Author Porpor

แก้ไขการละเมิดข้อมูล นับตั้งแต่มีการบังคับใช้ GDPR เมื่อประมาณสองปีที่แล้วมีการรายงานการละเมิดมากกว่า 160,000รายการจากทั่วทั้งสหภาพยุโรป ในเนเธอร์แลนด์เพียงประเทศเดียวมีรายงานการละเมิดข้อมูลเกือบ 27,000 รายการในปี 2019 เพิ่ม ขึ้น 29%เมื่อเทียบกับปีก่อนหน้า การละเมิดข้อมูลส่วนบุคคลเกิดขึ้นทั้งจากภัยคุกคาม ภายนอกและเหตุการณ์ด้านความปลอดภัยภายใน และทั้งคู่กำลังเพิ่มขึ้น จากตัวเลขเหล่านี้และข้อมูลส่วนบุคคลจำนวนมากที่รวบรวมโดยองค์กร แม้ว่าจะมีการป้องกันที่จำเป็นอยู่แล้วก็ตาม โอกาสที่ข้อมูลรั่วไหลจะเกิดขึ้นภายในองค์กรของคุณค่อนข้างสูง แล้วถ้าเกิดการละเมิดข้อมูลส่วนบุคคล คุณจะแน่ใจได้อย่างไรว่าองค์กรของคุณกู้คืนได้อย่างรวดเร็วและดี เรียนรู้จากมันหลังจากที่มีการควบคุมและบันทึกการละเมิดข้อมูลแล้ว และผู้ควบคุมได้แจ้งหน่วยงานกำกับดูแลเกี่ยวกับการละเมิดภายใน 72 ชั่วโมงหลังจากการค้นพบที่กำหนดโดย GDPRให้มองย้อนกลับไปว่าการละเมิดข้อมูลเกิดขึ้นได้อย่างไร การละเมิดข้อมูลเป็นผลมาจากภัยคุกคามภาย นอกหรือเหตุการณ์ด้านความปลอดภัย ภายในหรือไม่? ผู้มีส่วนได้ส่วนเสียหลักที่เกี่ยวข้องคือใคร และพวกเขาดำเนินการอย่างไรในกระบวนการนี้ มีข้อผิดพลาดเกิดขึ้นหรือไม่ และถ้ามี คุณจะแน่ใจได้อย่างไรว่าจะไม่เกิดขึ้นอีก มีขั้นตอนและการป้องกันทั้งหมดของคุณหรือไม่? ถ้าเป็นเช่นนั้นพวกเขายังคงถูกเอารัดเอาเปรียบอย่างไร? และเหนือสิ่งอื่นใด คุณสามารถเรียนรู้อะไรจากการละเมิดเพื่อลดความเสี่ยงที่จะเกิดขึ้นอีกครั้ง ประเมินขอบเขตของการละเมิดอย่างละเอียดในการประเมินการละเมิดข้อมูลส่วนบุคคลอย่างละเอียด คุณจำเป็นต้องทราบขอบเขต ของผลกระทบ ขั้นแรก ให้ตรวจสอบอย่างละเอียดว่าข้อมูลส่วนบุคคลของใครได้รับผลกระทบจากการละเมิดข้อมูล – ลูกค้า? พนักงาน? พันธมิตร? อาจเป็นไปได้ว่าฐานข้อมูลมากกว่าหนึ่งฐานข้อมูลได้รับผลกระทบ เช่น กับข้อมูลเกี่ยวกับลูกค้าที่มีอยู่และกับพนักงานด้วย ใช้เวลาในการตรวจสอบข้อมูลที่ถูกบุกรุกและระบุจำนวนและประเภทของข้อมูลที่เกี่ยวข้องกับการละเมิด ในกรณีที่มีข้อมูลหมวดหมู่พิเศษหรือข้อมูลที่ละเอียดอ่อนเกี่ยวข้อง การดำเนินการที่กว้างขวางยิ่งขึ้น และอาจใช้มาตรการบรรเทาผลกระทบที่แตกต่างกัน คำถามอื่นๆ ที่ต้องตอบในระหว่างการตรวจสอบของคุณคือ ข้อมูลที่ได้รับผลกระทบมีการเข้ารหัสหรือไม่ และสำรองข้อมูลไว้ที่ใด สิ่งเหล่านี้ล้วนเป็นสิ่งที่จำเป็นต้องทราบ ในกรณีที่ข้อมูลรั่วไหล เพราะสิ่งเหล่านี้จะแนะนำคุณเกี่ยวกับวิธีการบรรเทาสถานการณ์และวิธีสื่อสารเกี่ยวกับการละเมิด สื่อสารอย่างโปร่งใสและเปิดเผย เมื่อจัดการกับการละเมิดแล้ว การสื่อสารอย่างเหมาะสม เกี่ยวกับปัญหาอาจมีส่วนสำคัญในการปรับปรุงชื่อเสียงที่เสียหายทั้งภายนอกและภายใน การสื่อสารกับฝ่ายที่ได้รับผลกระทบตาม GDPR หากการละเมิดนั้นถือว่ามีโอกาสสูงที่จะส่งผลกระทบ ต่อสิทธิและเสรีภาพของบุคคล องค์กรของคุณควรแจ้งให้บุคคลที่ได้รับผลกระทบทราบไม่ชักช้า สื่อสารกับผู้ที่ได้รับผลกระทบอย่างโปร่งใส อธิบายสถานการณ์ แบ่งปันความหมายของการละเมิดต่อข้อมูลของบุคคลที่ได้รับผลกระทบ […]

สิทธิ์ความเป็นส่วนตัว เราทุกคนทราบดีว่าการปฏิบัติตามกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ของสหภาพยุโรปเป็นสิ่งสำคัญสำหรับบริษัทของคุณ เราทราบด้วยว่าการไม่ปฏิบัติตามข้อกำหนดไม่ใช่ตัวเลือก แต่จะตรวจสอบได้อย่างไรว่าบริษัททำมาพอแล้วหรือยัง? นี่คือจุดที่รายการตรวจสอบ 12 ขั้นตอนของเรามีประโยชน์สำหรับคุณ การดำเนินการนี้สามารถช่วยคุณตรวจสอบและรับรองว่าคุณปฏิบัติตาม GDPR และปฏิบัติตามข้อกำหนดหลักหรือไม่ รายการตรวจสอบนี้สามารถใช้ได้กับผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล บทบาทของเจ้าหน้าที่คุ้มครองข้อมูล (DPO) เป็นบทบาทที่มักพบกับแรงกดดันและความท้าทายที่เพิ่มขึ้นเนื่องจากความซับซ้อนของกฎระเบียบ ปริมาณงานจำนวนมาก และการพึ่งพาการสนับสนุนจากแผนกอื่นๆ GDPR ยังเน้นย้ำถึงความสำคัญของบทบาทของ DPO ในการตัดสินใจทางธุรกิจที่สำคัญ เนื่องจากสิ่งเหล่านี้จำเป็นต้องสอดคล้องกับระเบียบข้อบังคับและกลยุทธ์การปกป้องข้อมูลขององค์กร เพื่อรักษาความสอดคล้อง เมื่อมีเหตุการณ์มากมายเกิดขึ้น การได้รับเครื่องมือ ทรัพยากร และการสนับสนุนที่เหมาะสมจากระดับบนสุดจึงจำเป็นอย่างยิ่งสำหรับบทบาทนี้ ในเวลาเดียวกัน DPO มักเผชิญกับความไม่เต็มใจ และบางครั้งก็พยายามดิ้นรนเพื่อรับการสนับสนุนเพิ่มเติมจากผู้บริหารระดับ C ในบล็อกโพสต์นี้ เราให้คำแนะนำที่เป็นรูปธรรมในการขอรับการสนับสนุนนี้ การต่อสู้เกิดขึ้นจริงในฐานะ DPO บทบาทของคุณกำหนดให้คุณต้องเป็นแกนหลักของความพยายามในการปฏิบัติตามข้อกำหนดด้านความเป็นส่วนตัวของข้อมูลขององค์กร นอกจากความรับผิดชอบที่ได้รับจากองค์กรของคุณแล้ว คุณยังมีความรับผิดชอบ ชุดใหญ่ ที่ GDPR มอบให้อีกด้วย การดูแลกลยุทธ์การปกป้องข้อมูลของบริษัท การทำให้มั่นใจว่ามาตรการความปลอดภัยทั้งหมดได้รับการติดตั้ง การอัปเดตทะเบียนความเป็นส่วนตัวอย่างต่อเนื่อง การดำเนินการ DPIA การจัดการเหตุการณ์ด้านความปลอดภัย และอื่นๆ อีกมากมายเป็นเรื่องยากสำหรับทุกคน เพื่อเพิ่มแรงกดดันนั้น ตามการศึกษา DPO ที่ได้รับมอบหมายส่วนใหญ่ไม่มี ทีมความเป็นส่วนตัวโดยเฉพาะ สิ่งนี้ทำให้ความเร่งด่วนในการจัดหาทรัพยากรและการสนับสนุนเป็นปัจจัยที่จำเป็นอย่างยิ่ง ในการเสนอราคาเพื่อให้แน่ใจว่างานทั้งหมดดำเนินการอย่างเหมาะสมการสนับสนุนจากผู้บริหารเป็นสิ่งสำคัญ คุณสามารถทำตามขั้นตอนสำคัญอะไรได้บ้าง? ขั้นตอนสำคัญ 1.การศึกษา แม้ว่าคุณในฐานะ DPO อาจมีความเข้าใจที่ชัดเจนเกี่ยวกับสิ่งที่ต้องทำเพื่อให้สอดคล้องกับ GDPR แต่ก็อาจไม่ชัดเจนสำหรับผู้อื่นในองค์กรของคุณ  เพื่อให้ข้อความของคุณส่งถึงผู้รับผิดชอบ ก่อนอื่น […]

ให้บริการ GDPR เราเพิ่งเปิดตัว CCPA เวอร์ชันของเราและได้ทราบจากคำติชมว่ามีความต้องการโซลูชันเดียวที่ครอบคลุมทั้ง GDPR (สหภาพยุโรปและสหราชอาณาจักร) และ CCPA ซึ่งส่วนใหญ่สำหรับลูกค้ารายใหญ่ที่อยู่ข้ามทวีป ขณะนี้ เรากำลังนำเสนอโซลูชัน GDPR / CCPA เป็นแพ็คเกจเดียวสำหรับลูกค้าที่ต้องการปฏิบัติตามกฎระเบียบทั้งสอง เรามาแกะกฎระเบียบทั้งสองข้อกัน แล้วคุยกันว่าเรารวมกฎเหล่านี้เข้าด้วยกันอย่างไรเพื่อให้สอดคล้องกับระเบียบข้อบังคับอย่างต่อเนื่องที่มีการจัดการอย่างง่ายดาย  GDPR คืออะไร?  กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคของสหภาพยุโรปมีผลบังคับใช้ในวันที่ 25 พฤษภาคม พ.ศ. 2561 GDPR ของสหราชอาณาจักรมีผลบังคับใช้กับเจ้าของข้อมูลในสหราชอาณาจักรและมีผลบังคับใช้ในวันที่ 1 มกราคม พ.ศ. 2564 เนื่องจาก Brexit โดยพื้นฐานแล้ว GDPR จะทำสิ่งต่อไปนี้: 1. ใช้กับข้อมูลส่วนบุคคลของบุคคล2. ควบคุมสิ่งที่สามารถทำได้ด้วยข้อมูลส่วนบุคคล3. ต้องการให้ผู้คนรู้ว่ากำลังทำอะไรกับข้อมูลของตนและต้องได้รับความยินยอมหรือพื้นฐานทางกฎหมายอื่น ๆ ในการประมวลผลข้อมูลส่วนบุคคล4. ประชาชนมีสิทธิที่จะรู้ว่าข้อมูลใดที่เก็บไว้เกี่ยวกับพวกเขา พวกเขาสามารถขอให้ลบหรือแก้ไขได้5. ข้อมูลต้องได้รับการคุ้มครองอย่างเหมาะสมและใช้ในลักษณะที่เหมาะสมเท่านั้น6. หากข้อมูลสูญหายหรือถูกขโมย หรือเข้าถึงโดยไม่ได้รับอนุญาต หน่วยงานความเป็นส่วนตัวของข้อมูลจะต้องได้รับแจ้งและอาจรวมถึงผู้ที่ได้รับผลกระทบด้วย7. ที่สำคัญมาก มีข้อจำกัดเกี่ยวกับข้อมูลที่ใช้เพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ดั้งเดิมในการรวบรวม8. เมื่อข้อมูลไม่จำเป็นสำหรับวัตถุประสงค์อีกต่อไป จะต้องลบทิ้ง  อาจมีค่าปรับสำหรับบริษัทที่ฝ่าฝืนกฎระเบียบ ซึ่งอาจสูงถึง 20 […]

บทบาทหน้าที่ของ DPO Data Protection Officer อ.ส.ค. คือบุคคลที่ได้รับมอบหมายความรับผิดชอบอย่างเป็นทางการสำหรับการปฏิบัติตามการคุ้มครองข้อมูลภายในองค์กร ภายใต้ข้อบังคับการปกป้องข้อมูลทั่วไปของสหภาพยุโรป องค์กรบาง แห่งจะต้องแต่งตั้ง อ.ส.ค. เมื่อได้รับการแต่งตั้ง GDPR จะกำหนดกรอบการทำงานเกี่ยวกับบทบาทและความรับผิดชอบของ อ.ส.ค. แต่สิ่งสำคัญที่ควรทราบคือไม่ใช่ทุกองค์กรจะต้องแต่งตั้ง DPO และ DPO เองจะไม่รับผิดชอบต่อองค์กรที่ไม่ปฏิบัติตาม GDPR การปฏิบัติตามข้อกำหนดในการปกป้องข้อมูลถือเป็นความรับผิดชอบของผู้ควบคุมหรือผู้ประมวลผลข้อมูลส่วนบุคคลในที่สุด แล้วเมื่อไหร่จะต้องแต่งตั้ง อ.ส.ค. ? คุณต้องแต่งตั้ง อ.ส.ค. หากคุณเป็นหน่วยงานสาธารณะหรือหน่วยงาน หากกิจกรรมหลักของคุณเกี่ยวข้องกับการตรวจสอบบุคคลจำนวนมากที่เกี่ยวข้องและเป็นระบบ หรือหากกิจกรรมหลักของคุณเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อน คุณไม่จำเป็นต้องมี DPO หากคุณ: คุณใช้ข้อมูลส่วนบุคคลปีละครั้งหรือสองครั้งเพื่อโปรโมตร้านเสื้อผ้าในพื้นที่ของคุณ คุณประมวลผลข้อมูลส่วนบุคคลสำหรับการประมวลผลเงินเดือนภายใน คุณต้องมี DPO หากคุณ: คุณประมวลผลข้อมูลผู้ป่วยเกี่ยวกับภาวะเจริญพันธุ์และพันธุกรรมของโรงพยาบาล คุณประมวลผลข้อมูลส่วนบุคคลที่เชื่อมโยงกับพฤติกรรมของผู้คนทางออนไลน์เพื่อวัตถุประสงค์ในการโฆษณา อ.ส.ค. จำเป็นต้องตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลที่องค์กรเก็บไว้นั้นปลอดภัยจากการสูญหายโดยไม่ได้ตั้งใจ การใช้งานโดยไม่ได้รับอนุญาต การโจรกรรม และความเสียหาย คุณสามารถเลือกที่จะแต่งตั้ง DPO โดยสมัครใจ แม้ว่าคุณจะไม่จำเป็นต้องทำเช่นนั้นก็ตาม แต่โปรดทราบว่า หากคุณทำเช่นนี้ DPO ที่ได้รับการแต่งตั้งโดยสมัครใจจะต้องปฏิบัติตามภาระผูกพันที่เกี่ยวข้องกับ DPO อย่างครบถ้วน ในกรณีนั้น อาจเป็นการดีกว่าสำหรับคุณที่จะแต่งตั้งพนักงานคนอื่นเพื่อทำงานที่เกี่ยวข้องกับการปฏิบัติตามข้อกำหนดด้านการปกป้องข้อมูล หากคุณทำเช่นนี้ […]

จนท คุ้มครองข้อมูล มีความเหลื่อมล้ำในระดับสูงระหว่างกฎระเบียบด้านการปกป้องข้อมูลทั่วโลก แต่ความแตกต่างเล็กน้อยบางอย่างอาจนำไปสู่การตีความที่ผิด โดยเฉพาะอย่างยิ่งในการเปรียบเทียบบทบาทของเจ้าหน้าที่ข้อมูล (IO) ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของแอฟริกาใต้ (POPIA) และของเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ในกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคของยุโรป (GDPR)   การตั้งชื่อบทบาท  GDPR กำหนดองค์กรที่รวบรวมและใช้ข้อมูลส่วนบุคคลเป็นผู้ควบคุม POPIA เรียกมันว่าพรรคที่รับผิดชอบ GDPR กำหนดองค์กรที่ผู้ควบคุมใช้บุคคลภายนอกในการประมวลผลข้อมูลส่วนบุคคล คือ ผู้ประมวลผล POPIA เรียกมันว่าโอเปอเรเตอร์ GDPR คาดหวังให้ผู้ควบคุมลงทะเบียนกับหน่วยงานกำกับดูแล (หน่วยงานกำกับดูแล) ในขณะที่ POPIA ระบุว่าเจ้าหน้าที่ข้อมูล (IO) และเจ้าหน้าที่ (DIO) ของฝ่ายที่รับผิดชอบลงทะเบียนกับผู้ควบคุมข้อมูล GDPR สั่งให้ผู้ควบคุมหรือผู้ประมวลผล ในบางกรณี แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) POPIA ไม่ได้กำหนดบทบาทดังกล่าวไว้ ดังนั้นจึงน่าแปลกที่บางคนกำลังเปรียบเทียบบทบาทของเจ้าหน้าที่ข้อมูลกับบทบาทของอ.ส.ค. โดยเฉพาะอย่างยิ่ง ชี้ให้เห็นว่าบทบาท IO และ DIO อาจอยู่ภายนอกองค์กร  หน้าที่และความรับผิดชอบ เจ้าหน้าที่ข้อมูล POPIA เจ้าหน้าที่ข้อมูล POPIA จะต้องเป็นบุคคลภายในองค์กร เจ้าหน้าที่ข้อมูลที่ได้รับการสนับสนุนจากเจ้าหน้าที่ทำหน้าที่ในนามของฝ่ายที่รับผิดชอบ และคาดว่าจะ: ส่งเสริมให้องค์กรปฏิบัติตามการประมวลผลข้อมูลส่วนบุคคลที่ชอบด้วยกฎหมาย จัดการกับคำขอเข้าถึงเจ้าของข้อมูล ทำงานร่วมกับหน่วยงานกำกับดูแลเกี่ยวกับการสอบสวน […]

การปฏิบัติตาม GDPR การเปลี่ยนแปลงทางดิจิทัลเป็นจุดสนใจของหลายองค์กรในช่วงสองสามปีที่ผ่านมา ซึ่งรวมถึงภาคส่วนการดูแลสุขภาพ การเปลี่ยนแปลงนี้นำมาซึ่งแง่มุมใหม่ๆ เพิ่มเติมสำหรับทุกด้าน สิ่งสำคัญคือการปกป้องข้อมูล ในภาคการดูแลสุขภาพซึ่งมีการประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อนจำนวนมหาศาลในแต่ละวัน การปกป้องข้อมูลนี้จะต้องมีความสำคัญสูงสุด โดยมีขั้นตอนที่เข้มงวด การควบคุมการเข้าถึง และแนวทางปฏิบัติเกี่ยวกับความเป็นส่วนตัว ดังนั้นการปฏิบัติตาม GDPR ภายในองค์กรการดูแลและรักษาแบบดิจิทัลจึงเป็นสิ่งสำคัญ มาดูกันว่าคุณจะมั่นใจได้อย่างไรว่าองค์กรด้านการดูแลสุขภาพของคุณปฏิบัติตามข้อกำหนดโดยไม่กระทบต่อประสิทธิภาพการทำงานของคุณ สิ่งที่ GDPR พูดเกี่ยวกับข้อมูลส่วนบุคคลที่เกี่ยวข้องกับสุขภาพโดยทั่วไป ภายใต้ GDPR ข้อมูลด้านสุขภาพถือเป็นข้อมูลส่วนบุคคลประเภทพิเศษซึ่งต้องการขั้นตอนในการปกป้องมากกว่าข้อมูลส่วนบุคคลประเภทอื่นๆ ทั่วไป  บทความ 4(15) GDPRกำหนดข้อมูลส่วนบุคคลที่เกี่ยวข้องกับสุขภาพว่า: “ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับสุขภาพร่างกายหรือจิตใจของบุคคลรวมถึงการให้บริการดูแลสุขภาพซึ่งเปิดเผยข้อมูลเกี่ยวกับสถานะสุขภาพ ของพวกเขา ” ข้อมูลส่วนบุคคลประเภทพิเศษอื่นๆ รวมถึงรายละเอียดต่างๆ เช่น ความเชื่อของบุคคล ต้นกำเนิดทางชาติพันธุ์ ข้อมูลทางพันธุกรรม และข้อมูลรายละเอียดที่สำคัญอื่นๆ ในการประมวลผลข้อมูลหมวดหมู่พิเศษอย่างถูกกฎหมาย จะ ต้อง ระบุทั้งพื้นฐานทางกฎหมายภายใต้มาตรา 6 GDPRและเงื่อนไขแยกต่างหากสำหรับการประมวลผลภายใต้มาตรา 9 GDPR แม้ว่าควรสังเกตว่าทั้งคู่ไม่จำเป็นต้องเชื่อมต่อกัน  GDPR ยังกำหนดให้ในการประมวลผลข้อมูลหมวดหมู่พิเศษ คุณต้องเก็บบันทึกและรวมการจัดทำเอกสารหมวดหมู่ของข้อมูลที่คุณดำเนินการ GDPR ไม่ได้ระบุอย่างชัดเจนว่าองค์กรสามารถเก็บข้อมูลส่วนตัวได้นานแค่ไหนอย่างไรก็ตาม องค์กรด้านการดูแลสุขภาพควรตรวจสอบให้แน่ใจว่าข้อมูลเกี่ยวกับข้อมูลด้านสุขภาพจะไม่ถูกเก็บไว้นานเกินความจำเป็น ด้วยเหตุผลดังกล่าวจึงต้องกำหนดระยะเวลาเก็บรักษาไว้อย่างชัดเจนและสื่อสารกับเจ้าของข้อมูล เช่น ผู้ป่วย  นอกจากนี้ GDPR ยังกำหนดว่าก่อนที่จะประมวลผลข้อมูลที่มีแนวโน้มว่าจะมีความเสี่ยงสูงต่อสิทธิ์และเสรีภาพของเจ้าของข้อมูล การประเมินผลกระทบของการปกป้องข้อมูลจะต้องดำเนินการเพื่อระบุความเสี่ยงที่อาจเกิดขึ้นที่อาจเผชิญ ประมวลข้อมูลสุขภาพในยุคดิจิทัล ระบบต่างๆ […]

การตรวจสอบสำหรับ DPO การเริ่มต้นที่องค์กรใหม่ในฐานะเจ้าหน้าที่คุ้มครองข้อมูลเป็นเรื่องที่น่าตื่นเต้นมาก แต่ก็อาจรู้สึกหนักใจเล็กน้อยเช่นกัน จะเริ่มต้นที่ไหนดี สิ่งที่ต้องทำก่อน? จะคุยกับใคร? ทำอย่างไรถึงจะได้ความเร็วที่เร็วที่สุด? เพื่อช่วยให้การเปลี่ยนแปลงง่ายขึ้น เราได้สร้างรายการตรวจสอบสำหรับสองสามเดือนแรกที่ DPO อาจพบว่ามีประโยชน์เมื่อเริ่มต้นที่บริษัทใหม่ แม้ว่าบทบาทของ DPO มักจะถูกกำหนดโดยความเป็นอิสระของคนๆ หนึ่ง แต่การปฏิบัติตาม GDPR ไม่เคยเป็นความพยายามของบุคคลเพียงคนเดียว การเป็น อ.ส.ค. ขององค์กรต้องการความรู้และความตระหนักในแนวปฏิบัติทั่วไปขององค์กรเพื่อการตัดสินใจที่ถูกต้อง และดำเนินการและดูแลงานเพื่อให้แน่ใจว่าสอดคล้องกับความเป็นส่วนตัวของข้อมูล ทำความรู้จักกับผู้มีส่วนได้ส่วนเสียหลักของคุณก่อนสิ่งอื่นใด คุณต้องเข้าใจว่าผู้มีส่วนได้ส่วนเสียหลักคือใครในองค์กรใหม่ของคุณและมีบทบาท อย่างไร เกี่ยวกับการจัดการข้อมูลของบริษัท ควรส่งเสริมให้มี อ.ส.ค. ใหม่เพื่อพบปะกับผู้มีส่วนได้ส่วนเสียหลัก ทำความรู้จักกับพวกเขา และสนทนาเกี่ยวกับงานของพวกเขา เหตุใดพวกเขาจึงทำสิ่งต่าง ๆ ในลักษณะที่แน่นอน และจดบันทึกสำหรับตัวคุณเองว่าสิ่งนี้อาจเกี่ยวข้องกับงานการปกป้องข้อมูลของคุณอย่างไร . ตัวอย่างเช่น ลองนึกถึงการทำความคุ้นเคยกับผลิตภัณฑ์หรือบริการของคุณ ผู้ประมวลผลและผู้รับที่จะทำงานภายใต้คำแนะนำของคุณ ฝ่ายการตลาดและการขายที่ทำงานอย่างใกล้ชิดกับผู้มีแนวโน้มจะเป็นลูกค้าและข้อมูลลูกค้าทีมไอทีและความปลอดภัยที่ดูแลระบบรักษาความปลอดภัยของบริษัท และตัวแทนของHRที่ดูแลข้อมูลพนักงานต่างๆ ความเข้าใจอย่างถ่องแท้เกี่ยวกับวิธีการและเหตุผลที่แต่ละแผนกจัดการข้อมูลส่วนบุคคลในแต่ละวัน หรือวิธีที่พวกเขาแนะนำแอปพลิเคชันใหม่อาจพิสูจน์ได้ว่ามีประโยชน์อย่างยิ่งสำหรับโครงการในอนาคต เช่นการดำเนินการ DPIA การแม ปข้อมูลหรือการจัดการ DSRโดยที่สาขาวิชาหลักมักมี ต้องทำงานร่วมกัน    ทำความเข้าใจความพยายามในการปกป้องข้อมูลขององค์กรในแต่ละแผนกเมื่อคุณทำความคุ้นเคยกับผู้มีส่วนได้ส่วนเสียหลักมากขึ้นแล้ว ให้สร้างบทสนทนาที่เปิดกว้างกับพวกเขาเกี่ยวกับวิธีต่างๆ ที่เกี่ยวกับความเป็นส่วนตัวและสิทธิ์ของข้อมูลภายใต้ GDPR ที่มี ต่อผู้มีแนวโน้มจะ เป็นลูกค้าและลูกค้า นอกจากนี้ยังมีการอภิปรายเกี่ยวกับวิธีการและเหตุผลที่ข้อมูลส่วนบุคคลถูกรวบรวมและดำเนินการต่อไป ด้วยการพูดคุยถึงแนวทางปฏิบัติเหล่านี้อย่างเปิดเผย และวิเคราะห์ปัจจัยที่เกี่ยวข้องสำหรับความเป็นส่วนตัวหลังจากนั้น คุณจะไม่เพียงก้าวล้ำหน้าความเสี่ยงด้านความเป็นส่วนตัวใดๆ ที่อาจเกิดขึ้นได้เพียงก้าวเดียว แต่ยังช่วยกำหนดเวอร์ชันที่พิสูจน์ได้อย่างสมบูรณ์ของมาตรการที่อาจส่งผลต่อความสัมพันธ์กับลูกค้าได้ดีขึ้น ปรับปรุงความพยายามทางการค้า […]

การละเมิดข้อมูลในองค์กร เมื่อเร็ว ๆ นี้หน่วยงานคุ้มครองข้อมูลของเนเธอร์แลนด์ (AP) ได้เผยแพร่ “รายงานประจำปีเกี่ยวกับการรายงานการละเมิดข้อมูลข้อผูกพันในปี 2021” โดยมีการละเมิดข้อมูลเพิ่มขึ้นอย่างน่าวิตกอันเป็นผลมาจากการโจมตีทางไซเบอร์ นอกจากการป้องกันการละเมิดข้อมูลแล้ว สิ่งสำคัญคือต้องรู้วิธีดำเนินการในกรณีที่มีการละเมิดข้อมูล ในบล็อกนี้ คุณสามารถอ่านสิ่งที่ควรทำในกรณีที่ข้อมูลรั่วไหลและวิธีที่ PrivacyPerfect สามารถช่วยได้ รายงาน ในรายงาน AP วัดการเพิ่มขึ้นอีกครั้งเมื่อเทียบกับปีก่อนหน้าด้วยรายงานการละเมิดข้อมูลจำนวน 24,866 ฉบับ รายงานส่วนใหญ่แสดงจำนวนรายงานการละเมิดข้อมูลที่เกิดจากการโจมตีทางไซเบอร์ เช่น การแฮ็กหรือฟิชชิ่ง ตัวเลขนี้เพิ่มขึ้นอย่างมากถึง 88% ในปีนี้ ผลที่ตามมาของการละเมิดข้อมูลมักมีนัยสำคัญ ตัวอย่างเช่น ในปี 2564 ผู้คนมากกว่า 7 ล้านคนตกเป็นเหยื่อของการละเมิดข้อมูลในซัพพลายเออร์ไอทีเพียงลำพัง การดำเนินการที่เพียงพอและรวดเร็วจึงมีความสำคัญสูงสุด คุณจะป้องกันการละเมิดข้อมูลได้อย่างไรและควรดำเนินการอย่างไรหลังจากเกิดเหตุการณ์ดังกล่าว ลดความเสี่ยงของการรั่วไหลของข้อมูล การละเมิดข้อมูลอยู่ในมุมเล็กๆ และสามารถเกิดขึ้นได้กับองค์กรที่ปลอดภัยที่สุด ดังนั้นจึงเป็นสิ่งสำคัญที่จะลดความเสี่ยงของการละเมิดข้อมูล บริษัทและรัฐบาลที่ประมวลผลข้อมูลส่วนบุคคลต้องใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมตามระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป (GDPR) เพื่อรับประกันความปลอดภัย การใช้เครื่องมือซอฟต์แวร์ที่คุณดูแลจัดการความเป็นส่วนตัวของคุณอย่างระมัดระวังสามารถช่วยในเรื่องนี้และจะลดโอกาสที่ข้อมูลจะรั่วไหล เคล็ดลับเมื่อเกิดการละเมิดข้อมูล หากยังคงมีการละเมิดข้อมูลเกิดขึ้น การดำเนินการโดยเร็วที่สุดเป็นสิ่งสำคัญ การดำเนินการอย่างรวดเร็วและเพียงพอ ความเสียหายต่อบุคคลที่เกี่ยวข้องและภาพลักษณ์ขององค์กรอาจถูกจำกัด และหลีกเลี่ยงค่าปรับภายใต้ GDPR ได้ ในกรณีที่มีการละเมิดข้อมูล จำเป็นต้องดำเนินการหลายขั้นตอน: ให้ภาพรวมของสถานการณ์ประการแรก สิ่งสำคัญคือต้องยุติการละเมิดข้อมูลโดยเร็วที่สุด กระบวนการทำงานที่กำหนดไว้ล่วงหน้าสามารถป้องกันคุณจากการเสียเวลาโดยไม่จำเป็น และทำให้แน่ใจได้ว่าคุณทราบขั้นตอนใดที่ต้องดำเนินการก่อนในกรณีที่มีการละเมิดข้อมูล ใช้มาตรการทันทีเพื่อจำกัดความเสียหายที่เกิดจากการละเมิดข้อมูลและประเมินความเสี่ยงการดำเนินการตามมาตรการทันทีเป็นสิ่งสำคัญในการจำกัดผลกระทบด้านลบของการละเมิดข้อมูล ตัวอย่างของมาตรการคือการบล็อกการเข้าถึงบัญชีพนักงานจากระยะไกลหรือบริการคลาวด์ในกรณีที่มีการแฮ็ก กำหนดว่าคุณควรรายงานการละเมิดข้อมูลต่อหน่วยงานคุ้มครองข้อมูลของเนเธอร์แลนด์ (AP) หรือไม่ ถ้าเป็นเช่นนั้น โปรดดำเนินการโดยเร็วที่สุดมาตรา 33 […]

เริ่มต้นการปกป้องข้อมูล รับข้อมูลเชิงลึกเกี่ยวกับระบบนิเวศซัพพลายเออร์ของคุณเพื่อระบุและประเมินและลดความเสี่ยงจากบุคคลที่สามได้อย่างง่ายดายและมีประสิทธิภาพ ผสานรวมการบริหารความเสี่ยงของผู้จำหน่ายกับการลงทะเบียนการประมวลผลและการประเมินผลกระทบของการปกป้องข้อมูล  การจัดการความเสี่ยงจากภายนอกเป็นกระบวนการในการระบุ วิเคราะห์ และลดความเสี่ยงที่เกี่ยวข้องกับการเอาต์ซอร์ซของผู้จำหน่ายบุคคลที่สามและ/หรือผู้ให้บริการ ด้วยการจัดการจากบุคคลภายนอกที่เหมาะสม องค์กรต่าง ๆ เข้าใจว่าตนใช้บุคคลที่สามรายใด มีการป้องกันอะไรบ้าง และมีข้อมูล (ส่วนบุคคล) ใดบ้างที่พวกเขาแบ่งปันกับพวกเขา โดยปกติ ขอบเขตของข้อกำหนดจะแตกต่างกันไปตามองค์กรและอุตสาหกรรม ในบล็อกนี้ จุดสนใจหลักอยู่ที่การรักษาความปลอดภัยและการปกป้องข้อมูล ทำไมการประเมินผู้ขายของคุณจึงสำคัญ?   ประการแรก ความเสี่ยงอาจเริ่มต้นที่ผู้ขาย แต่มีแนวโน้มที่จะเพิ่มขึ้น ตัวอย่าง: หากผู้โจมตีมุ่งเป้าไปที่องค์กรขนาดใหญ่ พวกเขาต้องการจุดเริ่มต้นที่ไม่ทำให้เกิดความสงสัย ซึ่งหมายความว่าพวกเขาจะมองหาจุดเริ่มต้นที่ถูกต้องที่พวกเขาสามารถเข้าถึงได้โดยไม่มีใครสังเกตเห็น ผู้โจมตีมักจะมองหาบุคคลที่สามที่มีความปลอดภัยน้อยกว่า เช่น ผู้จำหน่ายรายเล็กที่มีโปรโตคอลความปลอดภัยที่เข้มงวดน้อยกว่า เมื่อเข้ามาแล้ว พวกเขาสามารถใช้ประโยชน์จากการเข้าถึงนี้เพื่อเจาะเข้าไปในองค์กรที่มีมูลค่าสูงกว่าที่เชื่อมโยงกับผู้ขายรายนี้  ดังนั้น หากผู้จำหน่ายขาดการควบคุมความเป็นส่วนตัวและความปลอดภัยที่เข้มงวด องค์กรของคุณก็จะมีความเสี่ยงด้านการปฏิบัติงาน กฎระเบียบ การเงิน และชื่อเสียง การจัดการความเสี่ยงของผู้จำหน่ายหรือการบริหารความเสี่ยงของบุคคลที่สามเกี่ยวข้องกับการจัดการและการติดตามความเสี่ยงที่เกิดจากผู้ขายและซัพพลายเออร์ผลิตภัณฑ์และบริการที่เป็นบุคคลภายนอก เนื่องจาก มีการค้นพบ ภัยคุกคามทางไซเบอร์และการโจมตีของแร นซัมแว ร์มากกว่าที่เคยเป็นมา จึงเป็นสิ่งสำคัญที่จะต้องอยู่เหนือการควบคุมและจัดการความเสี่ยงเหล่านี้ ประการที่สอง คุณต้องรับผิดชอบต่อผู้ขายของคุณ สำหรับลูกค้าปลายทาง ความซับซ้อนของความสัมพันธ์ของบุคคลที่สามอาจทำให้ขอบเขตความเป็นส่วนตัวและความเสี่ยงด้านความปลอดภัยทั้งหมดเข้าใจได้ยาก แม้ว่าความเสี่ยงจะเกิดจากการที่ผู้ให้บริการขาดการรักษาความปลอดภัย แต่ในใจของผู้ใช้ปลายทาง (และโดยส่วนใหญ่แล้วจากมุมมองทางกฎหมายด้วย) ก็เป็นองค์กรหลักที่รับผิดชอบและจะ ที่มีชื่อในสื่อ ท้ายที่สุดแล้ว ผู้ใช้ปลายทางได้ให้ข้อมูลแก่คุณ ไม่ใช่ผู้จัดหาบุคคลที่สามของคุณ  มีวิธีแก้ไขหรือไม่? ใช่แน่นอน! ตรวจสอบให้แน่ใจว่าคุณเลือกโซลูชันความเป็นส่วนตัวของข้อมูลที่ช่วยคุณระบุและลดความเสี่ยง คุณต้องมีข้อมูลเชิงลึกระดับการปฏิบัติตามนโยบายความเป็นส่วนตัวที่ปลายนิ้วของคุณ แม่แบบที่กำหนดไว้ล่วงหน้า แบบสอบถามที่ยืดหยุ่นและปรับแต่งได้ คะแนนการปฏิบัติตามอัตโนมัติ และการนึกภาพเป็นเชอรี่บนเค้ก คำแนะนำล่าสุด: ตรวจสอบให้แน่ใจว่าโมดูล VRM ของคุณถูกรวมเข้ากับโซลูชันความเป็นส่วนตัวที่คุณเลือกอย่างสมบูรณ์ เริ่มต้นการปกป้องข้อมูล สนใจที่จะเรียนรู้เพิ่มเติม? เข้าร่วมกับเราในวันที่ 14 […]