ทำความรู้จักและรับมือกับข้อกฏหมาย GDPR
“GDPR – General Data Protection Regulation”
GDPR คือ ระเบียบว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป โดยเป็นผลที่มาจากการที่ข้อมูลส่วนบุคคลถูกล่วงละเมิดมากขึ้นในโลกยุคดิจิทัล เป็นการปรับปรุงมาตรการให้เหมาะสมกับสถานการณ์ที่แตกต่างไปจากเมื่อครั้งออกกฏ EU Directive เมื่อปี 1995 โดยมีวัตถุประสงค์เพื่อเสริมสร้างและป้องกันข้อมูลให้เป็นหนึ่งเดียวสำหรับบุคคลทุกแห่งในสหภาพยุโรป ซึ่งมีผลบังคับใช้ในวันที่ 25 พฤษภาคม พ.ศ. 2561
ข้อกฏหมายที่สำคัญ
หลักการคุ้มครองข้อมูลจากข้อกำหนดของ GDPR มี 3 ส่วน ดังนี้
- ขอบเขตการบังคับใช้ในเชิงพื้นที่
GDPR บังคับใช้งานในทุกหน่วยงานที่มีการประมวลผลข้อมูลของบุคคลพลเมืองใน EU ทั้ง 28 ประเทศและนอกพื้นที่ EU ที่มีความเกี่ยวข้องกับข้อมูลของคนใน EU
- บทลงโทษ
ในกรณีที่เกิดความเสียหาย หรือไม่ปฏิบัติตามข้อกำหนด จะมีบทลงโทษสูงถึง 20 ล้านยูโร หรือ 4% ของผลประกอบการทั่วโลก
- การให้ความยินยอม
การยินยอมภายใต้ข้อกำหนด GDPR การขอคำยินยอมจำเป็นต้องมีทั้งความชัดเจน เข้าใจง่าย และต้องสามารถพิสูจน์ได้ว่าแต่ละบุคคลได้ให้ความยินยอมอนุญาตให้ใช้ข้อมูลในการดำเนินการจริง นอกจากนี้การยกเลิกคำยินยอมต้องสามารถดำเนินการได้ด้วยความสะดวก โดยหลังจากที่ผู้ติดต่อ หรือเจ้าของข้อมูลให้การยินยอม จะมีสิทธิตามข้อกำหนด GDPR ดังนี้
– สิทธิในการเข้าถึง: บุคคลที่เป็นเจ้าของข้อมูลสามารถขอทราบเกี่ยวกับการนำข้อมูลของตนไปใช้งาน รวมถึงสามารถทำสำเนาข้อมูลได้
– สิทธิในการแก้ไข: บุคคลที่เป็นเจ้าของข้อมูลสามารถขอปรับแก้ไขข้อมูลส่วนตัวที่ไม่ถูกต้อง โดยติดต่อโดยตรงกับผู้ควบคุม
– สิทธิในการแจ้งลบ: บุคคลที่เป็นเจ้าของข้อมูลสามารถขอให้ลบข้อมูลของตนเองได้ (ภายในกรณีที่กำหนด) กรณีที่สามารถขอลบข้อมูลได้ มีดังนี้
กรณีที่ยกเลิกคำยินยอมที่เคยได้อนุญาตไว้
กรณีที่ไม่ดำเนินการตามเหตุผลเดิมที่ขออนุญาตเก็บข้อมูล
กรณีที่นำข้อมูลไปใช้อย่างผิดกฎหมาย
– สิทธิในการจำกัดการดำเนินการ : บุคคลที่เป็นเจ้าของข้อมูลมีสิทธิในการจำกัดวิธีการใช้ข้อมูลของตนเองได้
– สิทธิในการเคลื่อนย้ายข้อมูล : บุคคลที่เป็นเจ้าของข้อมูลสามารถขอข้อมูลของตนเพื่อนำไปใช้อย่างอื่นได้
– สิทธิในการคัดค้าน : บุคคลที่เป็นเจ้าของข้อมูลสามารถคัดค้านการนำข้อมูลของตนไปใช้ได้ (ยกเว้น กรณีที่ผู้ควบคุม หรือหน่วยงานที่ได้ขอการยินยอมจะแสดงถึงเหตุผลเพื่อมาหักล้างข้อคัดค้านดังกล่าวได้)
การเตรียมพร้อมสำหรับ GDPR
- ใช้ Double opt-in ในการขอการยินยอม
ควรใช้งาน Double opt-in เพราะถือเป็นวิธีการที่ถูกต้องตามข้อกำหนดของ GDPR ในส่วนของ การยินยอม
- จัดการข้อมูลรายชื่อผู้ติดต่อ
ควรเรียนรู้วิธีการจัดการข้อมูลเพื่อเตรียมพร้อมสำหรับปฏิบัติตามคำขอของผู้ติดต่อ ตามสิทธิของเจ้าของข้อมูลภายใต้ข้อกำหนดของ GDPR ดังนี้
- การแก้ไขข้อมูล
ตามสิทธิในข้อกำหนด GDPR เจ้าของข้อมูลสามารถขอแก้ไขข้อมูลส่วนตัว หรือแก้ไขข้อมูลที่ไม่ถูกต้องได้
- การลบข้อมูล
ตามสิทธิในข้อกำหนด GDPR เจ้าของข้อมูลมีสิทธิในการขอแจ้งลบข้อมูลส่วนตัวได้
- การดาวน์โหลดข้อมูล
ตามสิทธิในข้อกำหนด GDPR เจ้าของข้อมูลสามารถขอข้อมูลของตนเพื่อนำไปใช้อย่างอื่นได้
- ตรวจสอบความยินยอมจากผู้ติดต่อปัจจุบัน
ตามข้อกำหนด GDPR ที่กำหนดให้แสดงหลักฐานการยินยอมให้ชัดเจน รวมถึงผู้ติดต่อปัจจุบันของคุณด้วยเช่นกัน ดังนั้น คุณควรติดต่อกับรายชื่อผู้ติดต่อปัจจุบันของคุณอีกครั้งเพื่อขอรับความยินยอมอีกครั้งให้ถูกต้องตามข้อกำหนดของ GDPR