GDPR: กฎหมายไซเบอร์ใหม่ที่มีผลกระทบต่อทุกคน

GDPR เป็นกฎหมายใหม่ของยุโรปที่จะมีผลบังคับใช้ในไม่กี่วันข้างหน้า โดยการเสริมสร้างการปกป้องข้อมูลของพลเมืองยุโรปธุรกิจขนาดเล็กกลางและใหญ่ทั้งหมดจะต้องลงทุนในการรักษาความปลอดภัยทางไซเบอร์ และไม่ใช่แค่ธุรกิจในท้องถิ่น: บริษัท ทั่วโลกที่ทำธุรกิจกับยุโรปจะต้องปรับตัว นั่นคือการเปลี่ยนแปลงเป็นโลก

จากข้อมูลของสหภาพยุโรประเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (RGPD หรือ GDPR) แทนที่คำสั่งการคุ้มครองข้อมูลและให้บริการ "เพื่อประสานกฎหมายข้อมูลส่วนตัวทั่วยุโรปเพื่อปกป้องและเสริมสร้างความเป็นส่วนตัว ของประชาชนทุกคนและจัดระเบียบวิธีที่ บริษัท จัดการกับข้อมูลส่วนตัว "

บริษัท ที่สำรวจเพียง 12% เท่านั้นที่พร้อมที่จะอยู่ภายใต้กฎหมายใหม่

มีผลตั้งแต่วันที่ 25 พฤษภาคม 2561 ธุรกิจในท้องถิ่นหรือระหว่างประเทศที่มีธุรกิจในยุโรปที่ไม่สอดคล้องกับแนวทางใหม่อาจถูกปรับ

ตัวอย่างเช่นหนึ่งในปัญหาที่ระบุโดย GDPR คือการรั่วไหลของข้อมูลลูกค้า เฉพาะในบราซิลในช่วงเดือนที่ผ่านมาเราพบปัญหาประเภทธุรกิจเช่น Netshoes, Buscapé, FMU, Movida เป็นต้น ตอนนี้ทุก บริษัท ที่อยู่ภายใต้ GDPR จะต้องแจ้งให้ทั้งรัฐบาลและสาธารณชนทราบเกี่ยวกับการรั่วไหลของข้อมูลและสิ่งที่จะทำ - ซึ่งเยี่ยมยอดมาก: การมีตำแหน่งที่ชัดเจนในสิ่งที่เกิดขึ้นเป็นประโยชน์ต่อ บริษัท แตกต่างจากการซ่อนข้อบกพร่องที่เป็นไปได้ที่สามารถแก้ไขได้

  • ข้อมูลที่ละเอียดอ่อนคืออะไร? เรียนรู้ทุกสิ่งในรายงานของเรา

การสำรวจโดย Commvault พบว่าในเดือนกุมภาพันธ์ 2018 มีเพียง 12% ของ บริษัท ที่ทำการสำรวจพร้อมที่จะถูกควบคุมโดยกฎหมายใหม่ เห็นได้ชัดว่าเปอร์เซ็นต์นั้นจะต้องเพิ่มขึ้นตั้งแต่นั้นมา อย่างไรก็ตามสถานการณ์ยังคงเป็นอันตรายสำหรับ บริษัท ส่วนใหญ่

มันคืออะไร ความโปร่งใสและความรับผิดชอบ

นั่นคือสิ่งที่ GDPR เรียกเก็บ ลองดู: ข้อมูลส่วนตัวมีความสำคัญมากและถ้าคุณไม่คิดอย่างนั้นอาจถึงเวลาต้องทำการค้นคว้าเพิ่มเติม ความสำคัญเป็นเช่นนั้น GDPR อยู่ที่นี่อยู่ นอกจากนี้นักการเมืองจากมุมอื่น ๆ ของโลกได้เน้นย้ำถึงความต้องการสิ่งที่คล้ายกันในรัฐบาลของพวกเขาเอง

ดังนั้นเรามาดูกันดีกว่าว่า GDPR คืออะไร (โปรดสังเกตว่ากฎระเบียบมีมากกว่า 300 หน้า): การออกกฎหมายเกี่ยวกับวิธีที่ บริษัท ควรปฏิบัติต่อข้อมูลลูกค้าส่วนตัว และสิ่งนี้ยังเกี่ยวข้องกับสามเสาหลัก: ความโปร่งใสการจัดการและการกำกับดูแล

โดยทั่วไป บริษัท จะต้องรีบเรียนรู้วิธีการปกป้องข้อมูลลูกค้าอย่างถูกต้อง

“ เป้าหมายของจีดีพีอาร์คือการปกป้องพลเมืองของสหภาพยุโรปทั้งหมดจากการละเมิดความเป็นส่วนตัวและข้อมูลในโลกที่ขับเคลื่อนด้วยข้อมูลมากขึ้นซึ่งแตกต่างจากเมื่อมีการก่อตั้งคำสั่งปี 1995” สหภาพยุโรปกล่าว "ในขณะที่หลักการสำคัญของความเป็นส่วนตัวของข้อมูลยังคงเป็นจริงตามคำสั่งก่อนหน้านี้มีการเสนอการเปลี่ยนแปลงมากมายสำหรับนโยบายด้านกฎระเบียบ"

เอาล่ะเรามาคุยกันเรื่องค่าปรับ: บริษัท สามารถรับโทษได้สูงถึง 4% จากมูลค่าการซื้อขายทั่วโลกประจำปีหรือ 20 ล้านยูโร (81 ล้าน R $ ในการแปลงโดยตรง) จำนวนนี้จะจ่ายโดย บริษัท ที่ไม่ได้รับความยินยอมจากผู้บริโภคอย่างเพียงพอต่อกระบวนการข้อมูลหรือการละเมิดแนวคิดหลักของ "ความเป็นส่วนตัวโดยการออกแบบ"

กฎหมายมีความชัดเจน: การรั่วไหลของข้อมูลจะต้องรายงานต่อคณะกรรมการคุ้มครองข้อมูล (DPA) ภายใน 72 ชั่วโมงและลูกค้าที่ได้รับผลกระทบ 'โดยไม่ชักช้า'

บทลงโทษอื่น ๆ อยู่ภายใน 2% ของมูลค่าธุรกิจประจำปีและจะมีผลบังคับใช้เมื่อ บริษัท ไม่มีบันทึกข้อมูลตามลำดับแจ้งการรั่วไหลหรือไม่ทำการประเมินผลกระทบ และ GDPR ให้บริการกับ บริษัท ทั้งแบบกายภาพและแบบคลาวด์

สามเสาหลักของ GDPR

เจ้าหน้าที่ของ CIPHER ซึ่งเป็น บริษัท ด้านความมั่นคงทางไซเบอร์ข้ามชาติได้ให้รายละเอียดเกี่ยวกับประเด็นหลักสามข้อของระเบียบว่าด้วยการป้องกันข้อมูลทั่วไปของสหภาพยุโรป ติดตามด้านล่าง:

ประการแรกเรามีการกำกับดูแลข้อมูล

  • การแจ้งความล้มเหลว: ความล้มเหลวใด ๆ เกี่ยวกับข้อมูลที่จัดการโดยองค์กรต้องรายงานภายใน 72 ชั่วโมงต่อบุคคลที่ได้รับผลกระทบและผู้ควบคุมข้อมูล
  • ขอบเขตความเป็นส่วนตัว: ด้วยบทบัญญัตินี้ บริษัท ควรพิจารณาลักษณะของความเป็นส่วนตัวของข้อมูลภายในขอบเขตของโครงการใด ๆ
  • การจัดการซัพพลายเออร์: ผู้ขาย บุคคลที่สาม จะ เผชิญกับกฎ GDPR ทุกอินสแตนซ์ที่เกี่ยวข้องกับข้อมูลจะต้องเก็บบันทึกรายละเอียดของกิจกรรมการประมวลผลใด ๆ

ประการที่สองการจัดการข้อมูลซึ่งเกี่ยวข้องกับวิธีจัดการกับกิจกรรมการประมวลผล

  • การลบข้อมูล: จาก GDPR ชาวยุโรปมีสิทธิ์ที่จะขอให้ลบข้อมูลส่วนบุคคลออกจากบันทึกขององค์กรใดองค์กรหนึ่ง
  • การประมวลผลข้อมูล: องค์กรควรเก็บรักษาบันทึกภายในของกิจกรรมการประมวลผลข้อมูลทั้งหมด ข้อมูลที่บันทึกจะต้องรวมถึงชื่อและรายละเอียดขององค์กรวัตถุประสงค์ของการประมวลผลคำอธิบายของประเภทของบุคคลและข้อมูลส่วนบุคคลผู้รับรายละเอียดของการถ่ายโอนข้อมูลและตารางการเก็บข้อมูล
  • การถ่ายโอนข้อมูล: ภายใต้ GDPR บริษัท จะถูกห้ามไม่ให้ถ่ายโอนข้อมูลไปยังประเทศที่สามโดยไม่มีกฎหมายคุ้มครองที่เพียงพอ คณะกรรมาธิการยุโรปประเมินประเทศด้วยกฎหมายการปกป้องข้อมูล“ ที่น่าพอใจ” และเก็บรักษารายชื่อของ“ ประเทศที่อนุมัติ”
  • ผู้ดูแลการป้องกันข้อมูล: บริษัท ใด ๆ ที่ดำเนินการบันทึกมากกว่า 5, 000 รายการภายในระยะเวลา 12 เดือนจะต้องจัดสรร Data Protection Officer (DPO) DPO สามารถให้บริการ บริษัท หรือกลุ่มของ บริษัท และจะรับผิดชอบในการตรวจสอบการปฏิบัติตามกฎของ GDPR และดำเนินการประเมินการป้องกันข้อมูลรวมถึงการฝึกอบรมบุคลากรเกี่ยวกับนโยบายระดับโลก

เสาที่สามคือความโปร่งใสของข้อมูล

  • ความยินยอม: องค์กรที่ประมวลผลข้อมูลส่วนบุคคลจะต้องพิสูจน์ว่าพวกเขาได้รับอนุญาตให้ใช้ข้อมูลนั้น ทุกคนมีสิทธิที่จะระงับการให้ความยินยอมเมื่อใดก็ได้ ดังนั้น บริษัท ต้องอำนวยความสะดวกในกระบวนการ
  • การพกพาข้อมูล: ภายใต้ GDPR ผู้ร้องขอทุกคนมีสิทธิ์ที่จะได้รับสำเนาข้อมูลที่บันทึกโดยผู้ให้บริการและย้ายคัดลอกหรือถ่ายโอนข้อมูลไปยังผู้ให้บริการรายใหม่ได้อย่างง่ายดายโดยไม่มีอุปสรรคต่อการใช้งาน
  • นโยบายความเป็นส่วนตัว: บริษัท ควรเปิดเผยข้อมูลแก่ผู้ที่เกี่ยวข้องหากมีการประมวลผลข้อมูล สิทธิของลูกค้าจะต้องสามารถตีความและเข้าถึงได้ง่าย

MC

โยธาโยธา

แล้วบราซิลล่ะ

บราซิลมี Marco โยธาและกฎหมายสองสามข้อที่ช่วยผู้ใช้ในการรั่วไหลของข้อมูลและการใช้อินเทอร์เน็ตในทางที่ผิด เป็นที่น่าสังเกตว่า Oi ได้ถูกปรับ 3.5 ล้าน R $ โดย Velox เนื่องจากการละเมิดสิทธิความเป็นส่วนตัวในปี 2014 โดยสำนักเลขาธิการการคุ้มครองผู้บริโภคแห่งชาติ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลทั่วไปควรมาถึงบราซิลในปีพ. ศ. 2561 อย่างไรก็ตามด้วยภูมิทัศน์ทางการเมืองที่ไม่แน่นอนและมุ่งเน้นไปที่การปฏิรูปและการปฏิรูปต่อไปดูเหมือนว่าการดำเนินการจะเกิดขึ้นในปีหน้า

"กฎหมายคุ้มครองข้อมูลส่วนบุคคลทั่วไปและการสร้างอำนาจการปกป้องข้อมูลสามารถและควรเป็นตัวพิมพ์ใหญ่ทางการเมืองด้วยเหตุนี้เราอาจกลายเป็น 'กุญแจสำคัญ' สำหรับงานในมือของบราซิลในงานนี้" บรูโน่ไบโอนีแสดงความคิดเห็น Jota

นอกเหนือจากการปรับโทษหนักแล้วสิ่งที่เลวร้ายยิ่งอาจเกิดขึ้นกับธุรกิจของคุณนั่นคือการทำให้ภาพมีรอยขีดข่วน

ความคิดเห็นเกี่ยวกับกรณีนี้คือ Alain Karioty ผู้อำนวยการประจำภูมิภาคของ Netskope ที่ Computer World: "บราซิลมีกฎหมายมากกว่า 30 ข้อที่จัดการโดยตรงหรือโดยอ้อมกับการปกป้องข้อมูลจากทาง Internet Civil Framework และคำสั่งทางกฎหมาย ซึ่งนำกฎที่เข้มงวดและมีผลบังคับใช้กับบริการอินเทอร์เน็ตทั้งหมดโดยเฉพาะอย่างยิ่งรหัสคุ้มครองผู้บริโภคกฎหมายจดทะเบียนที่เป็นบวกและกฎหมายความลับของธนาคารในบริบทนี้การยอมรับของ GDPR จะนำมาซึ่งความคืบหน้าอย่างมีนัยสำคัญ การลงทุนมากขึ้นในกระบวนการและเทคโนโลยีที่จำเป็นในการรับรองความปลอดภัยของข้อมูลนี้ทั้งที่อยู่ภายใต้ขอบเขตไอทีและการเดินทางผ่านคลาวด์ "

เคล็ดลับสุดท้ายคือกุญแจสำคัญเดียวกับที่เราเคยทำ: ลงทุนในความปลอดภัยทางไซเบอร์ ข้อมูลส่วนบุคคลเกือบจะเป็นข้อมูลในวันนี้และคุณไม่ต้องการที่จะสูญเสียมันเพียงเพราะคุณไม่ได้จ้างคนที่มีคุณสมบัติ นอกเหนือจากการปรับโทษหนักแล้วสิ่งที่เลวร้ายยิ่งอาจเกิดขึ้นกับธุรกิจของคุณได้: ภาพมีรอยขีดข่วน

GDPR: กฎหมายไซเบอร์ใหม่ที่สามารถส่งผลกระทบต่อทุกคนผ่าน TecMundo