การคุ้มครองข้อมูล 25 พฤษภาคม 2561 จะเป็นวันที่น่าจดจำสำหรับ บริษัท และองค์กรทุกประเภท (อยู่ในสหภาพยุโรปหรือไม่) ที่ควบคุมหรือประมวลผลข้อมูลของพลเมืองของสหภาพยุโรป
ในวันนั้นจะมีผลบังคับใช้กฎระเบียบใหม่ของการปกป้องข้อมูลของสหภาพยุโรปหรือที่รู้จักกันดีในนามของ GDPR
หากในปี 2016 ตลาดแลกเปลี่ยนสินค้า rised เพื่อ 362,000,000,000 € 1 ; และบริการนั้นมีมูลค่าเกือบ 226 พันล้านเฉพาะกลุ่ม EU-US เท่านั้น เราสามารถเข้าใจแนวคิดเกี่ยวกับเศรษฐกิจสังคมและผลกระทบที่แท้จริงที่บทบัญญัติทางกฎหมายนี้จะมีต่อภูมิภาคเศรษฐกิจที่มีการพัฒนามากที่สุดของโลก
เพราะคำสั่งของสหภาพยุโรปนี้ไม่เพียง แต่ใช้ในประเทศในสหภาพยุโรปเท่านั้น แต่การรับประกันของพวกเขาปกป้องการประมวลผลข้อมูลของบุคคลธรรมดาและดังนั้นพลเมืองของสมาชิกสหภาพยุโรปใด ๆ ไม่ว่าประเทศใดก็ตามที่ บริษัท ซึ่งเป็นเจ้าของข้อมูลดังกล่าวอยู่
เพื่อให้มาตรการป้องกันข้อมูลส่วนบุคคลเหล่านี้มีประสิทธิภาพกฎระเบียบทั่วไปเกี่ยวกับการปกป้องข้อมูลปรับสูงถึง 20 ล้านยูโรหรือ 4% ของปริมาณการขายทั้งหมดขององค์กร ในระยะสั้น; การฝ่าฝืนหรือการละเมิดกฎระเบียบนี้สามารถนำออกจากตลาดได้แม้กระทั่ง บริษัท ที่จัดตั้งขึ้นที่ใหญ่ที่สุดและดีที่สุดในภาค
ดังนั้นคำถามแรกที่เกิดขึ้นในสถานการณ์ใหม่นี้คือ: ฉันได้รับผลกระทบจากการปฏิบัติตามกฎระเบียบใหม่หรือไม่ และฉันต้องทำอย่างไรเพื่อเติมเต็ม?
ในอีกไม่กี่เดือนข้างหน้าคุณจะประทับใจกับการเพิ่มขึ้นของข้อมูลเกี่ยวกับซอฟต์แวร์ที่จะเผยแพร่การปฏิบัติตามข้อกำหนดการป้องกันข้อมูลทั่วไป ต้องเผชิญกับการยืนยันเหล่านี้อย่างใดอย่างหนึ่งจะต้องระมัดระวังและเป็นจริง
ด้วยตัวเองไม่มีซอฟต์แวร์แอปพลิเคชันหรือเครื่องมือคอมพิวเตอร์ (ระบบการจัดการเอกสารระบบการจัดการเนื้อหาขององค์กร) จะทำให้ บริษัท ของเราปฏิบัติตามข้อกำหนดของการควบคุมการประมวลผลการรักษาหรือการปกป้องข้อมูลส่วนบุคคลตามที่ GDPR กำหนด
กฎระเบียบใหม่นี้จะมีผลบังคับใช้มีจุดมุ่งหมายเพื่อตอบสนองต่อภัยคุกคามใหม่ที่ยุคดิจิตอลเทต่อความปลอดภัยและความเป็นส่วนตัวของผู้คน การคุ้มครองข้อมูล
ประวัติศาสตร์สำหรับสหภาพยุโรปสิทธิในความเป็นส่วนตัวเป็นหลักการที่ไม่เปลี่ยนแปลงและได้รับการคุ้มครองเป็นพิเศษ ความเป็นส่วนตัวถือเป็นสิทธิขั้นพื้นฐานของมนุษย์ ( มาตรา 7 ของกฎบัตรสิทธิขั้นพื้นฐานของสหภาพยุโรป ) ในขณะที่ประเทศอื่น ๆ เช่นสหรัฐอเมริกา; แนวคิดเรื่องความเป็นส่วนตัวแตกต่างกันไปขึ้นอยู่กับภาคธุรกิจหรือความอ่อนไหวหรือมูลค่าทางการค้าที่มอบให้กับข้อมูลที่ได้รับการป้องกัน
กิจกรรมกิจกรรมนิสัยและศุลกากรขึ้นอยู่กับประเทศนั้น ๆ การปรากฏตัวของกฎระเบียบใหม่นี้สามารถคาดเดาการเปลี่ยนแปลงครั้งใหญ่ในวิธีการจัดการข้อมูลของคนทางกายภาพและดำเนินการรักษาแบบเดียวกัน
ข้อมูลส่วนบุคคลใน GDPR คืออะไร? แนวคิดพื้นฐาน
คำจำกัดความของแนวคิดของข้อมูลส่วนบุคคลนั้นกว้างกว่ากรอบกฎหมายที่ผ่านมา เพราะมันรวมข้อมูลทั้งหมดที่มีความสามารถในการอนุญาตให้ระบุตัวตน ” ข้อมูลส่วนบุคคล ” จะถือเป็นข้อมูลที่เกี่ยวข้องกับบุคคลธรรมดาที่สามารถนำมาใช้ในการโดยตรงหรือโดยอ้อมระบุบุคคล สามารถเป็นอะไรก็ได้: ที่อยู่ IP ภาพถ่ายวิดีโอชื่ออีเมลข้อมูลธนาคารสิ่งพิมพ์สื่อสังคมออนไลน์ข้อมูลสุขภาพ ฯลฯ ”
GDPR ยังกำหนดว่าองค์กรใดที่อยู่ภายใต้กฎระเบียบ ” จะใช้กับการประมวลผลข้อมูลส่วนบุคคลโดยผู้ควบคุมและผู้ประมวลผลในสหภาพยุโรปโดยไม่คำนึงว่าการดำเนินการจะดำเนินการในสหภาพยุโรปหรือไม่ ” ควบคุมเป็นนิติบุคคลที่กำหนดวัตถุประสงค์เงื่อนไขและวิธีการในการประมวลผลข้อมูลส่วนบุคคล ในขณะที่ตัวประมวลผลเป็นเอนทิตีที่ประมวลผลข้อมูลส่วนบุคคลในนามของตัวควบคุม
ซึ่งหมายความว่าที่เก็บข้อมูลบนคลาวด์เทคโนโลยีข้อมูลขนาดใหญ่หรือแอปพลิเคชันการวิเคราะห์เชิงพยากรณ์ต้องปฏิบัติตามกฎระเบียบด้วย
เช่นกัน; ” จะใช้กับการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อาศัยอยู่ในสหภาพยุโรปโดยผู้ควบคุมหรือหน่วยประมวลผลที่ไม่ได้จัดตั้งขึ้นในสหภาพยุโรปเมื่อกิจกรรมอ้างถึงการนำเสนอสินค้าและบริการให้กับประชาชนในสหภาพยุโรป การตรวจสอบพฤติกรรมที่เกิดขึ้นภายในสหภาพยุโรป บริษัท นอกสหภาพยุโรปที่ประมวลผลข้อมูลสำหรับพลเมืองสหภาพยุโรปจะต้องกำหนดตัวแทนในสหภาพยุโรปด้วย ”
ข่าวระเบียบทั่วไปว่าด้วยการคุ้มครองข้อมูล
ชัดเจนรัดกุมและได้รับความยินยอมยืนยัน : รวมป๊อปอัปด้วยตัวเลือก “ฉันยอมรับ” ที่เลือกไว้แล้วหรือคัดแยกรวมอยู่ในนโยบายความเป็นส่วนตัว; มันจะไม่เพียงพอที่จะปฏิบัติตามกฎระเบียบใหม่ มาตรฐานที่พัฒนาขึ้นนี้ส่งผลกระทบต่อตัวอย่างเช่นการจัดเก็บคุกกี้ที่ออกแบบมาเพื่อระบุอุปกรณ์หรือบุคคลผ่านทางเว็บ
ร่างของเจ้าหน้าที่คุ้มครองข้อมูลเป็นสิ่งจำเป็น : องค์กรใด ๆ ที่เกี่ยวข้องกับข้อมูลที่ “เกี่ยวข้องกับการควบคุมข้อมูลอย่างเป็นระบบและเป็นระยะในขนาดใหญ่หรือเมื่อกิจการดำเนินการรักษา” ข้อมูลส่วนตัวประเภทพิเศษ “จำนวนมาก กำหนดตัวแทนที่รับผิดชอบการปกป้องข้อมูล
การกำกับดูแลข้อมูล : องค์กรต้องกำหนดว่าใครควรอนุญาตให้เข้าถึงข้อมูลส่วนบุคคลที่อยู่ในระบบหรือแอปพลิเคชันของ บริษัท ผู้ที่ต้องเข้าถึงข้อมูลและ จำกัด สิทธิ์การเข้าถึง
การควบคุมปกติ : การตรวจสอบและการแก้ไขจะต้องเป็นประจำเพื่อให้แน่ใจว่าสอดคล้องกับกฎระเบียบใหม่ด้านความปลอดภัย
สถานที่และการถ่ายโอนข้อมูล : ผู้ใช้จะต้องได้รับแจ้งว่าข้อมูลของพวกเขาจะถูกเก็บไว้ในสหภาพยุโรปและหากพวกเขาถูกถ่ายโอนไปยังประเทศที่ไม่ปลอดภัยอื่น ๆ
ความรับผิดชอบทางกฎหมายที่ใช้ร่วมกัน : ทั้งตัวประมวลผลข้อมูลและตัวควบคุมแชร์ภาระหน้าที่และความรับผิดชอบทางกฎหมายโดยตรงในกรณีที่มีการละเมิดข้อมูล
สิทธิ์ในการเข้าถึงข้อมูลส่วนบุคคลของคุณ : ผู้ใช้มีสิทธิ์ทราบว่าข้อมูลส่วนบุคคลของพวกเขากำลังถูกประมวลผลที่ไหนและเพื่อจุดประสงค์ใด บุคคลที่รับผิดชอบจะต้องจัดทำสำเนาข้อมูลดิจิตอลส่วนบุคคลฟรี
การใช้หลักการความเป็นส่วนตัวและความเคารพทั่วโลก : ความเป็นส่วนตัวจะต้องนำมาพิจารณาตั้งแต่เริ่มต้นแนวคิดของผลิตภัณฑ์หรือบริการที่ บริษัท ต้องการนำเสนอผ่านแต่ละขั้นตอนและองค์ประกอบที่เป็นส่วนหนึ่งของผลลัพธ์สุดท้าย
สิทธิ์ในการถูกลืม : ผู้คนมีสิทธิที่จะลบข้อมูลส่วนบุคคลของตนจากหน่วยงานที่รับผิดชอบการดำเนินการของพวกเขาหยุดเผยแพร่และป้องกันไม่ให้บุคคลที่สามดำเนินการประมวลผล โปรดทราบว่าผู้ควบคุมสามารถใช้ประโยชน์จาก “ผลประโยชน์สาธารณะในความพร้อมของข้อมูล” เมื่อดำเนินการตามคำขอเหล่านี้
การประเมินการปกป้องข้อมูล : บริษัท จะต้องประเมินประสิทธิผลของนโยบายความเป็นส่วนตัวของข้อมูลที่พวกเขาปฏิบัติตามกฎระเบียบโดยเฉพาะในกรณีที่มีความเสี่ยงต่อการละเมิดสูง เพื่อลดผลกระทบและแก้ไขการละเมิดความปลอดภัยเหล่านั้น
การแจ้งการละเมิดข้อมูล : หากตรวจพบการละเมิดข้อมูลส่วนบุคคลองค์กรต้องแจ้งให้หน่วยงานคุ้มครองข้อมูลทราบภายใน 72 ชั่วโมง เว้นแต่จะมีสาเหตุพิเศษที่แสดงให้เห็นถึงความล่าช้า
Q-Doc สามารถมีส่วนร่วมในการปฏิบัติตาม GDPR อย่างไร
เราได้กล่าวแล้วว่าตามค่าเริ่มต้นระบบใด ๆ สามารถครอบคลุมทุกกรณีที่เกิดขึ้นใน บริษัท ได้ยาก ในแง่นี้ระบบการจัดการเอกสารของ Q-Doc มีความหลากหลายปรับแต่งและปรับเปลี่ยนได้อย่างเพียงพอเพื่อให้องค์กรจากภาคต่างๆสามารถใช้ซอฟต์แวร์เพื่อจัดการเอกสารและข้อมูลขององค์กร เพื่อให้เป็นไปตามข้อกำหนดของระเบียบทั่วไปใหม่ด้านการปกป้องข้อมูลของสหภาพยุโรป
ตัวอย่างเช่นขึ้นอยู่กับภาคของกิจกรรมการจัดการเมตาดาต้าจะต้องทำภายใต้การเข้ารหัส กรณีที่อาจมีระดับความปลอดภัยที่แตกต่างกัน ในสถานการณ์อื่น ๆ บริษัท อาจไม่จำเป็นต้องเข้ารหัสข้อมูลเมตา แต่จะต้องทำเช่นนั้นกับไฟล์จริง
ภาวะที่กลืนไม่เข้าคายไม่ออกเกิดขึ้นไม่เพียง แต่ในความสัมพันธ์กับการเข้าถึงข้อมูล; แต่ในการทำให้การจัดการข้อมูลเป็นไปได้เพื่อให้ผู้ดูแลระบบ – ตัวอย่างเช่นในพื้นที่ของการเข้าถึงข้อมูลที่ จำกัด เช่นในภาคสุขภาพสามารถดำเนินงานของพวกเขาเพื่อให้มั่นใจว่าแม้พวกเขาจะไม่สามารถเข้าถึงข้อมูลในลักษณะที่แน่นอน การสื่อสารระหว่างคอมพิวเตอร์ของผู้ใช้กับแอพพลิเคชั่นนั้นเข้ารหัสด้วย SSL
นอกจากนี้ระบบการจัดการเนื้อหาทางธุรกิจที่รวมอยู่ในชุดโปรแกรมของ บริษัท จะต้องสามารถรวมเข้ากับส่วนที่เหลือของแอปพลิเคชัน ในแง่นี้ Q-doc นำเสนอSDK สำหรับ JAVA, PHP และ. NETที่อนุญาตให้มีการรวมซอฟต์แวร์ในลักษณะที่ทำให้ บริษัท สามารถจัดการความรู้ที่สะสมอยู่ในนั้น คำนึงถึงแง่มุมต่าง ๆ เช่นประเภทของข้อมูลที่โฮสต์แต่ละแอปพลิเคชันระดับการเข้าถึงที่จำเป็นต้องกำหนด จำเป็นต้องเข้ารหัสข้อมูลหรือไม่ ที่ระดับฐานข้อมูล? ของระบบปฏิบัติการ?
การดำเนินการตามข้อบังคับทั่วไปของการปกป้องข้อมูลของสหภาพยุโรปใน บริษัท : แนวทางปฏิบัติที่ดี
ในขอบเขตของการประยุกต์ใช้กฎระเบียบใหม่จะแนะนำให้ใช้ชุดของการปฏิบัติที่ดี:
การควบคุมการเข้าถึงเอกสารระบบล้มเหลว
การเชื่อมต่อระหว่างเบราว์เซอร์และแอพพลิเคชั่นที่ทำผ่าน SSLช่วยให้มั่นใจในการรับส่งข้อมูล
ดำเนินการตรวจสอบที่สมบูรณ์ของการกระทำทั้งหมดที่ดำเนินการโดยผู้ใช้ ; จากการเข้าสู่ระบบจนกระทั่งออกจากระบบ อนุญาตให้ตรวจสอบย้อนกลับได้ทั้งกิจกรรมของผู้ใช้และวงจรชีวิตของเอกสาร เนื่องจากมันถูกสร้างขึ้นผ่านขั้นตอนต่าง ๆ – แท็บ Q-doc จาก “ประวัติ” อนุญาตให้เข้าถึงเวอร์ชันของไฟล์เดียวกันและช่วยให้คุณสามารถเปรียบเทียบพวกเขาเพื่อดูความแตกต่างระหว่างพวกเขา – จำนวนผู้ใช้ที่เข้ามาแทรกแซงสิ่งที่พวกเขา ได้ทำ ฯลฯ
การประยุกต์ใช้การรักษาความปลอดภัยในระดับที่ละเอียด ด้วย Q-doc เราสามารถทำให้ผู้ใช้เข้าถึงระบบการจัดการเอกสารที่ปรับให้เข้ากับความต้องการ เพื่อให้พวกเขาเข้าถึงพื้นที่ทำงานที่พวกเขาต้องการและภายในพวกเขาก็มีฟังก์ชันที่ใช้ ที่ระดับโหนด (โฟลเดอร์ revord อีเมลเอกสาร) เรายังสามารถจัดการความปลอดภัยได้อย่างอิสระ ผู้ใช้ทั้งในระดับกลุ่มและระดับบุคคลอาจใช้หรือไม่ใช้สิทธิพิเศษบางอย่างเช่นการอ่านการเขียนการลบการดาวน์โหลด … – ขึ้นอยู่กับสิทธิ์ที่พวกเขาสามารถเข้าถึงได้ การตั้งค่าเมทาดาทาที่กำหนดให้กับเอกสารแต่ละรายการอาจมองเห็นได้อย่างสมบูรณ์หรือไม่ขึ้นอยู่กับว่าใครเป็นผู้เข้าถึงไฟล์ อาจเป็นไปได้ว่าภายในกลุ่มของเมทาดาทาบางฟิลด์สามารถเข้าถึงได้และอื่น ๆ จะถูกเข้ารหัส
ไม่ว่าในกรณีใดองค์ประกอบที่คุณไม่สามารถปรารถนาที่จะใช้กฎหมายหรือกฎหมาย มันเป็นรูปแบบสถาปัตยกรรมของข้อมูลของ บริษัท ฯ โมเดลที่มีความแข็งแกร่งมากขึ้นคือการพัฒนาตัวควบคุมที่รักษาระบบไว้ให้ดีขึ้นดังนั้นยิ่งใช้งานได้ง่ายขึ้นและเติมเต็ม GDPR ในระยะยาว
