GDPR กำลังมา: วิธีเตรียมตัว

เผยแพร่แล้ว: 2017-11-15

หมายเหตุ: มีวัตถุประสงค์เพื่อให้ข้อมูลทั่วไปเท่านั้นและไม่ได้มีวัตถุประสงค์เพื่อเป็นการวิเคราะห์ทางกฎหมายหรือคำแนะนำทางกฎหมาย คุณควรติดต่อทนายความเพื่อขอข้อมูลเพิ่มเติมเกี่ยวกับภาระหน้าที่เฉพาะของคุณภายใต้ GDPR

หากคุณเป็นส่วนหนึ่งขององค์กรที่ทำธุรกิจกับพลเมืองสหภาพยุโรป คุณอาจเคยได้ยินเกี่ยวกับการเปลี่ยนแปลงที่กำลังจะเกิดขึ้นซึ่งเกี่ยวข้องกับกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) GDPR เป็นกฎหมายของสหภาพยุโรปที่มีจุดประสงค์เพื่อเสริมสร้างและรวมกฎและสิทธิ์ในการปกป้องข้อมูลเพื่อประโยชน์ของพลเมืองสหภาพยุโรป GDPR ใช้กับองค์กรในสหภาพยุโรปและองค์กรนอกสหภาพยุโรป (ทุกขนาด) ที่ให้บริการสินค้าและบริการแก่สหภาพยุโรปหรือที่ใช้เทคโนโลยีการติดตาม (เช่น คุกกี้หรือพิกเซลการติดตาม) เพื่อตรวจสอบพฤติกรรมของผู้ใช้ในสหภาพยุโรป

GDPR จะมีผลบังคับใช้ตั้งแต่วันที่ 25 พฤษภาคม 2018

ในขณะนั้น องค์กรใดๆ ที่ไม่ปฏิบัติตามอาจต้องเสียค่าปรับและบทลงโทษด้านกฎระเบียบอื่นๆ สำหรับภาพรวมของ GDPR บทความนี้เป็นจุดเริ่มต้นที่ดี

หลักการสำคัญของ GDPR

คำนึงถึงหลักการต่อไปนี้ในขณะที่คุณและทีมของคุณเตรียมพร้อมสำหรับ GDPR ที่จะเกิดขึ้น:

  • ข้อมูลส่วนบุคคลที่รวบรวมต้องได้รับการประมวลผลอย่างยุติธรรม ถูกกฎหมาย และโปร่งใส ไม่ควรใช้ในลักษณะที่บุคคลไม่คาดคิดอย่างสมเหตุสมผล
  • ข้อมูลส่วนบุคคลควรถูกรวบรวมเพื่อบรรลุวัตถุประสงค์เฉพาะเท่านั้น และอย่าใช้เพิ่มเติมในลักษณะที่ไม่สอดคล้องกับวัตถุประสงค์เหล่านั้น องค์กรต้องระบุสาเหตุที่พวกเขาต้องการข้อมูลส่วนบุคคลเมื่อรวบรวม
  • ข้อมูลส่วนบุคคลที่เก็บไว้จะต้องได้รับการปรับปรุงให้เป็นปัจจุบันและถูกต้อง ไม่ควรจัดขึ้นนานเกินความจำเป็นเพื่อให้บรรลุวัตถุประสงค์
  • พลเมืองสหภาพยุโรปมีสิทธิ์เข้าถึงข้อมูลส่วนบุคคลของตนเอง พวกเขายังขอสำเนาข้อมูลของตนได้ และขอให้อัปเดต ลบ จำกัด หรือย้ายข้อมูลไปยังองค์กรอื่นโดยไม่มีอุปสรรค
  • ข้อมูลส่วนบุคคลทั้งหมดต้องได้รับการรักษาความปลอดภัย และขณะนี้ บริษัทที่ดำเนินกิจกรรมบางประเภทจำเป็นต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล

ข้อมูลส่วนบุคคลคืออะไร?

คำจำกัดความของข้อมูลส่วนบุคคลของ GDPR รวมถึงสิ่งที่เรามักพิจารณาว่าเป็นข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) เช่น ชื่อ หมายเลขหนังสือเดินทาง วันเกิด เป็นต้น แต่ยังรวมถึงข้อมูลที่เราอาจพิจารณาว่าไม่ใช่ PII เช่น ที่อยู่ IP หรืออุปกรณ์ รหัส

ข้อมูลส่วนบุคคลยังสามารถรวมถึงข้อมูลเกี่ยวกับบุคคลที่ถูกแฮชหรือเข้ารหัส

สำหรับรายการที่ครอบคลุมว่า GDPR พิจารณาข้อมูลส่วนบุคคลอย่างไร โปรดอ่านมาตรา 4(1) ของ GDPR

นอกจากนี้ สิ่งที่รวมอยู่ในคำจำกัดความของข้อมูลส่วนบุคคลคือชุดย่อยของข้อมูลที่เรียกว่า “ข้อมูลส่วนบุคคลประเภทพิเศษ” ข้อมูลส่วนบุคคลในหมวดหมู่พิเศษเป็นรายการข้อมูลเฉพาะ ซึ่งกำหนดไว้อย่างชัดเจนใน GDPR และรวมถึงสิ่งต่างๆ เช่น เชื้อชาติ ศาสนา ความคิดเห็นทางการเมือง ข้อมูลด้านสุขภาพ ฯลฯ

ขั้นตอนในการเตรียมพร้อมสำหรับ GDPR

การทำแผนที่ข้อมูล – กำหนด (และเอกสาร) ต่อไปนี้:

  • ข้อมูลส่วนตัวใดที่คุณครอบครองหรือรวบรวม?
  • ข้อมูลส่วนบุคคลใช้เพื่อวัตถุประสงค์อะไร?
  • ข้อมูลนี้มาจากไหนและมีการแบ่งปันกับฝ่ายใด
  • ข้อมูลนี้อยู่ที่ไหนในปัจจุบัน?
  • ข้อมูลถูกเก็บไว้นานแค่ไหน?
  • ข้อมูลนี้จะถูกลบหรือแก้ไขอย่างไรหากเจ้าของข้อมูลส่งคำขอ

สิทธิ์ – ตรวจสอบขั้นตอนปัจจุบันของคุณเพื่อให้แน่ใจว่าคุณสามารถปฏิบัติตามสิทธิ์ของเจ้าของข้อมูล พลเมืองสหภาพยุโรปมีสิทธิ์เข้าถึงข้อมูลส่วนบุคคลของตนเอง พวกเขายังสามารถขอสำเนาข้อมูลของตน และข้อมูลของพวกเขาได้รับการปรับปรุง ลบ จำกัด หรือย้ายไปยังองค์กรอื่นโดยไม่มีอุปสรรค ในบางสถานการณ์

ความยินยอม – เมื่ออาศัยความยินยอมเป็นพื้นฐานในการประมวลผลข้อมูลส่วนบุคคล ให้ระบุถึงวิธีการที่คุณติดตาม รับ และจัดทำเอกสารความยินยอม สำหรับกิจกรรมบางประเภท (แต่ไม่ทั้งหมด) โดยทั่วไปควรได้รับความยินยอมจากบุคคลเพื่อใช้ข้อมูลของตน เช่น เมื่อประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษ GDPR ระบุว่าควรให้ความยินยอมโดยการกระทำที่ยืนยันอย่างชัดเจน—การไม่แสดงความเห็น ทำเครื่องหมายในช่องล่วงหน้า หรือไม่ใช้งานจะไม่ถือเป็นการยินยอม ควรแจ้งความยินยอมด้วย

องค์กรจะต้องให้ข้อมูลเกี่ยวกับสาเหตุที่พวกเขารวบรวมข้อมูลส่วนบุคคลและสิ่งที่จะใช้สำหรับ

คุณจะต้องเก็บรักษาบันทึกความยินยอมทั้งหมดที่ได้รับ รวมถึงผู้ที่ยินยอม เมื่อใด และข้อความใดที่พวกเขายินยอมโดยเฉพาะ บุคคลในสหภาพยุโรปจะมีสิทธิ์เพิกถอนความยินยอมได้ทุกเมื่อ

นโยบายความเป็นส่วนตัว – ตรวจสอบนโยบายความเป็นส่วนตัวปัจจุบันของคุณและพิจารณาว่าจำเป็นต้องมีการอัปเดตหรือไม่

การออกแบบผลิตภัณฑ์ – คุณควรสร้างความเป็นส่วนตัวด้วยการออกแบบในโครงการ และพิจารณาว่าคุณจะลดผลกระทบต่อความเป็นส่วนตัวของผลิตภัณฑ์ของคุณได้อย่างไร พยายามใช้นามแฝง การทำให้ไม่เปิดเผยชื่อ และการเข้ารหัสตามความเหมาะสมหรือความจำเป็น ดูข้อมูลโดยละเอียดเพิ่มเติมเกี่ยวกับความเป็นส่วนตัวตามการออกแบบได้ในมาตรา 25 ของ GDPR

ขั้นตอนการละเมิดข้อมูล – ตรวจสอบให้แน่ใจว่าคุณมีขั้นตอนในการตรวจจับ รายงาน และตรวจสอบการละเมิดข้อมูลใดๆ GDPR กำหนดให้องค์กรรายงานการละเมิดต่อหน่วยงานคุ้มครองข้อมูลโดยทั่วไปภายใน 72 ชั่วโมงหลังจากตรวจพบ เว้นแต่ว่าการละเมิดไม่น่าจะส่งผลให้เกิดความเสี่ยงต่อสิทธิ์ความเป็นส่วนตัวของบุคคล

เจ้าหน้าที่คุ้มครองข้อมูล – กำหนดว่าคุณควรแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) หรือไม่ GDPR ระบุว่าต้องมีการแต่งตั้ง อ.ส.ค. เมื่อกิจกรรมหลักขององค์กรเกี่ยวข้องกับ "การตรวจสอบเจ้าของข้อมูลในวงกว้างอย่างสม่ำเสมอและเป็นระบบ" หรือที่องค์กรดำเนินการประมวลผลขนาดใหญ่ของ "ข้อมูลส่วนบุคคลประเภทพิเศษ" อ.ส.ค.มีหน้าที่ดูแลการปฏิบัติตามข้อกำหนดของ GDPR และทำหน้าที่เป็นจุดติดต่อระหว่างองค์กรและหน่วยงานกำกับดูแล

ผู้ให้บริการบุคคลที่สาม – จัดทำรายการโซลูชันของบุคคลที่สามทั้งหมดที่คุณใช้อยู่ในปัจจุบัน (รวมถึงคุกกี้ติดตามเว็บไซต์) ที่มีสิทธิ์เข้าถึงหรือประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูล คุณควรตรวจสอบสัญญาทั้งหมดของคุณกับผู้ให้บริการบุคคลที่สาม รวมข้อกำหนดการรักษาความลับและความเป็นส่วนตัวของข้อมูลในสัญญาของคุณ ซึ่งสอดคล้องกับ GDPR หากจำเป็น ถามผู้ให้บริการบุคคลที่สามที่คุณกำหนดว่าอยู่ในขอบเขตว่าสอดคล้องกับกฎระเบียบ GDPR หรือไม่

การ ให้ความรู้ – ให้ความรู้แก่พนักงานของคุณเกี่ยวกับ GDPR และผลกระทบที่มีต่อการรวบรวมและการจัดการข้อมูลส่วนบุคคลของลูกค้า

แล้ว Privacy Shield ล่ะ?

GDPR มีข้อกำหนดเฉพาะเกี่ยวกับการถ่ายโอนข้อมูลส่วนบุคคลนอกสหภาพยุโรป

ตัวอย่างเช่น การถ่ายโอนข้อมูลจะต้องเกิดขึ้นเฉพาะกับประเทศที่ได้รับการพิจารณาว่ามีกฎหมายคุ้มครองข้อมูลที่เพียงพอหรือที่คุณได้กำหนดกลไกการส่งออกข้อมูลที่เหมาะสม

สหภาพยุโรปไม่ได้พิจารณาว่าสหรัฐฯ มีกฎหมายคุ้มครองข้อมูลที่เพียงพอ อย่างไรก็ตาม Privacy Shield เป็นโปรแกรมการรับรองตนเองโดยสมัครใจที่องค์กรในสหรัฐฯ สามารถเข้าร่วมได้เพื่อแสดงให้เห็นว่าพวกเขามีแนวทางปฏิบัติในการปกป้องข้อมูลที่เพียงพอเพื่อให้เป็นไปตามข้อกำหนดของ GDPR .

SendGrid ได้รับการรับรอง Privacy Shield และยังมีข้อสัญญามาตรฐานให้กับลูกค้าเพื่อเป็นกลไกการส่งออกข้อมูลทางเลือก

สิ่งนี้ส่งผลต่ออีเมลอย่างไร?

GDPR จะมีผลกระทบต่อแนวทางปฏิบัติทางการตลาด นักการตลาดอีเมลทุกคนที่เกี่ยวข้องกับ GDPR จำเป็นต้องระบุถึงวิธีการดำเนินการ รับ และจัดทำเอกสารความยินยอมเมื่อจำเป็น นักการตลาดยังต้องการให้แน่ใจว่าพวกเขาสามารถอัปเดต ลบ จำกัด หรือย้ายข้อมูลของบุคคลได้หากมีการร้องขอ การปฏิบัติตาม GDPR และการนำที่อยู่อีเมลของบุคคลที่ไม่ต้องการออกจากรายการของคุณ ช่วยให้คุณปรับปรุงการส่งมอบได้!

อะไรต่อไป?

หากคุณเชื่อว่าองค์กรของคุณจะได้รับผลกระทบจาก GDPR โปรดติดต่อทนายความเพื่อหาข้อมูลเพิ่มเติมเกี่ยวกับภาระหน้าที่เฉพาะของคุณภายใต้ GDPR จุดประสงค์ของโพสต์นี้คือเพื่อเน้นถึงการเปลี่ยนแปลงบางอย่างที่อาจเกิดขึ้นสำหรับองค์กรอันเป็นผลมาจาก GDPR มีข้อความทั้งหมดของ GDPR อยู่ที่นี่ คุณยังสามารถค้นหาข้อมูลเพิ่มเติมเกี่ยวกับการใช้คุกกี้ ระเบียบ E-Privacy และความเกี่ยวข้องกับ GDPR ได้ที่นี่