วิธีทำให้เว็บไซต์ของคุณเป็นไปตาม GDPR

ผู้ใช้ของเราหลายคนถามเราเกี่ยวกับ GDPR: หมายความว่าอย่างไร ใช้กับใครและใช้กับอะไร? มันส่งผลกระทบต่อฉันในฐานะธุรกิจอย่างไร? เราทราบดีว่าในขณะที่ข้อมูลจำนวนมากกำลังหมุนเวียนอยู่ในเน็ต ข้อมูลบางส่วนอาจไม่สมบูรณ์ ไม่ถูกต้อง หรือทำให้เข้าใจผิด

นี่คือเหตุผลที่เราติดต่อ Fladgate บริษัทกฎหมายชั้นนำแห่งหนึ่งของอังกฤษ ซึ่งเป็นบริษัทที่เชี่ยวชาญด้านทรัพย์สินทางปัญญา พวกเขาใจดีพอที่จะให้คำตอบที่สมบูรณ์และเป็นมืออาชีพในเรื่องนี้ ซึ่งรวมอยู่ในโพสต์นี้

ด้านล่างนี้ คุณจะพบกับหลักเกณฑ์ที่อ่านง่ายและเข้าใจง่ายสำหรับ GDPR เนื่องจากเกี่ยวข้องกับหัวข้อที่เกี่ยวข้องกับผู้สร้างไซต์ Elementor มันถูกร่างขึ้นเป็นลายลักษณ์อักษรทางกฎหมาย ดังนั้นจึงแตกต่างจากศัพท์แสงในบล็อกทั่วไปของเราเล็กน้อย แต่เราเชื่อว่านี่เป็นวิธีที่ดีที่สุด (และเท่านั้น) ในการทำความเข้าใจกฎ GDPR อย่างชัดเจน เราขอขอบคุณ Eddie Powell จาก Fladgate สำหรับการเรียบเรียงและชี้แจงแนวทางปฏิบัติที่ละเอียดและครอบคลุมสำหรับชุมชนของเรา

คำถามที่ตอบในโพสต์นี้รวมถึง:

GDPR คืออะไรและเหตุใดจึงสำคัญ

กฎพื้นฐานของ GDPR คืออะไร

ฉันสามารถใช้ข้อมูลส่วนบุคคลใดได้บ้างและจะนำไปใช้อย่างไร

ฉันสามารถถ่ายโอนข้อมูลส่วนบุคคลไปยังบุคคลที่สามได้หรือไม่?

บุคคลมีสิทธิอะไรบ้างในการต่อต้านธุรกิจ?

ในฐานะเจ้าของธุรกิจ ฉันควรปกป้องข้อมูลส่วนบุคคลบนเว็บไซต์ของฉันอย่างไร?

GDPR ย่อมาจาก General Data Protection Regulation เป็นชุดกฎใหม่ของสหภาพยุโรปที่ควบคุมวิธีที่ธุรกิจถือและใช้ข้อมูลส่วนบุคคลของบุคคล

คนส่วนใหญ่เคยได้ยินเกี่ยวกับค่าปรับที่สามารถเรียกเก็บจากธุรกิจที่ฝ่าฝืนกฎได้ สิ่งเหล่านี้สามารถวิ่งได้ถึง 20 ล้านยูโรหรือสำหรับกลุ่มบริษัทขนาดใหญ่โดยเฉพาะ 4% ของมูลค่าการซื้อขายทั่วโลกของกลุ่มซึ่งอาจเป็นเงินจำนวนมหาศาล

อย่างไรก็ตาม ที่สำคัญกว่านั้น การประชาสัมพันธ์ที่เกี่ยวข้องกับการไม่ปฏิบัติตามกฎการปกป้องข้อมูลสามารถทำลายชื่อเสียงของธุรกิจได้อย่างมีนัยสำคัญ และนำไปสู่ลูกค้าและซัพพลายเออร์ที่ไม่ไว้วางใจ นอกจากนี้ ธุรกิจใหม่จะได้รับผลกระทบหากลูกค้าไม่ไว้วางใจธุรกิจกับข้อมูล และจะรักษามาตรฐานความเป็นส่วนตัวในระดับสูง ลูกค้าต้องการความรู้สึกในการควบคุมข้อมูลส่วนบุคคลของพวกเขา

กฎนี้ใช้กับ "ข้อมูลส่วนบุคคล" ข้อมูลส่วนบุคคลรวมถึงสิ่งที่ชัดเจน เช่น ชื่อของบุคคล ที่อยู่ และรายละเอียดการติดต่อ เป็นต้น นอกจากนี้ยังรวมถึงรายการที่อยู่อีเมลที่คุณสามารถระบุตัวบุคคลจากที่อยู่ของพวกเขา (เช่น [email protected] - คุณสามารถบอกได้ว่า Bob Smith ทำงานที่ Universal วิดเจ็ต) และที่อยู่ IP ข้อมูลจะหยุดเป็นข้อมูลส่วนบุคคลหากคุณปิดบังข้อมูลดังกล่าว เพื่อที่คุณจะไม่สามารถระบุได้ว่าใครมาจากชุดข้อมูล

GDPR กล่าวว่าคุณไม่สามารถรวบรวม จัดเก็บ ใช้ และถ่ายโอนข้อมูลส่วนบุคคลนี้ (ทั้งหมดนี้เรียกว่า "การประมวลผล") เพียงเพราะว่าข้อมูลเหล่านี้ถูกจัดเก็บไว้ในระบบธุรกิจของคุณ คุณต้องคิดเกี่ยวกับสิ่งที่คุณต้องการทำและใช้กฎเกณฑ์

คุณต้องมีหนึ่งใน 6 เหตุผลที่ GDPR ระบุไว้ สิ่งสำคัญสำหรับวัตถุประสงค์ของเราคือ:

• ทำสัญญากับบุคคลหรือใช้ข้อมูลเพื่อทำสัญญา
• ปฏิบัติตามภาระผูกพันทางกฎหมาย (ไม่ใช่สัญญากับบริษัทอื่น) ที่ธุรกิจอยู่ภายใต้ เช่น การปฏิบัติตามกฎการป้องกันการฟอกเงินหรือการป้องกันอาชญากรรม
• ที่ซึ่งบุคคลได้ให้ความยินยอม (ซึ่งต้องเฉพาะเจาะจง ได้รับแจ้ง และไม่คลุมเครือ) ต่อสิ่งที่คุณต้องการดำเนินการกับข้อมูลของพวกเขา และ
• โดยที่การประมวลผลที่คุณต้องการดำเนินการนั้นจำเป็นสำหรับผลประโยชน์ที่ชอบด้วยกฎหมายของธุรกิจ แต่สมดุลกับสิทธิ์และผลประโยชน์ของบุคคลที่เกี่ยวข้องซึ่งจะสนใจในความเป็นส่วนตัวของพวกเขา

มีกฎพิเศษที่คุณกำลังติดต่อกับเด็ก ๆ ซึ่งคุณต้องตรวจสอบความยินยอมของพวกเขากับผู้ปกครอง นอกจากนี้ยังมีกฎพิเศษสำหรับการจัดการกับข้อมูลเกี่ยวกับการตัดสินลงโทษทางอาญาของผู้คนและสำหรับสิ่งที่กฎหมายเรียกว่า "หมวดหมู่พิเศษ" ซึ่งรวมถึงข้อมูลเกี่ยวกับ:

• สุขภาพ
• เชื้อชาติ
• รสนิยมทางเพศ
• ความเชื่อทางการเมือง
• ศาสนา
• สมาชิกสหภาพแรงงาน
• ข้อมูลทางพันธุกรรมและไบโอเมตริกซ์

โปรดจำไว้ว่ามีกฎพิเศษ (ไม่ใช่ส่วนหนึ่งของ GDPR) สำหรับการตลาดทางอีเมลและ SMS อย่าทึกทักเอาเองว่าเพราะคุณมีที่อยู่อีเมลหรือรายละเอียดการติดต่อของผู้อื่น คุณจึงสามารถส่งการสื่อสารทางการตลาดผ่านช่องทางเหล่านี้ให้กับพวกเขาได้ คุณต้องให้ความสามารถพวกเขาในการเลือกไม่รับการสื่อสารเหล่านี้เมื่อคุณรวบรวมข้อมูล และรวมความสามารถให้พวกเขาต้องการยกเลิกการสมัครรับข่าวสารการตลาดในอนาคตเสมอ

หากคุณต้องการใช้ข้อมูลส่วนบุคคลเพื่อบางสิ่ง เช่น การใช้ซอฟต์แวร์ใหม่ โครงการฐานข้อมูลใหม่ หรือเพื่อให้บริการที่เป็นส่วนตัวมากขึ้นแก่ลูกค้า สิ่งที่สำคัญจริงๆ ที่จะไม่เพียงแค่คิดว่าการนำข้อมูลส่วนบุคคลที่มีอยู่นั้นไปถือเป็นเรื่องปกติ ในระบบของธุรกิจและใช้งาน คุณต้องคิดถึงพื้นฐานที่กล่าวถึงข้างต้น และโดยเฉพาะอย่างยิ่ง ให้คิดว่าอาจมีข้อมูลหมวดหมู่พิเศษที่อาจรวมอยู่ด้วยหรือไม่ เนื่องจากกฎเกณฑ์เหล่านี้เข้มงวดกว่ามาก

หากคุณรวบรวมข้อมูลเพิ่มเติมเพื่อวัตถุประสงค์ที่ระบุไว้ ให้ตรวจสอบให้แน่ใจว่าคุณรวบรวมเฉพาะสิ่งที่คุณต้องการจริงๆ อย่าขอให้บุคคลจัดหามากกว่าที่จำเป็นสำหรับคุณเพื่อให้บรรลุวัตถุประสงค์ที่พวกเขาได้รับการบอกกล่าว

บุคคลต้องได้รับการบอกกล่าวอย่างชัดเจนเกี่ยวกับสิ่งที่เกิดขึ้นกับข้อมูลส่วนบุคคลของตน ซึ่งรวมถึง:

• รายละเอียดบริษัทและรายละเอียดการติดต่อของคุณ
• วัตถุประสงค์ของการประมวลผลข้อมูลคืออะไร
• คุณจะส่งข้อมูลไปให้ใคร
• คุณต้องการส่งออกข้อมูลไปยังประเทศอื่นหรือไม่
• คุณจะเก็บข้อมูลไว้นานแค่ไหน และ
• ข้อมูลเกี่ยวกับสิทธิ์ในการเพิกถอนความยินยอมและสิทธิ์อื่นๆ ที่เกิดขึ้นภายใต้ GDPR

ข้อมูลนี้ต้องให้ไว้ภายใต้ GDPR เมื่อรวบรวมข้อมูลหรือ (หากได้รับข้อมูลทางอ้อม) ภายในหนึ่งเดือนหลังจากได้รับ ธุรกิจของคุณควรมีรูปแบบมาตรฐานที่จะช่วยให้คุณสามารถให้ข้อมูลนี้ได้ ควรใช้เมื่อมีการรวบรวมข้อมูลส่วนบุคคลใหม่

เมื่อคุณปฏิบัติตามข้างต้นแล้ว ให้ดำเนินโครงการตามแผนของคุณ แต่ยึดตามนั้นและให้แน่ใจว่าคุณลบข้อมูลส่วนบุคคลที่ไม่จำเป็นหรือไม่สามารถเก็บไว้อย่างถูกกฎหมาย จำไว้ว่าหากคุณเปลี่ยนแผนหรือตัดสินใจที่จะทำอย่างอื่นกับข้อมูลส่วนบุคคล คุณต้องย้อนกลับขั้นตอนอีกครั้งและทำแบบฝึกหัดใหม่

โปรดใช้ความระมัดระวังเป็นพิเศษเกี่ยวกับการใช้ข้อมูลส่วนบุคคลที่รวบรวมไว้เพื่อให้ธุรกิจของคุณใช้ และตอนนี้คุณต้องการส่งต่อไปยังบุคคลที่สาม

คุณต้องคิดถึงขั้นตอนการปฏิบัติตามพื้นฐานข้างต้น และตรวจสอบให้แน่ใจว่าคุณได้ปฏิบัติตามเหตุผลทางกฎหมายสำหรับการประมวลผล และบุคคลนั้นได้รับข้อมูลที่จำเป็นทั้งหมดเกี่ยวกับเรื่องนี้แล้ว

หากผู้รับดำเนินการงานแทนคุณ (เช่น ผู้ให้บริการบัญชีเงินเดือน) ตามคำสั่งของคุณ ผู้รับจะเป็น "ผู้ดำเนินการ" ของคุณและคุณต้องมีสัญญาเป็นลายลักษณ์อักษรกับพวกเขา ซึ่งรวมถึงการรับประกันบางประการเกี่ยวกับความปลอดภัยและการปฏิบัติตามข้อกำหนด

ไม่น่าเป็นไปได้มากที่คุณจะสามารถรับหรือถ่ายโอน "หมวดหมู่พิเศษ" ของข้อมูล และหากจำเป็น คุณควรตรวจสอบให้แน่ใจว่าคุณได้ตรวจสอบกับทีมการปฏิบัติตามข้อกำหนดของธุรกิจของคุณแล้ว

นอกจากนี้ยังมีกฎพิเศษหากคุณต้องการย้ายข้อมูลไปยังประเทศที่อยู่นอกสหภาพยุโรป ซึ่งกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอาจไม่เข้มงวดเท่าที่ควร คุณอาจต้องใช้รูปแบบสัญญามาตรฐานกับธุรกิจหรือองค์กรที่จะรับข้อมูลส่วนบุคคลหรือจัดการอื่น ๆ ซึ่งจะทำให้มั่นใจได้ว่าสิทธิของบุคคลนั้นได้รับการเคารพ

GDPR ให้สิทธิ์แก่บุคคลหลายประการในการต่อต้านธุรกิจที่ถือข้อมูลส่วนบุคคลของตน ได้แก่

• การแก้ไข - ความผิดพลาดหรือความไม่ถูกต้องต้องได้รับการแก้ไข
• การเข้าถึง – ต้องจัดเตรียมสำเนาของข้อมูลและรายละเอียดของสิ่งที่ถูกใช้
• การยุติการประมวลผล – หยุดการใช้ข้อมูลส่วนบุคคลของใครบางคนทั้งหมด
• Erasure (สิทธิ์ที่จะถูกลืม) – การลบบันทึกทั้งหมดเกี่ยวกับบุคคล
• การพกพา – การถ่ายโอนข้อมูลส่วนบุคคลที่จัดเก็บไว้ในรูปแบบที่เครื่องอ่านได้ไปยังบุคคลหรือผู้ให้บริการรายอื่น

GDPR ไม่ได้ระบุระดับความปลอดภัย มันบอกว่าธุรกิจต้องมีระดับความปลอดภัยทางเทคโนโลยีและองค์กรที่เพียงพอ ดังนั้นบริษัทของคุณจะมีขั้นตอนการรักษาความปลอดภัยที่ออกแบบมาเพื่อช่วยให้คุณปฏิบัติตามข้อกำหนดนี้ เชื่อฟังพวกเขาเสมอ

โปรดจำไว้ว่าไม่ใช่แค่การโจมตีทางไซเบอร์ในวงกว้างเท่านั้นที่สามารถละเมิดความปลอดภัยของข้อมูลส่วนบุคคลได้ มักเป็นเรื่องเล็กน้อยที่ทำให้เกิดปัญหาใหญ่ที่สุด เช่น ข้อมูลส่วนบุคคลที่จัดเก็บไว้ในอุปกรณ์พกพาที่สูญหาย หรือแล็ปท็อปที่ไม่ได้เข้ารหัสซึ่งถูกทิ้งไว้ในที่สาธารณะ หนึ่งในสาเหตุที่ใหญ่ที่สุดของการสูญเสียข้อมูลส่วนบุคคลคืออีเมลผิดทางเนื่องจากการเติมที่อยู่อีเมลที่ไม่ถูกต้องโดยอัตโนมัติ

GDPR กำหนดหน้าที่ให้กับธุรกิจในการแจ้งเจ้าหน้าที่เกี่ยวกับการละเมิดความปลอดภัย และบริษัทของคุณจะอยู่ภายใต้ภาระหน้าที่ในการเก็บบันทึกการละเมิดใด ๆ ไม่ว่าจะเล็กน้อยเพียงใด เพื่อให้ฝ่ายบริหารสามารถตัดสินใจเกี่ยวกับสิ่งที่จำเป็นต้องได้รับแจ้ง . ตรวจสอบให้แน่ใจว่ามีการรายงานการสูญเสียใด ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลแม้ว่าจะได้รับการแก้ไขอย่างรวดเร็วหรือไม่น่าจะก่อให้เกิดความเสียหายใด ๆ ตามนโยบายของบริษัทของคุณ

Eddie Powell เป็นหุ้นส่วนในทีม Commercial Sport และ IP ที่ทนายความ Fladgate LLP ในลอนดอน ดูข้อมูลเพิ่มเติมได้ที่ https://www.fladgate.com/lawyer/eddie-powell/

คุณได้ดำเนินการขั้นตอนใดบ้างเพื่อทำให้ไซต์ของคุณสอดคล้องกับ GDPR แจ้งให้เราทราบในความคิดเห็นด้านล่าง