ในช่วงท้ายของปีที่แล้ว บริษัทต่างๆ ต่างพยายามปรับปรุงแนวทางปฏิบัติในการปกป้องข้อมูลของตน อันที่จริง บางบริษัทถูกปรับเนื่องจากการไม่ปฏิบัติตามข้อกำหนด อย่างไรก็ตาม หลังจากปรับแต่งมาเป็นเวลานาน ข้อกำหนดของ GDPR ก็ได้ถูกกำหนดให้เป็นมาตรฐานในโปรแกรมการปฏิบัติตามข้อกำหนดที่มีอยู่แล้ว
สิ่งที่หลายบริษัทไม่เตรียมรับมือคือการโจมตีผู้บริโภคที่ใช้สิทธิของตนภายใต้ระบอบการปกครองใหม่ ภายใต้ PMP ผู้บริโภคสามารถยื่นคำขอเข้าถึงเรื่องกับองค์กรเพื่อพิจารณาว่าองค์กรนั้นกำลังประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับพวกเขาหรือไม่ และหากเป็นเช่นนั้น ให้ระบุชื่อของคู่กรณี ที่มันถูกแบ่งปัน ได้รับการแบ่งปัน
อันที่จริง นี่เป็นเพียงคำถามการวิจัยบางส่วนที่ผู้ใช้ซึ่งเป็นเจ้าของข้อมูลสามารถถามหาคำตอบได้ นอกจากนี้ เมื่อส่ง SAR ไปยังองค์กรแล้ว องค์กรมีหน้าที่ตามกฎหมายในการปฏิบัติตามคำขอ เรียกข้อมูล และตอบสนองต่อเจ้าของข้อมูลอย่างเป็นทางการ ทั้งหมดนี้ภายในระยะเวลาที่กำหนด หนึ่งเดือน
คำขอเข้าถึงเรื่อง
SAR กลายเป็นปัญหาที่ยุ่งยากสำหรับผู้ควบคุมข้อมูลที่พยายามรับมือกับความต้องการของลูกค้าจำนวนมาก มีหลายปัจจัยที่รับผิดชอบต่อสิ่งนี้:
ประการแรก มันไม่ง่ายเลยที่จะตัดสินว่าอะไรคือ SAR; กฎระเบียบดังกล่าวให้อำนาจผู้มีส่วนได้ส่วนเสียในการกำหนดคำขอตามที่เห็นสมควร ไม่ว่าจะเป็นคำขอที่เขียนด้วยลายมือ การสื่อสารด้วยวาจาหรือดิจิทัล ตั้งแต่อีเมลไปจนถึงทวีต เนื่องจากขาดโครงสร้างและมาตรฐาน ทำให้ยากต่อการระบุและแบ่งกลุ่ม SAR ในลักษณะที่ปรับขนาดได้ องค์กรอาจไม่สามารถตอบสนองหรือดำเนินการได้ทันเวลา
ประการที่สอง การดึงข้อมูลที่ขอให้ตอบคำถามอย่างถูกต้องในรายงานการตรวจสอบมีความสำคัญอยู่แล้ว ที่จริงแล้ว ผู้เชี่ยวชาญด้านการปฏิบัติตามกฎดูเหมือนกังวลมากขึ้นเรื่อยๆ ว่าในระยะยาวจะไม่ยั่งยืนที่จะทุ่มเททรัพยากรในปริมาณที่ไม่สมส่วนเพื่อจัดการการดำเนินงาน SAR ในความเป็นจริง องค์กรหลายแห่งได้ขอให้หน่วยงานกำกับดูแลเพื่อความชัดเจนมากขึ้นว่าพวกเขาสามารถเริ่มเรียกเก็บเงิน RAS ให้กับลูกค้าได้หรือไม่หากคำขอนั้นถือว่ามากเกินไป
และมีข้อกังวลประการที่สามที่ต้องให้ความสนใจเป็นพิเศษคือ การตรวจสอบตัวตนของผู้ส่งคำขอ การเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีการตรวจสอบตัวตนของบุคคลที่อ้างว่าเป็นบุคคลนั้นสามารถส่งผลร้ายได้ อันที่จริง การปฏิบัติต่อ SAR ที่ฉ้อโกงและการเปิดเผยข้อมูลส่วนบุคคลต่อผู้ขโมยข้อมูลประจำตัวจะบ่อนทำลายแนวคิดในการปกป้องข้อมูลที่ GDPR พยายามจะรักษาไว้ องค์กรต้องตรวจสอบให้แน่ใจว่าบุคคลที่ดำเนินการ SR นั้นไม่ปรากฏว่าเป็นบุคคลที่เกี่ยวข้องกับการขโมยข้อมูลส่วนบุคคล
เครดิตรูปภาพ: Shutterstock
(ภาพ: © Pexels)
การตรวจสอบตัวตนของผู้ใช้
ย่อมมีบางกรณีที่ไม่สามารถรับรองความถูกต้องของบุคคลที่ตั้งค่า SAR โดยใช้ข้อมูลที่เก็บไว้โดยผู้ควบคุมข้อมูล ซึ่งเป็นกรณีที่พบไม่บ่อยแต่ไม่ธรรมดาที่บุคคลนั้นสูญเสียตัวระบุ เชื่อมต่อหรือไม่สามารถเข้าถึงอีเมลที่ใช้สร้างบัญชีได้อีกต่อไป ในสถานการณ์เช่นนี้ องค์กรอาจพิจารณาแนวทางที่อิงตามความเสี่ยงในการพิจารณาว่าบุคคลที่ดำเนินการ RSA นั้นเป็นบุคคลที่เกี่ยวข้องหรือไม่
เมื่อมองย้อนกลับไป ดูเหมือนว่าในขณะที่องค์กรต่างๆ วางมาตรการควบคุมอย่างรวดเร็วและจัดระเบียบโปรแกรมการปกป้องข้อมูลใหม่เพื่อให้กลายเป็นการร้องเรียน GDPR ความสำคัญของการตรวจสอบ SAR ก็ถูกฝังไว้ภายใต้ความกังวลเร่งด่วนอื่นๆ . ตอนนี้องค์กรมีเวลาหนึ่งปีในการปรับตัวให้เข้ากับสภาพแวดล้อมใหม่ที่เน้น GDPR ความสำคัญของความถูกต้องของตัวตนของบุคคลที่ดำเนินการ RAD จะไม่ถูกมองข้ามอีกต่อไป
Zac Cohen ผู้จัดการทั่วไปของ ทรูลิโอ
