ការលួចចូលទិន្នន័យកើតឡើងជារៀងរាល់ថ្ងៃនៅក្នុងប្រទេសហូឡង់។ នៅពេលដែលពួកគេធ្វើ នរណាម្នាក់ត្រូវតែយក ទំនួលខុសត្រូវ.
ក្រោមច្បាប់ហូឡង់ និង GDPR អង្គការដែលគ្រប់គ្រងទិន្នន័យផ្ទាល់ខ្លួនទទួលខុសត្រូវជាចម្បងក្នុងការការពារវា និងប្រឈមមុខនឹង ការទទួលខុសត្រូវដ៏សំខាន់ នៅពេលដែលការបំពានកើតឡើង។ ប្រសិនបើអាជីវកម្មរបស់អ្នកជួបប្រទះបញ្ហា ការវាយប្រហារតាមអ៊ីនធឺណិតអ្នកអាចប្រឈមមុខនឹងការពិន័យរហូតដល់ 20 លានអឺរ៉ូ ឬ 4% នៃចំណូលប្រចាំឆ្នាំសកលរបស់អ្នក អាស្រ័យលើចំនួនណាដែលខ្ពស់ជាង។
ការយល់ដឹងថាអ្នកណាជាអ្នកទទួលខុសត្រូវបន្ទាប់ពីការលួចទិន្នន័យគឺមានសារៈសំខាន់សម្រាប់អង្គការណាមួយដែលកំពុងប្រតិបត្តិការនៅក្នុងប្រទេសហូឡង់។ ចម្លើយមិនមែនតែងតែច្បាស់លាស់នោះទេ ព្រោះការទទួលខុសត្រូវអាចលាតសន្ធឹងហួសពីក្រុមហ៊ុនរបស់អ្នកដើម្បីរួមបញ្ចូលអ្នកផ្តល់សេវាកម្មភាគីទីបី និយោជិត និងភាគីផ្សេងទៀតដែលពាក់ព័ន្ធនឹងដំណើរការទិន្នន័យ។
អាជ្ញាធរការពារទិន្នន័យហូឡង់ និងនិយតករផ្សេងទៀតកំណត់ការទទួលខុសត្រូវដោយផ្អែកលើតួនាទីរបស់អ្នកជាអ្នកគ្រប់គ្រងទិន្នន័យ ឬអ្នកដំណើរការទិន្នន័យ វិធានការសុវត្ថិភាពដែលអ្នកមាន និងល្បឿនដែលអ្នកឆ្លើយតបទៅនឹងឧប្បត្តិហេតុនេះ។
អត្ថបទនេះបំបែកក្របខ័ណ្ឌច្បាប់ដែលគ្រប់គ្រងសន្តិសុខតាមអ៊ីនធឺណិតនៅក្នុងប្រទេសហូឡង់ និងពន្យល់ពីរបៀបដែលការទទួលខុសត្រូវត្រូវបានកំណត់បន្ទាប់ពីការរំលោភ។ អ្នកនឹងរៀនអំពីកាតព្វកិច្ចជូនដំណឹងរបស់អ្នក ការពិន័យដែលអ្នកប្រឈមមុខចំពោះការមិនអនុលោមតាម និងជំហានជាក់ស្តែងដែលអ្នកអាចអនុវត្តដើម្បីការពារអង្គការរបស់អ្នកពីការវាយប្រហារតាមអ៊ីនធឺណិត និងផលវិបាកផ្នែកច្បាប់។
ក្របខ័ណ្ឌច្បាប់សម្រាប់សន្តិសុខតាមអ៊ីនធឺណិត និងការការពារទិន្នន័យ
ប្រទេសហូឡង់ដំណើរការក្រោមច្បាប់សន្តិសុខតាមអ៊ីនធឺណិត និងការការពារទិន្នន័យច្រើនស្រទាប់ ដោយរួមបញ្ចូលគ្នានូវបទប្បញ្ញត្តិទូទាំងសហភាពអឺរ៉ុបជាមួយនឹងច្បាប់អនុវត្តជាតិ។ ច្បាប់ទាំងនេះបង្កើតកាតព្វកិច្ចច្បាស់លាស់សម្រាប់អង្គការនានាដែលដោះស្រាយទិន្នន័យផ្ទាល់ខ្លួន និងដំណើរការហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ។
ពួកគេបង្កើតតម្រូវការជាក់លាក់សម្រាប់វិស័យផ្សេងៗ រួមទាំងទូរគមនាគមន៍ ហិរញ្ញវត្ថុ និង ច្បាប់ ការពង្រឹង
បទប្បញ្ញត្តិការពារទិន្នន័យទូទៅ (GDPR) និងការអនុវត្តរបស់ប្រទេសហូឡង់
ចំពោះ GDPR បម្រើជាបឋម ក្របខ័ណ្ឌការពារទិន្នន័យ នៅទូទាំងសហភាពអឺរ៉ុប រួមទាំងប្រទេសហូឡង់ផងដែរ។ វាបង្កើតច្បាប់ដ៏ទូលំទូលាយសម្រាប់ដំណើរការទិន្នន័យផ្ទាល់ខ្លួន និងទាមទារឱ្យអង្គការនានាអនុវត្តវិធានការបច្ចេកទេស និងអង្គការសមស្រប ដើម្បីការពារព័ត៌មាន។
ប្រទេសហូឡង់បានអនុវត្ត GDPR តាមរយៈ ច្បាប់អនុវត្ត GDPR របស់ហូឡង់ (AVG សម្រាប់ការប្រើប្រាស់ឧបករណ៍អេឡិចត្រូនិក) ដែលសម្របតាមតម្រូវការរបស់សហភាពអឺរ៉ុបទៅនឹងច្បាប់ហូឡង់។ ច្បាប់នេះផ្តល់នូវបទប្បញ្ញត្តិជាក់លាក់សម្រាប់កាលៈទេសៈជាតិ ខណៈពេលដែលរក្សាបាននូវភាពស្របគ្នាជាមួយនឹងស្តង់ដារអឺរ៉ុប។
វាកំណត់អាជ្ញាធរការពារទិន្នន័យហូឡង់ (អាជ្ញាធរសម្រាប់ទិន្នន័យផ្ទាល់ខ្លួន) ជាស្ថាប័នត្រួតពិនិត្យ ដែលទទួលខុសត្រូវចំពោះការអនុវត្ត។
ក្រោម GDPR អ្នកត្រូវតែរាយការណ៍ រំលោភទិន្នន័យ ទៅកាន់អាជ្ញាធរត្រួតពិនិត្យក្នុងរយៈពេល 72 ម៉ោងបន្ទាប់ពីបានដឹងអំពីពួកគេ។ នៅពេលដែលការរំលោភបំពានបង្កហានិភ័យខ្ពស់ដល់សិទ្ធិ និងសេរីភាពរបស់បុគ្គល អ្នកក៏ត្រូវតែជូនដំណឹងដល់បុគ្គលដែលរងផលប៉ះពាល់ដោយមិនពន្យារពេលមិនសមរម្យផងដែរ។
តម្រូវការជូនដំណឹងទាំងនេះបង្កើតបានជាមូលដ្ឋាននៃការទទួលខុសត្រូវលើការរំលោភបំពាននៅក្នុងប្រទេសហូឡង់។
ចំពោះ Verzamelwet Gegevensbescherming (ច្បាប់ការពារទិន្នន័យសមូហភាព) កែលម្អបន្ថែមទៀតនូវច្បាប់ផ្សេងៗរបស់ប្រទេសហូឡង់ ដើម្បីឱ្យស្របនឹងស្តង់ដារ GDPR។ នេះធានានូវភាពស៊ីសង្វាក់គ្នានៅទូទាំងវិស័យច្បាប់ផ្សេងៗគ្នា។
ច្បាប់សន្តិសុខតាមអ៊ីនធឺណិត និងសេចក្តីណែនាំ NIS2
ចំពោះ សេចក្តីណែនាំ NIS2 ពង្រីកតម្រូវការសន្តិសុខតាមអ៊ីនធឺណិតយ៉ាងសំខាន់សម្រាប់អង្គភាពសំខាន់ៗ និងសំខាន់ៗនៅទូទាំងសហភាពអឺរ៉ុប។ ប្រទេសហូឡង់កំពុងអនុវត្តសេចក្តីណែនាំនេះតាមរយៈការធ្វើបច្ចុប្បន្នភាពទៅ អ៊ីនធឺណិត (ច្បាប់សន្តិសុខតាមអ៊ីនធឺណិតរបស់ហូឡង់) ដែលដើមឡើយបានផ្លាស់ប្តូរសេចក្តីណែនាំ NIS ដំបូង។
NIS2 ពង្រីកវិសាលភាពនៃវិស័យដែលគ្របដណ្តប់ និងណែនាំតម្រូវការសន្តិសុខកាន់តែតឹងរ៉ឹង កាតព្វកិច្ចរាយការណ៍ពីឧប្បត្តិហេតុ និងបទប្បញ្ញត្តិគណនេយ្យភាពគ្រប់គ្រង។ អ្នកត្រូវតែអនុវត្តវិធានការគ្រប់គ្រងហានិភ័យជាក់លាក់ និងរាយការណ៍ពីឧប្បត្តិហេតុសំខាន់ៗក្នុងរយៈពេល 24 ម៉ោងបន្ទាប់ពីបានដឹងអំពីពួកវា។
ចំពោះ ច្បាប់សន្តិសុខបណ្តាញ និងប្រព័ន្ធព័ត៌មាន និងអមដំណើរ ក្រឹត្យស្តីពីសន្តិសុខបណ្តាញ និងប្រព័ន្ធព័ត៌មាន បង្កើតតម្រូវការលម្អិតសម្រាប់ប្រតិបត្តិករនៃសេវាកម្មសំខាន់ៗ និងអ្នកផ្តល់សេវាឌីជីថល។ ច្បាប់ទាំងនេះតម្រូវឲ្យមានវិធានការសន្តិសុខមូលដ្ឋាន ការធ្វើសវនកម្មជាប្រចាំ និងការសម្របសម្រួលជាមួយអាជ្ញាធរសន្តិសុខតាមអ៊ីនធឺណិតជាតិ។
ច្បាប់នេះកំណត់អាជ្ញាធរមានសមត្ថកិច្ចជាក់លាក់សម្រាប់វិស័យផ្សេងៗគ្នា។ នេះធានានូវការត្រួតពិនិត្យឯកទេសលើការអនុវត្តសន្តិសុខតាមអ៊ីនធឺណិត។
ច្បាប់ និងសេចក្តីណែនាំពាក់ព័ន្ធផ្សេងទៀត
ចំពោះ សេចក្តីណែនាំស្តីពីភាពឯកជនតាមប្រព័ន្ធអេឡិចត្រូនិករបស់សហភាពអឺរ៉ុប បំពេញបន្ថែម GDPR ដោយដោះស្រាយភាពឯកជននៃការទំនាក់ទំនងតាមអេឡិចត្រូនិក។ វាតម្រូវឱ្យមានការយល់ព្រមសម្រាប់ខូគី និងបច្ចេកវិទ្យាស្រដៀងគ្នា និងការពារការសម្ងាត់នៃទិន្នន័យទំនាក់ទំនង។
ចំពោះ ច្បាប់ទូរគមនាគមន៍ (ទូរគមនាគមន៍) ដាក់កាតព្វកិច្ចសន្តិសុខជាក់លាក់លើអ្នកផ្តល់សេវាទូរគមនាគមន៍ រួមទាំងតម្រូវការដើម្បីការពារសុចរិតភាពបណ្តាញ និងទិន្នន័យអ្នកប្រើប្រាស់។ ច្បាប់នេះដំណើរការរួមគ្នាជាមួយច្បាប់ការពារទិន្នន័យ ដើម្បីធានាការការពារដ៏ទូលំទូលាយនៅក្នុងវិស័យទូរគមនាគមន៍។
ចំពោះ ច្បាប់ស្តីពីភាពធន់នៃអង្គភាពសំខាន់ៗ (CRA) ពង្រឹងតម្រូវការសន្តិសុខរូបវន្ត និងសន្តិសុខតាមអ៊ីនធឺណិតសម្រាប់អង្គភាពដែលត្រូវបានចាត់ទុកថាមានសារៈសំខាន់ចំពោះសុវត្ថិភាពសាធារណៈ និងស្ថិរភាពសេដ្ឋកិច្ច។ វាតម្រូវឱ្យមានការវាយតម្លៃហានិភ័យ និងវិធានការធន់លើសពីបទប្បញ្ញត្តិសន្តិសុខតាមអ៊ីនធឺណិតស្តង់ដារ។
ក្របខ័ណ្ឌទាំងនេះបង្កើតកាតព្វកិច្ចត្រួតស៊ីគ្នា។ អ្នកត្រូវតែរុករកពួកវានៅពេលប្រតិបត្តិការឆ្លងកាត់វិស័យច្រើន ឬដោះស្រាយប្រភេទទិន្នន័យផ្សេងៗ។
បទបញ្ញត្តិតាមវិស័យ
ចំពោះ ច្បាប់ត្រួតពិនិត្យហិរញ្ញវត្ថុ (សើម op het financieel toezicht) បង្កើតតម្រូវការការពារទិន្នន័យ និងសន្តិសុខតាមអ៊ីនធឺណិតយ៉ាងតឹងរ៉ឹងសម្រាប់ស្ថាប័នហិរញ្ញវត្ថុ។ អ្នកត្រូវតែអនុវត្តការគ្រប់គ្រងសុវត្ថិភាពដ៏រឹងមាំ នីតិវិធីឆ្លើយតបនឹងឧប្បត្តិហេតុ និងពិធីការធ្វើតេស្តជាប្រចាំ នៅពេលធ្វើប្រតិបត្តិការក្នុងវិស័យហិរញ្ញវត្ថុ។
អង្គការអនុវត្តច្បាប់ប្រឈមមុខនឹងតម្រូវការឯកទេសក្រោម ច្បាប់ទិន្នន័យប៉ូលីស (ប៉ូលីសសើម) និង Wet justitiële en strafvorderlijke gegevens (ច្បាប់ស្តីពីទិន្នន័យតុលាការ និងនីតិវិធីព្រហ្មទណ្ឌ)។ ច្បាប់ទាំងនេះគ្រប់គ្រងពីរបៀបដែលអាជ្ញាធរប៉ូលីស និងអាជ្ញាធរតុលាការប្រមូល ដំណើរការ និងការពារទិន្នន័យផ្ទាល់ខ្លួនក្នុងអំឡុងពេលស៊ើបអង្កេត និងដំណើរការព្រហ្មទណ្ឌ។
អ្នកផ្តល់សេវាថែទាំសុខភាពត្រូវតែអនុវត្តតាមការការពារភាពឯកជនបន្ថែមលើសពីតម្រូវការស្តង់ដារ GDPR។ នេះឆ្លុះបញ្ចាំងពីលក្ខណៈរសើបនៃព័ត៌មានវេជ្ជសាស្ត្រ។
វិស័យថាមពល ដឹកជញ្ជូន និងទឹក ប្រឈមមុខនឹងកាតព្វកិច្ចជាក់លាក់ក្រោមការអនុវត្ត NIS2 ជាមួយនឹងវិធានការសន្តិសុខដែលត្រូវបានរៀបចំឡើងស្របតាមហានិភ័យប្រតិបត្តិការរបស់ពួកគេ។
បទប្បញ្ញត្តិនីមួយៗតាមវិស័យនីមួយៗដាក់បន្ទុកអនុលោមភាពខុសៗគ្នា។ វាមានសារៈសំខាន់ណាស់ក្នុងការកំណត់ថាតើច្បាប់ណាខ្លះដែលអនុវត្តចំពោះសកម្មភាពជាក់លាក់ និងប្រតិបត្តិការដំណើរការទិន្នន័យរបស់អង្គការរបស់អ្នក។
ការកំណត់ការទទួលខុសត្រូវបន្ទាប់ពីការបំពានទិន្នន័យ
នៅប្រទេសហូឡង់ ការទទួលខុសត្រូវចំពោះការរំលោភបំពានទិន្នន័យអាស្រ័យលើតួនាទីរបស់អ្នកក្នុងការដំណើរការទិន្នន័យផ្ទាល់ខ្លួន វិធានការសន្តិសុខ អ្នកបានអនុវត្ត និងថាតើអ្នកបានអនុវត្តតាមតម្រូវការរាយការណ៍ឬអត់។ អាជ្ញាធរការពារទិន្នន័យហូឡង់ និងស្ថាប័នត្រួតពិនិត្យផ្សេងទៀតកំណត់ការទទួលខុសត្រូវដោយផ្អែកលើ កាតព្វកិច្ចផ្លូវច្បាប់ ក្រោម GDPR និងច្បាប់សន្តិសុខតាមអ៊ីនធឺណិតជាតិ។
ការកំណត់ការទទួលខុសត្រូវ៖ អ្នកត្រួតពិនិត្យ អ្នកដំណើរការ និងភាគីទីបី
ការទទួលខុសត្រូវរបស់អ្នកបន្ទាប់ពី ការបំពានទិន្នន័យផ្ទាល់ខ្លួន អាស្រ័យលើថាតើអ្នកដើរតួជា ឧបករណ៍បញ្ជាទិន្នន័យ ឬអ្នកដំណើរការ។ អ្នកត្រួតពិនិត្យសម្រេចចិត្តពីរបៀប និងមូលហេតុដែលទិន្នន័យផ្ទាល់ខ្លួនត្រូវបានដំណើរការ ដែលធ្វើឱ្យពួកគេទទួលខុសត្រូវជាចម្បងចំពោះឧប្បត្តិហេតុសុវត្ថិភាព។
អ្នកដំណើរការដោះស្រាយទិន្នន័យក្នុងនាមអ្នកត្រួតពិនិត្យ ហើយប្រឈមមុខនឹងការទទួលខុសត្រូវ ប្រសិនបើពួកគេលើសពីការណែនាំ ឬបរាជ័យក្នុងការអនុវត្តវិធានការសុវត្ថិភាពគ្រប់គ្រាន់។
ភាគីទីបីដូចជាអ្នកផ្តល់សេវាឌីជីថលមានការទទួលខុសត្រូវដាច់ដោយឡែកពីគ្នា។ ប្រសិនបើអ្នកប្រើប្រាស់អ្នកផ្គត់ផ្គង់ខាងក្រៅ អ្នកនៅតែទទួលខុសត្រូវចំពោះសកម្មភាពរបស់ពួកគេនៅពេលដែលពួកគេដំណើរការទិន្នន័យក្នុងនាមអ្នក។
កិច្ចសន្យារបស់អ្នកត្រូវតែបញ្ជាក់ពីកាតព្វកិច្ចសន្តិសុខ និងនីតិវិធីដោះស្រាយឧប្បត្តិហេតុ។
នៅពេលដែលភាគីច្រើនចូលរួម ការទទួលខុសត្រូវអាចត្រូវបានចែករំលែក។ ប្រសិនបើអ្នក និងអ្នកដំណើរការរបស់អ្នកមិនបានអនុវត្តវិធានការបច្ចេកទេស និងការរៀបចំទេ អ្នកទាំងពីរអាចប្រឈមមុខនឹងការពិន័យពី Autoriteit Persoonsgegevens។
អាជ្ញាធរត្រួតពិនិត្យពិនិត្យមើលតួនាទីរបស់ភាគីនីមួយៗនៅក្នុងការរំលោភបំពានដើម្បីចាត់តាំងការទទួលខុសត្រូវ។
អាជ្ញាធរត្រួតពិនិត្យ និងតួនាទីនិយតកម្ម
Autoriteit Persoonsgegevens បម្រើការជាអាជ្ញាធរការពារទិន្នន័យហូឡង់ដែលទទួលខុសត្រូវក្នុងការអនុវត្តការអនុលោមតាម GDPR។ អ្នកត្រូវតែរាយការណ៍អំពីការរំលោភទិន្នន័យផ្ទាល់ខ្លួនទៅកាន់អាជ្ញាធរត្រួតពិនិត្យនេះក្នុងរយៈពេល 72 ម៉ោងបន្ទាប់ពីបានដឹងអំពីឧប្បត្តិហេតុនេះ។
ការខកខានមិនបានបំពេញតាមកាលកំណត់នៃការរាយការណ៍ពីឧប្បត្តិហេតុនឹងបង្កើនការទទួលខុសត្រូវរបស់អ្នក។
មជ្ឈមណ្ឌលសន្តិសុខតាមអ៊ីនធឺណិតជាតិ (NCSC) ដោះស្រាយកិច្ចការទូលំទូលាយជាងនេះ ការគំរាមកំហែងតាមអ៊ីនធឺណិត ប៉ះពាល់ដល់ប្រតិបត្តិករនៃសេវាកម្មសំខាន់ៗ។ ប្រសិនបើអ្នកផ្តល់ហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ ឬសេវាកម្មឌីជីថល អ្នកក៏ត្រូវតែរាយការណ៍ពីឧប្បត្តិហេតុសន្តិសុខសំខាន់ៗទៅ NCSC ផងដែរ។
របាយការណ៍ទាំងនេះជួយសម្របសម្រួលការឆ្លើយតបថ្នាក់ជាតិចំពោះការគំរាមកំហែងតាមអ៊ីនធឺណិត។
អាជ្ញាធរទាំងពីរធ្វើការស៊ើបអង្កេតបន្ទាប់ពីឧប្បត្តិហេតុសន្តិសុខ។ អាជ្ញាធរ Autoriteit Persoonsgegevens អាចចេញការពិន័យរហូតដល់ 20 លានអឺរ៉ូ ឬ 4% នៃចំណូលប្រចាំឆ្នាំសកលរបស់អ្នក អាស្រ័យលើចំនួនណាដែលខ្ពស់ជាង។
ពួកគេពិចារណាលើកត្តាដូចជាលក្ខណៈនៃការរំលោភបំពាន ចំនួនបុគ្គលដែលរងផលប៉ះពាល់ និងវិធានការឆ្លើយតបរបស់អ្នក។
គោលការណ៍ណែនាំរបស់ ENISA មានឥទ្ធិពលលើរបៀបដែលអាជ្ញាធរហូឡង់វាយតម្លៃការអនុលោមរបស់អ្នកជាមួយនឹងតម្រូវការសន្តិសុខតាមអ៊ីនធឺណិត។
វិធានការរៀបចំ និងបច្ចេកទេស
ការអនុវត្តវិធានការបច្ចេកទេស និងអង្គការរបស់អ្នកប៉ះពាល់ដោយផ្ទាល់ដល់ការកំណត់ការទទួលខុសត្រូវ។ វិធានការទាំងនេះរួមមាន ការអ៊ិនគ្រីប ការគ្រប់គ្រងការចូលប្រើ ការធ្វើតេស្តសុវត្ថិភាពជាប្រចាំ និងការបណ្តុះបណ្តាលបុគ្គលិក។
តុលាការ និងអាជ្ញាធរត្រួតពិនិត្យវាយតម្លៃថាតើសន្តិសុខរបស់អ្នកសមស្របសម្រាប់ហានិភ័យដែលពាក់ព័ន្ធឬអត់។
អ្នកត្រូវតែកត់ត្រាវិធានការសន្តិសុខរបស់អ្នក និងបង្ហាញពីផែនការបន្តអាជីវកម្ម។ ប្រសិនបើអ្នកមិនអាចបញ្ជាក់ពីការប្រុងប្រយ័ត្នគ្រប់គ្រាន់បានទេ ការទទួលខុសត្រូវនឹងកើនឡើងគួរឱ្យកត់សម្គាល់។
ការវាយតម្លៃហានិភ័យជាប្រចាំជួយអ្នកកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះមុនពេលមានការរំលោភបំពានកើតឡើង។
នីតិវិធីដោះស្រាយឧប្បត្តិហេតុគឺមានសារៈសំខាន់ណាស់។ អ្នកត្រូវការពិធីការច្បាស់លាស់សម្រាប់ការរកឃើញ ការស៊ើបអង្កេត និងការឆ្លើយតបទៅនឹងការរំលោភទិន្នន័យផ្ទាល់ខ្លួន។
ពេលវេលាឆ្លើយតប និងប្រសិទ្ធភាពរបស់អ្នកក្នុងការទប់ស្កាត់ឧប្បត្តិហេតុសន្តិសុខមានឥទ្ធិពលលើការសម្រេចចិត្តពិន័យ។
អង្គភាព Autoriteit Persoonsgegevens រំពឹងថាអ្នកនឹងរក្សាភស្តុតាងនៃក្របខ័ណ្ឌសុវត្ថិភាពរបស់អ្នក។ បើគ្មានឯកសារត្រឹមត្រូវទេ ការបញ្ជាក់ពីការថែទាំសមហេតុផលក្លាយជាការលំបាកក្នុងអំឡុងពេលស៊ើបអង្កេត។
ផលប៉ះពាល់នៃខ្សែសង្វាក់ផ្គត់ផ្គង់ និងអ្នកផ្តល់សេវាកម្ម
សុវត្ថិភាពខ្សែសង្វាក់ផ្គត់ផ្គង់បង្កើតបញ្ហាការទទួលខុសត្រូវស្មុគស្មាញ។ នៅពេលដែលអ្នកផ្តល់សេវារបស់អ្នកជួបប្រទះការរំលោភបំពានដែលប៉ះពាល់ដល់ទិន្នន័យរបស់អ្នក អ្នកអាចនៅតែប្រឈមមុខនឹងផលវិបាក។
អ្នកត្រូវតែធ្វើការប្រុងប្រយ័ត្នខ្ពស់លើអ្នកផ្គត់ផ្គង់ និងតាមដានការអនុវត្តសុវត្ថិភាពរបស់ពួកគេជាបន្តបន្ទាប់។
ប្រតិបត្តិករសេវាកម្មសំខាន់ៗប្រឈមមុខនឹងតម្រូវការតឹងរ៉ឹងជាងមុនសម្រាប់ការគ្រប់គ្រងអ្នកលក់។ អ្នកត្រូវតែធានាថាអ្នកផ្តល់សេវាឌីជីថលនៅក្នុងខ្សែសង្វាក់ផ្គត់ផ្គង់របស់អ្នករក្សាស្តង់ដារដែលត្រូវនឹងកាតព្វកិច្ចផ្ទាល់ខ្លួនរបស់អ្នក។
កិច្ចព្រមព្រៀងតាមកិច្ចសន្យាគួរតែកំណត់យ៉ាងច្បាស់លាស់អំពីកាតព្វកិច្ចរាយការណ៍ពីឧប្បត្តិហេតុ និងការបែងចែកការទទួលខុសត្រូវ។
ប្រសិនបើការរំលោភបំពានមានប្រភពមកពីខ្សែសង្វាក់ផ្គត់ផ្គង់របស់អ្នក អង្គភាពត្រួតពិនិត្យ និងវាយតម្លៃហានិភ័យ (Autoriteit Persoonsgegevens) នឹងពិនិត្យមើលថាតើអ្នកបានធ្វើការវាយតម្លៃអ្នកលក់គ្រប់គ្រាន់ឬអត់។ ការទទួលខុសត្រូវរបស់អ្នកអាស្រ័យលើថាតើអ្នកបានចាត់វិធានការសមហេតុផលដើម្បីផ្ទៀងផ្ទាត់សុវត្ថិភាពរបស់អ្នកផ្គត់ផ្គង់ឬអត់។
អ្នកមិនអាចផ្ទេរការទទួលខុសត្រូវបានពេញលេញទេ សូម្បីតែពេលប្រើប្រាស់ប្រព័ន្ធដំណើរការភាគីទីបីក៏ដោយ។
ខ្សែសង្វាក់ផ្គត់ផ្គង់ច្រើនជាន់តម្រូវឱ្យមានការប្រុងប្រយ័ត្នបន្ថែម។ អ្នកត្រូវការភាពមើលឃើញអំពីអ្នកដំណើរការរង និងវិធានការសុវត្ថិភាពរបស់ពួកគេ ដើម្បីការពារប្រឆាំងនឹងការបរាជ័យជាបន្តបន្ទាប់ដែលធ្វើឱ្យខូចទិន្នន័យផ្ទាល់ខ្លួននៅទូទាំងអង្គការច្រើន។
កាតព្វកិច្ចជូនដំណឹងអំពីការបំពានទិន្នន័យ
ប្រទេសហូឡង់អនុវត្តក្របខ័ណ្ឌជូនដំណឹងច្រើនស្រទាប់ក្រោមច្បាប់ GDPR និងច្បាប់សន្តិសុខតាមអ៊ីនធឺណិតជាតិ។ អ្នកត្រួតពិនិត្យត្រូវតែ រាយការណ៍ពីការរំលោភបំពាន ទៅកាន់អាជ្ញាធរទិន្នន័យផ្ទាល់ខ្លួន (PDA) ក្នុងរយៈពេល 72 ម៉ោង នៅពេលដែលមានហានិភ័យនៃការ សិទ្ធិរបស់ម្ចាស់ទិន្នន័យ.
ការបំពានដែលមានហានិភ័យខ្ពស់ តម្រូវឱ្យមានការជូនដំណឹងដោយផ្ទាល់ដល់បុគ្គលដែលរងផលប៉ះពាល់។
ពេលវេលា និងតម្រូវការនីតិវិធី
អ្នកត្រូវតែជូនដំណឹងដល់ PDA ដោយមិនមានការពន្យារពេលដែលមិនចាំបាច់ ហើយប្រសិនបើអាចធ្វើទៅបាន មិនឱ្យលើសពី 72 ម៉ោងបន្ទាប់ពីបានដឹងអំពីការរំលោភបំពានទិន្នន័យផ្ទាល់ខ្លួន។ កាតព្វកិច្ចនេះត្រូវអនុវត្ត លុះត្រាតែការរំលោភបំពាននេះទំនងជាមិនបង្កហានិភ័យដល់សិទ្ធិ និងសេរីភាពរបស់បុគ្គលធម្មជាតិ។
ការជូនដំណឹងត្រូវតែរួមបញ្ចូលព័ត៌មានជាក់លាក់ដែលអាចធ្វើទៅបាន។ អ្នកត្រូវផ្តល់ប្រភេទ និងចំនួនប្រហាក់ប្រហែលនៃប្រធានបទទិន្នន័យដែលពាក់ព័ន្ធ ប្រភេទ និងចំនួនប្រហាក់ប្រហែលនៃកំណត់ត្រាទិន្នន័យផ្ទាល់ខ្លួនដែលរងផលប៉ះពាល់ និងឈ្មោះមន្ត្រីការពារទិន្នន័យរបស់អ្នក ឬចំណុចទំនាក់ទំនងផ្សេងទៀត។
អ្នកក៏ត្រូវតែពិពណ៌នាអំពីផលវិបាកដែលអាចកើតមាននៃការរំលោភបំពាន និងវិធានការដែលបានធ្វើឡើង ឬស្នើឡើងដើម្បីដោះស្រាយវា។
ប្រសិនបើអ្នកមិនអាចផ្តល់ព័ត៌មានចាំបាច់ទាំងអស់ក្នុងរយៈពេល 72 ម៉ោងបានទេ អ្នកអាចដាក់ស្នើវាជាដំណាក់កាលៗ។ អ្នកត្រូវតែពន្យល់ពីមូលហេតុនៃការពន្យារពេលណាមួយនៅក្នុងការជូនដំណឹងដំបូងរបស់អ្នក។
អ្នកណាត្រូវជូនដំណឹង និងពេលណា
អ្នកត្រូវតែជូនដំណឹងដល់ម្ចាស់ទិន្នន័យដែលរងផលប៉ះពាល់ដោយផ្ទាល់ នៅពេលដែលការរំលោភទិន្នន័យផ្ទាល់ខ្លួនទំនងជាបណ្តាលឱ្យមានហានិភ័យខ្ពស់ដល់សិទ្ធិ និងសេរីភាពរបស់ពួកគេ។ ការជូនដំណឹងនេះត្រូវតែកើតឡើងដោយគ្មានការពន្យារពេលដែលមិនចាំបាច់ និងត្រូវប្រើភាសាដែលច្បាស់លាស់ និងសាមញ្ញ។
ការជូនដំណឹងដោយផ្ទាល់ទៅកាន់ម្ចាស់ទិន្នន័យមិនត្រូវបានទាមទារនៅក្នុងកាលៈទេសៈជាក់លាក់បីយ៉ាងនោះទេ។ អ្នកមិនចាំបាច់ជូនដំណឹងទេ ប្រសិនបើអ្នកបានអនុវត្តវិធានការការពារបច្ចេកទេស និងអង្គការសមស្រប (ដូចជាការអ៊ិនគ្រីប) ដែលធ្វើឱ្យទិន្នន័យមិនអាចយល់បានចំពោះមនុស្សដែលគ្មានការអនុញ្ញាត។
អ្នកក៏មិនចាំបាច់ជូនដំណឹងដែរ ប្រសិនបើអ្នកបានចាត់វិធានការជាបន្តបន្ទាប់ដើម្បីធានាថាហានិភ័យខ្ពស់ចំពោះសិទ្ធិរបស់ម្ចាស់ទិន្នន័យទំនងជាលែងកើតឡើងទៀតហើយ ឬប្រសិនបើការទំនាក់ទំនងដោយផ្ទាល់នឹងពាក់ព័ន្ធនឹងការខិតខំប្រឹងប្រែងមិនសមាមាត្រ។ ក្នុងករណីបែបនេះ ការទំនាក់ទំនងជាសាធារណៈ ឬវិធានការស្រដៀងគ្នានេះត្រូវបានទាមទារជំនួសវិញ។
ក្រុមហ៊ុនហិរញ្ញវត្ថុក្រោមច្បាប់ត្រួតពិនិត្យហិរញ្ញវត្ថុត្រូវបានលើកលែងពីកាតព្វកិច្ចជូនដំណឹងដល់ម្ចាស់ទិន្នន័យ។ ពួកគេនៅតែត្រូវរាយការណ៍ទៅ PDA។
អ្នកដំណើរការមានកាតព្វកិច្ចខុសៗគ្នា។ អ្នកត្រូវតែជូនដំណឹងដល់អ្នកគ្រប់គ្រងដោយមិនពន្យារពេលហួសហេតុពេក បន្ទាប់ពីបានដឹងអំពីការរំលោភទិន្នន័យផ្ទាល់ខ្លួនណាមួយ ដោយមិនគិតពីកម្រិតហានិភ័យនោះទេ។
នេះគឺជាតម្រូវការតាមច្បាប់ក្រោម GDPR ហើយគួរតែត្រូវបានរួមបញ្ចូលនៅក្នុងកិច្ចព្រមព្រៀងដំណើរការរបស់អ្នក។
តម្រូវការជូនដំណឹងតាមវិស័យ និងជាតិ
ក្រៅពីកាតព្វកិច្ច GDPR អ្នកអាចប្រឈមមុខនឹងតម្រូវការរាយការណ៍បន្ថែមអាស្រ័យលើវិស័យរបស់អ្នក។ ច្បាប់ WBNI (ច្បាប់សន្តិសុខប្រព័ន្ធព័ត៌មាន និងបណ្តាញ) តម្រូវឱ្យអង្គភាពមួយចំនួនរាយការណ៍ពីឧប្បត្តិហេតុសន្តិសុខទៅអាជ្ញាធរសន្តិសុខតាមអ៊ីនធឺណិត ទោះបីជាឧប្បត្តិហេតុទាំងនេះមិនមានលក្ខណៈសម្បត្តិគ្រប់គ្រាន់ជាការរំលោភទិន្នន័យផ្ទាល់ខ្លួនក៏ដោយ។
អ្នកផ្តល់សេវាបណ្តាញទំនាក់ទំនងអេឡិចត្រូនិកសាធារណៈត្រូវតែរាយការណ៍ទៅអធិការដ្ឋានសម្រាប់បរិស្ថានមនុស្ស និងដឹកជញ្ជូន (ILT)។ អង្គការថែទាំសុខភាពប្រឈមមុខនឹងកាតព្វកិច្ចក្នុងការជូនដំណឹងទៅអធិការដ្ឋានសុខភាព និងថែទាំយុវជនទាក់ទងនឹងឧប្បត្តិហេតុដែលប៉ះពាល់ដល់សុវត្ថិភាពឧបករណ៍វេជ្ជសាស្ត្រ ឬទិន្នន័យអ្នកជំងឺ។
ក្រុមហ៊ុនផ្តល់សេវាកម្មហិរញ្ញវត្ថុត្រូវតែគោរពតាមតម្រូវការជាក់លាក់តាមវិស័យក្រោមច្បាប់ត្រួតពិនិត្យហិរញ្ញវត្ថុ។
អ្នកផ្តល់សេវាហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗបានបង្កើនកាតព្វកិច្ចក្រោម WBNI។ អ្នកត្រូវតែរាយការណ៍ពីឧប្បត្តិហេតុសំខាន់ៗទៅកាន់ក្រុមឆ្លើយតបឧប្បត្តិហេតុសន្តិសុខកុំព្យូទ័រ (CSIRT) ដែលអាចរំខានដល់សេវាកម្មសំខាន់ៗយ៉ាងខ្លាំង។
ក្រុមហ៊ុនសាធារណៈអាចត្រូវការជូនដំណឹងអំពីឧប្បត្តិហេតុសន្តិសុខដែលអាចប៉ះពាល់យ៉ាងធ្ងន់ធ្ងរដល់ការសម្រេចចិត្តរបស់វិនិយោគិន។
តម្រូវការតាមវិស័យទាំងនេះច្រើនតែដំណើរការរួមគ្នាជាមួយកាតព្វកិច្ច GDPR ជាជាងការជំនួសវា។ អ្នកប្រហែលជាត្រូវធ្វើការជូនដំណឹងច្រើនដងទៅកាន់អាជ្ញាធរផ្សេងៗគ្នាសម្រាប់ឧប្បត្តិហេតុតែមួយ អាស្រ័យលើសកម្មភាពរបស់អង្គការរបស់អ្នក និងលក្ខណៈនៃការរំលោភបំពាន។
ការអនុវត្ត និងការដាក់ទណ្ឌកម្មចំពោះការមិនអនុលោមតាម
អាជ្ញាធរហូឡង់មានអំណាចច្បាស់លាស់ក្នុងការស៊ើបអង្កេតការបរាជ័យនៃសន្តិសុខតាមអ៊ីនធឺណិត និងដាក់ទណ្ឌកម្មហិរញ្ញវត្ថុយ៉ាងធ្ងន់ធ្ងរលើអង្គការដែលមិនការពារទិន្នន័យផ្ទាល់ខ្លួន ឬបំពេញតាមតម្រូវការសន្តិសុខ។
ក្របខ័ណ្ឌអនុវត្តច្បាប់ពាក់ព័ន្ធនឹងនិយតករច្រើនរូបដែលមានការទទួលខុសត្រូវត្រួតពិនិត្យជាក់លាក់ គម្រោងពិន័យដែលមានរចនាសម្ព័ន្ធ និងនីតិវិធីប្តឹងឧទ្ធរណ៍ដែលបានកំណត់សម្រាប់អង្គការដែលប្រឈមមុខនឹងទណ្ឌកម្ម។
អំណាចស៊ើបអង្កេត និងត្រួតពិនិត្យ
អាជ្ញាធរការពារទិន្នន័យហូឡង់ (Autoriteit Persoonsgegevens ឬ AP) ទទួលខុសត្រូវចម្បងក្នុងការស៊ើបអង្កេតការរំលោភទិន្នន័យ និងការរំលោភ GDPR។
ទីភ្នាក់ងារសារព័ត៌មាន AP អាចចាប់ផ្តើមការស៊ើបអង្កេតដោយផ្អែកលើពាក្យបណ្តឹង របាយការណ៍ប្រព័ន្ធផ្សព្វផ្សាយ ឬការធ្វើសវនកម្មជាប្រចាំ។
ក្នុងអំឡុងពេលនៃការស៊ើបអង្កេត អាជ្ញាធរអាចស្នើសុំឯកសារ ធ្វើការត្រួតពិនិត្យនៅនឹងកន្លែង និងសម្ភាសន៍បុគ្គលិក។
ចំពោះកាតព្វកិច្ចសន្តិសុខតាមអ៊ីនធឺណិតក្រោម Cyberbeveiligingswet ថ្មី និយតករជាក់លាក់តាមវិស័យធ្វើការត្រួតពិនិត្យ។
អាជ្ញាធរសម្រាប់អ្នកប្រើប្រាស់ និងទីផ្សារ (ACM) ត្រួតពិនិត្យអ្នកផ្តល់សេវាហេដ្ឋារចនាសម្ព័ន្ធឌីជីថល និងអ្នកផ្តល់សេវាទូរគមនាគមន៍។
ធនាគារកណ្តាលហូឡង់ (DNB) ត្រួតពិនិត្យស្ថាប័នហិរញ្ញវត្ថុ។
រដ្ឋមន្ត្រីក្រសួងសេដ្ឋកិច្ច និងអាកាសធាតុ រដ្ឋមន្ត្រីក្រសួងហេដ្ឋារចនាសម្ព័ន្ធ និងគ្រប់គ្រងទឹក និងរដ្ឋមន្ត្រីក្រសួងសុខាភិបាល ម្នាក់ៗកាន់អំណាចអនុវត្តច្បាប់នៅក្នុងវិស័យរៀងៗខ្លួន។
និយតករទាំងនេះអាចធ្វើសវនកម្មប្រព័ន្ធរបស់អ្នក ពិនិត្យមើលនីតិវិធីឆ្លើយតបឧប្បត្តិហេតុ និងវាយតម្លៃថាតើការគ្រប់គ្រងហានិភ័យរបស់អ្នកបំពេញតាមស្តង់ដារច្បាប់ឬអត់។
ពួកគេក៏អាចទាមទារសំណងសម្រាប់ការចំណាយលើការអនុវត្តច្បាប់ពីអង្គការរបស់អ្នកផងដែរ ប្រសិនបើរកឃើញការរំលោភបំពាន។
មជ្ឈមណ្ឌលសន្តិសុខតាមអ៊ីនធឺណិតជាតិ (NCSC) សម្របសម្រួលរវាងអ្នកកំណត់បទប្បញ្ញត្តិ ប៉ុន្តែមិនដាក់ទណ្ឌកម្មដោយផ្ទាល់ទេ។
ពិន័យរដ្ឋបាល និងហិរញ្ញវត្ថុ
ការពិន័យផ្នែកហិរញ្ញវត្ថុមានភាពខុសគ្នាអាស្រ័យលើក្របខ័ណ្ឌច្បាប់ និងភាពធ្ងន់ធ្ងរនៃការរំលោភបំពាន។
ក្រោមការអនុវត្ត GDPR អាជ្ញាធរពន្ធដារអាមេរិកអាចដាក់ពិន័យរហូតដល់ 20 លានអឺរ៉ូ ឬ 4% នៃចំណូលប្រចាំឆ្នាំសកលរបស់អ្នក អាស្រ័យលើចំនួនណាដែលខ្ពស់ជាង។
អាជ្ញាធរពិចារណាលើកត្តាដូចជា លក្ខណៈនៃការរំលោភបំពាន ចំនួនបុគ្គលដែលរងផលប៉ះពាល់ និងកិច្ចសហប្រតិបត្តិការរបស់អ្នកក្នុងអំឡុងពេលស៊ើបអង្កេត។
ក្រោមច្បាប់ Cyberbeveiligingswet ការពិន័យត្រូវបានអនុវត្តតាមរចនាសម្ព័ន្ធជាលំដាប់៖
| ចំណាត់ថ្នាក់អង្គភាព | ការផាកពិន័យអតិបរមា | ជម្រើសជំនួសសម្រាប់ការផ្លាស់ប្តូរ |
|---|---|---|
| Essentiële entiteiten (EE) | € 10 លាន | ចំណូលសកល ១,៤% |
| Belangrijke entiteiten (BE) | € 7 លាន | ចំណូលសកល ១,៤% |
អាជ្ញាធរបទប្បញ្ញត្តិក៏អាចចេញបទបញ្ជាកែតម្រូវដែលទាមទារឱ្យអ្នកអនុវត្តវិធានការសន្តិសុខជាក់លាក់ក្នុងរយៈពេលកំណត់ផងដែរ។
ការបរាជ័យម្តងហើយម្តងទៀតអាចបណ្តាលឱ្យមានការធ្វើឱ្យខូចកេរ្តិ៍ឈ្មោះ និងការអាម៉ាស់តាមរយៈការបង្ហាញជាសាធារណៈអំពីការរំលោភបំពាន។
នាយកនៃអង្គការដែលត្រូវបានចាត់ថ្នាក់ជាអង្គភាពសំខាន់ៗអាចប្រឈមមុខនឹងការដកសិទ្ធិផ្ទាល់ខ្លួនពីតំណែងក្រុមប្រឹក្សាភិបាលក្នុងករណីធ្ងន់ធ្ងរ។
អង្គការវិស័យសាធារណៈត្រូវបានលើកលែងពីការពិន័យផ្នែកហិរញ្ញវត្ថុ ប៉ុន្តែប្រឈមមុខនឹងសកម្មភាពអនុវត្តកែតម្រូវ និងការត្រួតពិនិត្យរបស់សភាដែលអាចកើតមាន។
បណ្តឹងឧទ្ធរណ៍ និងការដោះស្រាយផ្លូវច្បាប់
អ្នកមានសិទ្ធិជំទាស់នឹងការសម្រេចចិត្តអនុវត្តតាមរយៈ បណ្តឹងឧទ្ធរណ៍រដ្ឋបាល.
បន្ទាប់ពីទទួលបានការជូនដំណឹងអំពីការពិន័យ អ្នកអាចដាក់ពាក្យបណ្តឹង (bezwaar) ទៅកាន់អាជ្ញាធរចេញក្នុងរយៈពេលប្រាំមួយសប្តាហ៍។
អាជ្ញាធរគ្រប់គ្រងត្រូវតែពិចារណាឡើងវិញអំពីការសម្រេចចិត្តរបស់ខ្លួន និងផ្តល់ការឆ្លើយតបជាផ្លូវការ។
ប្រសិនបើអ្នកមិនយល់ស្របនឹងលទ្ធផលនៃការពិចារណាឡើងវិញទេ អ្នកអាចប្តឹងឧទ្ធរណ៍ទៅតុលាការស្រុក (rechtbank)។
តុលាការពិនិត្យឡើងវិញថាតើអ្នករៀបចំបទបញ្ជាបានអនុវត្តតាមនីតិវិធីត្រឹមត្រូវ និងអនុវត្តច្បាប់បានត្រឹមត្រូវឬអត់។
បន្ទាប់មកអ្នកអាច ការសម្រេចចិត្តរបស់តុលាការឧទ្ធរណ៍ ទៅផ្នែកយុត្តាធិការរដ្ឋបាលនៃក្រុមប្រឹក្សារដ្ឋ (Afdeling bestuursrechtspraak van de Raad van State) ដែលបម្រើជាតុលាការរដ្ឋបាលខ្ពស់បំផុត។
ពេញមួយដំណើរការប្តឹងឧទ្ធរណ៍ អ្នកត្រូវតែបន្តអនុវត្តវិធានការកែតម្រូវណាមួយដែលបានបញ្ជាដោយអ្នកកំណត់បទប្បញ្ញត្តិ។
តុលាការអាចផ្អាកការពិន័យជាប្រាក់ដោយរង់ចាំលទ្ធផលនៃបណ្តឹងឧទ្ធរណ៍ ប៉ុន្តែនេះមិនមែនជារឿងដោយស្វ័យប្រវត្តិនោះទេ។
តួនាទី និងការទទួលខុសត្រូវសំខាន់ៗក្នុងការគ្រប់គ្រងសន្តិសុខតាមអ៊ីនធឺណិត
អង្គការនានាត្រូវតែកំណត់ឱ្យច្បាស់លាស់ថាអ្នកណាជាអ្នកគ្រប់គ្រងភារកិច្ចសន្តិសុខតាមអ៊ីនធឺណិត ចាប់ពីការតែងតាំងមន្ត្រីការពារទិន្នន័យ រហូតដល់ការបង្កើតការទទួលខុសត្រូវកម្រិតក្រុមប្រឹក្សាភិបាល និងការបណ្តុះបណ្តាលបុគ្គលិកលើពិធីការសន្តិសុខ។
មន្ត្រីការពារទិន្នន័យ និងការតែងតាំង
អ្នកត្រូវតែតែងតាំងមន្ត្រីការពារទិន្នន័យ (DPO) ប្រសិនបើអង្គការរបស់អ្នកដំណើរការទិន្នន័យផ្ទាល់ខ្លួនដ៏រសើបក្នុងទ្រង់ទ្រាយធំ ឬត្រួតពិនិត្យបុគ្គលម្នាក់ៗជាប្រព័ន្ធ។
DPO បម្រើជាចំណុចទំនាក់ទំនងចម្បងរបស់អ្នកសម្រាប់អាជ្ញាធរការពារទិន្នន័យ និងម្ចាស់ទិន្នន័យ។
អង្គការអ្នកផ្តល់ព័ត៌មានដល់អ្នកដទៃ (DPO) របស់អ្នកត្រូវការលក្ខណៈសម្បត្តិជាក់លាក់ក្នុងច្បាប់ការពារទិន្នន័យ និងការអនុវត្តសន្តិសុខព័ត៌មាន។
ពួកគេត្រូវតែរាយការណ៍ដោយផ្ទាល់ទៅកម្រិតគ្រប់គ្រងខ្ពស់បំផុតរបស់អ្នក ហើយមិនអាចត្រូវបានបណ្តេញចេញដោយសារតែការអនុវត្តកាតព្វកិច្ចរបស់ពួកគេឡើយ។
តួនាទីនេះរួមមានការត្រួតពិនិត្យការអនុលោមតាម GDPR ការធ្វើការវាយតម្លៃផលប៉ះពាល់នៃការការពារទិន្នន័យ និងការផ្តល់ដំបូន្មានលើតម្រូវការអ៊ិនគ្រីប និងការអ៊ិនគ្រីប។
អ្នកគួរតែកត់ត្រាការទទួលខុសត្រូវរបស់ DPO ឲ្យបានច្បាស់លាស់។
នេះរួមបញ្ចូលទាំងសិទ្ធិអំណាចរបស់ពួកគេក្នុងការធ្វើសវនកម្មហេដ្ឋារចនាសម្ព័ន្ធឌីជីថលរបស់អ្នក និងពិនិត្យមើលផែនការឆ្លើយតបឧប្បត្តិហេតុរបស់អ្នក។
ប្រសិនបើអ្នកធ្វើប្រតិបត្តិការនៅទូទាំងប្រទេសសហភាពអឺរ៉ុបច្រើន អ្នកអាចកំណត់ DPO តែមួយដោយផ្អែកលើគុណភាពវិជ្ជាជីវៈ និងចំណេះដឹងរបស់ពួកគេអំពីយុត្តាធិការពាក់ព័ន្ធ។
អភិបាលកិច្ចសាជីវកម្ម និងការទទួលខុសត្រូវ
ក្រុមប្រឹក្សាភិបាលរបស់អ្នកទទួលខុសត្រូវខ្ពស់បំផុតចំពោះការគ្រប់គ្រងហានិភ័យសន្តិសុខតាមអ៊ីនធឺណិត។
ពួកគេត្រូវតែអនុម័តវិធានការសន្តិសុខ បែងចែកធនធានគ្រប់គ្រាន់ និងធានាការត្រួតពិនិត្យត្រឹមត្រូវនៃកិច្ចខិតខំប្រឹងប្រែងនៃភាពធន់តាមអ៊ីនធឺណិត។
ការទទួលខុសត្រូវរបស់ថ្នាក់ដឹកនាំរួមមាន៖
- ការអនុម័តគោលនយោបាយសន្តិសុខ សម្រាប់ក្របខ័ណ្ឌសន្តិសុខព័ត៌មាន
- ការត្រួតពិនិត្យការវាយតម្លៃហានិភ័យ និងការធ្វើផែនការភាពធន់នៃប្រតិបត្តិការ
- ធានាការអនុលោមតាមសវនកម្ម តាមរយៈការពិនិត្យឯករាជ្យ
- ការបែងចែកថវិកា សម្រាប់ការគ្រប់គ្រងសន្តិសុខតាមអ៊ីនធឺណិត និង ការបណ្តុះបណ្តាលបុគ្គលិក
អ្នកត្រូវបង្កើតខ្សែបន្ទាត់សិទ្ធិអំណាចច្បាស់លាស់សម្រាប់ការសម្រេចចិត្តលើសន្តិសុខ។
ឯកសារបញ្ជាក់ពីអ្នកណាអនុម័តវិធានការសន្តិសុខ អ្នកណាត្រួតពិនិត្យការអនុវត្ត និងអ្នកណាធ្វើសវនកម្ម។
ការគ្រប់គ្រងរបស់អ្នកត្រូវតែពិនិត្យមើលការអនុវត្តសន្តិសុខតាមអ៊ីនធឺណិតជាប្រចាំ និងកែសម្រួលយុទ្ធសាស្ត្រដោយផ្អែកលើការគំរាមកំហែងដែលវិវត្តន៍ចំពោះហេដ្ឋារចនាសម្ព័ន្ធឌីជីថលរបស់អ្នក។
គោលនយោបាយផ្ទៃក្នុង និងការបណ្តុះបណ្តាលបុគ្គលិក
អ្នកត្រូវតែបង្កើតគោលការណ៍ដែលបានកត់ត្រាទុក ដែលកំណត់តួនាទីសុវត្ថិភាពនៅទូទាំងអង្គការរបស់អ្នក។
គោលនយោបាយទាំងនេះគួរតែបញ្ជាក់ពីការទទួលខុសត្រូវសម្រាប់ការការពារទិន្នន័យ ការឆ្លើយតបនឹងឧប្បត្តិហេតុ និងការរក្សាភាពធន់តាមអ៊ីនធឺណិត។
គោលការណ៍សុវត្ថិភាពរបស់អ្នកត្រូវគ្របដណ្តប់៖
- ការគ្រប់គ្រងការចូលប្រើ និងតម្រូវការផ្ទៀងផ្ទាត់
- ស្តង់ដារចំណាត់ថ្នាក់ទិន្នន័យ និងការអ៊ិនគ្រីប
- នីតិវិធីរាយការណ៍ឧប្បត្តិហេតុ
- ការបណ្តុះបណ្តាលការយល់ដឹងអំពីសន្តិសុខជាប្រចាំ
អ្នកគួរតែផ្តល់ការបណ្តុះបណ្តាលជាបន្តបន្ទាប់ដល់បុគ្គលិកទាំងអស់លើការអនុវត្តសន្តិសុខព័ត៌មាន។
នេះរួមបញ្ចូលទាំង ការទទួលស្គាល់ការបន្លំតាមអ៊ីនធឺណិត ការប៉ុនប៉ង ការដោះស្រាយទិន្នន័យរសើបឱ្យបានត្រឹមត្រូវ និងការអនុវត្តតាមផែនការឆ្លើយតបឧប្បត្តិហេតុរបស់អ្នក។
ការបណ្តុះបណ្តាលត្រូវតែត្រូវបានរៀបចំឡើងសម្រាប់តួនាទីជាក់លាក់ ដោយបុគ្គលិកបច្ចេកទេសទទួលបានការណែនាំកម្រិតខ្ពស់លើការអ៊ិនគ្រីប និងការគ្រប់គ្រងសុវត្ថិភាព។
គោលនយោបាយរបស់អ្នកត្រូវតែត្រូវបានពិនិត្យឡើងវិញជាប្រចាំ និងធ្វើបច្ចុប្បន្នភាពនៅពេលដែលបទប្បញ្ញត្តិផ្លាស់ប្តូរ ឬហានិភ័យថ្មីលេចឡើង។
អ្នកត្រូវធានាធនធានគ្រប់គ្រាន់សម្រាប់ទាំងការអនុវត្តគោលនយោបាយ និងការអភិវឌ្ឍបុគ្គលិកក្នុងការអនុវត្តសន្តិសុខតាមអ៊ីនធឺណិត។
ប្រភេទនៃឧប្បត្តិហេតុសន្តិសុខតាមអ៊ីនធឺណិត និងការគំរាមកំហែងដែលកំពុងលេចចេញ
ឧប្បត្តិហេតុសន្តិសុខតាមអ៊ីនធឺណិតមានចាប់ពីអ៊ីមែលបោកបញ្ឆោតរហូតដល់ការរំខានបណ្តាញទ្រង់ទ្រាយធំដែលអាចធ្វើឱ្យប៉ះពាល់ដល់អង្គការទាំងមូល។
ការយល់ដឹងអំពីការគំរាមកំហែងទាំងនេះជួយអ្នកកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះ និងកំណត់ថាតើការទទួលខុសត្រូវស្ថិតនៅកន្លែងណានៅពេលដែលមានការរំលោភបំពានកើតឡើង។
ការបន្លំតាមអ៊ីនធឺណិត មេរោគ និងមេរោគចាប់ជំរិត
ការបន្លំ នៅតែជាការគំរាមកំហែងសន្តិសុខតាមអ៊ីនធឺណិតទូទៅបំផុតមួយដែលអ្នកនឹងជួបប្រទះ។
អ្នកវាយប្រហារផ្ញើអ៊ីមែល ឬសារដោយធ្វើពុតជាមកពីក្រុមហ៊ុនស្របច្បាប់ ដើម្បីលួចពាក្យសម្ងាត់ ព័ត៌មានហិរញ្ញវត្ថុ ឬទិន្នន័យរសើបផ្សេងទៀតរបស់អ្នក។
ការវាយប្រហារទាំងនេះទទួលខុសត្រូវចំពោះឧប្បត្តិហេតុវិស្វកម្មសង្គមជាង 60 ភាគរយ។
មេរោគ សំដៅលើកម្មវិធីដែលបង្កគ្រោះថ្នាក់ដែលបំផ្លាញប្រព័ន្ធកុំព្យូទ័រ ឬបណ្តាញរបស់អ្នក។
នេះរួមបញ្ចូលទាំងមេរោគ មេរោគ Trojan និងកូដព្យាបាទផ្សេងទៀតដែលត្រូវបានរចនាឡើងដើម្បីចូលប្រើទិន្នន័យរបស់អ្នក ឬរំខានដល់ប្រតិបត្តិការរបស់អ្នក។
ransomware គឺជាប្រភេទមេរោគជាក់លាក់មួយប្រភេទដែលរារាំងការចូលប្រើឯកសាររបស់អ្នក និងទាមទារការបង់ប្រាក់សម្រាប់ការស្ដារឡើងវិញ។
ទោះបីជាអ្នកបង់ប្រាក់លោះក៏ដោយ ក៏គ្មានការធានាថាអ្នកវាយប្រហារនឹងស្ដារការចូលប្រើរបស់អ្នកឡើងវិញ ឬលុបទិន្នន័យដែលត្រូវបានគេលួចនោះទេ។
ចន្លោះឆ្នាំ ២០២០ និង ២០២១ អង្គការនានាបានប្រឈមមុខនឹងឧប្បត្តិហេតុសន្តិសុខតាមអ៊ីនធឺណិតប្រហែល ២៤.០០០ ករណីនៅទូទាំងពិភពលោក ដោយមេរោគ ransomware ដើរតួនាទីយ៉ាងសំខាន់ក្នុងការខាតបង់ផ្នែកហិរញ្ញវត្ថុ។
ការវាយប្រហារបែប Denial-of-Service (DoS) និង Distributed DoS (DDoS)
ការវាយប្រហារ DoS ចរាចរណ៍លើសលប់ប្រព័ន្ធរបស់អ្នក ដើម្បីធ្វើឱ្យសេវាកម្មមិនអាចប្រើបានសម្រាប់អ្នកប្រើប្រាស់ស្របច្បាប់។
ប្រភពតែមួយបានជន់លិចបណ្តាញរបស់អ្នកជាមួយនឹងសំណើរហូតដល់វាគាំង ឬយឺតពេកមិនអាចដំណើរការបាន។
DDoS វាយប្រហារ។ ប្រើប្រាស់ប្រព័ន្ធដែលរងការសម្របសម្រួលច្រើនដើម្បីចាប់ផ្តើមការវាយប្រហារដែលសម្របសម្រួលប្រឆាំងនឹងហេដ្ឋារចនាសម្ព័ន្ធរបស់អ្នក។
ការវាយប្រហារแบบចែកចាយទាំងនេះពិបាកបញ្ឈប់ណាស់ ពីព្រោះវាមកពីទីតាំងច្រើនក្នុងពេលដំណាលគ្នា។
ការវាយប្រហារ DDoS អាចរំខានដល់សេវាកម្មសំខាន់ៗ ចាប់ពីគេហទំព័ររដ្ឋាភិបាលរហូតដល់ប្រតិបត្តិការរបស់វិស័យឯកជន។
ជាធម្មតា អ្នកមានពេលតិចជាង 62 នាទីគិតចាប់ពីការរកឃើញលើកដំបូង ដើម្បីការពារឧប្បត្តិហេតុសុវត្ថិភាពពីការក្លាយជាការរំលោភបំពានដ៏ធំមួយ។
បង្អួចតូចចង្អៀតនេះធ្វើឱ្យការឆ្លើយតបរហ័សមានសារៈសំខាន់នៅពេលប្រឈមមុខនឹងការវាយប្រហារ DoS ឬ DDoS។
ការក្លែងបន្លំ និងការចូលប្រើប្រាស់ដោយគ្មានការអនុញ្ញាត
ការបន្លំ ក្នុងវិស័យសន្តិសុខតាមអ៊ីនធឺណិតពាក់ព័ន្ធនឹងការអនុវត្តបោកប្រាស់ដើម្បីទទួលបានការចូលប្រើដោយគ្មានការអនុញ្ញាតចំពោះប្រព័ន្ធ ឬទិន្នន័យរបស់អ្នក។
នេះរួមបញ្ចូលទាំងការលួចអត្តសញ្ញាណ ការក្លែងបន្លំការទូទាត់ និងការលួចយកព័ត៌មានសម្គាល់ខ្លួន។
ការចូលប្រើដោយគ្មានការអនុញ្ញាត កើតឡើងនៅពេលដែលនរណាម្នាក់បំពានគោលការណ៍សុវត្ថិភាពរបស់អ្នក ដើម្បីចូលប្រើបណ្តាញ ប្រព័ន្ធ ឬទិន្នន័យដោយគ្មានការអនុញ្ញាត។
នេះអាចកើតឡើងតាមរយៈ៖
- អត្តសញ្ញាណសម្គាល់ការចូលត្រូវបានលួច
- ភាពងាយរងគ្រោះនៃកម្មវិធីដែលបានទាញយកប្រយោជន៍
- បានរំលងការគ្រប់គ្រងសុវត្ថិភាព
- ការគំរាមកំហែងផ្ទៃក្នុងពីបុគ្គលិកបច្ចុប្បន្ន ឬអតីតបុគ្គលិក
ការលួចទិន្នន័យផ្ទៃក្នុងជារឿយៗត្រូវបានគេមើលរំលង ប៉ុន្តែវាក៏អាចបង្កគ្រោះថ្នាក់ដូចការវាយប្រហារពីខាងក្រៅដែរ។
នៅឆ្នាំ ២០២១ តម្លៃជាមធ្យមនៃការវាយប្រហារពីខាងក្នុងបានឈានដល់ ១២,៥ លានផោន។
សូម្បីតែការលេចធ្លាយទិន្នន័យដោយអចេតនាដោយបុគ្គលិកក៏ត្រូវបានរាប់បញ្ចូលជាឧប្បត្តិហេតុសន្តិសុខក្រោមច្បាប់ស្តីពីការប្រើប្រាស់កុំព្យូទ័រខុស (ឆ្នាំ 1990) ដែរ។
ភាពងាយរងគ្រោះនៃវិស័យ និងខ្សែសង្វាក់ផ្គត់ផ្គង់
វិស័យហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗប្រឈមមុខនឹងហានិភ័យកាន់តែខ្លាំងឡើងពីឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត ដែលក្នុងនោះការថែទាំសុខភាព ថាមពល និងសេវាកម្មហិរញ្ញវត្ថុគឺជាគោលដៅចម្បង។
វិស័យវិជ្ជាជីវៈបានជួបប្រទះឧប្បត្តិហេតុជិត ៣៦០០ ករណីរវាងឆ្នាំ ២០២០ និង ២០២១ ដែលធ្វើឱ្យវាក្លាយជាឧស្សាហកម្មដែលត្រូវបានកំណត់គោលដៅបំផុត។
សុវត្ថិភាពខ្សែសង្វាក់ផ្គត់ផ្គង់ បានក្លាយជារឿងសំខាន់កាន់តែខ្លាំងឡើង នៅពេលដែលអ្នកវាយប្រហារកំណត់គោលដៅលើដៃគូ និងអ្នកលក់ភាគីទីបីរបស់អ្នក ជាជាងវាយប្រហារអ្នកដោយផ្ទាល់។
ការវាយប្រហាររបស់អ្នកផ្គត់ផ្គង់ភាគីទីបីទាំងនេះកេងប្រវ័ញ្ចវិធានការសុវត្ថិភាពខ្សោយជាងនៅក្នុងអង្គការដៃគូរបស់អ្នក ដើម្បីចូលប្រើទិន្នន័យរបស់អតិថិជនរបស់អ្នក។
ភាពងាយរងគ្រោះនៃខ្សែសង្វាក់ផ្គត់ផ្គង់អនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើឱ្យអង្គការច្រើនរងផលប៉ះពាល់តាមរយៈការបំពានតែមួយ។
នៅពេលដែលប្រព័ន្ធរបស់អ្នកលក់ភ្ជាប់ទៅប្រព័ន្ធរបស់អ្នក ចំណុចខ្សោយសុវត្ថិភាពរបស់ពួកគេក្លាយជាចំណុចខ្សោយសុវត្ថិភាពរបស់អ្នក។
ហានិភ័យដែលទាក់ទងគ្នានេះមានន័យថា អ្នកត្រូវតែវាយតម្លៃមិនត្រឹមតែវិធានការសន្តិសុខតាមអ៊ីនធឺណិតរបស់អ្នកប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងវិធានការរបស់គ្រប់អង្គការទាំងអស់នៅក្នុងខ្សែសង្វាក់ផ្គត់ផ្គង់របស់អ្នកផងដែរ។
រដ្ឋប្រជាជាតិកំពុងសាកល្បង និងជ្រៀតចូលកាន់តែជ្រៅទៅក្នុងលំហអ៊ីនធឺណិតរបស់គូប្រជែង ដែលជារឿយៗដំណើរការក្រោមរូបភាពជាអង្គភាពឯកជន ខណៈពេលដែលធ្វើសកម្មភាពក្នុងនាមរដ្ឋាភិបាល។
សំណួរសួរជាញឹកញាប់
ក្រុមហ៊ុនហូឡង់ត្រូវតែអនុវត្តតាមតម្រូវការរាយការណ៍យ៉ាងតឹងរ៉ឹង និងស្តង់ដារអនុលោមភាព បន្ទាប់ពីការលួចចូលទិន្នន័យ ដោយការទទួលខុសត្រូវលាតសន្ធឹងដល់ភាគីច្រើនអាស្រ័យលើតួនាទី និងការទទួលខុសត្រូវរបស់ពួកគេ។
ការយល់ដឹងអំពីកាតព្វកិច្ចទាំងនេះជួយអង្គការនានាការពារខ្លួន និងបុគ្គលដែលរងផលប៉ះពាល់ ខណៈពេលដែលរក្សាការអនុលោមតាមបទប្បញ្ញត្តិជាតិ និងអឺរ៉ុប។
តើអ្វីទៅជាកាតព្វកិច្ចផ្នែកច្បាប់របស់ក្រុមហ៊ុនហូឡង់បន្ទាប់ពីមានការលួចចូលទិន្នន័យ?
អង្គការរបស់អ្នកត្រូវតែជូនដំណឹងដល់អាជ្ញាធរការពារទិន្នន័យហូឡង់ (Autoriteit Persoonsgegevens) ក្នុងរយៈពេល 72 ម៉ោងបន្ទាប់ពីដឹងអំពីការលួចចូលទិន្នន័យ។
តម្រូវការនេះអនុវត្តក្រោម GDPR ដែលគ្រប់គ្រងការការពារទិន្នន័យនៅទូទាំងប្រទេសហូឡង់។
អ្នកត្រូវផ្តល់ព័ត៌មានជាក់លាក់នៅក្នុងការជូនដំណឹងអំពីការរំលោភបំពានរបស់អ្នក។
នេះរួមបញ្ចូលទាំងលក្ខណៈនៃការរំលោភបំពាន ចំនួនបុគ្គលដែលរងផលប៉ះពាល់ ផលវិបាកដែលអាចកើតមាន និងវិធានការដែលអ្នកបានអនុវត្ត ឬមានគម្រោងអនុវត្ត។
ប្រសិនបើអ្នកមិនអាចផ្តល់ព័ត៌មានលម្អិតទាំងអស់ក្នុងរយៈពេល 72 ម៉ោងបានទេ អ្នកត្រូវតែពន្យល់ពីការពន្យារពេល ហើយដាក់ស្នើព័ត៌មានដែលនៅសល់ឱ្យបានឆាប់តាមដែលអាចធ្វើទៅបាន។
នៅពេលដែលការរំលោភបំពានបង្កហានិភ័យខ្ពស់ដល់សិទ្ធិ និងសេរីភាពរបស់បុគ្គល អ្នកក៏ត្រូវជូនដំណឹងដោយផ្ទាល់ដល់បុគ្គលដែលរងផលប៉ះពាល់ផងដែរ។
អ្នកមិនអាចពន្យារពេលការជូនដំណឹងនេះដោយគ្មានហេតុផលសមហេតុផលបានទេ។
ការប្រាស្រ័យទាក់ទងរបស់អ្នកទៅកាន់បុគ្គលដែលរងផលប៉ះពាល់គួរតែច្បាស់លាស់ ហើយពន្យល់អំពីផលវិបាកដែលអាចកើតមាននៃការរំលោភបំពាន និងជំហានអ្វីដែលពួកគេអាចអនុវត្តដើម្បីការពារខ្លួន។
អ្នកត្រូវតែរក្សាឯកសារលម្អិតនៃការបំពានទិន្នន័យទាំងអស់ ដោយមិនគិតពីថាតើអ្នករាយការណ៍វាទៅអាជ្ញាធរឬអត់នោះទេ។
ឯកសារនេះគួរតែរួមបញ្ចូលការពិតជុំវិញការរំលោភបំពាន ផលប៉ះពាល់របស់វា និងវិធានការកែតម្រូវដែលបានធ្វើឡើង។
អាជ្ញាធរការពារទិន្នន័យហូឡង់អាចស្នើសុំឯកសារនេះក្នុងអំឡុងពេលត្រួតពិនិត្យ ឬការស៊ើបអង្កេត។
តើការទទួលខុសត្រូវត្រូវបានកំណត់យ៉ាងដូចម្តេចចំពោះការរំលោភទិន្នន័យក្រោមច្បាប់របស់ប្រទេសហូឡង់?
ការទទួលខុសត្រូវចំពោះការលួចចូលទិន្នន័យនៅក្នុងប្រទេសហូឡង់អាស្រ័យលើតួនាទីរបស់អ្នកជាអ្នកគ្រប់គ្រងទិន្នន័យ ឬអ្នកដំណើរការទិន្នន័យ។
អ្នកគ្រប់គ្រងទិន្នន័យកំណត់គោលបំណង និងមធ្យោបាយនៃការដំណើរការទិន្នន័យផ្ទាល់ខ្លួន ខណៈដែលអ្នកដំណើរការទិន្នន័យដោះស្រាយទិន្នន័យក្នុងនាមអ្នកគ្រប់គ្រង។
ដែន ទំនួលខុសត្រូវផ្នែកច្បាប់ ខុសគ្នាដោយផ្អែកលើចំណាត់ថ្នាក់នេះ។
ក្នុងនាមជាអ្នកគ្រប់គ្រងទិន្នន័យ អ្នកមានទំនួលខុសត្រូវចម្បងក្នុងការធានាការអនុលោមតាមបទប្បញ្ញត្តិការពារទិន្នន័យ។
អ្នកត្រូវតែអនុវត្តវិធានការបច្ចេកទេស និងការរៀបចំសមស្រប ដើម្បីការពារទិន្នន័យផ្ទាល់ខ្លួន។
តុលាការវាយតម្លៃថាតើអ្នកបានចាត់វិធានការសមហេតុផលដើម្បីទប់ស្កាត់ការរំលោភបំពានឬអត់ និងថាតើអ្នកបានធ្វើសកម្មភាពដោយធ្វេសប្រហែសក្នុងការអនុវត្តសន្តិសុខរបស់អ្នកឬអត់។
អ្នកដំណើរការទិន្នន័យក៏អាចប្រឈមមុខនឹងការទទួលខុសត្រូវផងដែរ ប្រសិនបើពួកគេមិនធ្វើតាមការណែនាំរបស់អ្នកគ្រប់គ្រង ឬបំពានកាតព្វកិច្ចតាមកិច្ចសន្យារបស់ពួកគេ។
ទោះជាយ៉ាងណាក៏ដោយ ប្រព័ន្ធដំណើរការជាធម្មតាមានការទទួលខុសត្រូវមានកម្រិតច្រើនជាងឧបករណ៍បញ្ជា។
ប្រសិនបើអ្នកដំណើរការទិន្នន័យដោយគ្មានការអនុញ្ញាតត្រឹមត្រូវពីអ្នកត្រួតពិនិត្យ ឬបរាជ័យក្នុងការអនុវត្តវិធានការសុវត្ថិភាពដែលបានព្រមព្រៀងគ្នា អ្នកអាចនឹងត្រូវទទួលខុសត្រូវដោយផ្ទាល់។
តុលាការហូឡង់អនុវត្តកត្តាជាច្រើននៅពេលកំណត់ការទទួលខុសត្រូវ។
ទាំងនេះរួមមាន ភាពធ្ងន់ធ្ងរនៃការរំលោភបំពាន ភាពរសើបនៃទិន្នន័យដែលរងការលួចចូល វិធានការសុវត្ថិភាពរបស់អ្នកមុនពេលការរំលោភបំពាន និងការឆ្លើយតបរបស់អ្នកបន្ទាប់ពីរកឃើញឧប្បត្តិហេតុនេះ។
ទំហំ និងធនធានរបស់អង្គការរបស់អ្នកក៏មានឥទ្ធិពលលើអ្វីដែលតុលាការចាត់ទុកថាជាវិធានការសន្តិសុខសមហេតុផលផងដែរ។
ការទទួលខុសត្រូវរួមគ្នាអាចកើតឡើងនៅពេលដែលភាគីច្រើនរួមចំណែកដល់ការរំលោភទិន្នន័យ។
ប្រសិនបើអ្នកចែករំលែកការទទួលខុសត្រូវជាមួយអ្នកគ្រប់គ្រង ឬអ្នកដំណើរការផ្សេងទៀត តុលាការអាចធ្វើឱ្យភាគីនីមួយៗទទួលខុសត្រូវចំពោះការខូចខាតទាំងមូល។
បន្ទាប់មក អ្នកអាចស្វែងរកសំណងពីភាគីទទួលខុសត្រូវផ្សេងទៀត ដោយផ្អែកលើការចូលរួមចំណែករៀងៗខ្លួនរបស់ពួកគេចំពោះការរំលោភបំពាននោះ។
តើភាគីណាខ្លះដែលអាចទទួលខុសត្រូវចំពោះឧប្បត្តិហេតុសន្តិសុខទិន្នន័យនៅក្នុងប្រទេសហូឡង់?
អ្នកត្រួតពិនិត្យទិន្នន័យទទួលខុសត្រូវចម្បងចំពោះឧប្បត្តិហេតុសុវត្ថិភាពទិន្នន័យ។
ក្នុងនាមជាអ្នកត្រួតពិនិត្យ អ្នកធ្វើការសម្រេចចិត្តអំពីរបៀបដែលទិន្នន័យផ្ទាល់ខ្លួនត្រូវបានដំណើរការ ហើយត្រូវតែធានាថាមានវិធានការសុវត្ថិភាពសមស្រប។
អង្គការរបស់អ្នកអាចប្រឈមមុខនឹងការពិន័យរដ្ឋបាល ការទទួលខុសត្រូវរដ្ឋប្បវេណី និងការខូចខាតកេរ្តិ៍ឈ្មោះបន្ទាប់ពីការរំលោភបំពាន។
អ្នកដំណើរការទិន្នន័យអាចត្រូវទទួលខុសត្រូវនៅពេលដែលពួកគេមិនបានបំពេញកាតព្វកិច្ចតាមកិច្ចសន្យា និងផ្លូវច្បាប់របស់ពួកគេ។
ប្រសិនបើអ្នកដំណើរការទិន្នន័យក្នុងនាមអ្នកត្រួតពិនិត្យ អ្នកត្រូវតែអនុវត្តវិធានការសុវត្ថិភាពដែលបានបញ្ជាក់នៅក្នុងកិច្ចព្រមព្រៀងរបស់អ្នក និងអនុវត្តតាមការណែនាំស្របច្បាប់របស់អ្នកត្រួតពិនិត្យ។
អ្នកប្រឈមមុខនឹងការទទួលខុសត្រូវដោយផ្ទាល់ ប្រសិនបើអ្នកលើសពីសិទ្ធិអំណាចរបស់អ្នក ឬមិនអាចរក្សាសន្តិសុខបានគ្រប់គ្រាន់។
នាយក និងមន្ត្រីរបស់អង្គការរបស់អ្នកអាចប្រឈមមុខនឹងការទទួលខុសត្រូវផ្ទាល់ខ្លួនក្នុងកាលៈទេសៈមួយចំនួន។
ក្រោមការអនុវត្តសេចក្តីណែនាំ NIS2 នៅក្នុងប្រទេសហូឡង់ ថ្នាក់គ្រប់គ្រងអាចត្រូវទទួលខុសត្រូវផ្ទាល់ខ្លួនចំពោះការបរាជ័យក្នុងការគ្រប់គ្រងសន្តិសុខតាមអ៊ីនធឺណិត។
នេះរួមបញ្ចូលទាំងការដកសិទ្ធិពីការបម្រើការជានាយក ប្រសិនបើមានការរំលោភបំពានធ្ងន់ធ្ងរកើតឡើង។
អ្នកផ្តល់សេវាកម្មភាគីទីបីក៏អាចទទួលខុសត្រូវចំពោះឧប្បត្តិហេតុសន្តិសុខផងដែរ។
ប្រសិនបើអ្នកពឹងផ្អែកលើសេវាកម្ម cloud ការគាំទ្រផ្នែក IT ឬអ្នកផ្តល់សេវាខាងក្រៅផ្សេងទៀត ពួកគេអាចចែករំលែកការទទួលខុសត្រូវ នៅពេលដែលការបរាជ័យរបស់ពួកគេរួមចំណែកដល់ការរំលោភបំពាន។
កិច្ចសន្យារបស់អ្នកជាមួយអ្នកផ្តល់សេវាទាំងនេះគួរតែកំណត់យ៉ាងច្បាស់អំពីការទទួលខុសត្រូវផ្នែកសន្តិសុខ និងលក្ខខណ្ឌនៃការទទួលខុសត្រូវ។
អាជ្ញាធរការពារទិន្នន័យហូឡង់ដើរតួជាស្ថាប័នអនុវត្តច្បាប់ចម្បង។
ទោះបីជាមិនទទួលខុសត្រូវដោយផ្ទាល់ចំពោះការរំលោភបំពានក៏ដោយ អាជ្ញាធរស៊ើបអង្កេតឧប្បត្តិហេតុ ចេញបទបញ្ជាកែតម្រូវ និងដាក់ពិន័យរដ្ឋបាលលើអង្គការដែលមិនគោរពតាម។
តើអង្គការនានាប្រឈមនឹងផលវិបាកអ្វីខ្លះចំពោះការមិនគោរពតាមបទប្បញ្ញត្តិការពារទិន្នន័យរបស់ប្រទេសហូឡង់?
អង្គការរបស់អ្នកអាចប្រឈមមុខនឹងការពិន័យរដ្ឋបាលរហូតដល់ 20 លានអឺរ៉ូ ឬ 4% នៃចំណូលប្រចាំឆ្នាំសកលរបស់អ្នក អាស្រ័យលើចំនួនណាដែលខ្ពស់ជាង។ អាជ្ញាធរការពារទិន្នន័យហូឡង់កំណត់ចំនួនទឹកប្រាក់ពិន័យដោយផ្អែកលើលក្ខណៈនៃការរំលោភបំពាន ភាពធ្ងន់ធ្ងរ រយៈពេល និងកិច្ចសហប្រតិបត្តិការរបស់អ្នកក្នុងអំឡុងពេលស៊ើបអង្កេត។
ក្រៅពីការពិន័យផ្នែកហិរញ្ញវត្ថុ អាជ្ញាធរអាចដាក់ចេញវិធានការកែតម្រូវដែលរំខានដល់ប្រតិបត្តិការរបស់អ្នក។ វិធានការទាំងនេះរួមមានការរឹតបន្តឹងបណ្តោះអាសន្នលើសកម្មភាពដំណើរការទិន្នន័យ បទបញ្ជាដើម្បីកែតម្រូវការរំលោភបំពានជាក់លាក់ និងការធ្វើសវនកម្មជាកាតព្វកិច្ច។
អ្នកប្រហែលជាត្រូវផ្អាកសកម្មភាពអាជីវកម្មមួយចំនួនរហូតដល់អ្នកបង្ហាញពីការអនុលោមតាម។ អង្គការរបស់អ្នកប្រឈមនឹងការខូចខាតកេរ្តិ៍ឈ្មោះយ៉ាងធ្ងន់ធ្ងរបន្ទាប់ពីការមិនអនុលោមតាម។
ការបង្ហាញជាសាធារណៈអំពីការរំលោភទិន្នន័យ និងការពិន័យតាមបទប្បញ្ញត្តិអាចធ្វើឱ្យប៉ះពាល់ដល់ទំនុកចិត្តរបស់អតិថិជន និងធ្វើឱ្យខូចទំនាក់ទំនងអាជីវកម្ម។ អាជ្ញាធរការពារទិន្នន័យហូឡង់បោះពុម្ពផ្សាយការសម្រេចចិត្តអនុវត្ត ដែលនៅតែអាចចូលមើលបានសម្រាប់សាធារណជន និងប្រព័ន្ធផ្សព្វផ្សាយ។
អ្នកអាចនឹងប្រឈមមុខនឹងបណ្តឹងរដ្ឋប្បវេណីពីបុគ្គលដែលរងផលប៉ះពាល់ដោយការស្វែងរកសំណងសម្រាប់ការខូចខាត។ បុគ្គលម្នាក់ៗអាចទាមទារសំណងខូចខាតទាំងសម្ភារៈ និងមិនមែនសម្ភារៈដែលបណ្តាលមកពីការរំលោភបំពានលើការការពារទិន្នន័យ។
តុលាការហូឡង់បានទទួលស្គាល់កាន់តែខ្លាំងឡើងនូវការទាមទារសំណងសម្រាប់ទុក្ខលំបាក និងការបាត់បង់ការគ្រប់គ្រងលើទិន្នន័យផ្ទាល់ខ្លួន ទោះបីជាមិនមានការខាតបង់ផ្នែកហិរញ្ញវត្ថុដោយផ្ទាល់ក៏ដោយ។ ឱកាសអាជីវកម្មរបស់អ្នកអាចត្រូវបានរឹតត្បិតបន្ទាប់ពីការរំលោភបំពានធ្ងន់ធ្ងរ។
វិស័យមួយចំនួនតម្រូវឱ្យមានវិញ្ញាបនបត្រសន្តិសុខ ឬកំណត់ត្រាអនុលោមភាព ដើម្បីរក្សាកិច្ចសន្យា ជាពិសេសនៅពេលដោះស្រាយជាមួយអង្គភាពរដ្ឋាភិបាល ឬឧស្សាហកម្មដែលមានបទប្បញ្ញត្តិ។
តើបុគ្គលដែលរងផលប៉ះពាល់អាចស្វែងរកសំណងតាមវិធីណាខ្លះបន្ទាប់ពីការលួចចូលទិន្នន័យនៅក្នុងប្រទេសហូឡង់?
អ្នកអាចដាក់ពាក្យបណ្តឹងទៅអាជ្ញាធរការពារទិន្នន័យហូឡង់ ប្រសិនបើអ្នកជឿថាអង្គការណាមួយបានរំលោភលើសិទ្ធិការពារទិន្នន័យរបស់អ្នក។ អាជ្ញាធរស៊ើបអង្កេតពាក្យបណ្តឹង ហើយអាចចាត់វិធានការអនុវត្តច្បាប់ប្រឆាំងនឹងអង្គការដែលមិនអនុលោមតាម។
ដំណើរការនេះមិនគិតថ្លៃអ្វីទាំងអស់ ហើយមិនតម្រូវឱ្យមានតំណាងផ្នែកច្បាប់ទេ។ អ្នកមានសិទ្ធិបន្តវិវាទរដ្ឋប្បវេណីប្រឆាំងនឹងអង្គការដែលទទួលខុសត្រូវ។
ច្បាប់ហូឡង់អនុញ្ញាតឱ្យអ្នកទាមទារសំណងសម្រាប់ការខូចខាតទាំងសម្ភារៈ និងមិនមែនសម្ភារៈដែលបណ្តាលមកពីការរំលោភបំពានលើការការពារទិន្នន័យ។ ការខូចខាតសម្ភារៈរួមមានការខាតបង់ផ្នែកហិរញ្ញវត្ថុ ខណៈដែលការខូចខាតមិនមែនសម្ភារៈគ្របដណ្តប់លើទុក្ខព្រួយ ការថប់បារម្ភ និងការបាត់បង់ការគ្រប់គ្រងលើទិន្នន័យផ្ទាល់ខ្លួនរបស់អ្នក។
អ្នកអាចជួលមេធាវីម្នាក់ដើម្បីដោះស្រាយការទាមទាររបស់អ្នកជាបន្ទាន់ ឬស្វែងរកជំនួយផ្នែកច្បាប់ ប្រសិនបើអ្នកបំពេញតាមលក្ខណៈវិនិច្ឆ័យសិទ្ធិទទួលបានហិរញ្ញវត្ថុ។ ក្រុមហ៊ុនច្បាប់ជាច្រើននៅក្នុងប្រទេសហូឡង់មានជំនាញខាងករណីការពារទិន្នន័យ ហើយអាចផ្តល់ដំបូន្មានដល់អ្នកអំពីភាពរឹងមាំនៃការទាមទាររបស់អ្នក។
យន្តការប្តឹងជាក្រុមអនុញ្ញាតឱ្យក្រុមបុគ្គលដែលរងផលប៉ះពាល់ប្តឹងទាមទារជារួម។ អ្នកអាចស្វែងរកសំណងដោយផ្ទាល់ពីអង្គការដោយមិនចាំបាច់ទៅតុលាការ។
អង្គការជាច្រើនចូលចិត្តដោះស្រាយការទាមទារសំណងជាលក្ខណៈឯកជន ដើម្បីជៀសវាងការចំណាយលើវិវាទ និងការផ្សព្វផ្សាយអវិជ្ជមាន។ ជំហរចរចារបស់អ្នកនឹងកាន់តែរឹងមាំ ប្រសិនបើអង្គការនេះបានរំលោភលើបទប្បញ្ញត្តិការពារទិន្នន័យយ៉ាងច្បាស់ ឬប្រសិនបើការរំលោភបំពាននេះបណ្តាលឱ្យមានគ្រោះថ្នាក់ធ្ងន់ធ្ងរ។
អ្នកក៏អាចដាក់ពាក្យបណ្តឹងប្រឆាំងនឹងអ្នកដំណើរការទិន្នន័យបានដែរ ប្រសិនបើពួកគេទទួលខុសត្រូវចំពោះការរំលោភបំពាន។ ក្រោម GDPR ទាំងអ្នកត្រួតពិនិត្យ និងអ្នកដំណើរការអាចត្រូវទទួលខុសត្រូវចំពោះការខូចខាត។
ប្រសិនបើភាគីច្រើនបានរួមចំណែកដល់ការរំលោភបំពាន អ្នកអាចទាមទារសំណងពេញលេញពីភាគីណាមួយដែលទទួលខុសត្រូវ។
តើ GDPR មានឥទ្ធិពលយ៉ាងដូចម្តេចទៅលើការទទួលខុសត្រូវ និងការទទួលខុសត្រូវក្នុងករណីមានការរំលោភបំពានទិន្នន័យសម្រាប់អង្គភាពដែលកំពុងប្រតិបត្តិការនៅក្នុងប្រទេសហូឡង់?
GDPR កំណត់កាតព្វកិច្ចច្បាស់លាស់សម្រាប់អង្គការនានាទាក់ទងនឹងការការពារទិន្នន័យផ្ទាល់ខ្លួន។
អង្គភាពនានាត្រូវតែអនុវត្តវិធានការបច្ចេកទេស និងអង្គការសមស្រប ដើម្បីធានាសុវត្ថិភាពទិន្នន័យ។
ក្នុងករណីមានការលួចចូលទិន្នន័យ អង្គការនានាត្រូវជូនដំណឹងដល់អាជ្ញាធរត្រួតពិនិត្យពាក់ព័ន្ធក្នុងរយៈពេល 72 ម៉ោង។
ប្រសិនបើការរំលោភបំពាននេះបង្កហានិភ័យខ្ពស់ដល់សិទ្ធិ និងសេរីភាពរបស់បុគ្គល បុគ្គលដែលរងផលប៉ះពាល់ក៏ត្រូវតែទទួលបានការជូនដំណឹងផងដែរ។
ការមិនអនុវត្តតាមតម្រូវការទាំងនេះអាចបណ្តាលឱ្យមានការពិន័យជាប្រាក់យ៉ាងច្រើន និងប៉ះពាល់ដល់កេរ្តិ៍ឈ្មោះរបស់អង្គការ។
ទាំងអ្នកត្រួតពិនិត្យទិន្នន័យ និងអ្នកដំណើរការទិន្នន័យសុទ្ធតែមានការទទួលខុសត្រូវខុសៗគ្នាក្រោម GDPR ហើយកិច្ចសន្យាត្រូវតែកំណត់តួនាទីទាំងនេះឱ្យបានច្បាស់លាស់។
