fbpx

เราจะทราบได้อย่างไรว่าต้องปฏิบัติตาม GDPR หรือไม่?

01 Jun เราจะทราบได้อย่างไรว่าต้องปฏิบัติตาม GDPR หรือไม่?

คำตอบ: เรามาดูว่าเราเข้าข่ายเกณฑ์ใดต่อไปนี้บ้าง

 

GDPR เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่จะถูกนำไปใช้ทั่วโลก (ไม่ใช่แค่ใน EU) ไม่ได้ขึ้นอยู่ตำแหน่งที่ตั้งในประเทศที่คุณทำธุรกิจ หรือสัญชาติของพาร์ทเนอร์ที่คุณทำธุรกิจด้วย แต่ขึ้นอยู่กับความเกี่ยวข้องในกิจกรรมที่คุณทำ โดยระเบียบนี้ใช้บังคับกับ:

 

(1) ทุกบริษัทหรือนิติบุคคลในสหภาพยุโรปที่มีการประมวลผลข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของงาน

(2) บริษัทที่จัดตั้งขึ้นนอกสหภาพยุโรปซึ่งเสนอสินค้าหรือบริการให้ (ทั้งจ่ายเงินและไม่เสียค่าใช้จ่าย) แก่บุคคลในสหภาพยุโรป หรือตรวจสอบพฤติกรรมการซื้อ/ การใช้บริการผ่านทางออนไลน์ของบุคคลในสหภาพยุโรป

(3) บริษัททั้งหมดที่ดำเนินการและเก็บข้อมูลส่วนบุคคลของผู้ที่อยู่อาศัยในสหภาพยุโรป โดยไม่คำนึงถึงตำแหน่งที่ตั้งของบริษัทนั้นว่าอยู่ที่ใดในโลก

 

ข้อมูลส่วนตัวคืออะไร?

 

ข้อมูลส่วนบุคคล คือ ข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลนั้นที่สามารถระบุตัวบุคคลกลับไปได้ ตัวอย่างที่ชัดเจนได้แก่:

• ชื่อและนามสกุล
• ที่อยู่
• อีเมล
• วันเกิด

 

ดังนั้นหากเว็บไซต์ของคุณมีแบบสอบถามหรือการลงชื่อสมัครโดยใช้อีเมล องค์ประกอบที่เกี่ยวกับข้อมูลส่วนบุคคลด้านบนนี้จะต้องสอดคล้องกับระเบียบใหม่ของ GDPR

รวมไปถึงรายการข้อมูลส่วนตัวเหล่านี้ด้วย:

• คุ้กกี้ (Cookies)
• ที่อยู่ IP
• สถานที่ (Location)
• สุขภาพและข้อมูลทางพันธุกรรม
• ความคิดเห็นทางการเมือง
• พฤติกรรมทางเพศ

 

ดังนั้นถ้าคุณสามารถติดตามใครผ่านทางที่อยู่ IP ของเขาตอนนี้ คุณจำเป็นต้องแจ้งการติดตามข้อมูลนี้และจะต้องได้รับการแสดงความยินยอมจากเจ้าของ

ในการประมวลผลและการรักษาความปลอดภัยข้อมูล ชื่อและที่อยู่ของบุคคลก็จะต้องมีการแจ้งความประสงค์ในการใช้อย่างชัดเจนและได้รับการปฏิบัติด้วยความระมัดระวัง รวมไปถึงคุกกี้หรือที่อยู่ IP ก็เช่นเดียวกัน

 

ถ้าข้อมูลส่วนบุคคลที่เคยมีมาก่อนแล้วเข้าข่ายผิดระเบียบมั้ย?

 

ข้อมูลใดที่เคยมีมาแล้วก็จำเป็นต้องเป็นไปตามระเบียบใหม่ เช่น ถ้าคุณมีอีเมลของพลเมืองสหภาพยุโรปอยู่ในมืออยู่แล้ว แต่ไม่แจ้งเหตุผลและวัตถุประสงค์การนำข้อมูลไปใช้แก่เจ้าของก็ถือว่าเป็นการละเมิดระเบียบทันที

 

ในแง่การใช้งานข้อมูลส่วนบุคคลให้ตรงตาม GDPR คือ ต้องโปร่งใสตรงไปตรงมาและเป็นธรรม หากธุรกิจหรือองค์กรต้องการใช้ข้อมูลก็จะต้องแจ้งให้เจ้าของข้อมูลว่านำไปใช้ทำอะไรและจะเกิดอะไรขึ้นถ้าข้อมูลถูกนำไปใช้แล้ว ฉะนั้นในฐานะบริษัทหรือองค์กรที่ต้องใช้ข้อมูลเหล่านี้จำเป็นจะต้องจัดการเรื่องอะไรอย่างไรบ้าง เรารวบรวมมาให้ดังนี้

 

• จัดทำแผนและจัดหมวดหมู่ข้อมูลส่วนบุคคลทั้งหมด
• ทำการประเมินความเสี่ยงที่อาจเกิดขึ้นภายหลังการนำข้อมูลไปใช้
• จ้างเจ้าหน้าที่คุ้มครองข้อมูลมาดูแลเรื่องที่เกี่ยวข้องกับตรงนี้โดยเฉพาะ
• ตรวจสอบการปฏิบัติตามกฏ GDPR อยู่เสมอ
• บันทึกเป็นเอกสารยืนยันทุกกิจกรรมที่เกิดขึ้นกับข้อมูลนั้นๆเพื่อให้แน่ใจว่าถูกต้องตามระเบียบข้อบังคับ

 

วันนี้ หากคุณต้องการให้เราช่วยประเมินธุรกิจของคุณสำหรับ GDPR ติดต่อ Aware ได้เลย

 

เรามีอีกบทความเกี่ยวกับ GDPR ว่าส่งผลกระทบทางธุรกิจอย่างไรบ้าง คลิกที่นี่