GDPR คืออะไร? แล้วมันต่างจาก ISO 27001 ยังไงกันนะ?

มีใครได้รับ email เกี่ยวกับ GDPR จาก Facebook หรือ Application อื่น ๆ บ้างไหม?

ทุกคนอาจจะสงสัยว่า เจ้า GDPR เนี่ยมันคืออะไร แล้วทำไมจะต้องมีการส่งข้อความมาถึงเราด้วย

จุดเริ่มต้นก็เริ่มจากที่คุณ Mark Zuckerberg เค้าโดนเรียกตัวไปสอบสวนจากเรื่องที่มีการร้องเรียนว่า Facebook มีการแอบเก็บข้อมูลส่วนตัวไปใช้เพื่อประโยชน์อื่น ๆ ซึ่งที่เราเห็นโฆษณาตามเว็บหรือบน Facebook แล้วรู้สึกแปลกใจว่า ทำไมมันตรงกับที่เราเคยคุย เคยค้นหา กำลังอยากได้ หรือน่าสนใจดี

นั่นเป็นเพราะว่าบริการอย่าง Facebook เค้ามีการเก็บข้อมูลส่วนตัวของเราผ่านทุกสิ่งอย่างที่เราใช้งาน ไม่ว่าจะมือถือ คอม หรืออุปกรณ์ใด ๆที่ต่ออินเทอร์เน็ต และเค้าเข้าไปแทรกซึมได้ รวมถึงการดักฟังสิ่งที่เราคุยๆกันอยู่เลยด้วยซ้ำ และเอาข้อมูลวิเคราะห์จนรู้ได้ว่า เราน่าจะชอบสิ่งนั้นสิ่งนี้ แล้วก็เลยเป็นเหตุให้เข้าสู่กระบวนการสอบสวนเกิดขึ้น ซึ่งพอกฎหมายตัวนี้เริ่มมีผลประกาศบังคับใช้ เราจึงได้รับอีเมลล์แจ้งจาก Application ต่างๆ ให้ยอมรับเงื่อนไขและยินยอมให้ใช้ข้อมูลนั่นเอง

GDPR คืออะไรน๊า?

GDPR หรือ General Data Protection Regulation คือ กฎหมายที่ทาง สหภาพยุโรป (EU: European Union) ออกเพื่อมาบังคับใช้ใน 28 ประเทศที่เป็นสมาชิก โดยมีผลบังคับใช้ในวันศุกร์ที่ 25 พฤษภาคม 2018 เพื่อปกป้องข้อมูลส่วนบุคคล โดยมีการเปลี่ยนแปลงข้อตกลงของบริษัทต่างๆ ในการจัดเก็บ, บันทึก และประมวลผลข้อมูลจำนวนมากที่มาจากประชากรที่อยู่ใน EU โดยมีการกำหนดให้เปิดเผยว่าข้อมูลที่บริษัทจะจัดเก็บไปมีอะไรบ้าง และพวกเขาจะนำข้อมูลดังกล่าวไปใช้ใครต่อหรือไม่ ถ้าเพื่อนๆ คนไหนสนใจ อยากได้ข้อมูลเพิ่มเติม สามารถเข้าไปอ่านเพิ่มเติมได้ที่ https://techsauce.co/tech-and-biz/what-is-gdpr-eu-privacy-regulation/ เท่านี้ เพื่อนๆก็จะทราบถึงบทลงโทษ และรายละเอียดอื่นๆ ค่ะ

แต่เอ๊ะ! ปกติเคยเห็นเค้าพูดกันถึงเรื่อง ISO 27001 มันใช่เรื่องเดียวกันไหมนะ?

จริงๆแล้ว การที่บริษัทต่างๆ มีการทำตามข้อกำหนดของ ISO 27001 และได้รับการรับรองตัวมาตรฐานดังกล่าวแล้ว ก็เป็นใบเบิกทางเพื่อให้สามารถทำตามกฎของ GDPR ได้โดยง่าย

ซึ่ง ISO 27001 หรือ information security management system นั้นเป็นมาตรฐานการปฏิบัติที่ดีที่สุดในระดับสากลสำหรับการรักษาความปลอดภัยข้อมูลและเป็นมาตรฐานที่มีการรับรองซึ่งครอบคลุมกว้างและครอบคลุมทั้งสามด้านที่สำคัญของระบบการรักษาความปลอดภัยข้อมูลที่ครอบคลุม ได้แก่ คน, กระบวนการ และเทคโนโลยี ด้วยการใช้มาตรการในการกำหนดให้มีการสนับสนุนโดยผู้นำและผู้บริหาร ให้มีการกำหนดข้อบังคับต่างๆ รวมอยู่ในวัฒนธรรมและกลยุทธ์ขององค์กร เพื่อให้มีการตรวจสอบปรับปรุงและทบทวนอย่างต่อเนื่อง และให้มั่นใจได้ว่า ISMS สามารถปรับเปลี่ยนได้ทั้งในด้านสิ่งแวดล้อมและภายในองค์กรเพื่อระบุและลดความเสี่ยงอย่างต่อเนื่อง

จะเห็นได้ว่าตอนนี้ผู้ให้บริการในระบบ Cloud ต่างให้ความสนใจและตรวจสอบเพื่อรับรองระบบในมาตรฐาน ISO 27001 และ ISO 27018 กันเยอะมาก และ Chatbot Engine ของเราก็นำไปฝากไว้กับบริการ Cloud Service ที่ผ่านการรับรองมาตรฐาน ISO 27001 และนี่ก็ทำให้มั่นใจได้ว่า ข้อมูลที่เป็นข้อมูลส่วนตัวของเรา จะไม่รั่วไหลไปไหนแน่นอน!!

ที่มา : https://www.itgovernance.co.uk/blog/how-iso-27001-can-help-to-achieve-gdpr-compliance/