จีดีพีอาร์ นั่นอะไร?

เผยแพร่แล้ว: 2018-04-10

กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ของสหภาพยุโรปจะมีผลบังคับใช้ในวันที่ 25 พฤษภาคมของปีนี้ ในกรณีที่คุณไม่ใช่นักอ่านตัวยง (ฉันก็ไม่ใช่เหมือนกัน) เราตัดสินใจสร้างเวอร์ชัน “CliffsNotes” นี้เพื่อช่วยให้คุณเตรียมพร้อมสำหรับกฎระเบียบที่จะเกิดขึ้น สำหรับผู้ที่ยังคงต้องการอ่านข้อความทั้งหมดของ GDPR เป็นเพียงความยุติธรรมที่ฉันเตือนคุณว่ามีศัพท์แสงทางกฎหมายจำนวนมากและศัพท์แสงที่สับสน เพื่อช่วยเหลือคุณในเรื่องนี้ เราได้รวมอภิธานศัพท์สั้นๆ ไว้ท้ายโพสต์นี้เพื่อช่วยให้เข้าใจข้อกำหนดและแนวคิดภายในได้ดียิ่งขึ้น

GDPR – รุ่น “CliffsNotes”

GDPR เป็นกรอบกฎหมายที่กำหนดแนวทางในการรวบรวมและประมวลผลข้อมูลส่วนบุคคลของบุคคลภายในสหภาพยุโรป (EU) กำหนดมาตรฐานกฎหมายคุ้มครองข้อมูลทั่วทั้ง 28 ประเทศในสหภาพยุโรป (และประเทศที่รวบรวมข้อมูลจากสมาชิก) และกำหนดกฎใหม่ที่เข้มงวดในการควบคุมและประมวลผลข้อมูลที่ระบุตัวบุคคลได้ ตามที่คณะกรรมาธิการยุโรประบุว่า "ข้อมูลส่วนบุคคลคือข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคล ไม่ว่าจะเกี่ยวข้องกับชีวิตส่วนตัว อาชีพ หรือชีวิตสาธารณะของเขาหรือเธอ ไม่ว่าจะเป็นชื่อ ที่อยู่บ้าน ภาพถ่าย ที่อยู่อีเมล รายละเอียดธนาคาร โพสต์บนเว็บไซต์โซเชียลเน็ตเวิร์ก ข้อมูลทางการแพทย์ หรือที่อยู่ IP ของคอมพิวเตอร์” GDPR ประกอบด้วยหลักการสำคัญหลายประการ ซึ่งบางส่วนได้อธิบายไว้ด้านล่าง:

พื้นฐานทางกฎหมายสำหรับการประมวลผล

ข้อมูลอาจไม่ถูกประมวลผลเว้นแต่จะมีพื้นฐานทางกฎหมายอย่างน้อยหนึ่งข้อในการดำเนินการดังกล่าว:

  • เจ้าของข้อมูลได้ให้ความยินยอมในการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เฉพาะอย่างใดอย่างหนึ่งหรือมากกว่า
  • การประมวลผลจำเป็นสำหรับการปฏิบัติตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญาหรือดำเนินการตามคำร้องขอของเจ้าของข้อมูลก่อนที่จะทำสัญญา
  • การประมวลผลจำเป็นสำหรับการปฏิบัติตามภาระผูกพันทางกฎหมายที่ผู้ควบคุมต้องปฏิบัติตาม
  • การประมวลผลมีความจำเป็นเพื่อปกป้องผลประโยชน์ที่สำคัญของเจ้าของข้อมูลหรือของบุคคลธรรมดาอื่น
  • การประมวลผลเป็นสิ่งจำเป็นสำหรับการปฏิบัติงานเพื่อสาธารณประโยชน์หรือในการใช้อำนาจหน้าที่ของทางการที่ตกเป็นของผู้ควบคุม
  • การประมวลผลจำเป็นสำหรับวัตถุประสงค์ของผลประโยชน์ที่ชอบด้วยกฎหมายซึ่งดำเนินการโดยผู้ควบคุมหรือโดยบุคคลที่สาม เว้นแต่ผลประโยชน์ดังกล่าวจะถูกแทนที่ด้วยผลประโยชน์หรือสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูล ซึ่งต้องการการปกป้องข้อมูลส่วนบุคคล โดยเฉพาะอย่างยิ่ง หากข้อมูล เรื่องเป็นเด็ก

ยินยอม

“ความยินยอมจะต้องชัดเจนและแยกแยะได้จากเรื่องอื่นๆ และจัดให้มีในรูปแบบที่เข้าใจได้ง่ายและเข้าถึงได้ง่าย โดยใช้ภาษาที่ชัดเจนและเข้าใจง่าย” ซึ่งหมายความว่าลูกค้าของคุณไม่สามารถบังคับให้ได้รับความยินยอมหรือไม่ทราบว่าพวกเขาตกลงที่จะประมวลผลข้อมูลส่วนบุคคลของพวกเขา พวกเขาจะต้องได้รับแจ้งล่วงหน้าถึงสิทธิ์ในการเพิกถอนความยินยอมและรู้ว่าพวกเขายินยอมอย่างไรเมื่อให้ความยินยอม

สิทธิ์ในการเข้าถึง การเคลื่อนย้ายข้อมูล และสิทธิ์ในการลบข้อมูล

หลังจากรวบรวม ให้เก็บบันทึกและสามารถพิสูจน์ได้ว่าได้รับความยินยอมและให้ไว้เพื่ออะไร คุณจำเป็นต้องรู้ (และได้เขียนบันทึก) ว่าข้อมูลใดที่กำลังถูกรวบรวม ใช้อย่างไร จัดเก็บที่ไหน ใครมีสิทธิ์เข้าถึงข้อมูลนั้น และต้องใช้นานแค่ไหน ห้ามใช้ข้อมูลนั้นเพื่อเหตุผลอื่นนอกเหนือจากที่ระบุ ณ จุดที่รวบรวม

  • สิทธิ์ในการเข้าถึง – ให้ความสามารถในการอัปเดตข้อมูลของเจ้าของข้อมูลหรือมีขั้นตอนในการจัดการคำขออัปเดตข้อมูล
  • การเคลื่อนย้ายข้อมูล – สามารถจัดเตรียมสำเนาของข้อมูลทั้งหมดในรูปแบบทั่วไปให้เจ้าของข้อมูลได้
  • สิทธิ์ที่จะถูกลืม – เตรียมพร้อมที่จะจัดการกับคำขอจากเจ้าของข้อมูลเพื่อลบข้อมูลทั้งหมดและมีขั้นตอนในการดำเนินการภายในระยะเวลา 30 วัน

การรายงานการละเมิดข้อมูล

GDPR ยังมีข้อกำหนดใหม่ที่ผู้ควบคุมข้อมูลอยู่ภายใต้ภาระผูกพันทางกฎหมายในการแจ้งให้หน่วยงานกำกับดูแล (DPC) ทราบถึงการละเมิดข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงหลังจากเรียนรู้ เว้นแต่ว่าข้อมูลจะไม่ระบุชื่อหรือเข้ารหัส นอกจากนี้ หากการละเมิดมีแนวโน้มที่จะก่อให้เกิดอันตรายต่อเจ้าของข้อมูล จะต้องรายงานไปยังบุคคลที่ได้รับผลกระทบภายในระยะเวลาเดียวกันด้วย

ความเป็นส่วนตัวโดยการออกแบบและ DPIA

บริษัทที่พัฒนาระบบใหม่จะต้องออกแบบการปกป้องข้อมูลในการพัฒนากระบวนการทางธุรกิจสำหรับผลิตภัณฑ์และบริการ การตั้งค่าความเป็นส่วนตัวต้องตั้งค่าไว้ที่ระดับสูงโดยค่าเริ่มต้น และผู้ควบคุมควรใช้มาตรการเพื่อให้แน่ใจว่าการประมวลผลข้อมูลสอดคล้องกับระเบียบข้อบังคับตลอดวงจรชีวิตของผลิตภัณฑ์หรือบริการ

ไม่แน่ใจว่าเว็บไซต์หรือความคิดริเริ่มทางการตลาดของคุณจะหมดไปหรือไม่? เรายินดีที่จะสนทนาเพื่อตรวจสอบสถานการณ์ปัจจุบันของคุณและให้ข้อเสนอแนะเกี่ยวกับสิ่งที่คุณต้องปฏิบัติตาม

อภิธานศัพท์ GPR ด่วน

หัวเรื่องข้อมูล: บุคคลที่อาศัยอยู่ในสหภาพยุโรป

ข้อมูลส่วนบุคคล: ข้อมูลใดๆ ที่เกี่ยวข้องกับเจ้าของข้อมูลที่ระบุตัวตน/ระบุตัวตนได้ (ชื่อ หมายเลขบัตรประจำตัวประชาชน ที่อยู่ ที่อยู่ IP ฯลฯ)

ผู้ควบคุมข้อมูล: บริษัทหรือองค์กรที่รวบรวมข้อมูลส่วนบุคคลของผู้คนและตัดสินใจว่าจะทำอย่างไรกับข้อมูลดังกล่าว ตัวอย่าง – บริษัทที่คุณเป็นนักการตลาด ทำงานให้กับ

ตัวประมวลผล: บริษัทหรือองค์กรที่ช่วยผู้ควบคุมโดย "ประมวลผล" ข้อมูลตามคำแนะนำ แต่ไม่ได้ตัดสินใจว่าจะทำอย่างไรกับข้อมูล ตัวอย่าง – Google ผ่าน Google Analytics

การประมวลผลข้อมูล: การดำเนินการหรือชุดของการดำเนินการใดๆ ที่ดำเนินการกับข้อมูลส่วนบุคคลหรือชุดของข้อมูลส่วนบุคคล โดยวิธีการอัตโนมัติหรืออย่างอื่น เช่น การรวบรวม การบันทึก การจัดองค์กร โครงสร้าง การจัดเก็บ ดัดแปลงหรือแก้ไข ดึงข้อมูล ให้คำปรึกษา ใช้ การเปิดเผยโดยการส่งผ่าน การแพร่กระจาย หรือการทำให้พร้อมใช้งาน จัดตำแหน่งหรือรวมกัน การจำกัด การลบออก หรือการทำลาย

เจ้าหน้าที่คุ้มครองข้อมูล (DPO): ตัวแทนสำหรับผู้ควบคุม/ผู้ประมวลผลที่ดูแลการปฏิบัติตาม GDPR และเป็นผู้เชี่ยวชาญด้านความเป็นส่วนตัวของข้อมูล

การประเมินผลกระทบต่อความเป็นส่วนตัวของข้อมูล (DPIA): เอกสารการประเมินประโยชน์ ความเสี่ยง และตัวเลือกการลดความเสี่ยงสำหรับการประมวลผลบางประเภท

หน่วยงานกำกับดูแล: เดิมเรียกว่า "หน่วยงานคุ้มครองข้อมูล"; หน่วยงานของรัฐอย่างน้อยหนึ่งหน่วยงานในประเทศสมาชิกที่ดูแลการบังคับใช้ความเป็นส่วนตัวของข้อมูลของประเทศนั้น (เช่น สำนักงานกรรมาธิการการคุ้มครองข้อมูลของไอร์แลนด์ หน่วยงานระดับชาติ/ภูมิภาค 18 แห่งของเยอรมนี)