การปฏิบัติตาม GDPR คืออะไร: ทุกสิ่งที่คุณจำเป็นต้องรู้เกี่ยวกับข้อมูลของคุณและวิธีการใช้ข้อมูล

ณ วันที่ 25 พฤษภาคม 2018ระเบียบการคุ้มครองข้อมูลทั่วไป(GDPR)กฎมีผลบังคับใช้อย่างเต็มที่ในสหภาพยุโรป (EU). กฎหมาย GDPR กำหนดแนวทางในการรวบรวมประมวลผลและใช้ข้อมูลส่วนบุคคลในขณะเดียวกันก็ควบคุมสิทธิ์ในการควบคุมสิ่งที่จะนำไปใช้ การลบประวัติการค้นหา Chrome เป็นสิ่งหนึ่ง แต่ GDPR เป็นมากกว่าตัวเลือกความเป็นส่วนตัวธรรมดา ๆ GDPR ด้วย ส่งผลกระทบต่อทุกประเทศ ที่จัดการข้อมูลส่วนบุคคลของบุคคลในสหภาพยุโรป ค่าปรับหนักมาก สำหรับผู้ที่ไม่ปฏิบัติตาม GDPR อย่างถูกต้อง สิ่งสำคัญที่สุดคือ GDPR ปกป้องผู้อยู่อาศัยในสหภาพยุโรปและให้สิทธิ์ในการควบคุมข้อมูลที่บุคคลหรือ บริษัท ระงับและใช้

เรื่องอื้อฉาวของ Facebook และ Cambridge Analytica ของปี 2018 ได้นำแนวคิดของการโฆษณาที่ปรับตามโปรไฟล์ของผู้ใช้และการเก็บเกี่ยวข้อมูลมาใช้ในมุมมองและเน้นย้ำถึงอันตรายของการปฏิบัติดังกล่าว โดยสรุป บริษัท วิเคราะห์ของอังกฤษ Cambridge Analytica ถูกกล่าวหาว่ารวบรวมข้อมูลจากบัญชี Facebook หลายล้านบัญชีโดยไม่ได้รับความยินยอมจากผู้ใช้และความรู้ที่จะมีอิทธิพลต่อพฤติกรรมการลงคะแนนเสียงในการเลือกตั้งประธานาธิบดีปี 2559

ที่มา: Unedited, Flickr: แคตตาล็อกหนังสือ ผ่าน www.shopcatalog.com , CC BY-SA 2.0

เรื่องอื้อฉาว Cambridge Analytica + Facebook อาจมีบทบาทในการโหวต Brexit ด้วยซ้ำ Facebook ถูกกล่าวหาว่าเปิดประตูเพื่อทำให้การทรยศต่อความไว้วางใจเป็นไปได้

แม้จะได้รับการจัดตั้งขึ้นเพื่อจัดการวิธีที่ธุรกิจจัดการกับข้อมูล แต่ GDPR ก็มีเป้าหมายเพื่อปกป้องทุกคนที่ใช้เว็บ หากคุณซื้อสินค้าออนไลน์อนุญาตให้ใช้คุกกี้บนเว็บไซต์สมัครใช้งานโซเชียลเน็ตเวิร์กและแม้แต่สมัครรับจดหมายข่าวกฎระเบียบใหม่จะส่งผลโดยตรงต่อคุณและวิธีที่คุณเรียกดู หากคุณเคยแบ่งปันข้อมูลส่วนบุคคลกับบุคคลหรือ บริษัท อื่น GDPR จะมีบทบาทในการใช้ข้อมูล

นี่คือทุกสิ่งที่คุณจำเป็นต้องรู้

GDPR คืออะไร?

ที่มา: https://gdpr.eu/

สหภาพยุโรป ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) ผลจากการทำงานเป็นเวลาสี่ปีของสหภาพยุโรปเพื่อทำให้กฎหมายคุ้มครองข้อมูลสอดคล้องกับวิธีการใหม่ ๆ ที่ไม่คาดคิดมาก่อนในการใช้ข้อมูล

สหราชอาณาจักรได้อาศัยพระราชบัญญัติการปกป้องข้อมูล พ.ศ. 2541 แล้วซึ่งตราขึ้นตามคำสั่งคุ้มครองข้อมูลของสหภาพยุโรป พ.ศ. 2538 แต่กฎหมายฉบับใหม่จะมีผลแทนที่กฎหมายนี้ GDPR แนะนำค่าปรับที่เข้มงวดมากขึ้นสำหรับการไม่ปฏิบัติตามข้อกำหนดและการละเมิดและช่วยให้ผู้คนสามารถพูดได้มากขึ้นว่า บริษัท สามารถทำอะไรกับข้อมูลของตนได้บ้าง นอกจากนี้ยังทำให้กฎการปกป้องข้อมูลเหมือนกันมากขึ้นหรือน้อยลงทั่วทั้งสหภาพยุโรป

เหตุใด GDPR จึงถูกร่างขึ้น

ตัวขับเคลื่อนที่อยู่เบื้องหลัง GDPR นั้นมีสองเท่า

วิธีแคปหน้าจอบางอย่างใน snapchat

อันดับแรก สหภาพยุโรปต้องการให้ผู้คนควบคุมวิธีการใช้ข้อมูลของตนได้มากขึ้น หลาย บริษัท เช่น Facebook และ Google แลกเปลี่ยนการเข้าถึงข้อมูลของผู้คนเพื่อใช้บริการของพวกเขา กฎหมายปัจจุบันได้รับการบังคับใช้ก่อนที่เทคโนโลยีอินเทอร์เน็ตและคลาวด์จะสร้างวิธีใหม่ในการใช้ประโยชน์จากข้อมูลและ GDPR พยายามที่จะแก้ไขปัญหาดังกล่าว ด้วยการเพิ่มความเข้มแข็งของกฎหมายคุ้มครองข้อมูลและการออกมาตรการบังคับใช้ที่เข้มงวดขึ้นสหภาพยุโรปหวังที่จะปรับปรุงความไว้วางใจในเศรษฐกิจดิจิทัลที่กำลังเกิดขึ้นใหม่

ประการที่สอง สหภาพยุโรปต้องการให้ธุรกิจมีสภาพแวดล้อมทางกฎหมายที่ตรงไปตรงมาและชัดเจนยิ่งขึ้นในการดำเนินงานทำให้กฎหมายคุ้มครองข้อมูลเหมือนกันทั่วทั้งตลาดเดียว (สหภาพยุโรปประเมินว่าสิ่งนี้จะช่วย บริษัท ต่างๆได้ 2.6 พันล้านต่อปี)

GDPR มีผลบังคับใช้เมื่อใด

GDPR มีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2018 เนื่องจาก GDPR เป็นข้อบังคับไม่ใช่คำสั่งสหราชอาณาจักรจึงไม่จำเป็นต้องร่างกฎหมายใหม่ แต่กฎหมายจะมีผลบังคับใช้โดยอัตโนมัติ กฎระเบียบดังกล่าวเริ่มต้นจริงในวันที่ 24 พฤษภาคม 2016 เมื่อทุกส่วนของสหภาพยุโรปเห็นพ้องกับข้อความสุดท้าย ถึงกระนั้นธุรกิจและองค์กรต่างๆก็มีเวลาจนถึงวันที่ 25 พฤษภาคม 2018 เพื่อให้กฎหมายมีผลบังคับใช้

GDPR ใช้กับใคร

ผู้ควบคุมและผู้ประมวลผลข้อมูลจำเป็นต้องปฏิบัติตาม GDPR ผู้ควบคุมข้อมูลระบุว่าข้อมูลส่วนบุคคลถูกประมวลผลอย่างไรและทำไมในขณะที่ผู้ประมวลผลเป็นฝ่ายที่ทำการประมวลผลข้อมูลจริง ดังนั้นผู้ควบคุมอาจเป็นองค์กรใดก็ได้ตั้งแต่ บริษัท ที่แสวงหาผลกำไรไปจนถึงองค์กรการกุศลหรือแม้แต่รัฐบาล โปรเซสเซอร์อาจเป็น บริษัท ไอทีที่ทำการประมวลผลข้อมูลจริง

ตามที่กล่าวไว้ก่อนหน้านี้ แต่สำคัญมากผู้ควบคุมและผู้ประมวลผลที่อยู่นอกสหภาพยุโรปจะยังคงต้องปฏิบัติตาม GDPR เมื่อต้องจัดการกับข้อมูลที่เป็นของผู้อยู่อาศัยในสหภาพยุโรป

เป็นความรับผิดชอบของผู้ควบคุมในการตรวจสอบให้แน่ใจว่าโปรเซสเซอร์ของตนปฏิบัติตามกฎหมายคุ้มครองข้อมูลและผู้ประมวลผลเองต้องปฏิบัติตามกฎเพื่อรักษาบันทึกกิจกรรมการประมวลผลของตน หากผู้ประมวลผลมีส่วนเกี่ยวข้องกับการละเมิดข้อมูลพวกเขาจะต้องรับผิดภายใต้ GDPR มากกว่าที่อยู่ภายใต้กฎหมายคุ้มครองข้อมูล

ฉันจะให้ความยินยอมภายใต้ GDPR ได้อย่างไร

การยินยอมต้องเป็นการกระทำที่ใช้งานได้และยืนยันโดยเจ้าของข้อมูลแทนที่จะเป็นการยอมรับแบบแฝงภายใต้โมเดลปัจจุบันบางรุ่นที่อนุญาตให้มีการทำเครื่องหมายในช่องล่วงหน้าหรือการเลือกไม่ใช้

ผู้ควบคุมต้องบันทึกว่าแต่ละคนให้ความยินยอมอย่างไรและเมื่อใดและบุคคลนั้นสามารถถอนความยินยอมได้ทุกเมื่อที่ต้องการ หากรูปแบบการขอคำยินยอมในปัจจุบันของคุณไม่เป็นไปตามกฎใหม่เหล่านี้คุณจะต้องเร่งดำเนินการหรือหยุดรวบรวมข้อมูลภายใต้แบบจำลองนั้น

อะไรนับเป็นข้อมูลส่วนบุคคลภายใต้ GDPR

สหภาพยุโรปได้ขยายความหมายของข้อมูลส่วนบุคคลภายใต้ GDPR อย่างมาก เพื่อแสดงประเภทของข้อมูลที่องค์กรรวบรวมเกี่ยวกับบุคคลในขณะนี้ ตัวระบุออนไลน์เช่นที่อยู่ IP ถือเป็นข้อมูลส่วนบุคคล . ข้อมูลอื่น ๆ เช่น ข้อมูลทางเศรษฐกิจวัฒนธรรมและสุขภาพจิตถือเป็นข้อมูลที่สามารถระบุตัวบุคคลได้เช่นกัน .

ข้อมูลส่วนบุคคลที่ใช้นามแฝงอาจอยู่ภายใต้กฎ GDPR ขึ้นอยู่กับว่าข้อมูลนั้นง่ายหรือยากเพียงใดในการระบุ

วิธีการ depixelate ภาพโดยไม่ใช้ photoshop

สิ่งใดก็ตามที่นับเป็นข้อมูลส่วนบุคคลภายใต้พระราชบัญญัติการปกป้องข้อมูลจะถือว่าเป็นข้อมูลส่วนบุคคลภายใต้ GDPR

ฉันสามารถเข้าถึง บริษัท ข้อมูลที่จัดเก็บเกี่ยวกับฉันได้เมื่อใด

คุณสามารถขอการเข้าถึงได้ในช่วงเวลาที่เหมาะสมและโดยทั่วไปผู้ควบคุมจะต้องตอบกลับภายในหนึ่งเดือน GDPR กำหนดให้ผู้ควบคุมและตัวประมวลผลมีความโปร่งใสเกี่ยวกับวิธีรวบรวมข้อมูลสิ่งที่พวกเขาทำกับข้อมูลและวิธีการประมวลผล คำอธิบายต้องชัดเจน (โดยใช้ภาษาธรรมดา) ในการอธิบายนโยบายและขั้นตอนข้อมูลให้คุณทราบ

คุณมีไฟล์ สิทธิ์ในการเข้าถึงข้อมูลใด ๆ ที่ บริษัท มีเกี่ยวกับคุณ , และ ถูกต้องที่จะทราบว่าเหตุใดจึงมีการประมวลผลข้อมูลนั้น , เก็บไว้นานแค่ไหน และ ใครจะได้เห็น . หากเป็นไปได้ผู้ควบคุมข้อมูลควรจัดให้มีการเข้าถึงโดยตรงที่ปลอดภัยเพื่อให้ผู้ใช้ตรวจสอบข้อมูลที่ผู้ควบคุมจัดเก็บเกี่ยวกับพวกเขา

คุณยังสามารถขอข้อมูลนั้นหากไม่ถูกต้องหรือไม่สมบูรณ์เพื่อให้แก้ไขได้ทุกเมื่อที่คุณต้องการ

GDPR มีสิทธิ์อะไรที่จะถูกลืม?

คุณมีสิทธิ์ที่จะเรียกร้องให้ลบข้อมูลของคุณหากไม่จำเป็นสำหรับวัตถุประสงค์ที่เก็บรวบรวมอีกต่อไป สถานการณ์นี้เรียกว่าสิทธิที่จะถูกลืมภายใต้กฎนี้คุณสามารถทำได้ ต้องการให้ข้อมูลของคุณถูกลบหากคุณได้เพิกถอนความยินยอมในการเก็บรวบรวม หรือคัดค้านวิธีการประมวลผล

ผู้ควบคุมมีหน้าที่แจ้งให้องค์กรอื่น ๆ (เช่น Google) ลบลิงก์ที่ไปยังสำเนาข้อมูลและสำเนาเอง

จะทำอย่างไรหากต้องการย้ายข้อมูลไปที่อื่น

ขณะนี้ผู้ควบคุมต้องจัดเก็บข้อมูลของบุคคลในรูปแบบที่ใช้กันทั่วไป (เช่นไฟล์ CSV) เพื่อย้ายข้อมูลของบุคคลไปยังองค์กรอื่น (ไม่เสียค่าใช้จ่าย) หากบุคคลนั้นร้องขอ ผู้ควบคุมต้องดำเนินการนี้ภายในหนึ่งเดือน

จะเกิดอะไรขึ้นหาก บริษัท ประสบปัญหาการละเมิดข้อมูล

บริษัท มีความรับผิดชอบในการแจ้งหน่วยงานคุ้มครองข้อมูลเกี่ยวกับการละเมิดข้อมูลใด ๆ ที่เสี่ยงต่อสิทธิและเสรีภาพของบุคคลภายใน 72 ชั่วโมงหลังจากที่องค์กรรับทราบ หน่วยงานในสหราชอาณาจักรคือสำนักงานกรรมาธิการข้อมูล ผู้บัญชาการด้านข้อมูล Elizabeth Denham เชื่อว่าฝ่ายบริหารต้องการทรัพยากรเพิ่มเติมเพื่อรับมือกับการรักษา GDPR และตอบสนองต่อองค์กรที่แจ้งการละเมิด ในเดือนมีนาคม 2017 เธอบอกกับคณะอนุกรรมการกิจการภายในสหภาพยุโรปว่าจำเป็นต้องมีเงินทุนมากขึ้นในการรับสมัครและรักษาบุคลากรที่มีทักษะ

กำหนดเวลานั้นแน่นพอที่จะหมายความว่า บริษัท ต่างๆอาจไม่ทราบทุกรายละเอียดของการละเมิดจนกว่าจะค้นพบ อย่างไรก็ตามการติดต่อครั้งแรกกับหน่วยงานปกป้องข้อมูลควรระบุถึง ลักษณะของข้อมูลที่ได้รับผลกระทบ , ประมาณจำนวนคนที่ได้รับผลกระทบ , ผลที่ตามมาอาจหมายถึงอะไรสำหรับพวกเขา และ มาตรการใดที่พวกเขาได้ดำเนินการไปแล้วหรือวางแผนที่จะดำเนินการเพื่อตอบสนอง .

ก่อนที่คุณจะโทรหาหน่วยงานคุ้มครองข้อมูล บริษัท ควรแจ้งผู้ที่ได้รับผลกระทบจากการละเมิดข้อมูล ผู้ที่ไม่ทำตามกำหนด 72 ชั่วโมงอาจถูกลงโทษสูงถึง 2% ของรายได้ต่อปีทั่วโลกหรือ 10 ล้านยูโร ($11,305,550ณ วันที่ 12 กรกฎาคม 2020 และขึ้นอยู่กับความผันผวนของสกุลเงิน) แล้วแต่จำนวนใดจะสูงกว่า

โอเคมีค่าปรับอะไรอีกบ้างสำหรับการไม่ปฏิบัติตาม GDPR

หาก บริษัท ไม่ปฏิบัติตามหลักการพื้นฐานในการประมวลผลข้อมูลเช่นการยินยอมการเพิกเฉยต่อสิทธิ์ของบุคคลที่มีต่อข้อมูลของตนหรือการถ่ายโอนข้อมูลไปยังประเทศอื่นค่าปรับจะแย่ลง หน่วยงานคุ้มครองข้อมูลสามารถออกค่าปรับได้ถึง 20 ล้านยูโร ($22,611,500ณ วันที่ 12 กรกฎาคม 2020 และขึ้นอยู่กับความผันผวนของสกุลเงิน) หรือ 4% ของมูลค่าการซื้อขายทั่วโลกของ บริษัท แล้วแต่จำนวนใดจะสูงกว่า