แม้ว่าจะมีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Data Protection Act: DPA) ที่ให้ความคุ้มครองบุคคลและผู้บริโภคมามาตั้งแต่ปี 2541แต่การประกาศใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation: GDPR) ซึ่งมีผลบังคับใช้เมื่อเดือนพฤษภาคม ในปี 2018 ก็เพื่อเป็นการยกระดับการคุ้มครองข้อมูลส่วนบุคคลให้มีความเท่าเทียมกัน โดยกฎหมายนี้มีผลบังคับใช้กับบริษัทใดก็ตามที่มีการติดต่อกับพลเมืองสหภาพยุโรป – ถึงแม้ว่าบริษัทเหล่านั้นจะไม่ได้มีสำนักงานใหญ่ในยุโรปก็ตาม
นอกจากนี้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ DPA ยังได้รับการเปลี่ยนแปลงอย่างมีนัยสำคัญ และการอัพเดตครั้งล่าสุดนั้นก็เพื่อให้หลายๆ อย่าง เป็นไปในทิศทางเดียวกันกับนโยบายของ GDPR โดยกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปดังกล่าว ได้ถูกกำหนดขึ้นมาเพื่อปกป้องให้ประชาชนสามารถควบคุมข้อมูลส่วนบุคคลของตัวเองได้ ขณะเดียวกันก็ยังเป็นการอำนวยความสะดวกให้กับธุรกิจต่างๆ เพื่อให้มีการปฏิบัติงานเป็นมาตรฐานเดียวกันกับทุกประเทศในยุโรป โดยมีการออกแบบเพื่อให้สอดคล้องต่อยุคสมัยและเพื่อธุรกิจดิจิตอลในปัจจุบัน ซึ่งหากองค์กรของคุณไม่ปฏิบัติตามกฎหมาย องค์กรของคุณอาจต้องเผชิญกับค่าปรับที่เป็นเงินจำนวนมากพอที่จะส่งผลกระทบจนทำให้องค์กรธุรกิจขนาดเล็กหรือขนาดกลางอาจถึงขั้นต้องปิดกิจการชั่วคราวได้เช่นกัน ในกรณีที่มีการละเมิดเกิดขึ้น
กฎหมายที่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคลคลทั้งสองแบบนี้ ตั้งขึ้นเพื่อปกป้องประชาชนจากการใช้ข้อมูลส่วนตัวของพวกเขาไปในทางที่ผิด ซึ่งนับว่าเป็นส่วนหนึ่งของความโชคร้ายสำหรับชีวิตสมัยใหม่ เนื่องจากมีข้อมูลจำนวนมากที่อยู่ในรูปแบบดิจิตอล ถ้าการยึดมั่นในกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (DPA) ยังไม่เพียงพอที่จะโน้มน้าวให้คุณพัฒนานโยบายและขั้นตอนปกป้องข้อมูล, และต่อไปนี้คือบทสรุปของเรา ว่าทำไมคุณควรที่จะต้องมีสิ่งเหล่านี้ และองค์ประกอบใดบ้างที่จำเป็นต้องมี เพื่อที่คุณจะได้ทำความเข้าใจนอกเหนือจากที่กล่าวมาข้างต้น
การกำหนดนโยบายและข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล ก็เพื่อให้เป็นไปตามแนวทางปฏิบัติของ Data Protection Act ที่ไม่เพียงแต่จะมีความสำคัญต่อบริษัทของคุณเท่านั้น แต่คุณจำเป็นที่จะต้องมีเอกสาร หรือเอกสารดังกล่าวนั้นสามารถใช้ได้สำหรับทุกคนในฐานะที่เป็นส่วนหนึ่งของ GDPR ซึ่งมีผลบังคับใช้กับทุกประเทศที่เป็นสมาชิกของสหภาพยุโรป (EU: European Union) ตั้งแต่เดือนพฤษภาคม ปี 2018 หากคุณไม่ปฏิบัติตามกฎข้อบังคับใหม่ที่ว่านี้ธุรกิจของคุณสามารถถูกเรียกเก็บค่าปรับที่เป็นเงินสูงสุดถึง 20 ล้านยูโร หรือ 4% ของมูลค่าการซื้อขายต่อปีของบริษัท ซึ่งขึ้นอยู่กับค่าไหนจะสูงกว่ากัน
นโยบายและข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทของคุณ ควรจะถูกสร้างขึ้นเพื่อให้เหมาะสมกับธุรกิจของคุณโดยเฉพาะ ยกตัวอย่างเช่น คุณจะต้องระบุว่า นโยบายโดยรวมเกี่ยวกับข้อมูลและขั้นตอนการทำงานของพนักงานของคุณคืออะไร, แต่ไม่จำเป็นที่จะต้องระบุว่า คุณจะทำอย่างไรกับข้อมูลลูกค้า ในกรณีที่คุณไม่ได้ทำการเก็บรวบรวมข้อมูลเหล่านั้นไว้
แม้ว่า GDPR จะทำให้เกิดการเปลี่ยนแปลงในส่วนของหลักการในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (DPA) ไปอย่างมาก แต่ข้อบังคับทั้งสองก็ยังคงสอดคล้องกับแนวทางดั้งเดิม ดังนั้น นโยบายใดก็ตามที่เกี่ยวข้องกับการออกกฎหมายข้อมูลต้นฉบับ จึงถือว่าเป็นจุดเริ่มต้นที่ดี ซึ่งข้อมูลที่เกี่ยวกับสถานะเหล่านี้ จำเป็นที่จะต้องจัดทำขึ้นโดยบริษัท โดยมีเงื่อนไขดังต่อไปนี้
มันเป็นสิ่งสำคัญที่นโยบายของคุณจะต้องกล่าวถึงประเด็นต่างๆ เหล่านี้ทีละจุด รวมทั้งอธิบายถึงวิธีการที่องค์กรจะทำให้แต่ละจุดนั้นเป็นมีความน่าเชื่อถือ
โดยทั้งหมดนี้จะต้องครอบคลุมถึง วิธีที่ทำให้คุณมั่นใจได้ว่าข้อมูลเหล่านั้นได้รับมาอย่างถูกต้องตามกฎหมาย, วิธีการอัพเดตข้อมูลให้เป็นปัจจุบัน ในกรณีที่มีการเปลี่ยนแปลงใดๆ, วิธีการที่บริษัทของได้คุณวางแผนไว้ เพื่อทำการปกป้องข้อมูลให้ปลอดภัยจากการเข้าถึงโดยไม่ได้รับอนุญาต, วิธีการที่ข้อมูลจะถูกลบออกหรือถูกทำลาย เมื่อไม่ต้องการใช้มันอีกต่อไป รวมถึงวิธีการที่คุณจะรับประกันว่า ข้อมูลที่ไม่ต้องการใช้งานแล้วนั้นจะถูกลบออกจากทุกระบบอย่างถาวร
นอกจากนี้ GDPR ยังได้มีการเพิ่มหลักการใหม่ในเรื่องของการรับผิดชอบ - ดังนั้น จึงเป็นสิ่งสำคัญที่คุณจะต้องเน้นว่าใครจะเป็นผู้รับผิดชอบในการบังคับใช้นโยบายเหล่านี้กับองค์กรของคุณ โดยที่คุณจะต้องตรวจสอบให้แน่ใจด้วยว่า เอกสารได้มีการอธิบายถึงวิธีการที่คุณจะรับประกันว่าพนักงานทั้งหมดของคุณยินดีที่จะปฏิบัติตามนโยบายเหล่านี้ และขั้นตอนการดำเนินใดๆ ที่ธุรกิจของคุณได้เตรียมไว้ ในกรณีที่พนักงานไม่สามารถปฏิบัติตามได้
ที่มา:www.itpro.co.uk
