ເຖິງແມ່ນວ່າຫຼັງຈາກນັ້ນຫຼາຍປີນັບຕັ້ງແຕ່ການປະຕິບັດກົດຫມາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນທົ່ວໄປ (LGPD) ໃນປະເທດບຣາຊິນ, ບໍລິສັດຈໍານວນຫຼາຍຍັງສືບຕໍ່ລະເມີດກົດຫມາຍ. LGPD, ເຊິ່ງມີຜົນບັງຄັບໃຊ້ໃນເດືອນກັນຍາ 2020, ຖືກສ້າງຂຶ້ນໂດຍມີຈຸດປະສົງເພື່ອປົກປ້ອງຂໍ້ມູນສ່ວນຕົວຂອງພົນລະເມືອງບຣາຊິນ, ສ້າງກົດລະບຽບທີ່ຊັດເຈນກ່ຽວກັບວິທີທີ່ບໍລິສັດຄວນເກັບກໍາ, ເກັບຮັກສາ, ແລະປະມວນຜົນຂໍ້ມູນນີ້. ເຖິງຢ່າງໃດກໍຕາມ, ເຖິງວ່າເວລາໄດ້ຜ່ານໄປແລ້ວ, ແຕ່ບໍລິສັດຫຼາຍແຫ່ງຍັງມີຄວາມຄືບໜ້າໜ້ອຍໜຶ່ງໃນການປະຕິບັດກົດໝາຍ.
ບໍ່ດົນມານີ້, ອົງການປົກປ້ອງຂໍ້ມູນແຫ່ງຊາດ (ANPD) ໄດ້ເພີ່ມທະວີການຕິດຕາມກວດກາຂອງບໍລິສັດທີ່ບໍ່ມີເຈົ້າຫນ້າທີ່ປົກປ້ອງຂໍ້ມູນ (DPO). ການຂາດ DPO ແມ່ນຫນຶ່ງໃນການລະເມີດຕົ້ນຕໍທີ່ຖືກກໍານົດ, ຍ້ອນວ່າຜູ້ຊ່ຽວຊານດ້ານນີ້ເປັນສິ່ງຈໍາເປັນເພື່ອຮັບປະກັນວ່າບໍລິສັດປະຕິບັດຕາມ LGPD (ກົດຫມາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນທົ່ວໄປຂອງ Brazil). DPO ເຮັດຫນ້າທີ່ເປັນຕົວກາງລະຫວ່າງບໍລິສັດ, ວິຊາຂໍ້ມູນ, ແລະ ANPD, ມີຄວາມຮັບຜິດຊອບໃນການຕິດຕາມການປະຕິບັດຕາມນະໂຍບາຍການປົກປ້ອງຂໍ້ມູນແລະຊີ້ນໍາອົງການຈັດຕັ້ງກ່ຽວກັບການປະຕິບັດທີ່ດີທີ່ສຸດ.
ແລະຂໍ້ມູນນີ້ອາດຈະເປັນພຽງແຕ່ "ປາຍຂອງກ້ອນຫີນ." ໃນຄວາມເປັນຈິງ, ບໍ່ມີໃຜຮູ້ຈໍານວນບໍລິສັດທີ່ແນ່ນອນທີ່ຍັງບໍ່ທັນໄດ້ປະຕິບັດຕາມກົດຫມາຍ. ບໍ່ມີການສໍາຫຼວດຢ່າງເປັນທາງການດຽວທີ່ລວບລວມຕົວເລກທີ່ແນ່ນອນຂອງບໍລິສັດທັງຫມົດທີ່ບໍ່ໄດ້ປະຕິບັດຕາມ LGPD (ກົດຫມາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນທົ່ວໄປຂອງ Brazil). ການຄົ້ນຄວ້າເອກະລາດຊີ້ໃຫ້ເຫັນວ່າ, ໂດຍທົ່ວໄປ, ອັດຕາສ່ວນອາດຈະແຕກຕ່າງກັນລະຫວ່າງ 60% ແລະ 70% ຂອງບໍລິສັດ Brazilian, ໂດຍສະເພາະໃນບັນດາວິສາຫະກິດຂະຫນາດນ້ອຍແລະຂະຫນາດກາງ. ໃນກໍລະນີຂອງບໍລິສັດຂະຫນາດໃຫຍ່, ຈໍານວນແມ່ນສູງຂຶ້ນ, ເຖິງ 80%.
ເປັນຫຍັງການຂາດ DPO ຈຶ່ງເຮັດໃຫ້ມີຄວາມແຕກຕ່າງ.
ໃນປີ 2024, Brazil ຈະລື່ນກາຍ 700 ລ້ານການໂຈມຕີທາງອິນເຕີເນັດແນ່ນອນ. ຄາດວ່າມີການໂຈມຕີເກືອບ 1,400 ເທື່ອຕໍ່ນາທີ, ແລະແນ່ນອນ, ບໍລິສັດຕ່າງໆແມ່ນເປົ້າໝາຍຕົ້ນຕໍຂອງອາດຊະຍາກຳ. ອາດຊະຍາກຳເຊັ່ນ ransomware – ເຊິ່ງປົກກະຕິແລ້ວ ຂໍ້ມູນຖືກຖືເປັນ “ຕົວປະກັນ” ແລະ ບໍລິສັດຕ້ອງຈ່າຍເງິນຈຳນວນຫຼວງຫຼາຍເພື່ອປ້ອງກັນການພິມເຜີຍແຜ່ທາງອິນເຕີເນັດ – ໄດ້ກາຍເປັນເລື່ອງທຳມະດາ. ແຕ່ດົນປານໃດລະບົບ - ຜູ້ຖືກເຄາະຮ້າຍແລະຜູ້ປະກັນໄພ - ສາມາດທົນຕໍ່ການໂຈມຕີຈໍານວນດັ່ງກ່າວ?
ບໍ່ມີວິທີທີ່ຈະຕອບຄໍາຖາມນີ້ຢ່າງຖືກຕ້ອງ, ໂດຍສະເພາະໃນເວລາທີ່ຜູ້ຖືກເຄາະຮ້າຍເອງບໍ່ໄດ້ດໍາເນີນການທີ່ຈໍາເປັນເພື່ອປົກປ້ອງຂໍ້ມູນຂອງພວກເຂົາ. ການຂາດຜູ້ຊ່ຽວຊານທີ່ສຸມໃສ່ການປົກປ້ອງຂໍ້ມູນ, ຫຼື, ໃນບາງສະຖານະການ, ເມື່ອຜູ້ຮັບຜິດຊອບພື້ນທີ່ສະສົມຫຼາຍຫນ້າທີ່ພວກເຂົາບໍ່ສາມາດປະຕິບັດກິດຈະກໍານີ້ຢ່າງພໍໃຈ, ເຮັດໃຫ້ສະຖານະການນີ້ຮ້າຍແຮງຂຶ້ນ.
ມັນເປັນທີ່ຊັດເຈນວ່າການແຕ່ງຕັ້ງເຈົ້າຫນ້າທີ່ປົກປ້ອງຂໍ້ມູນ, ໂດຍຕົວມັນເອງ, ບໍ່ໄດ້ແກ້ໄຂສິ່ງທ້າທາຍການປະຕິບັດຕາມທັງຫມົດ, ແຕ່ມັນສະແດງໃຫ້ເຫັນວ່າບໍລິສັດມີຄວາມມຸ່ງຫມັ້ນທີ່ຈະສ້າງໂຄງສ້າງຊຸດການປະຕິບັດທີ່ສອດຄ່ອງກັບ LGPD (Brazilian General Data Protection Law). ຢ່າງໃດກໍ່ຕາມ, ການຂາດການຈັດລໍາດັບຄວາມສໍາຄັນນີ້ບໍ່ພຽງແຕ່ສະທ້ອນໃຫ້ເຫັນເຖິງຄວາມເປັນໄປໄດ້ຂອງການລົງໂທດ, ແຕ່ຍັງມີຄວາມສ່ຽງທີ່ແທ້ຈິງຂອງເຫດການຄວາມປອດໄພ, ເຊິ່ງຈະສ້າງການສູນເສຍຢ່າງຫຼວງຫຼາຍ. ການປັບໃໝທີ່ໃຊ້ໄດ້ໂດຍ ANPD (ອົງການປົກປ້ອງຂໍ້ມູນແຫ່ງຊາດ) ແມ່ນພຽງແຕ່ສ່ວນຫນຶ່ງຂອງບັນຫາ, ຍ້ອນວ່າການສູນເສຍທີ່ບໍ່ມີຕົວຕົນ, ເຊັ່ນຄວາມເຊື່ອຫມັ້ນໃນຕະຫຼາດ, ອາດຈະເຈັບປວດຫຼາຍ. ໃນສະພາບການນີ້, ການກວດກາຢ່າງເຂັ້ມງວດແມ່ນເຫັນວ່າເປັນການດໍາເນີນການທີ່ຈໍາເປັນເພື່ອເສີມສ້າງກົນໄກການປະຕິບັດຕາມແລະຊຸກຍູ້ໃຫ້ອົງການຈັດຕັ້ງຈັດລໍາດັບຄວາມສໍາຄັນຂອງຄວາມເປັນສ່ວນຕົວຂອງຫົວຂໍ້ຂໍ້ມູນ.
ທ່ານຄວນຈ້າງ DPO ຫຼື outsource ບໍ?
ການຈ້າງ DPO ເຕັມເວລາສາມາດເປັນວຽກທີ່ສັບສົນ, ເພາະວ່າບໍ່ມີຄວາມຕ້ອງການຫຼືຄວາມສົນໃຈໃນການຈັດສັນຊັບພະຍາກອນພາຍໃນໃຫ້ກັບບົດບາດນີ້ສະເຫມີ.
ໃນຄວາມຫມາຍນີ້, outsourcing ໄດ້ຖືກຊີ້ໃຫ້ເຫັນເປັນການແກ້ໄຂສໍາລັບບໍລິສັດທີ່ຕ້ອງການທີ່ຈະປະຕິບັດຕາມກົດຫມາຍຢ່າງມີປະສິດຕິຜົນ, ແຕ່ບໍ່ມີໂຄງສ້າງຫຼືຊັບພະຍາກອນຂະຫນາດໃຫຍ່ເພື່ອຮັກສາທີມງານຫຼາຍວິຊາທີ່ສຸມໃສ່ການປົກປ້ອງຂໍ້ມູນ. ເມື່ອຫັນໄປຫາຜູ້ໃຫ້ບໍລິການພິເສດ, ບໍລິສັດໄດ້ເຂົ້າເຖິງຜູ້ຊ່ຽວຊານທີ່ມີປະສົບການຫຼາຍຂຶ້ນໃນການຈັດການກັບຄວາມຕ້ອງການຂອງ LGPD (ກົດຫມາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນທົ່ວໄປຂອງປະເທດບຣາຊິນ) ໃນຂະແຫນງການຕະຫຼາດຕ່າງໆ. ຍິ່ງໄປກວ່ານັ້ນ, ດ້ວຍພາກສ່ວນທີ່ຮັບຜິດຊອບພາຍນອກ, ບໍລິສັດເລີ່ມເບິ່ງການປົກປ້ອງຂໍ້ມູນເປັນສິ່ງທີ່ປະສົມປະສານເຂົ້າໃນຍຸດທະສາດຂອງຕົນ, ແທນທີ່ຈະເປັນບັນຫາດຽວທີ່ໄດ້ຮັບຄວາມສົນໃຈພຽງແຕ່ເມື່ອມີການແຈ້ງເຕືອນມາຮອດຫຼືເມື່ອການລະເມີດຂໍ້ມູນເກີດຂື້ນ.
ນີ້ປະກອບສ່ວນໃນການສ້າງຂະບວນການທີ່ເຂັ້ມແຂງໂດຍບໍ່ຈໍາເປັນຕ້ອງມີການລົງທຶນຂະຫນາດໃຫຍ່ໃນການຈ້າງງານ, ການຝຶກອົບຮົມ, ແລະການຮັກສາພອນສະຫວັນ. Outsourcing ເຈົ້າຫນ້າທີ່ປົກປ້ອງຂໍ້ມູນເກີນກວ່າການແຕ່ງຕັ້ງຄົນພາຍນອກ. ຜູ້ໃຫ້ບໍລິການປົກກະຕິສະຫນອງການໃຫ້ຄໍາປຶກສາຢ່າງຕໍ່ເນື່ອງ, ດໍາເນີນກິດຈະກໍາແຜນທີ່ຄວາມສ່ຽງແລະການວິເຄາະ, ການຊ່ວຍເຫຼືອໃນການພັດທະນານະໂຍບາຍພາຍໃນ, ດໍາເນີນການຝຶກອົບຮົມທີມງານ, ແລະຕິດຕາມວິວັດທະນາຂອງນິຕິກໍາແລະກົດລະບຽບ ANPD.
ນອກຈາກນັ້ນ, ມີປະໂຫຍດຈາກການມີທີມງານທີ່ມີປະສົບການໃນກໍລະນີປະຕິບັດແລ້ວ, ເຊິ່ງຊ່ວຍຫຼຸດຜ່ອນເສັ້ນໂຄ້ງການຮຽນຮູ້ແລະຊ່ວຍປ້ອງກັນເຫດການທີ່ອາດຈະນໍາໄປສູ່ການປັບໄຫມຫຼືຄວາມເສຍຫາຍຕໍ່ຊື່ສຽງ.
ຄວາມຮັບຜິດຊອບຂອງ DPO ພາຍນອກຂະຫຍາຍໄປໄກປານໃດ?
ມັນເປັນສິ່ງສໍາຄັນທີ່ຈະເນັ້ນຫນັກວ່າ outsourcing ບໍ່ໄດ້ຍົກເວັ້ນອົງການຈັດຕັ້ງຈາກຄວາມຮັບຜິດຊອບທາງດ້ານກົດຫມາຍຂອງຕົນ. ແນວຄວາມຄິດແມ່ນວ່າບໍລິສັດຮັກສາຄວາມມຸ່ງຫມັ້ນທີ່ຈະຮັບປະກັນຄວາມປອດໄພຂອງຂໍ້ມູນທີ່ມັນເກັບກໍາແລະຂະບວນການ, ຍ້ອນວ່າກົດຫມາຍ Brazilian ເຮັດໃຫ້ມັນຊັດເຈນວ່າຄວາມຮັບຜິດຊອບຕໍ່ເຫດການບໍ່ໄດ້ຕົກຢູ່ໃນເຈົ້າຫນ້າທີ່ປົກປ້ອງຂໍ້ມູນ, ແຕ່ຢູ່ໃນສະຖາບັນທັງຫມົດ.
Outsourcing ສະຫນອງການສະຫນັບສະຫນູນດ້ານວິຊາຊີບທີ່ເຂົ້າໃຈຂັ້ນຕອນທີ່ຈໍາເປັນເພື່ອເຮັດໃຫ້ອົງການຈັດຕັ້ງປະຕິບັດຕາມ LGPD (Brazilian General Data Protection Law). ການປະຕິບັດການມອບໂອນວຽກງານປະເພດນີ້ໃຫ້ກັບຄູ່ຮ່ວມງານພາຍນອກແມ່ນໄດ້ຖືກຮັບຮອງເອົາແລ້ວໃນປະເທດອື່ນໆທີ່ການປົກປ້ອງຂໍ້ມູນໄດ້ກາຍເປັນຈຸດສໍາຄັນໃນການຄຸ້ມຄອງຄວາມສ່ຽງແລະການຄຸ້ມຄອງບໍລິສັດ. ສໍາລັບຕົວຢ່າງ, ສະຫະພາບເອີຣົບກັບກົດລະບຽບການປົກປ້ອງຂໍ້ມູນທົ່ວໄປ (GDPR), ຮຽກຮ້ອງໃຫ້ບໍລິສັດຈໍານວນຫຼາຍແຕ່ງຕັ້ງເຈົ້າຫນ້າທີ່ປົກປ້ອງຂໍ້ມູນ. ຢູ່ທີ່ນັ້ນ, ບໍລິສັດຈໍານວນຫນຶ່ງໄດ້ເລືອກທີ່ຈະ outsource ການບໍລິການນີ້ໂດຍການຈ້າງທີ່ປຶກສາພິເສດ, ນໍາເອົາ ຄວາມຊໍານານ "ພາຍໃນ" ໂດຍບໍ່ມີການສ້າງພະແນກທັງຫມົດສໍາລັບມັນ.
ອີງຕາມນິຕິກໍາ, ຜູ້ຄຸມງານຕ້ອງມີຄວາມເປັນເອກະລາດເພື່ອລາຍງານຄວາມລົ້ມເຫລວແລະສະເຫນີການປັບປຸງ, ແລະບາງຄໍາແນະນໍາຂອງສາກົນແນະນໍາວ່າຜູ້ຊ່ຽວຊານຄວນຈະບໍ່ມີຄວາມກົດດັນພາຍໃນທີ່ຈໍາກັດຄວາມສາມາດໃນການຄວບຄຸມຂອງພວກເຂົາ. ບໍລິສັດທີ່ປຶກສາທີ່ໃຫ້ບໍລິການນີ້ພັດທະນາສັນຍາແລະວິທີການເຮັດວຽກທີ່ຮັບປະກັນຄວາມເປັນເອກະລາດປະເພດນີ້, ຮັກສາການສື່ສານທີ່ໂປ່ງໃສກັບຜູ້ຈັດການແລະສ້າງເງື່ອນໄຂການຄຸ້ມຄອງທີ່ຊັດເຈນ.
ກົນໄກນີ້ປົກປ້ອງທັງບໍລິສັດແລະຜູ້ປະກອບອາຊີບຂອງຕົນເອງ, ຜູ້ທີ່ຕ້ອງການສິດເສລີພາບໃນການຊີ້ໃຫ້ເຫັນຈຸດອ່ອນເຖິງແມ່ນວ່າຈະໄປຕໍ່ກັບການປະຕິບັດທີ່ຖືກສ້າງຕັ້ງຂຶ້ນພາຍໃນຂະແຫນງການຫຼືພະແນກໃດຫນຶ່ງ.
ການກວດສອບທີ່ເພີ່ມຂຶ້ນໂດຍ ANPD (ອົງການປົກປ້ອງຂໍ້ມູນແຫ່ງຊາດ) ແມ່ນສັນຍານວ່າສະພາບອາກາດຂອງຄວາມທົນທານກໍາລັງເຮັດໃຫ້ຈຸດຢືນທີ່ຫນັກແຫນ້ນ, ແລະຜູ້ທີ່ເລືອກທີ່ຈະບໍ່ແກ້ໄຂບັນຫານີ້ໃນປັດຈຸບັນອາດຈະປະເຊີນກັບຜົນສະທ້ອນທີ່ຮ້າຍແຮງກວ່າເກົ່າໃນອະນາຄົດທີ່ບໍ່ໄກເກີນໄປ.
ສໍາລັບບໍລິສັດທີ່ຊອກຫາເສັ້ນທາງທີ່ປອດໄພກວ່າ, ການອອກແຮງງານແມ່ນທາງເລືອກທີ່ມີຄວາມສາມາດດຸ່ນດ່ຽງຄ່າໃຊ້ຈ່າຍ, ປະສິດທິພາບ, ແລະຄວາມຫນ້າເຊື່ອຖື. ດ້ວຍການຮ່ວມມືປະເພດນີ້, ມັນເປັນໄປໄດ້ທີ່ຈະແກ້ໄຂຊ່ອງຫວ່າງໃນສະພາບແວດລ້ອມພາຍໃນແລະໂຄງສ້າງການປະຕິບັດຕາມປົກກະຕິທີ່ຈະປົກປ້ອງບໍລິສັດຈາກທັງການລົງໂທດແລະຄວາມສ່ຽງທີ່ກ່ຽວຂ້ອງກັບການຂາດຄວາມໂປ່ງໃສແລະຄວາມປອດໄພກ່ຽວກັບຂໍ້ມູນສ່ວນບຸກຄົນພາຍໃຕ້ຄວາມຮັບຜິດຊອບຂອງຕົນ.
