บัญชีธุรกิจ

แนวทางปฏิบัติเพื่อการปฏิบัติตาม GDPR

โพสต์

เวลาที่น่าตื่นเต้นที่เราอาศัยอยู่! ยุคดิจิทัลได้เปิดโลกแห่งความเป็นไปได้อย่างที่ไม่เคยมีมาก่อน อินเทอร์เน็ตแทบจะแพร่หลายและสามารถเชื่อมต่อกับอุปกรณ์แทบทุกชนิด ส่งผลให้มีการหมุนเวียน แลกเปลี่ยน และสะสมข้อมูลที่หลากหลาย

จ่ายค่าใช้จ่าย แชร์เอกสาร ซื้อของ และทำงานประจำวันอื่น ๆ ได้อย่างง่ายดายโดยไม่ต้องออกจากบ้าน นี่คือวิธีที่เทคโนโลยีสมัยใหม่ช่วยปรับปรุงคุณภาพชีวิตของเรา ความเป็นส่วนตัวของเรามีราคา

เมื่อมีการแลกเปลี่ยนข้อมูลส่วนบุคคลทางออนไลน์ ผู้ล่าจะใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัย บริษัทต่างๆ ถูกบุกรุก และตัวตน เงินทุน และทรัพย์สินทางปัญญาถูกขโมยไป

ภาระหน้าที่ในการปฏิบัติตาม GDPR

ที่มา: techdonut.co.uk

กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค ("GDPR") ตราขึ้นเพื่อปิดช่องโหว่ในการคุ้มครองความเป็นส่วนตัวของข้อมูลที่คำสั่งคุ้มครองข้อมูลที่ล้าสมัยไม่สามารถปิดได้ GDPR กำหนดภาระผูกพันกับธุรกิจจากประเทศสมาชิกสหภาพยุโรป 28 ประเทศและควบคุมวิธีที่พวกเขาจัดการกับข้อมูลใน ดินแดนของสหภาพยุโรป. GDPR กำหนดให้ธุรกิจต่างๆ ต้องใช้การตรวจสอบสถานะและปฏิบัติตามหลักการคุ้มครองข้อมูลที่กำหนดไว้ล่วงหน้าและเงื่อนไขการประมวลผลเมื่อจัดเก็บ สะสม หรือถ่ายโอนข้อมูล

ตามข้อกำหนดของ GDPR ข้อมูลใดๆ ที่เกี่ยวข้องกับบุคคล (ชื่อ รูปถ่าย ที่อยู่อีเมล รายละเอียดธนาคาร รายละเอียดตำแหน่ง ข้อมูลทางการแพทย์ หรือแม้แต่ที่อยู่ IP ของคอมพิวเตอร์และการอัปเดตบนเว็บไซต์เครือข่ายสังคม) จะถือว่าเป็นข้อมูลส่วนบุคคลและปลอดภัย ต้องมั่นใจในการประมวลผล

การดำเนินกลยุทธ์การปกป้องข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพได้รับการสนับสนุนโดยหลักการของ GDPR ที่กำหนดข้อจำกัดและข้อกำหนดบางประการ หลักการกำหนดความรับผิดชอบของบริษัทเพื่อให้แน่ใจว่า:

  • บุคคลดังกล่าวให้ความยินยอมทางกฎหมายที่ชัดเจนในการรวบรวมและประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่ถูกต้องตามกฎหมายเท่านั้น
  • ผู้รับการทดสอบทราบถึงกิจกรรมการประมวลผลข้อมูลส่วนบุคคลทั้งหมด
  • รวบรวมเฉพาะข้อมูลที่จำเป็นสำหรับวัตถุประสงค์ที่ระบุและชัดเจนเท่านั้น
  • ข้อมูลมีความถูกต้องและเป็นปัจจุบัน
  • เมื่อไม่ต้องการใช้ข้อมูลอีกต่อไป ข้อมูลจะถูกทำลายหรือลบทิ้งอย่างเหมาะสม
  • ข้อมูลได้รับการปกป้องจากการประมวลผล การสูญหาย การทุจริต หรือการลบโดยไม่ได้รับอนุญาตหรือผิดกฎหมาย

การปฏิบัติตามขั้นตอนการดำเนินการของ GDPR

ที่มา: csoonline.com

บริษัทส่วนใหญ่ได้พัฒนากลยุทธ์บางอย่างภายในการดำเนินงานประจำวันของพวกเขาเพื่อให้มั่นใจถึงความเป็นส่วนตัวของข้อมูลส่วนบุคคลของลูกค้าเป็นระยะเวลาพอสมควร โดยยึดตามคำแนะนำที่ครอบคลุมจากประสบการณ์โครงการที่ผ่านมาของเรา

กลยุทธ์นี้ได้ผลมาระยะหนึ่งแล้ว การทบทวนและแก้ไขนโยบายความเป็นส่วนตัวตามข้อบังคับการปกป้องข้อมูลของ GDPR จำเป็นต้องเสริมความแข็งแกร่งให้กับกลยุทธ์ที่มีอยู่ เพื่อให้แน่ใจว่าสอดคล้องกับ GDPR ตัวอย่างเช่น บริษัทต่างๆ เช่น อจิลิเวย์ เยี่ยมชมการดำเนินการประมวลผลข้อมูลในด้านต่างๆ ดังต่อไปนี้

การควบคุมการเข้าถึงสิ่งอำนวยความสะดวกในการประมวลผลข้อมูล

บริษัทต่างๆ ได้ใช้มาตรการรักษาความปลอดภัยต่อไปนี้เพื่อป้องกันการเข้าถึงตำแหน่งที่ประมวลผลข้อมูลโดยไม่ได้รับอนุญาต:

  • ทางเข้าอาคารสำนักงานจะได้รับอนุญาตด้วยสมาร์ทคีย์ส่วนตัวเท่านั้นที่อนุญาตให้เข้าถึงส่วนที่เกี่ยวข้องของสำนักงานได้ การพิสูจน์ตัวตนแบบไบโอเมตริกซ์ จะต้องได้รับกุญแจห้องโครงการ ช่องเซิร์ฟเวอร์สามารถเข้าถึงได้โดยเจ้าหน้าที่ที่ได้รับอนุญาตเท่านั้น
  • เมื่อพนักงานออกจากองค์กร สมาร์ทการ์ดส่วนบุคคลและบันทึกไบโอเมตริกซ์จะถูกลบ
  • สำนักงานมีการรักษาความปลอดภัยในเวลากลางคืนและเชื่อมต่อกับระบบเฝ้าระวังของตำรวจส่วนกลาง มียามอยู่ในสถานที่ตลอดเวลา ทางเข้า บันได ล็อบบี้ และที่จอดรถติดตั้งระบบกล้องวงจรปิด
  • ไม่อนุญาตให้ผู้เยี่ยมชมเว้นแต่จะได้รับอนุญาตจากฝ่ายบริหารหรือฝ่ายทรัพยากรบุคคลล่วงหน้าและมีพนักงานมาด้วย ผู้เยี่ยมชมไม่มีสิทธิ์เข้าถึงเครือข่ายองค์กร

การควบคุมการเข้าถึงระบบประมวลผลข้อมูล

ที่มา: ncsc.gov.uk

เพื่อป้องกันการเข้าถึงระบบประมวลผลข้อมูลโดยไม่ได้รับอนุญาต พวกเขายังใช้มาตรการรักษาความปลอดภัยดังต่อไปนี้:

  • การเข้าถึงข้อมูลโครงการได้รับจากผู้บริหาร (CTO, COO, SysAdmin (การติดตามเครือข่ายเท่านั้น)) ตามตำแหน่งและความรับผิดชอบของพนักงาน
  • นโยบายรหัสผ่านของบริษัทจะปกป้องระบบภายใน (CRM, HR, การบัญชี, การจัดการโครงการ ฯลฯ) และโฟลเดอร์โครงการของลูกค้า
  • ไฟร์วอลล์ที่กำหนดค่าบนเราเตอร์จะควบคุมการรับส่งข้อมูลขาเข้า
  • การประมวลผลข้อมูลไม่ได้จ้างบุคคลภายนอก

การควบคุมการเข้าถึงข้อมูล

ทีมสามารถรวบรวมและประมวลผลข้อมูลที่ได้รับอนุญาตให้เข้าถึงได้ตามสิทธิ์การเข้าถึงที่ได้รับจากเจ้าของข้อมูลเท่านั้น ข้อมูลส่วนบุคคลไม่สามารถเข้าถึง จัดเก็บ คัดลอก แก้ไข ถ่ายโอน ลบ หรือแบ่งปันกับบุคคลที่ไม่ได้รับอนุญาต ดำเนินการโดย:

  • ได้รับความยินยอมจากลูกค้าสำหรับการประมวลผลข้อมูลภายใต้ GDPR
  • ก่อนให้สิทธิ์เข้าถึงข้อมูล พนักงานใหม่ทุกคนต้องทำข้อตกลงไม่เปิดเผยข้อมูล
  • การแก้ไขสิทธิ์การเข้าถึงเมื่อใดก็ตามที่มีการเปลี่ยนแปลงตำแหน่ง หน้าที่ หรือการออกจากบริษัทของพนักงาน
  • การล็อกการเข้าถึงทั้งหมด การส่งคืนเอกสาร/วัสดุ การกำหนดหน้าที่ประจำการใหม่ การส่งคืนคอมพิวเตอร์และอุปกรณ์อื่นๆ การปิดใช้งานอีเมลของบริษัท การระงับสมาร์ทคีย์ส่วนบุคคล และการลบลายนิ้วมือออกจากฐานข้อมูล ฯลฯ
  • ฟอร์แมตผู้ให้บริการข้อมูลที่ล้าสมัยและกำจัดเอกสารที่ไม่จำเป็นทั้งหมดด้วยอุปกรณ์ทำลายเอกสาร
  • เข้ารหัสฮาร์ดไดรฟ์แล็ปท็อปทั้งหมด เพื่อปกป้องข้อมูล
  • เมื่อโครงการหรือระยะเวลาการสนับสนุน/การรับประกันสิ้นสุดลง การเข้าถึงเอกสารจะถูกจำกัด

ควบคุมการแยกการประมวลผลข้อมูลเพื่อวัตถุประสงค์ที่แตกต่างกัน

การดำเนินการต่อไปนี้ทำให้มั่นใจได้ว่าข้อมูลส่วนบุคคลที่รวบรวมจากลูกค้าต่างๆ และเพื่อวัตถุประสงค์ที่แตกต่างกันจะได้รับการประมวลผลแยกกัน:

  • มีการใช้การควบคุมสิทธิ์การเข้าถึงเพื่อให้ตำแหน่งเข้าถึงชุดข้อมูลที่ระบุ
  • ข้อมูลถูกเก็บไว้ในตำแหน่งต่างๆ โดยปกติแล้ว เราจะไม่ส่งข้อมูลจากเซิร์ฟเวอร์ไคลเอนต์ เนื่องจากไคลเอ็นต์ให้สิทธิ์การเข้าถึงแก่พนักงานที่เกี่ยวข้องกับโครงการเท่านั้น
  • เว้นแต่จะมีการร้องขอ DevOps แผนกไอทีภายในของลูกค้าจะรับผิดชอบการปรับใช้จริง

การจัดการการรับส่งข้อมูล

ที่มา: expressanalytics.com

ภายใต้ข้อกำหนดของ GDPR ผู้ควบคุมหรือผู้ประมวลผลสามารถส่งข้อมูลส่วนบุคคลได้ก็ต่อเมื่อมีการป้องกันที่เพียงพอ ช่วยให้มั่นใจถึงความปลอดภัยของข้อมูลในระหว่างการไหลของข้อมูลระหว่างประเทศโดย:

  • การลงนามในข้อสัญญาการโอนข้อมูลส่วนบุคคลกับเจ้าของข้อมูลเพื่อกำหนดเงื่อนไขและภาระผูกพันซึ่งผู้ประมวลผลข้อมูลดำเนินการประมวลผลข้อมูล
  • การเข้าถึงและ/หรือประมวลผลข้อมูลบนเซิร์ฟเวอร์หรือที่เก็บเอกสารของลูกค้า มิฉะนั้น, รักษาความปลอดภัย VPN และโปรโตคอล ดาวน์โหลดเอกสารที่มีข้อมูลส่วนตัวผ่าน SSL
  • ส่งข้อมูลอิเล็กทรอนิกส์ผ่าน VPN และ SSL เท่านั้น
  • แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลที่ตรวจสอบการปฏิบัติตาม GDPR ของบริษัท

การกำกับดูแลความพร้อมใช้งานของข้อมูล

ต้องใช้ความระมัดระวังเป็นพิเศษเพื่อรักษาความปลอดภัยข้อมูลส่วนบุคคลจากการทำลายหรือสูญหายโดยไม่ตั้งใจ มาตรการที่ดำเนินการ ได้แก่ :

  • ป้องกันการหยุดชะงักของบริการในศูนย์ข้อมูล (เครื่องสำรองไฟฟ้า, ห้องเซิร์ฟเวอร์ปรับอากาศ, ระบบตรวจจับควัน)
  • การเริ่มต้นเซิร์ฟเวอร์/ฐานข้อมูลอัตโนมัติจากการสำรองข้อมูลที่ระบุ
  • ใช้บริการคลาวด์ AWS และ Azure กับเซิร์ฟเวอร์ในสหภาพยุโรปเพื่อโฮสต์ข้อมูลไคลเอ็นต์และจัดเก็บข้อมูลสำรอง
  • การเข้ารหัสข้อมูลที่เก็บถาวร

ทันทีที่ GDPR มีผลบังคับใช้ บริษัทต่างๆ ได้ทบทวนกระบวนการทางธุรกิจเพื่อให้แน่ใจว่าเป็นไปตามระเบียบข้อบังคับที่ควบคุมการประมวลผลข้อมูลส่วนบุคคล และดำเนินการเปลี่ยนแปลงที่จำเป็นเพื่อเฝ้าระวังการละเมิดข้อมูล

ด้วยการกำหนดมาตรการทางเทคนิคและองค์กรที่เหมาะสม ให้ความรู้แก่พนักงาน อัปเดตสัญญา และรักษาความปลอดภัยของสิ่งแวดล้อม เรารับประกันได้ว่าจะไม่มีเจตนาร้ายใดที่ลูกค้าของเราจะตรวจไม่พบ

กระทู้ที่เกี่ยวข้อง:

รายการที่เกี่ยวข้อง:, , , ,

โลกและโลกเป็นสถานที่ที่คุณสามารถค้นหาข้อเท็จจริงต่าง ๆ ที่รู้จักและไม่รู้จักของโลกของเรา เว็บไซต์นี้ยังครอบคลุมถึงสิ่งที่เกี่ยวข้องกับโลก ไซต์นี้จัดทำขึ้นเพื่อให้ข้อเท็จจริงและข้อมูลเพื่อความรู้และความบันเทิง

ติดต่อเรา

หากคุณมีข้อเสนอแนะและข้อสงสัยใด ๆ คุณสามารถติดต่อเราตามรายละเอียดด้านล่าง เราจะมีความสุขมากที่ได้ยินจากคุณ

markofotolog [at] gmail.com

การเปิดเผยข้อมูลของอเมซอน

EarthNWorld.com เป็นผู้มีส่วนร่วมในโปรแกรม Amazon Services LLC Associates ซึ่งเป็นโปรแกรมโฆษณาในเครือที่ออกแบบมาเพื่อให้เว็บไซต์ได้รับค่าธรรมเนียมการโฆษณาโดยการโฆษณาและเชื่อมโยงกับ Amazon.com Amazon, โลโก้ Amazon, AmazonSupply และโลโก้ AmazonSupply เป็นเครื่องหมายการค้าของ Amazon.com, Inc. หรือบริษัทในเครือ

ไปด้านบน