รายการตรวจสอบการปฏิบัติตาม GDPR - IBM Blog

รายการตรวจสอบการปฏิบัติตาม GDPR – บล็อกของ IBM

ประทับเวลา: 22 มกราคม 2024 7:00 น
โหนดต้นทาง: 3078502


รายการตรวจสอบการปฏิบัติตาม GDPR – บล็อกของ IBM



รูปภาพของบุคลากรทางการแพทย์ที่ป้อนข้อมูลส่วนบุคคลลงในคอมพิวเตอร์เพื่อสร้างเวชระเบียน

กฎระเบียบคุ้มครองข้อมูลทั่วไป (GDPR) เป็นกฎหมายของสหภาพยุโรป (EU) ที่ควบคุมวิธีที่องค์กรรวบรวมและใช้งาน ข้อมูลส่วนบุคคล. บริษัทใดก็ตามที่ดำเนินงานในสหภาพยุโรปหรือจัดการข้อมูลของผู้อยู่อาศัยในสหภาพยุโรปจะต้องปฏิบัติตามข้อกำหนด GDPR

อย่างไรก็ตาม การปฏิบัติตาม GDPR ไม่จำเป็นต้องเป็นเรื่องที่ตรงไปตรงมาเสมอไป กฎหมายกำหนดชุดของ ความเป็นส่วนตัวของข้อมูล สิทธิ์สำหรับผู้ใช้และหลักการต่างๆ ในการประมวลผลข้อมูลส่วนบุคคล องค์กรต่างๆ ต้องยึดมั่นในสิทธิและหลักการเหล่านี้ แต่ GDPR เหลือพื้นที่ให้แต่ละบริษัทตัดสินใจว่าจะทำอย่างไร

เดิมพันนั้นสูงและ GDPR กำหนดบทลงโทษที่สำคัญสำหรับการไม่ปฏิบัติตาม การละเมิดที่ร้ายแรงที่สุดอาจนำไปสู่การปรับสูงถึง 20,000,000 ยูโรหรือ 4% ของมูลค่าการซื้อขายทั่วโลกขององค์กรในปีที่แล้ว หน่วยงานกำกับดูแล GDPR ยังสามารถยุติกิจกรรมการประมวลผลข้อมูลที่ผิดกฎหมายและบังคับให้องค์กรทำการเปลี่ยนแปลงได้

รายการตรวจสอบด้านล่างครอบคลุมถึงกฎระเบียบหลักของ GDPR วิธีการที่องค์กรปฏิบัติตามกฎระเบียบเหล่านี้จะขึ้นอยู่กับสถานการณ์เฉพาะขององค์กร รวมถึงประเภทของข้อมูลที่รวบรวมและวิธีการใช้ข้อมูลนั้น

ข้อมูลพื้นฐานเกี่ยวกับ GDPR

GDPR ใช้กับองค์กรใดๆ ที่อยู่ในเขตเศรษฐกิจยุโรป (EEA) EEA ประกอบด้วยรัฐสมาชิกสหภาพยุโรปทั้งหมด 27 ประเทศ รวมถึงไอซ์แลนด์ ลิกเตนสไตน์ และนอร์เวย์

GDPR ยังใช้กับองค์กรภายนอก EEA หาก:

  • บริษัทนำเสนอสินค้าหรือบริการแก่ผู้อยู่อาศัยใน EEA เป็นประจำ แม้ว่าจะไม่มีการแลกเงินก็ตาม
  • บริษัทติดตามกิจกรรมของผู้อยู่อาศัย EEA เป็นประจำ เช่น การใช้คุกกี้ติดตาม
  • บริษัทประมวลผลข้อมูลในนามของบริษัทที่อยู่ใน EEA

GDPR ไม่เพียงนำไปใช้กับธุรกิจที่ใช้ข้อมูลลูกค้าเพื่อวัตถุประสงค์ทางการค้าเท่านั้น โดยมีผลกับองค์กรเกือบทุกแห่งที่ประมวลผลข้อมูลของผู้อยู่อาศัยใน EEA เพื่อวัตถุประสงค์ใดๆ ก็ตาม โรงเรียน โรงพยาบาล และหน่วยงานของรัฐล้วนอยู่ภายใต้อำนาจของ GDPR

กิจกรรมการประมวลผลข้อมูลเพียงอย่างเดียวที่ได้รับการยกเว้นจาก GDPR คือกิจกรรมความมั่นคงของชาติหรือการบังคับใช้กฎหมาย และการใช้ข้อมูลส่วนบุคคลล้วนๆ

คำจำกัดความที่เป็นประโยชน์

GDPR ใช้คำศัพท์เฉพาะบางประการ เพื่อให้เข้าใจถึงข้อกำหนดในการปฏิบัติตามกฎระเบียบ องค์กรจะต้องเข้าใจว่าคำเหล่านี้หมายถึงอะไรในบริบทนี้

GDPR เป็นผู้กำหนด ข้อมูลส่วนบุคคล เป็นข้อมูลใด ๆ ที่เกี่ยวข้องกับมนุษย์ที่สามารถระบุตัวตนได้ ทุกอย่างตั้งแต่ที่อยู่อีเมลไปจนถึงความคิดเห็นทางการเมืองถือเป็นข้อมูลส่วนบุคคล

A หัวเรื่องข้อมูล คือมนุษย์ที่เป็นเจ้าของข้อมูล กล่าวอีกนัยหนึ่งคือบุคคลที่ข้อมูลเกี่ยวข้อง สมมติว่าบริษัทรวบรวมหมายเลขโทรศัพท์เพื่อส่งข้อความทางการตลาดผ่าน SMS เจ้าของหมายเลขโทรศัพท์เหล่านั้นจะเป็นเจ้าของข้อมูล

เมื่อ GDPR อ้างถึงเจ้าของข้อมูล นั่นหมายถึงเจ้าของข้อมูลที่อาศัยอยู่ใน EEA อาสาสมัครไม่จำเป็นต้องเป็นพลเมืองของสหภาพยุโรปจึงจะมีสิทธิความเป็นส่วนตัวของข้อมูลภายใต้ GDPR พวกเขาเพียงแต่ต้องเป็นผู้อยู่อาศัยใน EEA

A ผู้ควบคุมข้อมูล คือองค์กร กลุ่ม หรือบุคคลใดๆ ที่ได้รับข้อมูลส่วนบุคคลและกำหนดวิธีการนำไปใช้ ย้อนกลับไปที่ตัวอย่างก่อนหน้านี้ บริษัทที่รวบรวมหมายเลขโทรศัพท์เพื่อวัตถุประสงค์ทางการตลาดจะเป็นผู้ควบคุม 

การประมวลผลข้อมูล คือการกระทำใดๆ ที่ทำกับข้อมูล รวมถึงการรวบรวม จัดเก็บ หรือวิเคราะห์ข้อมูล ก ตัวประมวลผลข้อมูล คือองค์กรหรือผู้กระทำการใด ๆ ที่กระทำการดังกล่าว

บริษัทสามารถเป็นทั้งผู้ควบคุมและผู้ประมวลผลได้ เช่นเดียวกับบริษัทที่รวบรวมหมายเลขโทรศัพท์และใช้เพื่อส่งข้อความทางการตลาด ผู้ประมวลผลยังรวมถึงบุคคลที่สามที่ประมวลผลข้อมูลในนามของผู้ควบคุม เช่น บริการจัดเก็บข้อมูลบนคลาวด์ที่โฮสต์ฐานข้อมูลหมายเลขโทรศัพท์สำหรับธุรกิจอื่น

หน่วยงานกำกับดูแล เป็นหน่วยงานกำกับดูแลที่บังคับใช้ข้อกำหนด GDPR แต่ละประเทศ EEA มีอำนาจกำกับดูแลของตนเอง

สำรวจโซลูชันการรักษาความปลอดภัยและการป้องกันข้อมูล

รายการตรวจสอบการปฏิบัติตาม GDPR

ในระดับสูง องค์กรจะปฏิบัติตาม GDPR หาก:

  • ปฏิบัติตามหลักการประมวลผลข้อมูล
  • ส่งเสริมสิทธิของเจ้าของข้อมูล
  • ใช้มาตรการรักษาความปลอดภัยข้อมูลที่เหมาะสม
  • ปฏิบัติตามกฎสำหรับการถ่ายโอนข้อมูลและการแบ่งปันข้อมูล

รายการตรวจสอบต่อไปนี้จะแจกแจงข้อกำหนดเหล่านี้เพิ่มเติม ขั้นตอนการปฏิบัติที่องค์กรดำเนินการเพื่อให้เป็นไปตามข้อกำหนดเหล่านี้จะขึ้นอยู่กับสถานที่ตั้ง ทรัพยากร และกิจกรรมการประมวลผลข้อมูล ท่ามกลางปัจจัยอื่นๆ

หลักการประมวลผลข้อมูล

GDPR สร้างชุดหลักการที่องค์กรต้องปฏิบัติตามเมื่อประมวลผลข้อมูลส่วนบุคคล โดยมีหลักการดังนี้

องค์กรมีพื้นฐานทางกฎหมายในการประมวลผลข้อมูล

GDPR กำหนดสถานการณ์ที่บริษัทต่างๆ สามารถประมวลผลข้อมูลส่วนบุคคลได้อย่างถูกกฎหมาย องค์กรต้องสร้างและจัดทำเอกสารพื้นฐานทางกฎหมายก่อนที่จะรวบรวมข้อมูลใดๆ องค์กรจะต้องสื่อสารพื้นฐานนี้กับผู้ใช้ ณ จุดรวบรวมข้อมูล ไม่สามารถเปลี่ยนแปลงพื้นฐานได้ภายหลังข้อเท็จจริง เว้นแต่จะได้รับความยินยอมจากผู้ใช้ให้ดำเนินการดังกล่าว

ฐานทางกฎหมายที่เป็นไปได้ ได้แก่ :

  • องค์กรได้รับความยินยอมจากอาสาสมัครในการประมวลผลข้อมูลของตน โปรดทราบว่าความยินยอมของผู้ใช้จะมีผลก็ต่อเมื่อมีการแจ้ง ยืนยัน และให้อย่างอิสระเท่านั้น
    • ความยินยอม หมายถึงบริษัทอธิบายอย่างชัดเจนว่ากำลังรวบรวมข้อมูลใดและจะใช้ข้อมูลนั้นอย่างไร
    • ความยินยอมที่ยืนยัน หมายถึงผู้ใช้จะต้องกระทำการโดยเจตนาเพื่อแสดงความยินยอม เช่น ลงนามในแถลงการณ์หรือทำเครื่องหมายในช่อง ความยินยอมไม่สามารถเป็นตัวเลือกเริ่มต้นได้
    • ได้รับความยินยอมโดยเสรี หมายความว่าบริษัทไม่พยายามที่จะโน้มน้าวหรือบังคับเจ้าของข้อมูล บุคคลจะต้องสามารถเพิกถอนความยินยอมได้ตลอดเวลา
  • องค์กรจะต้องประมวลผลข้อมูลเพื่อทำสัญญากับเจ้าของข้อมูลหรือในนามของเจ้าของข้อมูล
  • องค์กรมีหน้าที่ตามกฎหมายในการประมวลผลข้อมูล
  • องค์กรจะต้องประมวลผลข้อมูลเพื่อปกป้องชีวิตของเจ้าของข้อมูลหรือบุคคลอื่น
  • องค์กรกำลังประมวลผลข้อมูลเพื่อเหตุผลด้านสาธารณประโยชน์ เช่น การสื่อสารมวลชนหรือการสาธารณสุข
  • องค์กรเป็นหน่วยงานสาธารณะที่ประมวลผลข้อมูลเพื่อปฏิบัติหน้าที่อย่างเป็นทางการ
  • องค์กรกำลังประมวลผลข้อมูลเพื่อประโยชน์โดยชอบด้วยกฎหมาย
    • A ดอกเบี้ยถูกต้องตามกฎหมาย เป็นผลประโยชน์ที่ผู้ควบคุมหรือบุคคลอื่นอาจได้รับจากการประมวลผลข้อมูล ตัวอย่างได้แก่ การตรวจสอบประวัติของพนักงานหรือการติดตามที่อยู่ IP บนเครือข่ายองค์กร โลกไซเบอร์ วัตถุประสงค์ ในการเรียกร้องผลประโยชน์โดยชอบด้วยกฎหมาย องค์กรจะต้องพิสูจน์ว่าการประมวลผลมีความจำเป็นและไม่ละเมิดสิทธิ์ของอาสาสมัคร 

องค์กรรวบรวมข้อมูลเพื่อวัตถุประสงค์เฉพาะและใช้เพื่อวัตถุประสงค์นั้นเท่านั้น

ตามหลักการจำกัดวัตถุประสงค์ของ GDPR ผู้ควบคุมจะต้องมีวัตถุประสงค์ที่ระบุและจัดทำเป็นเอกสารสำหรับการรวบรวมข้อมูล ตัวควบคุมจะต้องสื่อสารวัตถุประสงค์นี้กับผู้ใช้ ณ จุดรวบรวม และสามารถใช้ข้อมูลเพื่อวัตถุประสงค์ที่ระบุชื่อนี้ได้เท่านั้น

องค์กรจะรวบรวมเฉพาะข้อมูลจำนวนขั้นต่ำที่จำเป็นเท่านั้น

ผู้ควบคุมสามารถรวบรวมข้อมูลจำนวนขั้นต่ำที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์ที่ระบุไว้เท่านั้น

องค์กรรักษาข้อมูลให้ถูกต้องและเป็นปัจจุบัน

ผู้ควบคุมจะต้องดำเนินการตามขั้นตอนที่เหมาะสมเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลที่พวกเขาเก็บไว้นั้นถูกต้องและเป็นปัจจุบัน 

องค์กรจะลบข้อมูลเมื่อไม่ต้องการอีกต่อไป

GDPR กำหนดให้มีนโยบายการเก็บรักษาและการลบข้อมูลที่เข้มงวด บริษัทสามารถเก็บข้อมูลได้จนกว่าจะบรรลุวัตถุประสงค์ที่ระบุไว้ในการรวบรวมข้อมูลนั้นเท่านั้น และพวกเขาจะต้องลบข้อมูลเมื่อไม่ต้องการมันอีกต่อไป

องค์กรใช้ความระมัดระวังเป็นพิเศษเมื่อประมวลผลข้อมูลของเด็กหรือข้อมูลหมวดหมู่พิเศษ

ผู้ควบคุมและผู้ประมวลผลต้องใช้การป้องกันเพิ่มเติมกับข้อมูลส่วนบุคคลบางประเภท

หมวดหมู่พิเศษ ข้อมูลประกอบด้วยข้อมูลที่ละเอียดอ่อนสูง เช่น เชื้อชาติและชีวมาตรของบุคคล องค์กรสามารถประมวลผลข้อมูลหมวดหมู่พิเศษได้ในสถานการณ์ที่จำกัดมากเท่านั้น เช่น เพื่อป้องกันภัยคุกคามด้านสาธารณสุขที่ร้ายแรง บริษัทยังสามารถประมวลผลข้อมูลหมวดหมู่พิเศษได้หากได้รับความยินยอมอย่างชัดแจ้งจากบุคคลดังกล่าว

ข้อมูลความผิดทางอาญา สามารถควบคุมได้โดยหน่วยงานของรัฐเท่านั้น ผู้ประมวลผลสามารถประมวลผลข้อมูลนี้ตามคำสั่งของหน่วยงานสาธารณะเท่านั้น

ผู้ควบคุมจะต้องได้รับความยินยอมจากผู้ปกครองก่อนจึงจะประมวลผลได้ ข้อมูลของเด็ก พวกเขาจะต้องดำเนินการตามขั้นตอนที่เหมาะสมในการตรวจสอบอายุของอาสาสมัครและตัวตนของผู้ปกครอง หากรวบรวมข้อมูลจากเด็ก ผู้ควบคุมจะต้องแสดงประกาศความเป็นส่วนตัวในภาษาที่เป็นมิตรต่อเด็ก

รัฐ EEA แต่ละรัฐกำหนดคำจำกัดความของ "เด็ก" ของตนเองภายใต้ GDPR มีตั้งแต่ “ผู้ที่มีอายุต่ำกว่า 13 ปี” ไปจนถึง “ผู้ที่มีอายุต่ำกว่า 16 ปี” 

องค์กรจัดทำเอกสารกิจกรรมการประมวลผลข้อมูลทั้งหมด

องค์กรที่มีพนักงานมากกว่า 250 คนจะต้องเก็บบันทึกการประมวลผลข้อมูล องค์กรที่มีพนักงานน้อยกว่า 250 คนจะต้องเก็บบันทึกหากพวกเขาประมวลผลข้อมูลที่ละเอียดอ่อนสูง ประมวลผลข้อมูลเป็นประจำ หรือประมวลผลข้อมูลในลักษณะที่ก่อให้เกิดความเสี่ยงที่สำคัญต่อเจ้าของข้อมูล

ผู้ควบคุมจะต้องบันทึกสิ่งต่างๆ เช่น ข้อมูลที่พวกเขารวบรวม สิ่งที่ตนทำกับข้อมูลนั้น แผนที่กระแสข้อมูล และการปกป้องข้อมูล ผู้ประมวลผลต้องจัดทำเอกสารเกี่ยวกับคอนโทรลเลอร์ที่ตนทำงาน ประเภทการประมวลผลที่ทำกับคอนโทรลเลอร์แต่ละตัว และการควบคุมความปลอดภัยที่ใช้

ผู้ควบคุมมีหน้าที่รับผิดชอบในการปฏิบัติตามข้อกำหนดในท้ายที่สุด 

ภายใต้ GDPR ความรับผิดชอบสูงสุดในการปฏิบัติตามข้อกำหนดจะขึ้นอยู่กับผู้ควบคุมข้อมูล ซึ่งหมายความว่าผู้ควบคุมต้องมั่นใจและสามารถพิสูจน์ได้ว่าโปรเซสเซอร์ของบริษัทอื่นมีคุณสมบัติตรงตามข้อกำหนด GDPR ที่เกี่ยวข้องทั้งหมด 

สิทธิของเจ้าของข้อมูล

GDPR ให้สิทธิ์แก่เจ้าของข้อมูลในเรื่องข้อมูลของตน ผู้ควบคุมและผู้ประมวลผลต้องเคารพสิทธิ์เหล่านี้

องค์กรเสนอวิธีง่ายๆ ให้กับเจ้าของข้อมูลในการใช้สิทธิ์ของตน

องค์กรต้องให้เจ้าของข้อมูลมีวิธีง่ายๆ ในการยืนยันสิทธิ์ของตนเหนือข้อมูลของตน สิทธิเหล่านี้รวมถึง:

  • สิทธิ์ในการเข้าถึง: บุคคลจะต้องสามารถขอและรับสำเนาข้อมูลของตนได้ รวมถึงข้อมูลที่เกี่ยวข้องเกี่ยวกับวิธีการใช้ข้อมูลของบริษัท
  • สิทธิในการแก้ไข: วิชาจะต้องสามารถแก้ไขหรืออัปเดตข้อมูลของตนได้
  • สิทธิ์ในการลบ: วิชาจะต้องสามารถขอลบข้อมูลของตนได้ 
  • สิทธิ์ในการจำกัดการประมวลผล: ผู้ถูกทดสอบจะต้องสามารถจำกัดวิธีการใช้ข้อมูลของตนได้ หากสงสัยว่าข้อมูลไม่ถูกต้อง ไม่จำเป็นอีกต่อไป หรือถูกใช้ในทางที่ผิด 
  • สิทธิในการคัดค้าน: วัตถุจะต้องสามารถคัดค้านการประมวลผลได้ ผู้ที่ได้รับความยินยอมก่อนหน้านี้จะต้องสามารถเพิกถอนได้อย่างง่ายดายเมื่อใดก็ได้
  • สิทธิ์ในการพกพาข้อมูล: อาสาสมัครมีสิทธิ์ในการถ่ายโอนข้อมูลของตน และผู้ควบคุมและผู้ประมวลผลจะต้องอำนวยความสะดวกในการถ่ายโอนเหล่านี้

โดยทั่วไป องค์กรจะต้องตอบสนองต่อคำขอเข้าถึงเจ้าของข้อมูลทั้งหมดภายใน 30 วัน โดยทั่วไปบริษัทจะต้องปฏิบัติตามคำขอของบุคคลดังกล่าว เว้นแต่บริษัทจะสามารถพิสูจน์ได้ว่าตนมีเหตุผลที่ชอบด้วยกฎหมายและเหนือกว่าที่จะไม่ปฏิบัติตาม

หากองค์กรปฏิเสธคำขอ จะต้องอธิบายเหตุผล องค์กรยังต้องแจ้งเรื่องวิธีการอุทธรณ์คำตัดสินต่อเจ้าหน้าที่คุ้มครองข้อมูลของบริษัทหรือหน่วยงานกำกับดูแลที่เกี่ยวข้อง

องค์กรเสนอวิธีโต้แย้งการตัดสินใจอัตโนมัติแก่เจ้าของข้อมูล

ภายใต้ GDPR เจ้าของข้อมูลมีสิทธิ์ที่จะไม่ผูกพันกับกระบวนการตัดสินใจอัตโนมัติที่อาจส่งผลกระทบอย่างมีนัยสำคัญต่อพวกเขา ซึ่งรวมถึงการจัดทำโปรไฟล์ ซึ่ง GDPR กำหนดให้เป็นการใช้ระบบอัตโนมัติเพื่อประเมินบางแง่มุมของบุคคล เช่น การคาดการณ์ประสิทธิภาพการทำงานของพวกเขา

หากองค์กรใช้การตัดสินใจอัตโนมัติ จะต้องให้เจ้าของข้อมูลมีวิธีโต้แย้งการตัดสินใจเหล่านั้น ผู้ทดลองยังสามารถขอให้พนักงานที่เป็นมนุษย์ตรวจสอบการตัดสินใจอัตโนมัติใดๆ ที่ส่งผลกระทบต่อพวกเขาได้

องค์กรมีความโปร่งใสเกี่ยวกับวิธีการใช้ข้อมูลส่วนบุคคล

ผู้ควบคุมและผู้ประมวลผลจะต้องแจ้งให้เจ้าของข้อมูลทราบเกี่ยวกับกิจกรรมการประมวลผลข้อมูลในเชิงรุกและชัดเจน รวมถึงข้อมูลที่พวกเขารวบรวม สิ่งที่ตนทำกับข้อมูลดังกล่าว และวิธีที่อาสาสมัครสามารถใช้สิทธิของตนเหนือข้อมูลได้

โดยทั่วไปข้อมูลนี้จะต้องได้รับการสื่อสารผ่านประกาศความเป็นส่วนตัวที่แสดงต่อหัวข้อในระหว่างการรวบรวมข้อมูล หากบริษัทไม่เก็บรวบรวมข้อมูลส่วนบุคคลโดยตรงจากอาสาสมัคร จะต้องส่งประกาศความเป็นส่วนตัวไปยังอาสาสมัครภายในหนึ่งเดือน บริษัทอาจรวมรายละเอียดเหล่านี้ไว้ในนโยบายความเป็นส่วนตัวที่สามารถเข้าถึงได้โดยสาธารณะบนเว็บไซต์ของตน 

มาตรการความเป็นส่วนตัวและการปกป้องข้อมูล

GDPR กำหนดให้ผู้ควบคุมและผู้ประมวลผลดำเนินการเพื่อป้องกันการใช้ข้อมูลส่วนบุคคลในทางที่ผิดและปกป้องเจ้าของข้อมูลจากอันตราย

องค์กรได้ดำเนินการควบคุมความปลอดภัยทางไซเบอร์ที่เหมาะสม

คอนโทรลเลอร์และโปรเซสเซอร์จะต้องปรับใช้ มาตรการรักษาความปลอดภัย เพื่อปกป้องความลับและความสมบูรณ์ของข้อมูลส่วนบุคคล GDPR ไม่ต้องการการควบคุมใดๆ โดยเฉพาะ แต่ระบุว่าบริษัทต่างๆ ต้องใช้ทั้งมาตรการทางเทคนิคและมาตรการขององค์กร

มาตรการทางเทคนิค รวมถึงโซลูชั่นเทคโนโลยีเช่น การระบุตัวตนและการจัดการการเข้าถึง แพลตฟอร์ม (IAM) การสำรองข้อมูลอัตโนมัติ และ เครื่องมือรักษาความปลอดภัยข้อมูล. ในขณะที่ GDPR ไม่ได้กำหนดไว้อย่างชัดเจน การเข้ารหัส ข้อมูล แนะนำว่าองค์กรต่างๆ ใช้นามแฝงและไม่เปิดเผยตัวตนทุกครั้งที่เป็นไปได้

มาตรการองค์กร รวมถึงการฝึกอบรมพนักงานอย่างต่อเนื่อง การประเมินความเสี่ยง และนโยบายและกระบวนการรักษาความปลอดภัยอื่นๆ บริษัทยังต้องปฏิบัติตามหลักการปกป้องข้อมูลตามการออกแบบและตามค่าเริ่มต้นเมื่อสร้างหรือใช้ระบบและผลิตภัณฑ์ใหม่

องค์กรดำเนินการประเมินผลกระทบด้านการคุ้มครองข้อมูล (DPIA) ตามที่กำหนด

หากบริษัทวางแผนที่จะประมวลผลข้อมูลในลักษณะที่มีความเสี่ยงสูงต่อสิทธิ์ของอาสาสมัคร บริษัทจะต้องดำเนินการประเมินผลกระทบต่อการปกป้องข้อมูล (DPIA) ก่อน ประเภทของการประมวลผลที่อาจทำให้เกิด DPIA ได้แก่ การทำโปรไฟล์อัตโนมัติ และการประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษในวงกว้าง และอื่นๆ อีกมากมาย

DPIA ต้องอธิบายข้อมูลที่ใช้ วัตถุประสงค์ในการประมวลผล และวัตถุประสงค์ของการประมวลผล จะต้องระบุความเสี่ยงในการประมวลผลและวิธีการลดความเสี่ยงเหล่านั้น หากมีความเสี่ยงที่สำคัญที่ไม่สามารถบรรเทาลงได้ องค์กรจะต้องปรึกษาหน่วยงานกำกับดูแลก่อนที่จะดำเนินการต่อ

องค์กรได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) หากจำเป็น

องค์กรจะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) หากตรวจสอบหัวข้อในวงกว้างหรือประมวลผลข้อมูลหมวดหมู่พิเศษเป็นกิจกรรมหลัก หน่วยงานของรัฐทั้งหมดจะต้องแต่งตั้ง อ.ส.ค. เช่นกัน

DPO มีหน้าที่รับผิดชอบในการตรวจสอบให้แน่ใจว่าองค์กรยังคงปฏิบัติตาม GDPR หน้าที่หลัก ได้แก่ การประสานงานกับหน่วยงานคุ้มครองข้อมูล การให้คำปรึกษาองค์กรเกี่ยวกับข้อกำหนด GDPR และการดูแล DPIA

อ.ส.ค. ต้องเป็นเจ้าหน้าที่อิสระที่รายงานตรงต่อผู้บริหารระดับสูงสุด องค์กรไม่สามารถตอบโต้อ.ส.ค.ในการปฏิบัติหน้าที่ของตนได้

องค์กรจะแจ้งหน่วยงานกำกับดูแลและเจ้าของข้อมูลเมื่อมีการละเมิดข้อมูลเกิดขึ้น

องค์กรต้องรายงานมากที่สุด การละเมิดข้อมูลส่วนบุคคล ไปยังหน่วยงานกำกับดูแลที่เกี่ยวข้องภายใน 72 ชั่วโมง หากการละเมิดก่อให้เกิดความเสี่ยงต่อเจ้าของข้อมูล องค์กรจะต้องแจ้งให้เจ้าของข้อมูลทราบด้วย องค์กรต้องแจ้งให้อาสาสมัครทราบโดยตรง เว้นแต่การสื่อสารโดยตรงจะไม่มีเหตุผล ซึ่งในกรณีนี้สามารถยอมรับประกาศสาธารณะได้

ผู้ประมวลผลที่ได้รับการละเมิดจะต้องแจ้งให้ผู้ควบคุมที่เกี่ยวข้องทราบโดยไม่ชักช้าเกินควร

หากตั้งอยู่นอก EEA องค์กรได้แต่งตั้งตัวแทนใน EEA

บริษัทใดๆ ภายนอก EEA ที่ประมวลผลข้อมูลของผู้อยู่อาศัยใน EEA เป็นประจำหรือประมวลผลข้อมูลที่ละเอียดอ่อนโดยเฉพาะจะต้องแต่งตั้งตัวแทนภายใน EEA ตัวแทนประสานงานกับหน่วยงานของรัฐในนามของบริษัท และทำหน้าที่เป็นจุดติดต่อสำหรับเรื่องการปฏิบัติตาม GDPR

การถ่ายโอนข้อมูลและการแบ่งปันข้อมูล

GDPR กำหนดกฎเกณฑ์สำหรับวิธีที่องค์กรแบ่งปันข้อมูลส่วนบุคคลกับบริษัทอื่นๆ ภายในและภายนอก EEA

องค์กรใช้ข้อตกลงการประมวลผลข้อมูลที่เป็นทางการเพื่อควบคุมความสัมพันธ์กับผู้ประมวลผล

ผู้ควบคุมสามารถแบ่งปันข้อมูลส่วนบุคคลกับผู้ประมวลผลและบุคคลที่สามอื่น ๆ ได้ แต่ความสัมพันธ์เหล่านี้จะต้องอยู่ภายใต้ข้อตกลงการประมวลผลข้อมูลที่เป็นทางการ ข้อตกลงเหล่านี้จะต้องสรุปสิทธิ์และความรับผิดชอบของทุกฝ่ายที่เกี่ยวข้องกับ GDPR

โปรเซสเซอร์ของบริษัทอื่นสามารถประมวลผลข้อมูลตามคำสั่งของคอนโทรลเลอร์เท่านั้น พวกเขาไม่สามารถใช้ข้อมูลของผู้ควบคุมเพื่อวัตถุประสงค์ของตนเองได้ โปรเซสเซอร์จะต้องได้รับการอนุมัติจากตัวควบคุมก่อนที่จะแบ่งปันข้อมูลกับโปรเซสเซอร์ย่อย

องค์กรดำเนินการถ่ายโอนข้อมูลที่ได้รับการอนุมัติภายนอก EEA เท่านั้น

ผู้ควบคุมสามารถแชร์ข้อมูลกับบุคคลที่สามที่อยู่นอก EEA ได้เท่านั้น หากการถ่ายโอนข้อมูลตรงตามเกณฑ์อย่างน้อยหนึ่งข้อต่อไปนี้:

  • คณะกรรมาธิการยุโรปเห็นว่ากฎหมายความเป็นส่วนตัวของข้อมูลของประเทศที่บุคคลภายนอกตั้งอยู่นั้นมีความเพียงพอแล้ว
  • คณะกรรมาธิการยุโรปถือว่าบุคคลที่สามมีนโยบายและการควบคุมการปกป้องข้อมูลที่เพียงพอ
  • ผู้ควบคุมได้ดำเนินการทุกขั้นตอนที่จำเป็นเพื่อให้มั่นใจในความปลอดภัยและความเป็นส่วนตัวของข้อมูลที่กำลังถ่ายโอน

สำรวจโซลูชันการปฏิบัติตาม GDPR

การปฏิบัติตาม GDPR เป็นกระบวนการที่กำลังดำเนินอยู่ และข้อกำหนดขององค์กรสามารถเปลี่ยนแปลงได้เมื่อมีการรวบรวมข้อมูลใหม่และมีส่วนร่วมในกิจกรรมการประมวลผลประเภทใหม่ๆ

โซลูชันความปลอดภัยของข้อมูลและการปฏิบัติตามข้อกำหนด เช่น IBM Security® Guardium® สามารถช่วยปรับปรุงกระบวนการเข้าถึงและรักษาการปฏิบัติตามข้อกำหนด GDPR ได้ Guardium สามารถค้นพบข้อมูลที่ควบคุมโดย GDPR ได้โดยอัตโนมัติ บังคับใช้กฎการปฏิบัติตามกฎระเบียบสำหรับข้อมูลนั้น ติดตามการใช้ข้อมูล และมอบอำนาจให้องค์กรตอบสนองต่อภัยคุกคามต่อความปลอดภัยของข้อมูล

เรียนรู้เพิ่มเติมเกี่ยวกับชุดผลิตภัณฑ์รักษาความปลอดภัยข้อมูลและการปฏิบัติตามข้อกำหนดของ IBM

บทความนี้เป็นประโยชน์หรือไม่?

ใช่ไม่


เพิ่มเติมจาก ความปลอดภัย


ภาพประกอบกราฟิกของรอยนิ้วหัวแม่มือที่อนุญาตให้เข้าถึงระบบดิจิทัล



January 22, 2024


วิธีจัดการกับการโจมตีของแรนซัมแวร์ 

5 สีแดงขั้นต่ำ - เป็นข่าวที่ไม่มีองค์กรใดอยากได้ยิน—คุณตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์ และตอนนี้คุณกำลังสงสัยว่าจะทำอย่างไรต่อไป สิ่งแรกที่ต้องจำไว้คือคุณไม่ได้อยู่คนเดียว การโจมตีทางไซเบอร์มากกว่า 17 เปอร์เซ็นต์เกี่ยวข้องกับแรนซัมแวร์ ซึ่งเป็นมัลแวร์ประเภทหนึ่งที่ช่วยล็อคข้อมูลหรืออุปกรณ์ของเหยื่อ เว้นแต่เหยื่อจะจ่ายค่าไถ่ให้กับแฮ็กเกอร์ จากองค์กร 1,350 แห่งที่สำรวจในการศึกษาล่าสุด 78 เปอร์เซ็นต์ประสบกับการโจมตีด้วยแรนซัมแวร์ที่ประสบความสำเร็จ (ลิงก์อยู่ภายนอก...


ช่างเทคนิคในห้องเซิร์ฟเวอร์



January 19, 2024


วิธีสร้างกลยุทธ์การกู้คืนความเสียหายที่ประสบความสำเร็จ

6 สีแดงขั้นต่ำ - ไม่ว่าอุตสาหกรรมของคุณจะเผชิญกับความท้าทายจากความขัดแย้งทางภูมิรัฐศาสตร์ ผลกระทบจากการระบาดใหญ่ทั่วโลก หรือการรุกรานที่เพิ่มขึ้นในด้านความมั่นคงปลอดภัยทางไซเบอร์ ภัยคุกคามสำหรับองค์กรยุคใหม่ก็ทรงพลังอย่างปฏิเสธไม่ได้ กลยุทธ์การกู้คืนความเสียหายเป็นกรอบการทำงานสำหรับสมาชิกในทีมในการดำเนินธุรกิจสำรองและดำเนินการหลังจากเหตุการณ์ที่ไม่ได้วางแผนไว้ ทั่วโลก ความนิยมของกลยุทธ์การกู้คืนระบบกำลังเพิ่มขึ้นอย่างเข้าใจ ปีที่แล้ว บริษัทต่างๆ ใช้จ่าย 219 พันล้านดอลลาร์สหรัฐไปกับความปลอดภัยทางไซเบอร์และโซลูชั่นเพียงอย่างเดียว เพิ่มขึ้น 12% จากปี 2022 ตามรายงานล่าสุดโดย...


นักพัฒนาในที่ทำงาน



January 17, 2024


กรณีการใช้งานด้านการเข้ารหัส: ตั้งแต่การสื่อสารที่ปลอดภัยไปจนถึงความปลอดภัยของข้อมูล 

6 สีแดงขั้นต่ำ - เมื่อพูดถึงความปลอดภัยของข้อมูล ศิลปะการเข้ารหัสแบบโบราณได้กลายเป็นรากฐานที่สำคัญของยุคดิจิทัลในปัจจุบัน ตั้งแต่ข่าวกรองของรัฐบาลที่เป็นความลับสุดยอดไปจนถึงข้อความส่วนตัวในชีวิตประจำวัน การเข้ารหัสทำให้สามารถปิดบังข้อมูลที่ละเอียดอ่อนที่สุดของเราจากผู้ดูที่ไม่ต้องการได้ ไม่ว่าจะช้อปปิ้งออนไลน์หรือบันทึกความลับทางการค้าอันมีค่าลงดิสก์ เราก็ต้องขอบคุณการเข้ารหัสสำหรับความเป็นส่วนตัวที่เราอาจมี หลักการสำคัญของการเข้ารหัสสร้างความไว้วางใจเมื่อดำเนินธุรกิจออนไลน์ รวมถึงสิ่งต่อไปนี้: การรักษาความลับ: เข้ารหัส...


ทีมทำงานเกี่ยวกับจอมอนิเตอร์



January 10, 2024


IBM และ ASUS ร่วมมือกันในโครงการนำร่องการรักษาความปลอดภัยอุปกรณ์ปลายทางที่ขับเคลื่อนด้วย AI 

2 สีแดงขั้นต่ำ - ASUS เลือก IBM Security QRadar EDR เพื่อช่วยปกป้องแล็ปท็อปและเดสก์ท็อปของลูกค้าเชิงพาณิชย์ อุปกรณ์ปลายทางยังคงเป็นหนึ่งในจุดเสี่ยงที่สำคัญที่สุดในสถานะการรักษาความปลอดภัยทางไซเบอร์ของธุรกิจ การเพิ่มขึ้นของกิจกรรมทางไซเบอร์ที่เป็นอันตรายและอัตโนมัติซึ่งกำหนดเป้าหมายไปยังอุปกรณ์ปลายทางทำให้องค์กรต้องดิ้นรนต่อสู้กับผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่แบบซีโร่เดย์ด้วยการโจมตีแรนซัมแวร์ได้อย่างง่ายดาย ในภาพรวมนี้ องค์กรจำเป็นอย่างยิ่งที่จะต้องใช้ประโยชน์จากเทคโนโลยีความปลอดภัยที่ขับเคลื่อนด้วย AI ซึ่งช่วยให้พวกเขาค้นหาและแก้ไขการโจมตีที่ปลายทางได้อย่างรวดเร็ว และ...

จดหมายข่าวไอบีเอ็ม

รับจดหมายข่าวและการอัปเดตหัวข้อที่นำเสนอความเป็นผู้นำทางความคิดล่าสุดและข้อมูลเชิงลึกเกี่ยวกับแนวโน้มที่เกิดขึ้น

สมัครสมาชิกวันนี้

จดหมายข่าวเพิ่มเติม

ประทับเวลา:

เพิ่มเติมจาก ไอบีเอ็ม ไอโอที