าวมานี้คุณจะต้องทำมัน ไม่ว่ามันจะยังคงมีความเกี่ยวข้องและจำเป็นสำหรับวัตถุประสงค์ที่คุณรวบรวมไว้หรือไม่ก็ตาม

 

Ensure you can honour citizens' data requests : ตรวจสอบให้แน่ใจว่าคุณสามารถให้ความเคารพกับการร้องขอข้อมูลของพลเมืองได้

ภายใต้ระเบียบของ GDPR, พลเมืองของสหภาพยุโรปสามารถขอให้คุณลบ, แก้ไข, หรือย้ายข้อมูลของพวกเขาไปยังองค์กรอื่น โดยที่กระบวนการและเทคโนโลยีของคุณจะต้องสามารถรองรับและปฏิบัติตามคำขอเหล่านี้ได้ ภายในระยะเวลาหนึ่งเดือน

 

Establish a lawful basis for processing data : การสร้างพื้นฐานที่ถูกต้องตามกฎหมายสำหรับการประมวลผลข้อมูล
 

ภายใต้ระเบียบของ GDPR การเลือกทำเครื่องหมายในช่อง opt-out อาจจะไม่ใช่สิ่งที่ดีพออีกต่อไป แต่สิ่งที่คุณควรจะทำก็คือ คุณต้องสร้างพื้นฐานที่ถูกต้องกฎหมายสำหรับการประมวลผลข้อมูลของพลเมือง (Citizen's data) ในกรณีที่ได้รับความยินยอม จะต้องเลือกในช่อง opt-in ซึ่งหมายความว่าพลเมืองจะให้สิทธิ์ในการประมวลผลข้อมูลในระยะเวลาที่จำกัด และเพื่อวัตถุประสงค์ที่จำกัดเท่านั้น ขณะเดียวกัน การได้รับความยินยอมก็อาจจะมีโอกาสถูกถอดถอน ดังนั้นจึงควรพิจารณาว่าคุณสามารถใช้ข้อมูลพื้นฐานอื่นๆ ที่ถูกกฎหมายเพื่อประมวลผลข้อมูลได้อย่างไร


 

Prepare for data breaches : การเตรียมความพร้อมในกรณีที่มีการรั่วไหลของข้อมูล

ตรวจสอบให้แน่ใจว่ากระบวนการของคุณจะช่วยให้คุณสามารถแจ้งผู้มีอำนาจในการปกป้องข้อมูลจากการละเมิดข้อมูล ภายในระยะเวลา 72 ชั่วโมง หลังจากที่ทราบเรื่อง

 

Appoint a data protection officer : การแต่งตั้งเจ้าหน้าที่ด้านการปกป้องข้อมูล (Data Protection Officer: DPO)


ดังที่ได้กล่าวไว้ข้างต้นแล้วว่า DPO เป็นส่วนสำคัญของ GDPR สำหรับองค์กรธุรกิจที่ดำเนินการเกี่ยวกับการประมวลผลข้อมูลที่มีขนาดใหญ่ ไม่ช้าก็เร็วที่บริษัทของคุณจะต้องมีการแต่งตั้งบุคคลเพื่อทำหน้าที่ในการปกป้องข้อมูล ถ้าหน้าที่นี้ยังคงเป็นหนึ่งในสิ่งที่บริษัทของคุณจะต้องกำหนด ภายใต้กฎหมาย


ที่มา:
www.itpro.co.uk

ควิกเซิร์ฟ
สินค้า
งานระบบ
บริการ
กิจกรรม
ออนไลน์