คำอธิบายเกี่ยวกับ GDPR
GDPR คืออะไร?
กฎระเบียบคุ้มครองข้อมูลทั่วไป (General Data Protection Regulation: GDPR) เป็นกรอบทางกฎหมายที่ออกแบบมาเพื่อปกป้องความเป็นส่วนตัวของบุคคลในสหภาพยุโรป (EU) และทำให้พวกเขาสามารถควบคุมวิธีการรวบรวม ประมวลผล และใช้ข้อมูลส่วนบุคคลได้ดียิ่งขึ้น
GDPR ใช้กับการประมวลผลข้อมูลส่วนบุคคลทุกที่ในโลกโดยธุรกิจที่จัดตั้งขึ้นภายในสหภาพยุโรป นอกจากนี้ยังใช้ทั่วโลกกับธุรกิจใด ๆ นอกสหภาพยุโรปที่ประมวลผลข้อมูลส่วนบุคคลของบุคคลในระหว่างการเสนอสินค้า/บริการภายในสหภาพยุโรปหรือติดตามพฤติกรรมของบุคคลในสหภาพยุโรป
GDPR ได้รับการบังคับใช้ในกฎหมายภายในประเทศทั่วทั้งสหภาพยุโรปและสหราชอาณาจักร
ข้อกำหนดหลักของ GDPR คืออะไร?
GDPR เป็นก้าวเชิงบวกในการสร้างความไว้วางใจและความโปร่งใสที่มากขึ้นระหว่างองค์กรและบุคคล โดยประเด็นสำคัญบางส่วนที่ครอบคลุมได้แก่:
- ข้อมูลส่วนบุคคลของบุคคลในสหภาพยุโรป: รวมถึงข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลหรือ “เจ้าของข้อมูล” ซึ่งสามารถใช้เพื่อระบุตัวบุคคลนั้นทั้งทางตรงและทางอ้อม ซึ่งไม่เพียงแต่รวมถึงข้อมูล เช่น ชื่อ ที่อยู่อีเมล หรือรูปถ่าย แต่ยังรวมถึงรายละเอียดบัตรเครดิตหรือธนาคาร ข้อมูลทางการแพทย์ การเมือง ศาสนา หรือความเกี่ยวข้องอื่น ๆ ประวัติอาชญากรรม; หรือที่อยู่ IP ของคอมพิวเตอร์ด้วยเช่นกัน โดยไม่มีความแตกต่างภายใต้ GDPR ระหว่างข้อมูลส่วนบุคคลที่รวบรวมในบริบทของธุรกิจกับผู้บริโภค หรือจากธุรกิจต่อธุรกิจ อย่างไรก็ตาม มีกฎหมายอื่น ๆ ที่เกี่ยวข้องกับวิธีใช้การสื่อสารทางอิเล็กทรอนิกส์ ซึ่งจะแตกต่างออกไปเมื่อต้องติดต่อกับผู้บริโภคโดยตรง
- วิธีการประมวลผลข้อมูลส่วนบุคคล: ข้อมูลส่วนบุคคลสามารถรวบรวมและประมวลผลได้ก็ต่อเมื่อมีพื้นฐานทางกฎหมายในการดำเนินการดังกล่าว ความยินยอมเป็นพื้นฐานหนึ่งที่อาจใช้เพื่อวัตถุประสงค์ทางการตลาดทางตรง อย่างไรก็ตาม ไม่ใช่พื้นฐานทางกฎหมายเพียงอย่างเดียวเท่านั้น เหตุผลอื่น ๆ สำหรับการประมวลผลข้อมูลส่วนบุคคลอย่างถูกต้องตามกฎหมายตามมาตรา 6 ของ GDPR รวมถึงการปฏิบัติตามสัญญา การปฏิบัติตามภาระผูกพันทางกฎหมาย หรือเมื่อมี ‘ประโยชน์โดยชอบด้วยกฎหมาย’ ของธุรกิจหรือของบุคคลที่สามซึ่งไม่ได้ละเมิดสิทธิความเป็นส่วนตัวของแต่ละบุคคล
- สิทธิของบุคคล: บุคคลมีสิทธิที่จะร้องขอ: การเข้าถึงข้อมูลส่วนบุคคลของตน การแก้ไขข้อผิดพลาดในข้อมูลส่วนบุคคลของตน การลบข้อมูลส่วนบุคคลของตน และ/หรือการส่งออกข้อมูลส่วนบุคคลของตน พวกเขายังสามารถคัดค้านการประมวลผลข้อมูลส่วนบุคคลหรือขอให้จำกัดกิจกรรมการประมวลผลได้
- การละเมิดข้อมูล: มีภาระผูกพันในการรายงานการละเมิดข้อมูลบางประเภทต่อหน่วยงานกำกับดูแลที่เกี่ยวข้องและบุคคลที่ได้รับผลกระทบ (สำหรับสหราชอาณาจักร หน่วยงานที่เกี่ยวข้องคือสำนักงานกรรมาธิการข้อมูล (Information Commissioner’s Office: ICO)
- ความปลอดภัยของข้อมูลและระบบ: ข้อมูลส่วนบุคคลจะต้องได้รับการปกป้องโดยใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสม เพื่อให้มั่นใจถึงระดับความปลอดภัยที่เหมาะสมกับความเสี่ยงด้านความเป็นส่วนตัวที่เกี่ยวข้องกับข้อมูลส่วนบุคคลใด ๆ ตลอดตั้งแต่การรวบรวมจนถึงการกำจัด
- การถ่ายโอนในต่างประเทศ: ข้อมูลส่วนบุคคลอาจถูกถ่ายโอนนอกยุโรปในสถานการณ์ที่จำกัดเท่านั้น รวมถึง: i) ไปยังประเทศที่ไม่ใช่ประเทศในยุโรปที่คณะกรรมาธิการยุโรปได้กำหนดไว้ว่ามีระดับการปกป้องข้อมูลที่เพียงพอ;
(ii) ในกรณีที่คู่สัญญาใช้ข้อกำหนดการปกป้องข้อมูลมาตรฐานที่ได้รับอนุมัติจากคณะกรรมาธิการยุโรปในการถ่ายโอน (iii) เมื่อมีหลักปฏิบัติหรือการรับรองที่ได้รับอนุมัติแล้ว หรือ (iv) เมื่อกลุ่มองค์กรยอมรับ “กฎเกณฑ์ผูกมัด” ที่ได้รับอนุมัติจากคณะกรรมาธิการยุโรป - ความโปร่งใส: ประกาศความเป็นส่วนตัวและสัญญาผู้ใช้จะต้องเรียบง่าย ชัดเจน และเข้าใจง่าย เมื่อเก็บรวบรวมข้อมูลส่วนบุคคล ควรมีการระบุให้ชัดเจน เหนือสิ่งอื่นใด ข้อมูลจะถูกนำไปใช้เพื่ออะไร อย่างไรและจะเก็บไว้นานเท่าใด ข้อมูลดังกล่าวได้รับการประมวลผลภายใต้พื้นฐานทางกฎหมายใด และสิทธิ์ใดบ้างที่มีให้กับแต่ละบุคคล เมื่อรวบรวมอย่างถูกต้องตามกฎหมายแล้ว ข้อมูลส่วนบุคคลจะต้องใช้เพื่อวัตถุประสงค์ในการเก็บรวบรวมเท่านั้น และเป็นไปตามข้อมูลที่ให้ไว้กับบุคคลอย่างเคร่งครัด
GDPR มีความหมายต่อธุรกิจอย่างไร?
GDPR เป็นเรื่องเกี่ยวกับการมีข้อมูลส่วนบุคคลที่ชัดเจน ซื่อสัตย์ โปร่งใส และมีจริยธรรม ใช้กับธุรกิจที่เป็นผู้ควบคุมข้อมูล (บุคคล / ธุรกิจที่กำหนดวิธีการประมวลผลข้อมูลส่วนบุคคล) หรือผู้ประมวลผลข้อมูล (บุคคล / ธุรกิจที่ประมวลผลข้อมูลส่วนบุคคลภายใต้คำสั่งจากผู้ควบคุมข้อมูล) หากคุณเป็นองค์กรดังกล่าว คุณต้องตรวจสอบให้แน่ใจว่าคุณได้ปกป้องข้อมูลที่คุณใช้ และความเป็นส่วนตัวของข้อมูลที่คุณเก็บรวบรวมมา เช่นเดียวกับที่คุณปกป้องทรัพย์สินอื่น ๆ
ต่อไปนี้เป็นห้าขั้นตอนง่าย ๆ ที่คุณสามารถดำเนินการเพื่อให้สอดคล้องกับ GDPR:
- รักษาความปลอดภัยระบบของคุณ: ตรวจสอบให้แน่ใจว่าระบบที่รวบรวม ประมวลผล และจัดเก็บข้อมูลส่วนบุคคลมีความปลอดภัย คุณควรพิจารณาสิ่งต่าง ๆ เช่น ความปลอดภัยทางกายภาพ (เช่น การล็อก) ความปลอดภัยทางไซเบอร์ (เช่น การป้องกันไวรัส) ความปลอดภัยของระบบ (เช่น ไฟร์วอลล์) ความปลอดภัยของข้อมูล (เช่น การเข้ารหัส) และความปลอดภัยของอุปกรณ์ (เช่น การตรวจสอบสิทธิ์)
- บันทึกกระแสข้อมูลของคุณ: จัดทำแผนผังข้อมูลและกระแสข้อมูลของคุณเพื่อช่วยให้คุณประเมินความเสี่ยงด้านความเป็นส่วนตัวของคุณได้อย่างเหมาะสม ตรวจสอบว่าผลิตภัณฑ์และบริการใดของคุณรวบรวมและประมวลผลข้อมูลส่วนบุคคล ระบุว่าข้อมูลส่วนบุคคลใดที่ถูกรวบรวม เหตุใดจึงถูกรวบรวม วิธีการใช้ แบ่งปัน จัดเก็บ ป้องกัน เก็บรักษา และกำจัด ระบุว่าข้อมูลนั้นเป็นข้อมูลส่วนบุคคลที่ละเอียดอ่อนหรือไม่ และคุณเป็นผู้ควบคุมหรือประมวลผลข้อมูลนั้นหรือไม่
- มีพื้นฐานทางกฎหมายสำหรับการประมวลผล: กำหนดพื้นฐานทางกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคลและจัดทำเอกสาร มีฐานอันชอบด้วยกฎหมาย 6 ฐานที่สามารถยึดถือได้:
- ความยินยอม: เมื่อมีทางเลือกและการควบคุมอย่างแท้จริง การยินยอมจะต้องไม่คลุมเครือ มอบให้โดยเสรี มีการแจ้งให้ทราบ และต้องกระทำการยืนยันด้วยวิธีที่ชัดเจน
- ประโยชน์โดยชอบด้วยกฎหมาย: สามารถใช้เมื่อมีการใช้ข้อมูลส่วนบุคคลในลักษณะที่บุคคลคาดหวังอย่างสมเหตุสมผล มีผลกระทบน้อยที่สุด และมีผลประโยชน์โดยชอบด้วยกฎหมายที่จำเป็นสำหรับการประมวลผลที่จะเกิดขึ้น
- สัญญา: เพื่อปฏิบัติตามพันธกรณีตามสัญญาหรือมีการร้องขอให้ดำเนินการบางอย่าง เช่น เสนอราคาก่อนทำสัญญา
- ภาระผูกพันทางกฎหมาย: เพื่อปฏิบัติตามกฎหมายหรือภาระผูกพันตามกฎหมาย
- ผลประโยชน์ที่สำคัญ: เพื่อปกป้องชีวิตของใครบางคน
- งานสาธารณะ: เพื่อหน้าที่สาธารณะ
หรืองานเพื่อสาธารณประโยชน์สำนักงานกรรมาธิการข้อมูลมีเครื่องมือแนะนำเชิงโต้ตอบพื้นฐานที่ถูกต้องตามกฎหมาย ซึ่งสามารถช่วยคุณกำหนดพื้นฐานทางกฎหมายที่เหมาะสมที่สุดสำหรับการประมวลผลข้อมูลส่วนบุคคล
- ตรวจสอบประกาศและการเปิดเผยของคุณ: ตรวจสอบและอัปเดตนโยบายความเป็นส่วนตัวของคุณเพื่อให้แน่ใจว่าสะท้อนถึงกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของคุณ พวกเขาควรเปิดเผยพื้นฐานทางกฎหมายที่คุณใช้ในการประมวลผลข้อมูลส่วนบุคคลและเปิดเผยบุคคลที่สามที่คุณแบ่งปันข้อมูลส่วนบุคคลด้วยอย่างชัดเจน หากต้องอาศัยความยินยอม ตรวจสอบให้แน่ใจว่าคำขอความยินยอมของคุณมีความชัดเจนและไม่มีการทำเครื่องหมายในช่องทำเครื่องหมายล่วงหน้า ทบทวนและ อัปเดตหรือพิจารณาว่าจำเป็นต้องมีข้อความหรือการเปิดเผยอื่นใดที่เกี่ยวข้องกับการรวบรวม การใช้ และการประมวลผลข้อมูลส่วนบุคคลหรือไม่
- กฎหมายรัฐบาลกลางเพื่อการคุ้มครองข้อมูลส่วนบุคคล: โดยการยอมรับการใช้บริการเหล่านี้ แสดงว่าคุณยินยอมอย่างชัดเจนต่อการใช้ข้อมูลส่วนบุคคลของคุณที่ Extu ประมวลผลในการให้บริการเหล่านี้เพิ่มเติม ตามที่กำหนดภายใต้กฎหมายรัฐบาลกลางเพื่อการคุ้มครองข้อมูลส่วนบุคคลที่ถือโดยภาคเอกชน
- กำหนดนโยบายและขั้นตอนภายใน: กำหนดแนวปฏิบัติและกระบวนการอย่างเป็นทางการเพื่อช่วยคุณจัดการกับสถานการณ์ต่าง ๆ เช่น การร้องเรียนเรื่องความเป็นส่วนตัว การละเมิดข้อมูล และการร้องขอการเข้าถึงข้อมูลส่วนบุคคล
คุณควรพูดคุยกับที่ปรึกษากฎหมายเกี่ยวกับสิ่งที่คุณต้องทำเพื่อให้เป็นไปตาม GDPR
แหล่งข้อมูล GDPR อื่น ๆ
คุณสามารถรับข้อมูลที่เป็นประโยชน์เพิ่มเติมเกี่ยวกับ GDPR ได้จากสำนักงานกรรมาธิการข้อมูลแห่งสหราชอาณาจักร (ICO) – คำแนะนำเกี่ยวกับ GDPR
เนื้อหานี้จัดทำขึ้นเพื่อเป็นข้อมูลทั่วไปของคุณ และไม่ได้มีวัตถุประสงค์เพื่อให้คำแนะนำทางกฎหมาย โปรดปรึกษาผู้เชี่ยวชาญด้านกฎหมายและ/หรือผู้เชี่ยวชาญด้านความเป็นส่วนตัวอิสระ เพื่อให้เข้าใจถึงผลกระทบทั้งหมดของ GDPR ต่อกิจกรรมการประมวลผลข้อมูลของคุณ