ภาพรวมของ GDPR: มีอะไรเปลี่ยนแปลงบ้าง

เผยแพร่แล้ว: 2018-02-15

กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค แห่ง ยุโรป (GDPR) ฉบับใหม่ จะมีผลบังคับใช้ในวันที่ 25 พฤษภาคม พ.ศ. 2561 ซึ่งมีการเปลี่ยนแปลงขั้นพื้นฐานในการจัดการข้อมูลส่วนบุคคล กฎระเบียบด้านข้อมูลใหม่จะกลายเป็นหนึ่งในกฎหมายความเป็นส่วนตัวของข้อมูลที่เข้มงวดที่สุดในโลก มีข้อมูล การตีความ และข้อความเกี่ยวกับหัวข้อนี้มากมายทั่วทั้งอินเทอร์เน็ต เราได้สรุปประเด็นที่สำคัญที่สุดสำหรับคุณที่นี่

1. คำจำกัดความของข้อมูลส่วนบุคคล

GDPR กำหนดแนวคิดของข้อมูลส่วนบุคคลใหม่ ตาม GDPR ข้อมูลต่อไปนี้จัดเป็นข้อมูลส่วนบุคคล:

ข้อมูลส่วนตัวโดยตรง

  • ชื่อเต็ม
  • ID หรือหมายเลขประกันสังคม
  • ข้อมูลไบโอเมตริกซ์ (เช่น ลายนิ้วมือ)
  • ที่อยู่อีเมล
  • ที่อยู่
  • หมายเลขโทรศัพท์
  • วันเกิด
  • การเข้าสู่ระบบและตัวระบุออนไลน์

ข้อมูลส่วนตัวทางอ้อม

  • ข้อมูลทางเศรษฐกิจ (เช่น หมายเลขบัญชี หมายเลขบัตรเครดิต ฯลฯ)
  • ที่อยู่ IP
  • ข้อมูลวัฒนธรรมและสังคม
  • ข้อมูลทางร่างกาย พันธุกรรม และจิตใจ หากสามารถตรวจสอบย้อนกลับไปยังบุคคลได้
  • ข้อมูลที่ไม่ระบุชื่อปลอมไม่ดี
  • ข้อมูลตำแหน่งทางภูมิศาสตร์

ควรสังเกตว่าข้อมูลที่เห็นได้ชัดว่าไม่ใช่ข้อมูลส่วนบุคคลในบางกรณีสามารถระบุบุคคลได้อย่างชัดเจนโดยการรวมเข้ากับแหล่งข้อมูลอื่น ตัวอย่างเช่น การผสมระหว่างเพศและรหัสไปรษณีย์อาจทำให้ระบุตัวตนได้โดยไม่ซ้ำกัน ดังนั้น ข้อมูลเหล่านี้จะต้องถูกตีความว่าเป็นข้อมูลส่วนบุคคลด้วย

2. คำจำกัดความของบทบาท

GDRP กำหนดบทบาทสามประการต่อไปนี้เกี่ยวกับการปกป้องข้อมูล

ข้อมูล-เรื่อง:

GDPR จะคืนการควบคุมข้อมูลส่วนบุคคลกลับคืนสู่มือของสิ่งที่เรียกว่า "หัวข้อข้อมูล" ในกรณีของ GDPR นี่เป็นบุคคลธรรมดาหรือบุคคลธรรมดามากกว่าพลเมืองยุโรป

ตัวควบคุมข้อมูล:

ผู้ควบคุมข้อมูลเป็นบุคคลธรรมดาหรือนิติบุคคล เช่น หน่วยงาน หน่วยงานของรัฐ หรือหน่วยงานอื่นใดที่ตัดสินใจเพียงลำพังหรือร่วมกับผู้อื่นเพื่อวัตถุประสงค์ในการรวบรวมและประมวลผลข้อมูลส่วนบุคคล ในกรณีของเว็บไซต์ นี่คือตัวดำเนินการเว็บไซต์

ตัวประมวลผลข้อมูล:

ผู้ประมวลผลข้อมูลเป็นบุคคลธรรมดาหรือนิติบุคคลที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุมข้อมูล ตัวอย่างเช่น ผู้ให้บริการ หน่วยงาน เครื่องมือทางการตลาด พันธมิตรทางธุรกิจ ฯลฯ

คุณลักษณะใหม่ของ GDPR คือการพิจารณาทั้งผู้ประมวลผลข้อมูลและผู้ควบคุมข้อมูลและสามารถดำเนินคดีตามกฎหมายได้ สิ่งสำคัญที่ควรทราบก็คือ แม้ว่า GDPR จะควบคุมการรวบรวมและประมวลผลข้อมูลส่วนบุคคลจากพลเมืองของสหภาพยุโรป แต่ก็ส่งผลกระทบต่อผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลนอกสหภาพยุโรปหากคุณรวบรวมข้อมูลเกี่ยวกับพลเมืองของสหภาพยุโรป

3. ภาระหน้าที่หลักของผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล

  • การปกป้องข้อมูลส่วนบุคคลโดยการออกแบบและโดยค่าเริ่มต้น
  • การรวบรวม การจัดเก็บ และการประมวลผลข้อมูลส่วนบุคคลต้องได้รับการสื่อสารอย่างชัดเจนและเข้าใจได้
  • ภาระผูกพันในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลโดยได้รับความยินยอมอย่างชัดแจ้งจากเจ้าของข้อมูลเท่านั้น
  • ภาระหน้าที่ในการปกป้องข้อมูลส่วนบุคคลจากการยักย้ายถ่ายเท การโจรกรรม และการเข้าถึงโดยไม่ได้รับอนุญาต
  • ภาระหน้าที่ในการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (สำหรับกิจกรรมทางธุรกิจในสหภาพยุโรป)
  • ภาระหน้าที่ในการรายงานการรั่วไหลของข้อมูลต่อเจ้าหน้าที่และแจ้งให้บุคคลที่เกี่ยวข้องทราบ
  • ภาระผูกพันในการจัดหาข้อมูลเกี่ยวกับข้อมูลที่เก็บไว้ให้กับเจ้าของข้อมูลตามคำขอ (สูงสุด 30 วัน)
  • ภาระหน้าที่ที่จะต้องตรวจสอบให้แน่ใจว่าข้อมูลสามารถลบออก ไม่ระบุชื่อ หรือทำลายได้อย่างสมบูรณ์เมื่อมีการร้องขอ
  • ภาระหน้าที่ในการทำให้ฐานข้อมูลเป็นปัจจุบันอยู่เสมอ (ซึ่งนำไปสู่วันหมดอายุโดยอัตโนมัติ)
  • ภาระหน้าที่ในการดำเนินการ DPIA (การประเมินผลกระทบต่อการปกป้องข้อมูล) สำหรับข้อมูลที่ละเอียดอ่อนมาก
  • ภาระหน้าที่ในการกำหนดกระบวนการที่จะปฏิบัติตามในกรณีที่มีการละเมิดข้อมูล
  • ภาระหน้าที่ในการแจ้งให้เจ้าของข้อมูลทราบเกี่ยวกับการถ่ายโอนข้อมูลไปยังประเทศอื่น ๆ โดยเฉพาะนอกสหภาพยุโรป
  • ภาระผูกพันในการใช้ข้อมูลเพื่อวัตถุประสงค์ที่เจ้าของข้อมูลให้ความยินยอมเท่านั้น
  • ภาระผูกพันที่จะต้องทราบแหล่งที่มาของข้อมูลส่วนบุคคลทั้งหมด

4. สิทธิ์ที่เกี่ยวข้องของเจ้าของข้อมูล

  • สิทธิ์ในข้อมูลที่โปร่งใสและการสื่อสารเกี่ยวกับการใช้ข้อมูลส่วนบุคคล
  • สิทธิ์ที่จะทราบเมื่อมีการรวบรวมและประมวลผลข้อมูลส่วนบุคคล
  • สิทธิ์ในการตรวจสอบข้อมูลที่เก็บไว้
  • สิทธิ์ในการแก้ไขข้อมูล
  • สิทธิ์ในการลบข้อมูล (สิทธิ์ที่จะถูกลืม)
  • สิทธิ์ในการห้ามการประมวลผล / การใช้ข้อมูล
  • สิทธิ์ในการรับข้อมูลในรูปแบบพกพา
  • สิทธิในการคัดค้าน (เช่น ในภายหลัง)
  • สิทธิ์ที่ข้อมูลจะไม่ได้รับการประมวลผลโดยอัตโนมัติโดยไม่ได้รับความยินยอมหากมีผลทางกฎหมาย (เช่น เมื่อทำประกันหรือสมัครบัตรเครดิต)
  • การจำกัดสิทธิ์: เมื่อใดก็ตามที่มี "กฎหมายที่สูงกว่า" พวกเขาจะจำกัดสิทธิ์ของเจ้าของข้อมูล (เช่น ระยะเวลาเก็บรักษาใบแจ้งหนี้และสัญญา ความมั่นคงของชาติ การสอบสวนของตำรวจ ฯลฯ)

5. E-Privacy Directive (หรือที่รู้จักว่า Cookie-Law)

หากภาระหน้าที่และสิทธิ์ที่กล่าวถึงข้างต้นถูกนำมาใช้โดยสอดคล้องกับ GDPR อย่างสมบูรณ์ การรวบรวมและการประมวลผลข้อมูลส่วนบุคคลใดๆ จะถูกห้ามหากไม่ได้รับความยินยอม สิ่งนี้จะห้ามคุกกี้ด้วย อย่างไรก็ตาม European Directive ฉบับปัจจุบัน เกี่ยวกับ e-Privacy 2002 (e-Privacy Directive, Cookie-Law) ตระหนักดีว่าการใช้คุกกี้เพื่อดำเนินการและวัดประสิทธิภาพของเว็บไซต์และเพื่อปรับปรุงบริการออนไลน์มีความสำคัญอย่างยิ่ง ดังนั้นจึงได้รับอนุญาตให้ได้รับความยินยอมโดยนัยสำหรับการประมวลผลข้อมูลนี้ สิ่งนี้ถูกนำมาพิจารณาเป็นเวลาหลายปีโดย “แบนเนอร์คุกกี้” ในเว็บไซต์จำนวนมาก GDPR ไม่ได้แทนที่คำสั่งความเป็นส่วนตัวอิเล็กทรอนิกส์ที่มีอยู่ ดังนั้นสิ่งนี้จึงยังคงใช้ได้ อย่างไรก็ตาม ขณะนี้อยู่ระหว่างการแก้ไขและเวอร์ชันใหม่คาดว่าจะออกในปี 2018 ในแง่ของเนื้อหา การใช้คุกกี้ที่กล่าวถึงข้างต้นมีแนวโน้มที่จะได้รับอนุญาตต่อไปโดยได้รับความยินยอมโดยปริยาย อย่างไรก็ตาม สิ่งนี้ใช้ไม่ได้กับคุกกี้การตลาดที่สามารถใช้เพื่อกำหนดเป้าหมายใหม่ได้

อย่างที่คุณเห็น GDPR มาพร้อมกับการพัฒนา ภาระผูกพัน และสิทธิใหม่ๆ มากมาย เนื่องจากการคุกคามของค่าปรับที่ร้ายแรง ขอแนะนำอย่างยิ่งให้ตรวจสอบเว็บไซต์และช่องทางออนไลน์ของคุณเพื่อให้สอดคล้องกับ GDPR เราสามารถสนับสนุนให้คุณปฏิบัติตาม GDPR ได้ ขอใบเสนอราคาส่วนบุคคลของคุณสำหรับ GDPR-Compliance-Audit ตอนนี้

หากคุณมีคำถามใด ๆ เกี่ยวกับนโยบายความเป็นส่วนตัวใหม่โปรดส่ง e-mail