Skip to main content

GDPR

ทีแอล; DR

กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR)เป็น หนึ่งในกฎหมายความเป็นส่วนตัวและความปลอดภัยที่เข้มงวดที่สุดในโลกแม้ว่าร่างกฎหมายจะร่างและอนุมัติโดยสหภาพยุโรป แต่กฎระเบียบดังกล่าวยังกำหนดภาระผูกพันกับองค์กร ไม่ว่าจะดำเนินการอยู่ที่ใด ตราบใดที่องค์กรกำหนดเป้าหมายหรือรวบรวมข้อมูลเกี่ยวกับผู้คนในสหภาพยุโรป ระเบียบนี้มีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2561GDPR เรียกเก็บค่าปรับจากผู้ที่ละเมิดมาตรฐานความเป็นส่วนตัวและความปลอดภัย โดยมีมาตรการคว่ำบาตรหลายสิบล้านยูโร

GDPR คืออะไร?

GDPR (กฎการคุ้มครองข้อมูลทั่วไป) เป็นกฎหมายสำหรับการปกป้องข้อมูลของสหภาพยุโรปและกฎหมายความเป็นส่วนตัวในสหภาพยุโรปและเขตเศรษฐกิจยุโรป และการถ่ายโอนข้อมูลส่วนบุคคลนอกสหภาพยุโรปและเขตเศรษฐกิจยุโรป วัตถุประสงค์หลักของ GDPR คือ เพื่อให้บุคคลสามารถควบคุมข้อมูลส่วนบุคคลของตนได้และทำให้สภาพแวดล้อมด้านกฎระเบียบสำหรับกิจการระหว่างประเทศง่ายขึ้นด้วยการรวมกฎหมายความเป็นส่วนตัวในสหภาพยุโรป ข้อบังคับมีผลบังคับใช้และทุกองค์กรที่ถือหรือประมวลผลข้อมูลส่วนบุคคลต้องปฏิบัติตาม

กฎมีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2018 และสะท้อนให้เห็นในพระราชบัญญัติคุ้มครองข้อมูลปี 2018 ข้อบังคับนี้ใช้กับทั้ง "ผู้ดำเนินการ" และ "ผู้ประมวลผลข้อมูล" และครอบคลุมกฎเก่าที่ได้รับการรวมเข้าด้วยกัน ตลอดจนสิทธิ์ใหม่จำนวนหนึ่งสำหรับเจ้าของข้อมูล

ข้อมูลส่วนบุคคลคืออะไร?

ข้อมูลส่วนบุคคลคือข้อมูลที่อ้างถึงบุคคลที่สามารถระบุได้โดยตรงหรือโดยอ้อม และนั่นคือ:

  • ประมวลผลทางอิเล็กทรอนิกส์
  • เก็บไว้ในจดหมายเหตุ;
  • ส่วนหนึ่งของชุดข้อมูลที่สามารถเข้าถึงได้ เช่น ข้อมูลการศึกษา
  • ถือโดยหน่วยงานของรัฐ
  • ไม่จำเป็นต้องเจาะจงเฉพาะบุคคล แต่นั่นนำไปสู่การระบุตัวตน
  • ตัวอย่าง: ชื่อ ที่อยู่อีเมล ตำแหน่ง ศาสนา ชาติพันธุ์ เพศ ข้อมูลที่จัดเก็บไว้ในคุกกี้ของเว็บ IPs ความคิดเห็นทางการเมือง ข้อมูลไบโอเมตริกซ์ เป็นต้น

หลักการของ GDPR

ข้อมูลส่วนบุคคลควรได้รับการประมวลผลอย่างยุติธรรม ถูกกฎหมาย และโปร่งใส

  • ข้อมูลควรได้รับการรวบรวมเพื่อวัตถุประสงค์ที่กำหนดไว้และถูกต้องตามกฎหมาย และไม่ควรประมวลผลเพิ่มเติมในลักษณะที่ไม่สอดคล้องกับวัตถุประสงค์เหล่านั้น
  • ข้อมูลไม่ควรมากเกินไป โดยจะประมวลผลเฉพาะข้อมูลเท่าที่จำเป็นเท่านั้น
  • ข้อมูลต้องถูกต้องและหากจำเป็น ให้อัปเดต
  • ข้อมูลไม่ควรเก็บไว้นานเกินความจำเป็น
  • ข้อมูลจะต้องถูกเก็บไว้อย่างปลอดภัย
  • ผู้จัดการมีหน้าที่รับผิดชอบเกี่ยวกับประเภทของข้อมูลส่วนบุคคลที่พวกเขารวบรวมและวิธีการใช้งาน พนักงานไม่ควรเปิดเผยข้อมูลส่วนบุคคลนอกกระบวนการขององค์กรหรือใช้ข้อมูลส่วนบุคคลที่ผู้อื่นเก็บไว้เพื่อวัตถุประสงค์ของตนเอง

GDPR นำไปใช้กับใคร

GDPR ใช้กับองค์กรใดๆ ที่ดำเนินงานในสหภาพยุโรป เช่นเดียวกับองค์กรนอกสหภาพยุโรปที่ให้บริการสินค้าหรือบริการแก่ลูกค้าหรือธุรกิจในสหภาพยุโรป ซึ่งรวมถึงเว็บไซต์ใดๆ ที่รวบรวมโดยตรง เพื่อจุดประสงค์ของตนเอง หรือโดยอ้อม สำหรับแอปและเครื่องมือของบุคคลที่สาม (เช่น Google Analytics) ข้อมูลเกี่ยวกับผู้เยี่ยมชม

ผู้ที่มีข้อมูลเกี่ยวกับบุคคลอื่นในระดับส่วนบุคคล เช่น หมายเลขโทรศัพท์ของสมาชิกในครอบครัวที่จัดเก็บไว้ในโทรศัพท์ จะไม่ต้องพิจารณา GDPR สำหรับข้อมูลนั้น