GDPREU privacy regulation

GDPR

11 นาทีอ่านความเป็นส่วนตัว

GDPR — กฎระเบียบคุ้มครองข้อมูลทั่วไป — มีผลบังคับใช้ทั่วทั้งสหภาพยุโรปตั้งแต่ปี 2018 และผลกระทบดังกล่าวจะปรากฏในทุกเว็บไซต์ที่คุณเยี่ยมชม: แบนเนอร์คุกกี้ ตัวเลือกการลบบัญชี เครื่องมือส่งออกข้อมูล สิทธิ์ที่จะถูกลืม กฎหมายไม่ได้สมบูรณ์แบบ และการบังคับใช้ก็ไม่สม่ำเสมอ แต่ยังคงเป็นกฎระเบียบด้านความเป็นส่วนตัวที่เป็นผลสืบเนื่องมากที่สุดในโลก

เนื้อหาบทความฉบับเต็มมีให้เป็นภาษาอังกฤษด้านล่าง

กฎระเบียบคุ้มครองข้อมูลทั่วไป (GDPR) มีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2018 โดยแทนที่คำสั่งคุ้มครองข้อมูลเก่าปี 1995 ของสหภาพยุโรปด้วยกฎระเบียบเดียวที่ใช้โดยตรงในทุกรัฐสมาชิก โดยจะควบคุมวิธีที่องค์กรต่างๆ ประมวลผลข้อมูลส่วนบุคคลของผู้คนในสหภาพยุโรปและ EEA ขอบเขตการเข้าถึงอาณาเขตนั้นกว้าง: บริษัทใดก็ตามที่ประมวลผลข้อมูลของผู้อยู่อาศัยในสหภาพยุโรปจะอยู่ภายใต้ GDPR ไม่ว่าบริษัทจะตั้งอยู่ที่ใด

สิ่งที่นับเป็นข้อมูลส่วนบุคคล

GDPR คำจำกัดความของ "ข้อมูลส่วนบุคคล" นั้นกว้างกว่ากฎหมายในประเทศส่วนใหญ่: ข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลธรรมดาที่ระบุตัวหรือระบุตัวตนได้ ชื่อ อีเมล IP คุกกี้ รหัสอุปกรณ์ ข้อมูลตำแหน่ง รูปภาพ รูปแบบพฤติกรรม แม้แต่รหัสนามแฝงก็นับว่านามแฝงสามารถเชื่อมโยงกลับไปยังบุคคลผ่านข้อมูลอื่นที่มีอยู่ได้ แถบกำหนดว่าใครก็ตามสามารถระบุตัวบุคคลได้ ไม่ใช่ว่าใครก็ตามได้พยายามแล้ว

ฐานทางกฎหมายหกฐาน

การประมวลผลข้อมูลส่วนบุคคลต้องใช้พื้นฐานทางกฎหมาย — หนึ่งใน:

  • Consent — เจ้าของข้อมูลได้ให้ข้อมูลที่ชัดเจน แจ้ง และเพิกถอนได้อย่างอิสระ การอนุญาต
  • Contract — การประมวลผลเป็นสิ่งจำเป็นในการดำเนินการตามสัญญากับเจ้าของข้อมูล (การส่งมอบคำสั่งซื้อ การปฏิบัติตามการสมัคร)
  • ภาระผูกพันทางกฎหมาย — กำหนดโดยกฎหมาย (บันทึกภาษี การต่อต้านการฟอกเงิน)
  • ผลประโยชน์ที่สำคัญ — จำเป็นในการปกป้องชีวิตของใครบางคน
  • งานสาธารณะ — เพื่อวัตถุประสงค์เพื่อประโยชน์สาธารณะที่ดำเนินการโดยหน่วยงานอย่างเป็นทางการ
  • Lผลประโยชน์โดยชอบด้วยกฎหมาย — ผลประโยชน์ของผู้ควบคุมหรือบุคคลที่สาม ซึ่งสมดุลกับสิทธิและเสรีภาพของเจ้าของข้อมูล

การเลือกพื้นฐานคือ ตัดสินใจโดยผู้ควบคุมข้อมูลและเปิดเผยในนโยบายความเป็นส่วนตัว "ความยินยอม" กลายเป็นคำพาดหัวข่าวเนื่องจากแบนเนอร์คุกกี้ แต่เป็นเพียงหนึ่งในหกฐาน - และหน่วยงานกำกับดูแลของสหภาพยุโรปได้ระบุไว้อย่างชัดเจนว่าความยินยอมนั้นไม่เหมาะสมในฐานะวิธีแก้ปัญหาสำหรับการประมวลผลที่ควรตกอยู่ภายใต้สัญญาหรือผลประโยชน์ที่ชอบด้วยกฎหมาย

สิทธิ์ของเจ้าของข้อมูลแปดประการ

GDPR ให้สิทธิ์ของเจ้าของข้อมูลที่องค์กรต้องให้เกียรติเมื่อมีการร้องขอ โดยปกติภายใน 30 วัน:

  • สิทธิ์ในการเข้าถึง — รับสำเนาข้อมูลส่วนบุคคลทั้งหมดของคุณและข้อมูลเกี่ยวกับวิธีการประมวลผล
  • สิทธิ์ในการแก้ไข — แก้ไขข้อมูลที่ไม่ถูกต้อง
  • สิทธิ์ในการลบ (สิทธิ์ที่จะถูกลืม) — คำขอลบภายใต้เงื่อนไขเฉพาะ
  • สิทธิ์ในการจำกัดการประมวลผล — หยุดการประมวลผลชั่วคราวในขณะที่ข้อพิพาทได้รับการแก้ไข
  • สิทธิ์ในการเคลื่อนย้ายข้อมูล — รับข้อมูลของคุณในรูปแบบที่เครื่องอ่านได้และส่งไปยังคอนโทรลเลอร์อื่น
  • ขวาไปยัง object — โดยเฉพาะ สู่การตลาดทางตรง
  • สิทธิ์ที่เกี่ยวข้องกับการตัดสินใจโดยอัตโนมัติ — ท้าทายการตัดสินใจที่ทำโดยวิธีอัตโนมัติทั้งหมด
  • Right ที่จะได้รับแจ้ง — ประกาศความเป็นส่วนตัวที่ชัดเจนและเข้าถึงได้

บทลงโทษที่มีฟัน

คุณสมบัติพาดหัวข่าวของ GDPR: ปรับสูงสุด 20 ล้านยูโรหรือ 4% ของรายได้ต่อปีทั่วโลก แล้วแต่จำนวนใดจะสูงกว่า DPC ของไอร์แลนด์ปรับ Meta 1.2 พันล้านยูโรในปี 2023 สำหรับการถ่ายโอนข้อมูลโดยไม่ได้รับอนุญาตในสหรัฐฯ และหน่วยงานเดียวกันได้ปรับพวกเขาแล้ว 405 ล้านยูโรสำหรับการประมวลผลข้อมูลของผู้เยาว์ของ Instagram Amazon ถูกลักเซมเบิร์กปรับ 746 ล้านยูโร บทลงโทษมีมากพอที่จะทำให้บริษัทข้ามชาติส่วนใหญ่ให้ความสำคัญกับการปฏิบัติตามกฎระเบียบอย่างจริงจัง

ที่กล่าวมา การบังคับใช้แตกต่างกันไปอย่างมาก DPC ของไอร์แลนด์จัดการกรณีที่เกี่ยวข้องกับบริษัทยักษ์ใหญ่ด้านเทคโนโลยีของสหรัฐฯ ส่วนใหญ่เนื่องจากมีสำนักงานใหญ่ในดับลิน และถูกวิพากษ์วิจารณ์ว่าดำเนินการช้า DPA อื่นๆ (เยอรมนี ฝรั่งเศส อิตาลี) มีแนวโน้มที่จะดำเนินการเร็วกว่าในกรณีขนาดเล็ก

กฎการถ่ายโอนข้อมูล

หนึ่งในข้อกำหนดที่เป็นผลสืบเนื่องมากที่สุดของ GDPR: ข้อมูลอาจออกจากสหภาพยุโรปเฉพาะประเทศที่มีการป้องกัน "เพียงพอ" หรืออยู่ภายใต้การป้องกันที่เฉพาะเจาะจงเท่านั้น คำตัดสินของศาลยุติธรรมแห่งยุโรป Schrems I (2015) และ Schrems II (2020) ทำให้เฟรมเวิร์กการถ่ายโอนข้อมูลระหว่างสหรัฐอเมริกาและสหภาพยุโรปที่ต่อเนื่องกันเป็นโมฆะ เนื่องจากกฎหมายการตรวจตราของสหรัฐอเมริกาไม่ได้ให้การป้องกันที่เทียบเท่ากับ GDPR กรอบความเป็นส่วนตัวของข้อมูลในปัจจุบัน (2023) มีผลบังคับใช้แต่กำลังถูกท้าทาย

ผลที่ตามมาในทางปฏิบัติ: บริษัทหลายแห่งรักษาถิ่นที่อยู่ของข้อมูลในสหภาพยุโรปเท่านั้นสำหรับผู้ใช้ในสหภาพยุโรป และผู้ให้บริการระบบคลาวด์ของสหรัฐอเมริกาเสนอพื้นที่จัดเก็บข้อมูลในภูมิภาคสหภาพยุโรปที่ไม่ได้รับการโอนออกตามสัญญา

สิ่งที่ GDPR เปลี่ยนแปลงจริง ๆ

ผลกระทบที่มองเห็นได้:

  • คุกกี้แบนเนอร์ ขณะนี้แพร่หลาย ส่วนใหญ่จะเจ็บปวด และมักจะมีลวดลายสีเข้ม ePrivacy Directive พื้นฐาน (เก่ากว่า GDPR) กำหนดให้มีอยู่แล้ว การบังคับใช้ GDPR ทำให้เป็นนโยบายสากล
  • นโยบายความเป็นส่วนตัว ยาวขึ้น เฉพาะเจาะจงมากขึ้น โดยมีระยะเวลาการเก็บรักษาและฐานที่ชอบด้วยกฎหมายเปิดเผย
  • การลบบัญชี ขณะนี้บริการหลักทุกบริการมีปุ่มลบข้อมูลของฉันแบบบริการตนเอง
  • Dataส่งออก สิทธิ์ ไปสู่การพกพาข้อมูลได้นำไปสู่รูปแบบการส่งออกที่เป็นมาตรฐาน (Google Takeout, ดาวน์โหลดบน Facebook)
  • การเปิดเผยการละเมิดตามคำสั่ง ภายใน 72 ชั่วโมงหลังจากทราบถึงการละเมิดข้อมูลส่วนบุคคล
  • DPO (เจ้าหน้าที่คุ้มครองข้อมูล) ข้อกำหนด สำหรับองค์กรที่ดำเนินการในวงกว้าง

ระดับสากล ระลอกเอฟเฟกต์

GDPR กลายเป็นเทมเพลต CCPA ของแคลิฟอร์เนีย (2020), LGPD ของบราซิล (2020), กฎหมาย DPDP ของอินเดีย (2023) และกฎหมายระดับชาติอื่นๆ หลายสิบฉบับยืมโครงสร้างของ CCPA บริษัทข้ามชาติมักจะสร้างมาตรฐานในแนวปฏิบัติที่เทียบเท่ากับ GDPR ทั่วโลก เนื่องจากการดำเนินงานภายใต้กฎระเบียบที่กระจัดกระจายนั้นมีราคาแพงกว่าแนวปฏิบัติที่เข้มงวดที่สุด ผลลัพธ์: กฎความเป็นส่วนตัวที่ทุกคนต้องปฏิบัติตามบางแห่งกลายเป็นกฎความเป็นส่วนตัวที่ทุกคนมีทุกที่

คำถามที่พบบ่อย

GDPR มีผลกับฉันหรือไม่หากเว็บไซต์ของฉันอยู่นอกสหภาพยุโรป
หากคุณประมวลผลข้อมูลส่วนบุคคลของผู้คนในสหภาพยุโรป แม้ว่าบริษัทของคุณจะอยู่ในสหรัฐอเมริกา บราซิล หรือที่อื่นก็ตาม ก็จะมีการบังคับใช้ GDPR ตัวอย่าง: ไซต์อีคอมเมิร์ซของออสเตรเลียที่จัดส่งไปยังฝรั่งเศส บริษัท SaaS ของสหรัฐอเมริกาที่มีลูกค้าในสหภาพยุโรป บล็อกส่วนตัวที่มีผู้อ่านในสหภาพยุโรปสมัครรับจดหมายข่าว หลักการอาณาเขตคือตำแหน่งของเจ้าของข้อมูล ไม่ใช่ของผู้ควบคุม
อะไรคือความแตกต่างระหว่างผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล?
ผู้ควบคุมเป็นผู้ตัดสินใจว่าเหตุใดจึงประมวลผลข้อมูลและวิธีใด (Facebook, ธนาคารของคุณ) หน่วยประมวลผลประมวลผลข้อมูลในนามของผู้ควบคุม (ผู้จำหน่ายส่งอีเมลของธนาคาร) GDPR มีภาระหน้าที่ที่แตกต่างกันในแต่ละข้อ บริษัทส่วนใหญ่ทำหน้าที่เป็นผู้ควบคุมลูกค้าและผู้ประมวลผลบริการที่พวกเขามอบให้กับธุรกิจอื่นๆ
GDPR จำเป็นต้องมีแบนเนอร์คุกกี้หรือไม่
แบนเนอร์คุกกี้ส่วนใหญ่กำหนดโดย ePrivacy Directive (กฎหมาย EU เก่าที่แยกต่างหาก) ซึ่งต้องได้รับความยินยอมสำหรับคุกกี้ที่ไม่จำเป็น GDPR กำหนดมาตรฐานสำหรับความยินยอมที่ถูกต้อง เช่น โดยแจ้ง เฉพาะเจาะจง ให้อย่างอิสระ ถอนออกได้ง่าย พวกเขาช่วยกันสร้างความเป็นจริงของคุกกี้แบนเนอร์ กฎระเบียบ ePrivacy ที่จะมาแทนที่คำสั่งนี้อยู่ในขอบเขตทางกฎหมายมานานหลายปีแล้ว
VPN สามารถช่วยฉันในเรื่องสิทธิ์ GDPR ได้หรือไม่?
VPN ไม่ให้สิทธิ์ GDPR แก่คุณ — สิทธิ์เหล่านี้ขึ้นอยู่กับถิ่นที่อยู่ ไม่ใช่สิ่งที่ปลายทางมองว่าเป็น IP ของคุณ ผู้อยู่อาศัยในสหภาพยุโรปมีสิทธิ์ GDPR ไม่ว่าจะเชื่อมต่อจากที่ใดก็ตาม ผู้ใช้ที่ไม่ใช่สหภาพยุโรปจะไม่ได้รับสิทธิ์ GDPR โดยการเชื่อมต่อผ่าน EU VPN กฎหมายเป็นไปตามตัวบุคคล ไม่ใช่ตามซอง
จะเกิดอะไรขึ้นหากบริษัทของฉันได้รับการร้องเรียน GDPR
DPA ในพื้นที่กำลังสืบสวน หากพบการละเมิด การลงโทษอาจรวมถึงการตักเตือน การห้ามดำเนินการ การแก้ไขภาคบังคับ และค่าปรับ กรณีส่วนใหญ่ได้รับการแก้ไขด้วยการเจรจาและการแก้ไขมากกว่าการปรับ บทลงโทษที่มีมูลค่าสูงนับพันล้านยูโรเกี่ยวข้องกับการละเมิดซ้ำโดยโปรเซสเซอร์ขนาดใหญ่มาก หลังจากการแลกเปลี่ยนด้านกฎระเบียบหลายครั้ง
อธิบาย GDPR: กฎระเบียบความเป็นส่วนตัวของยุโรปและเหตุใดจึงเปลี่ยนโฉมอินเทอร์เน็ต