กำหนดเส้นตายการปฏิบัติตาม GDPR: วิธีปฏิบัติตามข้อกำหนดในภาษาอังกฤษอย่างง่าย

เผยแพร่แล้ว: 2018-05-15
Roshni Shaikh
ผู้ร่วมสมทบ

ลอง นึกถึงสิ่งที่ทำให้บริษัทต่างๆ เช่น Google, LinkedIn, Twitter และอื่นๆ ที่คล้ายกันเปลี่ยนข้อกำหนดและนโยบายความเป็นส่วนตัวทีละรายการ คุณต้องสังเกตเห็นการแจ้งเตือนแล้ว

ใช่แล้ว Facebook อยู่ในไฟแก็ซสำหรับความคลาดเคลื่อนของข้อมูลผู้ใช้ แต่ดูว่าเกิดอะไรขึ้นกับนโยบายคุกกี้ทั้งหมด บริษัทต่างๆ กำลังปรับปรุงเงื่อนไขอย่างรวดเร็ว

อะไรทำให้เกิดความบ้าคลั่งนี้? แน่นอนว่าสิ่งนี้เกิดขึ้นเพราะกฎหมายฉบับหนึ่งที่สามารถปลุกปั่นโลกธุรกิจได้ – GDPR

กฎหมาย GDPR ของสหภาพยุโรปมีผลบังคับใช้ตั้งแต่วันที่ 25 พฤษภาคม 2018 สิ่งนี้เป็นข่าวตั้งแต่เริ่มก่อตั้งและนำไปใช้โดยรัฐสภาสหภาพยุโรปในเดือนเมษายน 2016

กฎหมายจะส่งผลกระทบต่อธุรกิจที่จัดการข้อมูลจำนวนมาก สิ่งนี้ใช้กับข้อมูลพลเมืองของสหภาพยุโรปทั้งหมดโดยไม่คำนึงถึงตำแหน่งของพวกเขา

GDPR คืออะไรและเหตุใดจึงมีการเปิดตัว

กล่าวอย่างง่าย ๆ ในฐานะผู้ที่อาศัยอยู่ในสหภาพยุโรป ข้อมูลของฉันได้รับการคุ้มครองเนื่องจาก GDPR

GDPR ย่อมาจาก General Data Protection Regulation แทนที่ Directive Data Protection Directive ปี 1995 ที่เก่าและล้าสมัย GDPR มีความเกี่ยวข้องมากขึ้นในปัจจุบัน เนื่องจากมีการเปลี่ยนแปลงมากมายในช่วงสองทศวรรษที่ผ่านมา

ความก้าวหน้าทางเทคโนโลยีอย่างรวดเร็วและการประมวลผล/การใช้ข้อมูลของธุรกิจทำให้ตระหนักถึงความจำเป็นของกฎหมายอย่าง GDPR

กฎระเบียบใหม่นี้กำลังมีผลบังคับใช้เพื่อให้การควบคุมข้อมูลส่วนบุคคลกลับคืนสู่พลเมืองสหภาพยุโรป มีการนำไปใช้เพื่อควบคุมความสามารถของธุรกิจในการใช้ประโยชน์จากข้อมูลส่วนบุคคลของสาธารณะ GDPR เปิดตัวเพื่อให้ สิทธิ์ดิจิทัลแก่ พลเมือง

กฎหมายนี้ไม่ได้กำหนดให้รัฐบาลแห่งชาติต้องผ่านกฎหมายลงโทษใดๆ ซึ่งหมายความว่าเป็นไปตามธรรมชาติกับบุคคล องค์กร หรือธุรกิจที่เกี่ยวข้องกับข้อมูลของพลเมืองสหภาพยุโรป

กฎหมายนี้ใช้กับธุรกิจของคุณโดยไม่คำนึงถึงบริษัทของคุณที่ดำเนินธุรกิจในระดับธุรกิจหรือระดับธุรกิจกับผู้บริโภค

GDPR จะส่งผลต่อธุรกิจของคุณอย่างไร

เกี่ยวกับผลกระทบของคลื่น GDPR มีทั้งข่าวดีและข่าวร้าย มาดูกันว่าทำไม

เจ้าของธุรกิจขนาดเล็กบางคนตื่นตระหนกและบ่นเกี่ยวกับการทำงานเกินพิกัดกะทันหัน Russel Xiam เจ้าของบริษัทสนับสนุนผลิตภัณฑ์กล่าวว่ามีหลายสิ่งที่ต้องทำในการย้ายไปยังแพลตฟอร์มซอฟต์แวร์ที่สอดคล้องกับ GDPR

การวางแผนสำหรับ GDPR นั้นเทียบเท่ากับการทบทวนทางเลือกทางธุรกิจของคุณ รัสเซล เซียม

ซึ่งหมายความว่าธุรกิจขนาดเล็กได้รับผลกระทบมากที่สุด

John Higham เจ้าของ Azybao บริษัทจัดการโครงการกล่าวว่าผู้คนปฏิเสธที่จะทำธุรกิจกับบริษัทในยุโรปเพราะกลัวว่าจะถูกจับได้

Isabelle Trijt เจ้าหน้าที่ฝ่ายทรัพยากรบุคคลจากเยอรมนีกล่าวว่า –

ฉันต้องแก้ไข/เปลี่ยนแปลง/ยกเลิกนโยบายการว่าจ้างและพนักงานใหม่ เพื่อให้เราอยู่ในแวดวงที่สอดคล้องกับ GDPR ฉันยังมีหน้าที่รับผิดชอบในการลบบันทึกเก่าทั้งหมดที่มีข้อมูลของผู้ให้สัมภาษณ์ที่ผ่านมา

เพื่อเพิ่มสิ่งนี้ เจ้าของธุรกิจในบรัสเซลส์ได้ย้ายไปยัง MailChimp จาก Convertkit เนื่องจาก Convertkit ไม่ได้ให้ตัวเลือกช่องทำเครื่องหมายที่อนุญาตให้ผู้ใช้ "เลือก" ข้อมูล นี่หมายความว่าเจ้าของธุรกิจละทิ้งผู้ให้บริการอีเมลที่ไม่ได้ให้การควบคุมแก่ผู้ใช้มากขึ้น แม้ว่า Convertkit ได้อัปเดตการทำงานของตนแล้ว ณ วันนี้

สิ่งนี้สมเหตุสมผลเพราะคุณในฐานะธุรกิจไม่ควรตกอยู่ในอันตรายเนื่องจากกฎที่ผู้ให้บริการอีเมลของคุณไม่ปฏิบัติตาม หลังจากที่ทุกอีเมลตอบกลับอาจมีนโยบายที่ไม่รับผิดชอบต่อความสูญเสียที่เกิดขึ้นกับธุรกิจของคุณใช่ไหม

แม้ว่าสถานการณ์ดังกล่าวจะเกิดขึ้นได้ยาก แต่คุณยังคงต้องรับผิดชอบต่อการไม่ปฏิบัติตามกฎหมายเนื่องจากเป็นของคุณรายชื่ออีเมล

ในทางกลับกัน Sidney Burks CTO และผู้ร่วมก่อตั้ง Ivizone จากฝรั่งเศสกล่าวว่า

นโยบายใหม่ไม่ได้มีผลกระทบอย่างมากต่อธุรกิจของเรา ส่วนใหญ่อาจเป็นเพราะกฎหมายของฝรั่งเศสมีข้อกำหนดที่เข้มงวดอยู่แล้วเกี่ยวกับการปกป้องข้อมูลและความเป็นส่วนตัว GDPR บังคับให้เรานำความเป็นส่วนตัวของข้อมูลมาเป็นแกนหลักของผลิตภัณฑ์ของเรา และคิดตั้งแต่ต้น อย่างไรก็ตาม ในขณะที่เรากำลังพัฒนาผลิตภัณฑ์ออกใหม่ เราสามารถทำได้ในลักษณะที่สะอาดและมีประสิทธิภาพ

Sidney ยังเสริมด้วยว่า GDPR ได้บังคับให้ธุรกิจต่างๆ จัดการคลังข้อมูลของตนตามลำดับ ตอนนี้พวกเขาได้เพิ่มนโยบายเพิ่มเติมเพื่อลบข้อมูลที่เก่าและไม่จำเป็น และเสริมนโยบายความปลอดภัยภายในเกี่ยวกับการจัดเก็บและการเข้าถึงข้อมูล ซึ่งหมายความว่าพวกเขาให้การรักษาความปลอดภัยข้อมูลในระดับที่สูงขึ้นแก่ลูกค้าของตน

ดังนั้น หากธุรกิจหรือองค์กรของคุณจัดการและประมวลผลข้อมูลผู้ใช้ คุณควรกังวลเกี่ยวกับความปลอดภัยของข้อมูลผู้ใช้ของคุณ คุณต้องปฏิบัติตาม GDPR ในกรณีนี้ หากธุรกิจของคุณไม่ปฏิบัติตามกฎหมาย GDPR คุณอาจถูกลงโทษอย่างหนัก

บทลงโทษสูงสุดสำหรับการเบี่ยงเบนที่รุนแรงที่สุดจะทำให้คุณเสียค่าใช้จ่าย 4% ของมูลค่าการซื้อขายทั่วโลกของคุณหรือ 20 ล้านยูโร แล้วแต่จำนวนใดจะสูงกว่า (เพิ่มเติมเกี่ยวกับบทลงโทษในส่วนต่อๆ ไป)

กฎหมาย GDPR ใช้กับ ____?

มีความสับสนอย่างมากเกี่ยวกับผู้ที่กฎหมายบังคับใช้ มีแหล่งข้อมูลไม่กี่แห่งที่พูดถึงพลเมืองของสหภาพยุโรปและมีคนอื่นที่พูดถึงผู้อยู่อาศัยในสหภาพยุโรป

ความสับสนเกิดขึ้นเมื่อมีการอ้างถึงบุคคลที่มีสิทธิ์ของ GDPR ว่าเป็น “เจ้าของข้อมูล” แต่ใครคือเจ้าของข้อมูลเหล่านี้?

เจ้าของข้อมูลคือใคร?

GDPR ใช้กับข้อมูลพลเมืองสหภาพยุโรปทั้งหมดหรือไม่

หรือเฉพาะคนที่อาศัยอยู่ในสหภาพยุโรปเท่านั้น?

เจ้าของข้อมูลถูกกำหนดให้เป็นบุคคลธรรมดาที่มีการประมวลผลข้อมูลส่วนบุคคลโดยผู้ควบคุมหรือผู้ประมวลผล ผู้ควบคุมหรือผู้ประมวลผลอาจเป็นธุรกิจหรือนิติบุคคลที่ทำงานโดยธุรกิจที่ระบุช่องทางการประมวลผลข้อมูล

คำว่า "เจ้าของข้อมูล" ไม่มีคำจำกัดความเฉพาะ อันที่จริงมันเป็นความหมายแฝง GDPR กำหนดให้ธุรกิจต้องปกป้องความเป็นส่วนตัวและข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรปภายใต้ธุรกรรมใดๆ ที่เกิดขึ้นภายในประเทศสมาชิกสหภาพยุโรป ตามคำแนะนำของ Cyber ​​Counsel บุคคลใดก็ตามที่อยู่ในประเทศสมาชิกสหภาพยุโรป ณ จุดที่กำหนดจะกลายเป็นเจ้าของข้อมูล

ข้อมูลประเภทใดบ้างที่อยู่ภายใต้การตรวจสอบ

GDPR จะพิจารณาข้อมูลส่วนบุคคลทั้งหมดที่เกี่ยวข้องกับบุคคลธรรมดาว่าเป็นของบุคคลนั้น ประเภทของข้อมูลอาจรวมถึง:

  • ข้อมูลดิจิทัล
  • ข้อมูลไบโอเมตริกซ์
  • ข้อมูลทางพันธุกรรม
  • ข้อมูลที่เข้ารหัส
  • ข้อมูลส่วนบุคคล

สิทธิ์ของเจ้าของข้อมูล:

1. ตาม GDPR ของสหภาพยุโรป คุณสามารถเลือกที่จะเป็นเจ้าของข้อมูลหรือไม่ก็ได้ ความหมายคือ คุณสามารถปฏิเสธที่จะรับการประมวลผลข้อมูลของคุณ และโดยการทำเช่นนี้ คุณจะใช้สิทธิ์ของคุณที่จะ ไม่ กลายเป็นเจ้าของข้อมูล
2. หากคุณเลือกที่จะเป็นเจ้าของข้อมูล คุณมีสิทธิ์ที่จะได้รับแจ้งเกี่ยวกับข้อมูลของคุณ คุณมีสิทธิ์ในการค้นหาการประมวลผลข้อมูลทั้งหมดที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของคุณ

3. คุณยังได้รับอำนาจและสิทธิ์อย่างเต็มที่ในการเปลี่ยนแปลงข้อมูลส่วนบุคคลของคุณหรือถอนข้อมูลของคุณ ณ จุดใดก็ตาม นี่คือเหตุผลหลักที่ธุรกิจควรให้ตัวเลือกช่องทำเครื่องหมาย (ที่กล่าวถึงในหัวข้อด้านบน) เพื่อให้ผู้ใช้มีอิสระและมีอำนาจมากขึ้นในการขอความยินยอม

4. เจ้าของข้อมูลยังสามารถคัดค้านการประมวลผลข้อมูลใด ๆ / หรือทั้งหมดของเขา / เธอหากคิดว่าข้อมูลที่ประมวลผลไม่ถูกต้องหรือไม่ถูกต้อง

5. เจ้าของข้อมูลยังสามารถคัดค้านหรือต่อต้านการถ่ายโอนข้อมูลจากผู้ให้บริการรายหนึ่งไปยังอีกรายหนึ่ง นอกจากนี้ ในฐานะเจ้าของข้อมูล คุณสามารถขอลบข้อมูลของคุณออกจากบันทึกได้ แต่เจ้าของข้อมูลอาจไม่ได้รับสิทธิ์นี้ หากข้อมูลที่ประมวลผลนั้นมีวัตถุประสงค์เพื่อวัตถุประสงค์ทางกฎหมาย วัตถุประสงค์ด้านสาธารณสุข วัตถุประสงค์ในการวิจัย ฯลฯ

กล่าวโดยย่อ มีผลบังคับใช้กับผู้อยู่อาศัยในสหภาพยุโรปทั้งหมดโดยไม่คำนึงถึงสถานที่ตั้งของธุรกิจ องค์กร หรือสัญชาติของพวกเขา และการละเมิดสิทธิ์ของเจ้าของข้อมูลจะดึงดูดบทลงโทษจำนวนมาก

อะไรคือปัจจัยที่กำหนดบทลงโทษ?

1. การละเมิดในอดีต – หากคุณมีประวัติการละเมิด ไม่ว่าจะจากมุมมองของ GDPR หรือคำสั่งคุ้มครองข้อมูลที่ใช้งานก่อนหน้านี้ นี่จะเป็นปัจจัยที่กำหนดจำนวนเงินค่าปรับ
2. สาเหตุ – การละเมิดอาจเป็นการจงใจและเพื่อวัตถุประสงค์ในการทำกำไร หรือมันจะเป็นผลจากขั้นตอนเล็กน้อย ไม่ว่าจะด้วยวิธีใด หน่วยงานที่ทำการตัดสินใจจะกำหนดจำนวนเงินค่าปรับตามสาเหตุ
3. ประเภทของข้อมูล – ขึ้นอยู่กับประเภทของข้อมูลที่ใช้ ตัวอย่างเช่น บริษัทอาจใช้ข้อมูลทางพันธุกรรมหรือไบโอเมตริกซ์ของบุคคลเพื่อวัตถุประสงค์ทางธุรกิจ นี้อาจดึงดูดบทลงโทษที่สูงกว่า ข้อมูล เช่นรายละเอียดการจ้างงาน อีกครั้ง บทลงโทษถูกกำหนดขึ้นทั้งหมดภายใต้ดุลยพินิจและขอบเขตของกฎหมายของสหภาพยุโรป
4. แนวทางแก้ไขและมาตรการ – หากคุณได้ดำเนินการเพื่อลดความเสียหายที่เกิดกับบุคคลหรือกลุ่มบุคคลที่ได้รับผลกระทบโดยตรงจากธุรกิจของคุณ สิ่งนี้จะกลายเป็นปัจจัยในการตัดสินใจ
5. มาตรการป้องกัน – สหภาพยุโรปมีช่วงการเปลี่ยนแปลง 2 ปีก่อนมีผลบังคับใช้และบังคับใช้อย่างเต็มรูปแบบในเดือนพฤษภาคม 2018 หากบริษัทของคุณมีมาตรการเพื่อให้สอดคล้องกับกฎหมาย GDPR และยังคงมีการละเมิดเกิดขึ้น สิ่งนี้จะเป็น จุดที่ต้องเน้นก่อนกำหนดจุดโทษ
6. เจตนา – หากข้อมูลเสียหายโดยเจตนา อาจมีการปรับโทษ
7. ความร่วมมือและความสัมพันธ์ – หากธุรกิจจำเป็นต้องร่วมมือกับหน่วยงานกำกับดูแลเพื่อซ่อมแซมความเสียหายและอาจย้อนกลับการละเมิด การดำเนินการนี้ถือเป็นผลดีซึ่งอาจลดโทษได้
8. การรายงาน – หากมีการรายงานการละเมิดในเชิงรุกโดยหน่วยงานที่ละเมิดเอง หรือถูกแจ้งโดยแหล่งทุติยภูมิ

โปรดทราบว่าไม่มีปัจจัยใดข้างต้นรับประกันบทลงโทษที่กำหนดไว้ เนื่องจากการพิจารณาค่าปรับทั้งหมดอยู่ในดุลยพินิจของกฎหมายของสหภาพยุโรป

สำหรับข้อมูลเพิ่มเติม โปรดดูหลักการสำคัญที่นำไปสู่การบังคับใช้กฎหมาย GDPR ที่นี่

การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (อ.ส.ค.)

ข้อมูลที่กำลังประมวลผลในธุรกิจของคุณอาจต้องได้รับการตรวจสอบ หากคุณต้องการความช่วยเหลือในการจัดระเบียบธุรกิจของคุณให้สอดคล้องกับ GDPR หน่วยงานของสหภาพยุโรปแนะนำให้ขอคำแนะนำจากผู้เชี่ยวชาญ

แต่ละประเทศสมาชิกสหภาพยุโรปอาจเสนอชื่อ หน่วยงานสาธารณะ ที่เป็นอิสระอย่างน้อยหนึ่งแห่งเพื่อช่วยตรวจสอบการปฏิบัติตามกฎหมายข้อมูล

ตาม GDPR เจ้าหน้าที่คุ้มครองข้อมูลควรได้รับการแต่งตั้งหากธุรกิจของคุณดำเนินการในระดับต่อไปนี้:

1. องค์กรที่ทำหน้าที่เป็นหน่วยงานภาครัฐ

2. บริษัทที่เกี่ยวข้องกับการรวบรวมและติดตามข้อมูลขนาดใหญ่

3. บริษัทที่จัดการกับการประมวลผลข้อมูลส่วนบุคคลที่สำคัญในวงกว้าง

5 ความเชื่อผิดๆ เกี่ยวกับ GDPR

1. บริษัทในสหรัฐอเมริกาได้รับผลกระทบอย่างหนัก – บริษัททั้งหมด (ไม่ใช่แค่บริษัทในสหรัฐอเมริกา) ที่มีลูกค้าในสหภาพยุโรปควรปฏิบัติตามกฎหมาย

2. เจ้าของธุรกิจขนาดเล็กไม่จำเป็นต้องกังวลเกี่ยวกับ GDPR – ธุรกิจขนาดเล็กหรือขนาดใหญ่: หากจัดการข้อมูลผู้ใช้ ก็ควรเป็นไปตาม GDPR

3. ไม่จำเป็นต้องได้รับความยินยอมจากผู้ใช้หากผู้ใช้เลือกที่จะป้อนข้อมูลส่วนบุคคลในระหว่างการสมัครรับข้อมูล – จำเป็นต้องได้รับความยินยอมอย่างชัดเจนจากผู้ใช้ในรูปแบบของช่องทำเครื่องหมายตั้งแต่วันที่ 25 พฤษภาคม 2018

4. หากคุณไม่ได้ทำธุรกิจในสหภาพยุโรป คุณไม่ควรกังวล หากคุณทำธุรกิจเกี่ยวกับข้อมูลพลเมืองของสหภาพยุโรป โดยไม่คำนึงถึงสถานที่ตั้งของพลเมือง GDPR จะมีผลบังคับใช้

5. ข้อมูลผู้ใช้เป็นเพียงข้อมูลที่ผู้ใช้ให้มา – ข้อมูลใดๆ ที่รวบรวม สร้าง แก้ไข ดัดแปลง หรือได้มาในรูปแบบของคุกกี้ พฤติกรรมของผู้ใช้ยังคงเป็นข้อมูลผู้ใช้

บทสรุป

หากคุณเป็นธุรกิจที่มีเว็บไซต์ที่รวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูล ตอนนี้คุณต้องใช้วิธีที่เป็นไปตามกฎหมายเพื่อรับข้อมูลผู้ใช้ ตัวอย่างเช่น หากคุณมีป๊อปอัปหรือแบบฟอร์มสมัครสมาชิกบนเว็บไซต์ วิธีเดียวที่จะรับรองได้ว่าคุณได้รับความยินยอมจากผู้ใช้คือ:

  • การใช้วิธีการเลือกเข้าร่วมสองครั้งที่รวมเฉพาะสมาชิกที่สนใจด้วยความยินยอมเท่านั้น
  • ให้ตัวเลือกแก่ผู้ใช้ในการเลือกควบคุมข้อมูลของตน
  • ให้ตัวเลือกแก่ผู้ใช้ในการยกเลิกการสมัคร
  • ตรวจสอบให้แน่ใจว่าบริการของบุคคลที่สามทั้งหมดที่คุณใช้เป็นไปตามข้อกำหนดของ GDPR
  • รักษาขั้นตอนการรับข้อมูลของคุณไว้ในการตรวจสอบ
  • การสื่อสารนโยบายความเป็นส่วนตัวของคุณอย่างโปร่งใส
  • การกำหนดเจ้าหน้าที่คุ้มครองข้อมูลหรือให้ความรู้และฝึกอบรมธุรกิจของคุณเพื่อหลีกเลี่ยงการละเมิดข้อมูล
  • การตรวจสอบข้อมูลอย่างสม่ำเสมอและการเข้าถึงได้
  • ลดขนาดข้อมูลที่คุณถือและประมวลผล

ข้อจำกัดความรับผิดชอบ: ข้อมูลข้างต้นมีไว้เพื่อการอ้างอิงและข้อมูลเท่านั้น ไม่ถือเป็นคำแนะนำทางกฎหมาย โปรดขอคำแนะนำเพิ่มเติมจากที่ปรึกษากฎหมาย