ปฏิเสธไม่ได้ว่ากฎ GDPR ของอียู จะฉีกรูปแบบการจัดการข้อมูลของคุณอย่างสิ้นเชิง ตั้งแต่วันที่ 25 พฤษภาคมนี้ ถ้าใครต้องยุ่งเกี่ยวกับข้อมูลของคนที่อยู่ในสหภาพยุโรป ย่อมโดนหางเลขอยู่ภายใต้กฎหมายใหม่นี้อย่างหลีกเลี่ยงไม่ได้ นอกเหนือจากว่าคุณจะตัดทุกอย่างที่เกี่ยวกับชาวยุโรป (แม้กระทั่งคนอังกฤษ) ออกไปจากสารบบอย่างชัดเจน (คือไม่คิดจะทำธุรกิจกับประเทศเหล่านั้นอีกเลยว่างั้น)
ถือว่าเหลือเวลาน้อยมากก่อนเส้นตาย แม้ว่า GDPR จะดูซ้ำกับกฎหมายที่ใช้อยู่เดิมบางส่วนอย่างพระราชบัญญัติคุ้มครองข้อมูลของอังกฤษ ที่ปัจจุบันเวลาผู้ใช้กรอกข้อมูลในเว็บต่างๆ ให้แบบ “ฟรีๆ” ก็ต้องมีการติ๊กรับทราบคำยินยอมสิทธิ์ในการนำข้อมูลไปใช้ยาวเหยียดมากมาย
จริงๆ แล้ว GDPR ทำให้ทุกคนสามารถควบคุมข้อมูลของตนเองได้ดียิ่งขึ้น รวมทั้งขยายขอบเขตนิยามของคำว่าข้อมูลส่วนตัวไปยังข้อมูลชีวภาพทั้งหลาย, ตำแหน่งที่ตั้ง, หรือแม้แต่ที่อยู่อีเมล์ที่ใช้ในการทำงาน ซึ่งบริษัทต่างๆ ต้องบริการให้สามารถลบ, ปรับแต่งแก้ไข, หรือแบ่งปันข้อมูลได้ทันทีเมื่อเจ้าของข้อมูลร้องขอ
ถ้ามองในมุมที่คุณเป็นเจ้าของข้อมูลส่วนตัว ที่ต้องแชร์ข้อมูลตัวเองเวลาทำธุรกรรมในชีวิตประจำวันโดยเฉพาะบนโลกออนไลน์ ไม่ว่าจะเป็นเวลาจองตั๋วเครื่องบิน, เข้าถึงข้อมูลบัญชีธนาคาร, หรือแม้แต่เล่นโซเชียลเน็ตเวิร์ก ท่ามกลางข่าวข้อมูลรั่วไหลจากบริษัทดังๆ ทั่วโลกมากมาย การเอาข้อมูลตัวเองไปเก็บไว้กับองค์กรเธิร์ดปาร์ตี้จึงถือว่ามีความเสี่ยงอย่างยิ่ง GDPR จึงเข้ามาตอบโจทย์ให้ประชาชนชาวอียูได้รับความโปร่งใสและมีอำนาจในการควบคุมข้อมูลตัวเองที่อยู่ในมือคนอื่นอย่างที่ควรจะเป็น
แน่นอนว่าถ้าคุณคิดในฐานะเจ้าของธุรกิจ การทำให้สอดคล้องกับ GDPR ย่อมหลีกหนีการเพิ่มค่าใช้จ่ายหรือเงินลงทุนอย่างหลีกเลี่ยงไม่ได้ แต่ถ้ามองว่าแนวทางดังกล่าวทำให้เราปลอดภัยจากเหตุข้อมูลรั่วไหล หรือการฟ้องร้องเรียกค่าเสียหาย ก็ถือว่าเป็นสิ่งที่เราควรจัดการอย่างถูกต้องเพื่อความยั่งยืนในระยะยาวอยู่แล้ว
หลักสำคัญของ GDPR คือ ข้อมูลส่วนตัวต้องถูกจัดเก็บอย่างถูกต้องตามกฎหมาย มีข้อกำหนดเงื่อนไขบังคับชัดเจน โดยมีวัตถุประสงค์ในการนำไปใช้อย่างถูกต้องตามกฎหมายด้วย พร้อมข้อบังคับทั้งสิทธิและหน้าที่ของเจ้าของข้อมูล และองค์กรผู้ดูแลข้อมูลคนอื่นอย่างเช่น สิทธิ์ในการร้องขอให้ลบข้อมูล ไปจนถึงหน้าที่ในการแจ้งให้ทราบเมื่อเกิดเหตุข้อมูลรั่วไหล และที่สำคัญที่สุดคือ ค่าปรับนั้นมูลค่ามหาศาลมาก
อย่าลืมว่า กฎหมาย GDPR บังคับกับทุกคนทั่วโลกที่ยุ่งเกี่ยวกับข้อมูลส่วนตัวของคนในอียู ดังนั้นการที่อังกฤษจะอยู่หรือออกจากอียูก็ไม่ได้มีความแตกต่างอยู่ดี อีกทั้งอังกฤษได้ผ่านกฎหมายใหม่ในเดือนนี้เอง ที่ปรับปรุงข้อกำหนดในการควบคุมข้อมูลส่วนตัวส่วนใหญ่ให้สอดคล้องกับ GDPR แถมกำหนดค่าปรับแพงกว่าอีก ดังนั้นถึงคุณจะมองว่าตัวเองทำธุรกิจกับคนอังกฤษไม่ใช่อียู ก็ไม่อาจจะหลุดพ้นความรับผิดชอบตามกฎหมายใหม่นี้ได้
ทั้งนี้ ทาง Kaspersky ได้ออกคู่มือเกี่ยวกับการปรับตัวขององค์กรให้สอดคล้องกับ GDPR โดยอธิบายฝ่ายต่างๆ ของบริษัทที่ต้องปรับตัวใหม่ดังต่อไปนี้
• ฝ่ายกฎหมาย
เป็นที่แน่นอนอย่างเลี่ยงไม่ได้ ซึ่งต่อจากนี้ควรแบ่งฝ่ายย่อยให้ชัดเจนแทนที่จะดูแลทุกอย่างรวมมิตรแบบแต่ก่อน เช่น ฝ่ายดูแลสัญญา, ฝ่ายเจรจากับซัพพลายเออร์ เป็นต้น โดยฝ่ายที่ตรวจสอบสัญญาต้องดูและแก้ไขให้สอดคล้องกับ GDPR ส่วนฝ่ายที่ดูแลซัพก็ต้องมีมาตรการควบคุมให้ซัพปฏิบัติตามกฎหมาย และสามารถตอบสนองคำร้องขอตามกฎหมายใหม่ได้ทันเวลา
• ฝ่ายขายและการตลาด
ถือเป็นหน้าด่านที่คุยกับลูกค้า ซึ่ง GDPR ทำให้ไม่สามารถใช้แค่การให้ลูกค้าติ๊กรับทราบข้อตกลงง่ายๆ แบบเมื่อก่อนได้อีกต่อไป แต่จำเป็นต้องทำให้แน่ใจว่าสื่อการตลาดที่ส่งหาลูกค้าทางเมล์หรือมือถือนั้น ลูกค้า “ยินยอม และสมัครใจ” ที่จะรับเสมอ พร้อมมีข้อความที่ระบุความยินยอมของลูกค้าอย่างชัดเจน โดยเซลล์มีหน้าที่เพิ่มในการตรวจสอบความยินยอมหรือสมัครใจของลูกค้าอยู่เสมอ
• ฝ่ายการเงิน
แหล่งรวมฮิตข้อมูลส่วนตัวของลูกค้าที่สำคัญมาก จึงกลายเป็นจุดอ่อนที่จะโดนปรับมหาศาลตามกฎ GDPR ดังนั้นจำเป็นต้องใช้ระบบแจ้งเตือนเหตุการณ์ข้อมูลรั่วไหลที่สามารถออกรายงานตามกฎหมายได้ในทันที โดยเฉพาะระบบที่สามารถทำงานแบบอัตโนมัติที่ช่วยลดความเสี่ยงจากน้ำมือมนุษย์ได้
• ฝ่ายบุคคล
จะเป็นเรื่องของสิทธิของพนักงาน ไม่ใช่จะสืบดูดข้อมูลพนักงานตามเฟซ หรือแชร์ให้บริษัทอื่นในวงการรู้ง่ายๆ โดยปราศจากความยินยอมของเจ้าตัวได้อีก ต้องสามารถแสดงความโปร่งใสในการจัดการข้อมูลพนักงานหรือแม้แต่ผู้มาสมัครงานเช่นเดียวกับข้อมูลของลูกค้า จำเป็นอย่างยิ่งที่ควรมีตำแหน่งพิเศษที่ไว้สอดส่องกรณีข้อมูลรั่วไหลโดยเฉพาะ และจัดอบรมพนักงานฝ่ายตัวเองที่อาจไม่ค่อยเชี่ยวเรื่องไอทีเกี่ยวกับการจัดการความปลอดภัยของข้อมูลเป็นประจำ
• ฝ่ายไอที
เป็นฝ่ายที่คอยสนับสนุนฝ่ายอื่นๆ ให้ทำตาม GDPR ได้อย่างรวดเร็วก่อนโดนปรับ ไม่ว่าจะเป็นการปรับแต่งซอฟต์แวร์ให้ใช้งานง่าย และทำให้ข้อมูลสามารถเข้าถึงได้ตลอดเวลาเมื่อได้รับการร้องขอ ไปจนถึงการตรวจออดิตระบบตลอดเป็นประจำ ต้องมีระบบที่สามารถทดแทนเมื่อเกิดปัญหา และระบบที่ลดความเสี่ยงข้อมูลรั่วไหลอย่างเพียงพอ เช่น การยืนยันตน หรือการเข้ารหัส
ทางผู้เชี่ยวชาญจากผู้จำหน่ายโซลูชั่นป้องกันข้อมูลรั่วไหลอย่าง Clearswift กล่าวว่า องค์กรส่วนใหญ่ต้องใช้เวลาประมาณสองปีถึงจะทำให้แน่ใจว่าสอดคล้องกับกฎ GDPR ได้อย่างสมบูรณ์จริง ดังนั้นกำหนดการที่คุณควรวางแผนรับมือไว้ควรจะเป็นดังต่อไปนี้
• ช่วง 6 เดือนแรก
ถ้าบริษัทมีพนักงานเกิน 250 คน คุณจำเป็นต้องจ้างหรือจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูล หรือ Data-Protection Officer (DPO) ตามกฎหมาย นั่นคือช่วงเดือนแรกๆ นี้คุณต้องรีบรับสมัครพนักงานตำแหน่งดังกล่าว เพื่อมาอยู่ในทีมที่จะปรับปรุงองค์กรตาม GDPR ต่อไป
• ช่วงเดือนที่ 6 – 12
ทยอยออกแนวทางและวิธีปฏิบัติงานใหม่สำหรับฝ่ายที่เกี่ยวข้อง เช่น ขั้นตอนการรักษาความปลอดภัยข้อมูล หรือวิธีการแจ้งเตือนเมื่อเกิดเหตุข้อมูลรั่วไหล ถือเป็นขั้นตอนที่ควรทำให้เสร็จเร็วที่สุดเท่าที่เป็นไปได้ เพื่อที่จะได้มีเวลาทดสอบนโยบายหรือแนวทางปฏิบัติใหม่ตลอดทุกขั้นตอนทางธุรกิจของคุณ
• ช่วงปีที่สอง
เป็นช่วงของการคุยกับองค์กรภายนอกที่เกี่ยวข้อง เริ่มจากซัพพลายเออร์ โดยเฉพาะผู้ที่ว่าจ้างให้ประมวลผลข้อมูล (Data Processor) เพื่อตรวจสอบวิธีการปกป้องข้อมูลจากคุณ รวมทั้งความพร้อมในการตอบสนองเมื่อมีการร้องขอให้ลบข้อมูล โดยเฉพาะการจัดหาเครื่องมือที่รองรับการใช้ “สิทธิ์ในการทำให้ลืม” ที่ต้องพร้อมบริการภายในสองปีข้างหน้า
คาดว่าต่อจากนี้จะมีคู่มือแนะนำวิธีการปรับตัว โดยเฉพาะสำหรับ SME จากหน่วยงานภาครัฐออกมากมาย ซึ่งจะช่วยจำเพาะเจาะจงกับแต่ละประเภทธุรกิจ แต่นั่นไม่ได้หมายความว่าคุณสามารถนั่งแกว่งเท้าจิบกาแฟรอความตายได้ล่วงหน้าเพราะไม่เห็นใครอื่นเค้าดิ้นรนอะไร ก่อนอื่น ทุกองค์กรควรประเมินและระบุให้ได้ว่าตัวเองมีข้อมูลส่วนตัวอะไรอยู่ในมือบ้าง เอามาจัดจำแนกให้ชัดเจนว่าข้อมูลส่วนตัวดังกล่าว กลุ่มไหนสำคัญมาก กลุ่มไหนอ่อนไหวรองลงมา แล้วทำแผนผังการไหลของข้อมูลคร่าวๆ เพื่อให้เห็นภาพชัดเจนก่อน เป็นต้น
ที่มา : ITPro.co.uk
