ความท้าทายด้านความเป็นส่วนตัวและการปกป้องข้อมูลในโลกยุคโควิดและหลังโรคระบาด
เผยแพร่แล้ว: 2020-09-04การเปลี่ยนแปลงทางดิจิทัลอย่างกะทันหันที่เกิดจากผลกระทบของ Covid-19 ถือเป็นความท้าทายที่สำคัญในการปฏิบัติตาม
องค์กรส่วนใหญ่ไม่มีความเข้าใจพื้นฐานเกี่ยวกับข้อมูลที่รวบรวม นับประสาเหตุผลและวัตถุประสงค์ของการรวบรวมดังกล่าว
กรอบกฎหมายความเป็นส่วนตัวและการคุ้มครองข้อมูลของอินเดียกำลังจะก้าวกระโดดในรูปแบบของร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลปี 2019
การระบาดใหญ่ของ Covid-19 ได้หยุดชะงักลงอย่างมากและยังคงรบกวนการทำงานของบุคคล รัฐบาล และองค์กร ในทุกวิถีทางของชีวิต การสำแดงที่ยิ่งใหญ่ที่สุดของการหยุดชะงักนี้เห็นได้จากการนำโซลูชันทางเทคโนโลยีมาใช้ที่เพิ่มขึ้นเพื่อจัดการกับความท้าทายที่โรคระบาดนี้กำลังวางตัว
สาระสำคัญของกฎหมายปัจจุบัน
พระราชบัญญัติเทคโนโลยีสารสนเทศ 2000 (พระราชบัญญัติไอที) ที่อ่านพร้อมกับกฎเทคโนโลยีสารสนเทศ (แนวทางปฏิบัติและขั้นตอนด้านความปลอดภัยที่เหมาะสมและข้อมูลส่วนบุคคลหรือข้อมูลที่ละเอียดอ่อน) กฎ 2011 (กฎข้อมูลส่วนบุคคลที่ละเอียดอ่อน) เป็นกฎหมายหลักที่ควบคุมการรวบรวมและการประมวลผลข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่ละเอียดอ่อน ข้อมูลหรือข้อมูล (Sensitive Personal Data) บนพื้นฐานภาคกลาง
กฎข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนกำหนดสิ่งต่อไปนี้เป็นข้อมูลส่วนบุคคลที่ละเอียดอ่อนเป็นหลัก:
- รหัสผ่าน
- ข้อมูลทางการเงินเช่นบัญชีธนาคารหรือบัตรเครดิตหรือบัตรเดบิตหรือรายละเอียดเครื่องมือการชำระเงินอื่น ๆ
- สภาพร่างกาย ร่างกาย และจิตใจ
- รสนิยมทางเพศ
- เวชระเบียนและประวัติ
- ข้อมูลไบโอเมตริกซ์
ข้อมูลส่วนบุคคลที่ละเอียดอ่อนอาจถูกรวบรวมโดยองค์กรโดยปฏิบัติตามข้อกำหนดของกฎข้อมูลส่วนบุคคลที่ละเอียดอ่อนรวมถึงการได้รับความยินยอมจากผู้ให้บริการข้อมูล
ความท้าทายด้านการปฏิบัติตามกฎระเบียบที่นำโดย Covid-19
การเปลี่ยนแปลงทางดิจิทัลอย่างกะทันหันที่เกิดจากผลกระทบของ Covid-19 ถือเป็นความท้าทายที่สำคัญในการปฏิบัติตาม โดยพิจารณาจากแนวโน้มทั่วไปเกี่ยวกับการปฏิบัติตามข้อกำหนดเกี่ยวกับความเป็นส่วนตัวของข้อมูลในอินเดีย ด้วยการทำงานทางไกลจากสถานการณ์โควิด-19 ความเป็นส่วนตัวของข้อมูล ความปลอดภัย และการจัดการได้กลายเป็นข้อกังวลอย่างมากสำหรับองค์กรส่วนใหญ่ เนื่องจากขาดความสามารถในการจัดการกับความเป็นส่วนตัวของข้อมูลและการปกป้อง
แนะนำสำหรับคุณ:
วิธีการตั้งค่ากรอบงานผู้รวบรวมบัญชีของ RBI เพื่อเปลี่ยน Fintech ในอินเดีย
ผู้ประกอบการไม่สามารถสร้างการเริ่มต้นที่ยั่งยืนและปรับขนาดได้ผ่าน 'Jugaad': Cit...
Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร
บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?
Edtech Startups ช่วยให้แรงงานอินเดียเพิ่มพูนทักษะและเตรียมพร้อมสู่อนาคตได้อย่างไร...
หุ้นเทคโนโลยียุคใหม่ในสัปดาห์นี้: ปัญหาของ Zomato ยังคงดำเนินต่อไป, EaseMyTrip Posts Stro...
นอกจากนี้ ยังมีมาตรการบางอย่างที่ได้ดำเนินไปเนื่องจากสถานการณ์โควิด-19 เช่น การบันทึกอุณหภูมิและคัดกรองพนักงานและผู้มาเยี่ยมเยือน แต่ส่วนใหญ่ ได้ดำเนินการโดยไม่มีการป้องกันและการปฏิบัติตามอย่างเหมาะสม ประเด็นที่น่ากังวลอีกประการหนึ่งคือการขาดการลงทุนด้านความปลอดภัยทางไซเบอร์และการขาดบุคลากรที่มีความสามารถที่เกี่ยวข้องกับเรื่องต่างๆ เช่น ความปลอดภัยของข้อมูล
สิ่งที่สามารถทำได้?
การทำแผนที่ข้อมูล
องค์กรส่วนใหญ่ไม่มีแม้แต่ความเข้าใจพื้นฐานเกี่ยวกับข้อมูลที่รวบรวม นับประสาเหตุผลและวัตถุประสงค์ของการรวบรวมดังกล่าว สิ่งเหล่านี้อาจส่งผลเสียโดยเฉพาะอย่างยิ่งในภาคส่วนที่เน้นลูกค้าเป็นหลัก เช่น การค้าปลีกที่รวบรวมข้อมูลในอัตรานอต แต่ไม่มีแม้แต่การตรวจสอบข้อมูลเบื้องต้นเกี่ยวกับแนวทางปฏิบัติ แนวปฏิบัติพื้นฐานที่สามารถกำหนดรากฐานของระบบเสียงในการจัดการกับข้อมูลในองค์กรคือการวิเคราะห์ประเภทและควอนตัมของข้อมูลที่กำลังประมวลผลและจับคู่กับวัตถุประสงค์และหน่วยงานที่อาจจำเป็นต้องเข้าถึงข้อมูลดังกล่าว
คำถามที่ต้องพิจารณา
- ข้อมูลมีความสำคัญต่อธุรกิจอย่างไร? หากข้อมูลไม่จำเป็นสำหรับธุรกิจ เหตุใดจึงต้องมีการเก็บรวบรวมข้อมูล
- หากข้อมูลเป็นทรัพย์สินเช่นเดียวกับทรัพย์สินที่จับต้องได้ ใครควรมีสิทธิ์เข้าถึงและควรป้องกันข้อมูลภายในองค์กรอย่างไร?
การสร้างขีดความสามารถขององค์กร
ความเป็นส่วนตัวและการปกป้องข้อมูลเป็นสิ่งที่ดีที่สุดที่ไม่ควรคำนึงถึงในไซโล แม้ว่าจะเป็นไปโดยไม่ได้บอกว่าการสร้างความสับสนให้กับ CISO กับ CTO นั้นไม่ใช่ภาพสะท้อนที่ดีเป็นพิเศษเกี่ยวกับความสามารถขององค์กร แต่ท้ายที่สุดแล้ว ทุกคนที่มีส่วนร่วมโดยองค์กรจะต้องมีความอ่อนไหวในการทำความเข้าใจถึงคุณค่าของการปกป้องข้อมูล ขั้นตอนต่างๆ เช่น เซสชันการฝึกอบรมปกติและนโยบายที่ชัดเจนเกี่ยวกับการใช้อุปกรณ์และเครือข่ายภายในองค์กร อาจเป็นโซลูชันที่คุ้มค่าอย่างเหลือเชื่อสำหรับการปฏิบัติตามข้อกำหนด
คำถามที่ต้องพิจารณา
- มีนโยบายที่ครอบคลุมความรับผิดชอบของพนักงานในการรักษาความลับของข้อมูลกรรมสิทธิ์และข้อมูลลูกค้าหรือไม่?
- มีเมทริกซ์ความรับผิดชอบใด ๆ ที่แสดงถึงความรับผิดชอบที่ชัดเจนสำหรับบุคลากรเฉพาะสำหรับการปกป้องข้อมูลในองค์กรหรือไม่?
ความสำคัญต่อความปลอดภัยทางไซเบอร์
องค์กรมักกังวลใจกับค่าใช้จ่ายในการดำเนินการแก้ปัญหาดังกล่าว แต่ความพยายามใดๆ ในการปกป้องข้อมูลจะเป็นความพยายามที่เปล่าประโยชน์หากไม่มีพวกเขา สิ่งที่น่าสนใจคือ หลายองค์กรล้มเหลวในการพิจารณามาตรฐานความปลอดภัยทางไซเบอร์ที่ซัพพลายเออร์ด้านไอทีใช้ เช่น ผู้ให้บริการระบบคลาวด์ องค์กรที่ใช้ไอทีภายในองค์กรสามารถพิจารณาทำการวิเคราะห์ช่องว่างเพื่อทำความเข้าใจระดับการปฏิบัติตามที่มีอยู่และประเด็นที่พวกเขาขาดไป การทำเช่นนี้จะเป็นจุดเริ่มต้นในการตัดสินใจเกี่ยวกับระดับการปกป้องข้อมูลที่องค์กรสามารถดำเนินการได้ ในขณะที่ยังคงรักษาข้อกังวลทางการค้าที่เกี่ยวข้องไว้
คำถามที่ต้องพิจารณา
- มีกลไกใดในการตรวจสอบผู้ให้บริการไอที/คลาวด์สำหรับมาตรฐานความปลอดภัยทางไซเบอร์หรือไม่
- มีนโยบายและมาตรการที่ชัดเจนในกรณีของการละเมิด/การโจมตีทางไซเบอร์ เช่น เพื่อความต่อเนื่องทางธุรกิจและการกู้คืนหรือไม่?
บทสรุป
โควิด-19 ได้บีบบังคับให้องค์กรต้องก้าวกระโดดทางดิจิทัล และกำลังพิสูจน์แล้วว่าเป็นสิ่งที่ท้าทาย อย่างไรก็ตาม กรอบกฎหมายด้านความเป็นส่วนตัวและการคุ้มครองข้อมูลของอินเดียกำลังจะก้าวกระโดดในรูปแบบของร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลปี 2019 ซึ่งกำลังอยู่ในการพิจารณาของคณะกรรมการร่วมของรัฐสภา ตอนนี้เป็นช่วงเวลาที่สำคัญสำหรับองค์กรที่จะต้องพิจารณาปรับปรุงแนวทางปฏิบัติที่มีอยู่อย่างแข็งขันและเริ่มต้นเช้าวันใหม่ที่ธุรกิจของพวกเขาสามารถเจริญเติบโตได้เมื่อการระบาดใหญ่ของ Covid-19 อยู่เบื้องหลังเรา
[บทความนี้ร่วมเขียนโดย Supratim Chakraborty (Partner) และ Sumantra Bose (Senior Associate) ที่ Khaitan & Co]