ระเบียบว่าด้วย การป้องกันข้อมูลทั่วไป คู่มือ GDPR ที่ชัดเจนสำหรับธุรกิจ

การป้องกันข้อมูลทั่วไป ระเบียบว่าด้วยการป้องกันข้อมูลทั่วไปได้รับการเสนอครั้งแรกในปี 2555 และสิ่งที่ตามมาคือการอภิปรายอภิปรายและการแก้ไขเป็นเวลาสี่ปีโดยในที่สุดก็มีการประกาศใช้กฎระเบียบโดยรัฐสภายุโรปในปี 2559 ประเทศ บริษัท และองค์กรต่างๆ โดยมีการบังคับใช้กฎระเบียบตั้งแต่วันที่ 25 พฤษภาคม 2018 สิ่งที่ดูเหมือนว่าเวลาในการเตรียมการได้ผ่านไปอย่างรวดเร็วในตอนแรกและในช่วงเวลาของการเขียนฉบับนี้

มีการเขียนและพูดคุยกันมากมายในโดเมนสาธารณะเกี่ยวกับ GDPR แต่ถึงกระนั้นเจ้าของธุรกิจจำนวนมากก็ยังไม่แน่ใจในสิ่งที่ GDPR สร้างขึ้นและไม่ว่าพวกเขาจะได้รับผลกระทบหรือไม่ก็ตาม ในคู่มือ GDPR นี้ฉันหวังว่าจะเพิ่มความชัดเจนอธิบายว่ากฎการคุ้มครองข้อมูลทั่วไปคืออะไรซึ่งมีผลกระทบต่อธุรกิจและวิธีการพร้อมคำตอบสำหรับคำถามทั่วไปที่ถามบ่อยเกี่ยวกับ GDPR และขั้นตอนที่คุณสามารถดำเนินการได้ ธุรกิจของคุณที่มีต่อการปฏิบัติตามกฎระเบียบ

เป็นภาษาอังกฤษธรรมดา: ทุกสิ่งที่คุณต้องรู้เกี่ยวกับ GDPR การป้องกันข้อมูลทั่วไป

เราได้เห็นแล้วว่าเทคโนโลยีรบกวนอุตสาหกรรมต่าง ๆ ทั้งเก่าและใหม่: Uber และ Lyft ส่งผลกระทบต่อการขนส่ง Netflix กำลังรบกวนว่าภาพยนตร์และรายการทีวีผลิตและบริโภคอย่างไรและ AI กำลังคุกคามที่จะทำลายทุกอุตสาหกรรมในวิธีที่เราไม่เคยคิดมาก่อน . แต่เทคโนโลยีก็รบกวนกฎหมายและระเบียบที่บังคับใช้โดยประเทศต่างๆด้วย GDPR ออกแบบมาเพื่อแทนที่คำสั่งที่ทันสมัยซึ่งตัวเองไม่เพียงพออีกต่อไป: Directive 95/46 / EC (คำสั่งการปกป้องข้อมูล)

กฎข้อบังคับการป้องกันข้อมูลทั่วไปเห็นได้ชัดว่ามีศูนย์กลางที่การปกป้องข้อมูล แต่ไม่ได้ควบคุมการปกป้องข้อมูลทั้งหมด แต่จะมุ่งเน้นไปที่ข้อมูลส่วนบุคคลของบุคคลโดยเฉพาะบุคคลที่อาศัยอยู่ในประเทศสมาชิกสหภาพยุโรปใด ๆ ปรับปรุงข้อมูลที่มีอยู่ – และแนะนำใหม่ – กฎระเบียบที่เกี่ยวข้องกับการรวบรวมและประมวลผลข้อมูลส่วนบุคคลของบุคคลใด ๆ ที่อาศัยอยู่ในประเทศสมาชิกสหภาพยุโรป และไม่เพียงนำไปใช้กับธุรกิจและองค์กรที่มีสถานะทางกายภาพในประเทศสมาชิกสหภาพยุโรปเท่านั้น ธุรกิจและองค์กรทั่วโลกจะต้องสอดคล้องกับ GDPR หากพวกเขารวบรวมและประมวลผลข้อมูลส่วนบุคคลของบุคคลใด ๆ ที่อาศัยอยู่ในสหภาพยุโรป

วัตถุประสงค์ของกฎระเบียบนี้ไม่ได้ทำให้ยากขึ้นสำหรับธุรกิจที่จะขายการตลาดหรือดำเนินการใด ๆ ของฟังก์ชั่นธุรกิจปกติของพวกเขา แต่ได้รับการออกแบบมาเพื่อให้บุคคลสามารถควบคุมได้มากขึ้นว่าใครรวบรวมและประมวลผลข้อมูลส่วนบุคคลของพวกเขาสิ่งที่ใช้และวิธีการรักษาความปลอดภัย

มันทำสิ่งนี้โดยการแยกความแตกต่างระหว่างข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่ละเอียดอ่อนโดยข้อมูลส่วนบุคคลเป็นข้อมูลใด ๆ ที่ทำให้สามารถระบุตัวบุคคล – ไม่ว่าทางตรงหรือทางอ้อม มันมีข้อมูลเช่นชื่อหมายเลขประจำตัวข้อมูลสถานที่และตัวระบุออนไลน์ ข้อมูลส่วนบุคคลที่ละเอียดอ่อนยังช่วยให้สามารถระบุตัวบุคคลได้ แต่ด้วยขอบเขตที่กว้างขึ้นของปัจจัยเฉพาะรวมถึงองค์ประกอบของลักษณะทางกายภาพสรีรวิทยาพันธุศาสตร์สุขภาพจิตเศรษฐกิจวัฒนธรรมหรืออัตลักษณ์ทางสังคม ไม่อนุญาตให้รวบรวมและประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อนยกเว้นภายใต้สถานการณ์ที่เฉพาะเจาะจงโดยมีข้อกำหนดเพิ่มเติมในด้านความปลอดภัยของข้อมูล การป้องกันข้อมูลทั่วไป

ถัดไป GDPR จะปรับปรุงหลักการให้ความยินยอมโดยต้อง:

• ความยินยอมโดยชัดแจ้งของบุคคล
• การยกเลิกความยินยอมแบบครอบคลุมการยินยอมโดยปริยายและการยินยอมตามเงื่อนไขการขายการบริการหรือข้อกำหนดและเงื่อนไขทั่วไป
• ความสามารถในการถอนความยินยอมของแต่ละบุคคลได้อย่างง่ายดาย

มีบทบัญญัติภายใน GDPR สำหรับเวลาที่ไม่จำเป็นต้องได้รับความยินยอม แต่สิ่งเหล่านี้เกี่ยวข้องกับฐานกฎหมายที่เฉพาะเจาะจงมากสำหรับการรวบรวมและประมวลผลข้อมูลส่วนบุคคล

จากนั้น GDPR จะชี้แจงสิทธิของบุคคลในแง่ของข้อมูลส่วนบุคคลของพวกเขาแยกย่อยดังนี้:

• สิทธิที่จะได้รับการแจ้งเตือนซึ่งโดยทั่วไปแล้วจะอยู่ในประกาศความเป็นส่วนตัวของคุณ ข้อมูลโดยละเอียดเกี่ยวกับผู้ที่รวบรวมและประมวลผลข้อมูลส่วนบุคคลตลอดจนวิธีการใช้จะต้องมีให้ใช้อย่างอิสระและเขียนด้วยภาษาที่ชัดเจนและชัดเจน
• สิทธิในการเข้าถึง บุคคลทั่วไปสามารถขอคำยืนยันจากคุณว่ากำลังประมวลผลข้อมูล พวกเขายังสามารถขอสำเนาข้อมูลทั้งหมดที่คุณเก็บไว้พร้อมกับข้อมูลเพิ่มเติมใด ๆ ควรให้ฟรีและภายในหนึ่งเดือนของการร้องขอ
• สิทธิที่จะมีการปรับปรุงแก้ไข บุคคลสามารถขอให้คุณแก้ไขข้อมูลที่ไม่สมบูรณ์หรือไม่ถูกต้องใด ๆ ที่คุณมีจากนั้นคุณจะต้องรับผิดชอบต่อการส่งข้อมูลที่ถูกต้องไปยังบุคคลที่สามใด ๆ ที่คุณแบ่งปันข้อมูลก่อนหน้านี้ด้วย
• สิทธิในการลบ นี่ไม่ใช่สิทธิ์ที่สมบูรณ์แบบที่จะถูกลืม แต่เป็นข้อกำหนดสำหรับบุคคลที่จะขอให้ลบข้อมูลของพวกเขาโดยคุณเมื่อไม่มีเหตุผลที่ถูกต้องตามกฎหมายสำหรับคุณที่จะดำเนินการต่อหรือไม่ได้รับความยินยอมจากพวกเขา
• สิทธิที่จะ จำกัด การประมวลผล ในบางกรณีบุคคลสามารถร้องขอให้ จำกัด การประมวลผลข้อมูลของตนเพิ่มเติมได้ สิ่งนี้แตกต่างไปจากสิทธิ์ในการลบโดยที่คุณยังคงได้รับอนุญาตให้จัดเก็บข้อมูลส่วนบุคคลเพียงไม่ดำเนินการเพิ่มเติม
• สิทธิ์ในการพกพาข้อมูลช่วยให้บุคคลสามารถรับข้อมูลของพวกเขาจากคุณและนำมาใช้ซ้ำเพื่อวัตถุประสงค์ของตนเองในบริการอื่น ๆ อย่างไรก็ตามสิ่งนี้ใช้เฉพาะในกรณีที่บุคคลให้ข้อมูลส่วนบุคคลแก่ผู้ควบคุมโดยทั่วไปในระหว่างการทำงานของแอปพลิเคชันสัญญา
• สิทธิที่จะได้วัตถุ หากคุณไม่มีเหตุผลที่น่าสนใจในการประมวลผลข้อมูลของบุคคลนั้นพวกเขายังคงมีสิทธิ์คัดค้านการประมวลผลด้วยเหตุผลหลายประการ
• สิทธิในความสัมพันธ์กับการตัดสินใจแบบอัตโนมัติและโปรไฟล์ จีดีพีอาร์กำหนดให้มีมาตรการป้องกันสำหรับกระบวนการและการตัดสินใจอัตโนมัติเพื่อลดความเสี่ยงของการตัดสินใจที่สร้างความเสียหายหรือไม่พึงประสงค์โดยไม่ต้องมีการแทรกแซงจากมนุษย์หรือความสามารถในการหาคำอธิบาย

GDPR มีรายละเอียดที่ดีเยี่ยมเกี่ยวกับความรับผิดชอบและการกำกับดูแลภายในธุรกิจและองค์กร ที่อยู่นี้มีความสำคัญเช่น:

• การดำเนินการตามมาตรการที่รับรองและแสดงให้เห็นถึงการปฏิบัติตาม ซึ่งอาจรวมถึงนโยบายการปกป้องข้อมูลภายในเช่นการฝึกอบรมพนักงานการตรวจสอบภายในของกิจกรรมการประมวลผลและการทบทวนนโยบายทรัพยากรบุคคลภายใน
• การเก็บรักษาเอกสารที่เกี่ยวข้องของกิจกรรมการประมวลผลทั้งหมด
• การระบุว่าองค์กรของคุณเป็นตัวประมวลผลข้อมูลตัวควบคุมข้อมูลหรือทั้งสองอย่าง คุณต้องเข้าใจวัตถุประสงค์และข้อกำหนดของบทบาทที่แตกต่างเหล่านี้ในแง่ของ GDPR และหากเหมาะสมคุณอาจต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล
• การดำเนินการตามมาตรการที่เป็นไปตามหลักการปกป้องข้อมูลโดยการออกแบบและการปกป้องข้อมูลโดยค่าเริ่มต้น ซึ่งอาจรวมถึง:
  • การลดขนาดข้อมูล
  •  การปลอมแปลงหรือการลบข้อมูล
  • ความสามารถสำหรับบุคคลในการตรวจสอบการประมวลผลข้อมูลของพวกเขา
  • การปรับปรุงคุณสมบัติความปลอดภัยอย่างต่อเนื่อง

ในที่สุด GDPR แนะนำข้อกำหนดใหม่สำหรับวิธีการประมวลผลข้อมูลส่วนบุคคลเพื่อความปลอดภัยพร้อมกับข้อกำหนดว่าธุรกิจและองค์กรจำเป็นต้องตอบสนองต่อการรั่วไหลของข้อมูลอย่างไร

สิ่งสำคัญคือต้องจำไว้ว่า GDPR จะไม่ส่งผลกระทบต่อทุกธุรกิจและองค์กรเฉพาะผู้ที่รวบรวมและ / หรือประมวลผลข้อมูลส่วนบุคคลลูกค้าของพวกเขาหรือในนามขององค์กรอื่น หากคุณไม่รวบรวมหรือประมวลผลข้อมูลส่วนบุคคลของบุคคลใด ๆ คุณไม่มีอะไรต้องกังวล และถ้าคุณทำสิ่งสำคัญที่คุณควรคำนึงถึงคือการทำให้แน่ใจว่าคุณปฏิบัติตามข้อกำหนดของ GDPR อย่างเต็มที่ GDPR ไม่ควรป้องกันธุรกิจของคุณจากการดำเนินงานต่อไปแม้ว่ามันอาจบังคับให้คุณเปลี่ยนกระบวนการบางอย่างทำให้ยากต่อการทำงานบางอย่าง แต่ก็ไม่เคยทำให้เป็นไปไม่ได้ในการดำเนินงาน

ค่าปรับที่หนักที่สุดที่เป็นไปได้ภายใต้ GDPR ไม่ได้มีไว้เพื่อเป็นอันตรายต่อธุรกิจ แต่เป็นการขัดขวางธุรกิจและองค์กรที่เกี่ยวข้องไม่ให้ปฏิบัติตามกฎระเบียบและทำให้ข้อมูลส่วนบุคคลของบุคคลตกอยู่ในความเสี่ยง

แต่เช่นเดียวกับกฎระเบียบใหม่ใด ๆ เราจะต้องรอจนกว่าจะมีการบังคับใช้และกฎหมายกรณีใหม่ที่จัดตั้งขึ้นเพื่อยืนยันถึงผลกระทบที่เป็นสาระสำคัญต่อองค์กรและบุคคลและไม่ว่าสิ่งนี้จะเปลี่ยนแปลงตลอดเวลาหรือไม่

คำถามใหญ่เกี่ยวกับข้อกำหนดการป้องกันข้อมูลทั่วไป

GDPR จะส่งผลกระทบต่อฉันหรือไม่

คำตอบสั้น ๆ คือใช่ ในฐานะปัจเจกบุคคล GDPR จะกำหนดเวลาและวิธีที่องค์กรและ บริษัท สามารถประมวลผลหรือควบคุมข้อมูลที่สามารถระบุตัวบุคคลที่เกี่ยวข้องกับคุณได้ และหากคุณเป็นส่วนหนึ่งขององค์กรหรือธุรกิจที่ดำเนินการหรือควบคุมข้อมูลส่วนบุคคลของบุคคลในสหภาพยุโรปใด ๆ GDPR จะกำหนดเวลาที่คุณจะทำเช่นนี้และวิธีที่คุณควรทำเช่นนี้ ซึ่งหมายความว่า GDPR ไม่เพียง แต่นำไปใช้กับธุรกิจและองค์กรที่มีสถานะทางกายภาพในประเทศสมาชิกสหภาพยุโรปใด ๆ แต่ยังรวมถึงผู้ที่เสนอขายสินค้าหรือบริการให้กับพลเมืองของประเทศสมาชิกสหภาพยุโรปด้วยแม้ว่าพวกเขาจะไม่มีสถานะทางกายภาพในสหภาพยุโรป .

GDPR จะส่งผลกระทบต่อการโทรเย็นหรือไม่

กฎการคุ้มครองข้อมูลทั่วไป (GDPR) จะส่งผลกระทบต่อการโทรเย็นทุกรูปแบบอย่างแน่นอนรวมถึงการทำการตลาดผ่านอีเมล์ด้วยความเย็น GDPR กำหนดมาตรฐานที่สูงสำหรับการยินยอมโดยให้ความสำคัญกับการละทิ้งบุคคล (ลูกค้า / ลูกค้า) ในการควบคุมและสร้างความเชื่อมั่นและการมีส่วนร่วม

ความยินยอมที่เหมาะสมภายใต้ GDPR หมายถึงสิ่งต่อไปนี้:

• การยินยอมจะต้องชัดเจนและผ่านการเลือกเข้าร่วมที่เป็นบวก ซึ่งหมายความว่าคุณจะไม่สามารถใช้ความยินยอมได้โดยค่าเริ่มต้นความยินยอมตามเงื่อนไขการขายหรือบริการ
• ความยินยอมไม่สามารถคลุมเครือ บุคคลนั้นจะต้องให้คำแถลงความยินยอมเป็นการเฉพาะในขณะที่รู้ว่าพวกเขายินยอมอะไรและพวกเขาให้ความยินยอม หากผู้ควบคุมบุคคลที่สามใด ๆ จะต้องพึ่งพาความยินยอมของบุคคลนั้นก็จะต้องมีการตั้งชื่อ
• ความยินยอมควรแยกออกจากข้อกำหนดและเงื่อนไขอื่น ๆ
• ต้องแสดงหลักฐานการยินยอมและเก็บรักษาไว้ ซึ่งรวมถึงบันทึกของใครเมื่อไหร่อย่างไรและอะไร
• มันจะง่ายสำหรับบุคคลที่จะถอนความยินยอมและพวกเขาจะต้องได้รับแจ้งว่าพวกเขาสามารถถอนความยินยอมได้อย่างไร

คุณควรตรวจสอบบันทึกการยินยอมของคุณเป็นประจำเพื่อให้แน่ใจว่าไม่มีอะไรเปลี่ยนแปลงในแง่ของความสัมพันธ์การประมวลผลข้อมูลหรือวัตถุประสงค์ของการยินยอม รีเฟรชตามความจำเป็น

GDPR จะส่งผลกระทบต่อ B2B หรือไม่

GDPR ใช้เฉพาะกับบุคคลดังนั้นในบริบทของความสัมพันธ์ B2B – ที่มีอยู่และใหม่ – ผลกระทบของ GDPR จะขึ้นอยู่กับข้อมูลติดต่อที่คุณใช้ในการสื่อสารกับลูกค้า B2B ของคุณ เมื่อใดก็ตามที่ข้อมูลการติดต่อของคุณมีข้อมูลส่วนบุคคลคุณจะต้องปฏิบัติตามกฎระเบียบที่เกี่ยวข้องกับการยินยอมและการบันทึกอย่างชัดเจน สิ่งนี้จะรวมถึงกฎระเบียบที่เกี่ยวข้องกับการปกป้องข้อมูลด้วย

อย่างไรก็ตามหากบันทึกของคุณมีเฉพาะข้อมูลติดต่อทั่วไป (หมายเลขติดต่อหรือที่อยู่อีเมลที่ไม่มีชื่อแนบ) คุณไม่จำเป็นต้องบันทึกความยินยอมอย่างชัดเจน แต่คุณต้องทำให้ง่ายสำหรับ บริษัท หรือองค์กรในการยกเลิก และเก็บบันทึกสิ่งนี้ไว้

• Facebook
• Twitter
• Line