กฎระเบียบว่าด้วยการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล (GDPR)

คู่มือ Stripe เกี่ยวกับการเปลี่ยนแปลงด้านการปกป้องข้อมูลและความเป็นส่วนตัวของยุโรป

บทนำ

อัปเดตล่าสุดวันที่ 19 สิงหาคม 2020 เพื่อรายงานผลการตัดสินใจของศาลยุติธรรมยุโรปในคดี Schrems II

ภาพรวมเกี่ยวกับกฎหมายคุ้มครองข้อมูลและความเป็นส่วนตัวฉบับใหม่ที่มีผลเมื่อวันที่ 25 พฤษภาคม 2018 และหลักปฏิบัติที่ดีที่สุดเพื่อส่งเสริมการปฏิบัติตามกฎระเบียบ GDPR

GDPR เป็นการเปลี่ยนแปลงในกฎระเบียบว่าด้วยความเป็นส่วนตัวของข้อมูลที่สำคัญที่สุดในช่วงหลายสิบปีมานี้ บริษัทที่กำลังนำการเปลี่ยนแปลงครั้งใหญ่นี้ไปใช้ในระบบและสัญญารวมถึงบริษัทที่ดำเนินงานในแพลตฟอร์มที่ปฏิบัติตามกฎข้อบังคับและให้ความสำคัญต่อความเป็นส่วนตัวจะมีข้อได้เปรียบ คู่มือนี้มีจุดประสงค์เพื่อช่วยให้ผู้ใช้ของเราเข้าใจผลที่ตามมาในวงกว้างของ GDPR ตลอดจนโอกาสในการปรับปรุงกระบวนการประมวลผลข้อมูล และวิธีปฏิบัติตามกฎ GDPR ให้ยั่งยืนต่อไปเรื่อยๆ

หมายเหตุ: คู่มือ GDPR นี้จัดทำขึ้นเพื่อให้ข้อมูลเท่านั้น ไม่ได้เป็นคำแนะนำทางกฎหมาย โปรดติดต่อที่ปรึกษาทางกฎหมายของคุณเพื่อขอคำแนะนำว่า GDPR อาจส่งผลกระทบต่อธุรกิจของคุณอย่างไร

GDPR คืออะไร

กฎระเบียบว่าด้วยการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล (GDPR) เป็นกฎหมายว่าด้วยการคุ้มครองข้อมูลและความเป็นส่วนตัวฉบับใหม่ที่มีผลทั่วทั้งสหภาพยุโรป กฎหมายนี้เรียกร้องให้มีการคุ้มครองความเป็นส่วนตัวที่ละเอียดขึ้นในระบบขององค์กร ให้มีข้อตกลงในการคุ้มครองข้อมูลที่รอบคอบขึ้น และมีการเปิดเผยข้อมูลเกี่ยวกับแนวทางปฏิบัติขององค์กรด้านการคุ้มครองข้อมูลและความเป็นส่วนตัวโดยละเอียดและง่ายสำหรับผู้ใช้มากขึ้น

GDPR มาแทนที่ขอบข่ายงานด้านกฎหมายของการคุ้มครองข้อมูลในปัจจุบันของสหภาพยุโรปซึ่งใช้มาตั้งแต่ปี 1995 (รู้จักกันในนาม “ระเบียบการคุ้มครองข้อมูลทั่วไป”) ระเบียบการคุ้มครองข้อมูลทั่วไปนี้กำหนดว่าต้องมีการเปลี่ยนไปใช้กฎหมายแห่งชาติของสมาชิกสหภาพยุโรป ซึ่งทำให้ภาพรวมของกฎหมายคุ้มครองข้อมูลของสหภาพยุโรปมีความไม่เป็นอันหนึ่งอันเดียวกัน ส่วน GDPR เป็นข้อบังคับในสหภาพยุโรปที่มีผลทางกฎหมายโดยตรงกับรัฐสมาชิกสหภาพยุโรปทุกรัฐโดยตรง นั่นคือกฎหมายนี้ไม่จำเป็นต้องถูกถ่ายเข้าไปในกฎหมายแห่งชาติของรัฐสมาชิกสหภาพยุโรปเพื่อให้มีผลบังคับผูกพัน ซึ่งจะเป็นการเพิ่มความสอดคล้องและการบังคับใช้กฎหมายในสหภาพยุโรปให้เป็นไปในแนวทางเดียวกันมากขึ้น

GDPR อาจมีผลบังคับใช้กับองค์กรที่อยู่นอกสหภาพยุโรป

GDPR ต่างจากระเบียบการคุ้มครองข้อมูลทั่วไปตรงที่กฎหมายนี้มีความเกี่ยวข้องกับบริษัทที่ดำเนินธุรกิจทั่วโลก ไม่ใช่เฉพาะบริษัทที่อยู่ในสหภาพยุโรป องค์กรอาจอยู่ในขอบเขตการบังคับใช้ GDPR หาก (i) องค์กรนั้นตั้งอยู่ในสหภาพยุโรป หรือ (ii) องค์กรนั้นไม่ได้ตั้งอยู่ในสหภาพยุโรปแต่กิจกรรมการประมวลผลข้อมูลมีความเกี่ยวข้องกับบุคคลในสหภาพยุโรปและเกี่ยวกับการนำเสนอผลิตภัณฑ์และบริการให้กับบุคคลดังกล่าวหรือติดตามพฤติกรรมของบุคคลดังกล่าว

การประมวลผลข้อมูลส่วนบุคคลเป็นแนวคิดกว้างๆ ภายใต้ GDPR

GDPR ควบคุมวิธีที่องค์กรสามารถประมวลผลข้อมูลส่วนบุคคลของบุคคลในสหภาพยุโรป “ข้อมูลส่วนบุคคล” และ “การประมวลผล” เป็นคำที่ใช้บ่อยในนิติบัญญัติ และการทำความเข้าใจความหมายเฉพาะเจาะจงของคำเหล่านี้ภายใต้ GDPR จะช่วยให้เข้าใจขอบเขตของกฎหมายนี้ได้ดีขึ้น

  • ข้อมูลส่วนบุคคลคือข้อมูลใดๆ ที่เกี่ยวข้องกับบุคคลที่ถูกระบุตัวตนหรือระบุตัวตนได้ คำนี้มีความหมายรวมกว้างมากเนื่องจากรวมถึงข้อมูลใดๆ ที่ใช้ระบุตัวบุคคลได้ไม่ว่าจะใช้เดี่ยวๆ หรือใช้ร่วมกับข้อมูลอื่น ข้อมูลส่วนบุคคลไม่ใช่แค่ชื่อหรืออีเมลของบุคคล แต่ยังรวมไปถึงข้อมูลอื่นอย่างเช่นข้อมูลทางการเงิน หรือในบางกรณียังอาจรวมไปถึงที่อยู่ IP ยิ่งไปกว่านั้นข้อมูลส่วนบุคคลบางหมวดหมู่ยังได้รับการคุ้มครองข้อมูลในระดับที่สูงขึ้นเนื่องจากมีลักษณะที่ละเอียดอ่อน หมวดหมู่เหล่านี้ได้แก่ข้อมูลเกี่ยวกับชาติพันธุ์หรือเชื้อชาติของบุคคล ความเห็นทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา การเป็นสมาชิกสหภาพแรงงาน ข้อมูลทางพันธุกรรม ข้อมูลไบโอเมตริก ข้อมูลสุขภาพ ข้อมูลเกี่ยวกับชีวิตทางเพศหรือลักษณะทางเพศของบุคคล และข้อมูลประวัติอาชญากรรม

  • การประมวลผลข้อมูลส่วนบุคคลเป็นกิจกรรมหลักที่ทำให้เกิดภาระหน้าที่ในการปฏิบัติตาม GDPR การประมวลผลคือการดำเนินการหรือชุดการดำเนินการไม่ว่าจะเป็นแบบอัตโนมัติหรือไม่ก็ตามที่ทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม การบันทึก การจัดระเบียบ การจัดโครงสร้าง การจัดเก็บ การดัดแปลงหรือการแก้ไข การเรียกดู การรับคำปรึกษา การใช้ การเปิดเผยด้วยการส่งต่อ การเผยแพร่หรือทำให้เข้าดูได้ การจัดให้สอดคล้องหรือการรวม การจำกัด การลบหรือการทำลาย ในทางปฏิบัติหมายความว่ากระบวนการใดก็ตามที่จัดเก็บหรือนำข้อมูลส่วนบุคคลมาใช้เพื่อให้ได้ความรู้บางอย่างจะถือว่าเป็นการประมวลผล

แนวคิดหลัก: ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล

ในกฎหมายคุ้มครองข้อมูลของสหภาพยุโรป มี 2 ฝ่ายที่สามารถประมวลผลข้อมูลส่วนบุคคลได้ นั่นคือผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล

ผู้ควบคุมข้อมูล (“ผู้ควบคุม”) คือผู้ที่กำหนด_วัตถุประสงค์และวิธี_ในการประมวลผลข้อมูลส่วนบุคคล โดยอาจทำแต่เพียงผู้เดียวหรือทำร่วมกับผู้อื่นก็ได้ ผู้ประมวลผลข้อมูล (“ผู้ประมวลผล”) คือผู้ที่_ประมวลผล_ข้อมูลส่วนบุคคลในนามของผู้ควบคุม

เราจำเป็นต้องพิจารณาว่าผู้ที่ประมวลผลข้อมูลส่วนบุคคลในกิจกรรมการประมวลผลหนึ่งๆ เป็นผู้ควบคุมหรือผู้ประมวลผล การฝึกแมปข้อมูลนี้จะช่วยให้องค์กรเข้าใจสิทธิและภาระหน้าที่ที่มาพร้อมกับการดำเนินการประมวลผลข้อมูลของตน

Stripe มีกิจกรรมการประมวลผลข้อมูลบางอย่างที่เราทำหน้าที่เป็นผู้ควบคุมข้อมูล และมีกิจกรรมที่เราทำหน้าที่เป็นผู้ประมวลผลข้อมูลด้วย ตัวอย่างที่ดีซึ่งแสดงให้เห็นบทบาทควบคุมนี้ก็คือเมื่อ Stripe ประมวลผลธุรกรรมบัตรเครดิต การทำให้ธุรกรรมเกิดขึ้นได้จะต้องมีการประมวลผลข้อมูลส่วนบุคคล เช่น ชื่อเจ้าของบัตร หมายเลขบัตรเครดิต วันหมดอายุบัตร และรหัส CVC โดยระบบจะส่งข้อมูลของเจ้าของบัตรจากผู้ใช้ Stripe มาให้ Stripe ผ่าน Stripe API (หรือด้วยวิธีการผสานการทำงานอย่างอื่น เช่น Stripe Elements) จากนั้น Stripe จะใช้ข้อมูลดังกล่าวเพื่อดำเนินการธุรกรรมให้เสร็จสิ้นภายในระบบของเครือข่ายบัตรเครดิต นี่เป็นหน้าที่ของ Stripe ในฐานะผู้ประมวลผลข้อมูล อย่างไรก็ตาม Stripe ก็ใช้ข้อมูลนี้เพื่อปฏิบัติตามหน้าที่ตามข้อบังคับ (เช่น รู้จักลูกค้าของคุณ (“KYC”) และการป้องกันการฟอกเงิน (“AML”) ด้วย ซึ่งในบทบาทนี้ Stripe ถือเป็นผู้ควบคุมข้อมูล

พื้นฐานทางกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคลใน GDPR

สิ่งต่อไปที่ต้องพิจารณาก็คือ กิจกรรมการประมวลผลหนึ่งๆ สอดคล้องกับ GDPR หรือไม่ GDPR กำหนดว่ากิจกรรมการประมวลผลข้อมูลแต่ละครั้งที่ดำเนินการในฐานะผู้ควบคุมหรือผู้ประมวลผลจะต้องตั้งอยู่บนพื้นฐานทางกฎหมาย GDPR ยอมรับพื้นฐานทางกฎหมายทั้งหมด 6 ข้อในการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในสหภาพยุโรป (ใน GDPR บุคคลที่อยู่ในสหภาพยุโรปจะเรียกว่าเป็น “เจ้าของข้อมูล”) พื้นฐานทางกฎหมายทั้ง 6 ข้อซึ่งเรียงตามกฎหมาย GDPR มาตรา 6 (1) (a) ถึง (f) ได้แก่

  1. เจ้าของข้อมูลได้ให้คำยินยอมในการประมวลผลข้อมูลส่วนบุคคลของตนเพื่อจุดประสงค์เฉพาะเจาะจงอย่างน้อย 1 ข้อ

  2. การประมวลผลนั้นจำเป็นสำหรับการดำเนินการตามสัญญาที่เจ้าของข้อมูลเข้าร่วม หรือสำหรับการดำเนินการตามขั้นตอนที่เจ้าของข้อมูลขอก่อนที่จะเข้าร่วมสัญญา

  3. การประมวลผลนั้นจำเป็นสำหรับการปฏิบัติตามหน้าที่ทางกฎหมายที่มีผลบังคับใช้กับผู้ควบคุม

  4. การประมวลผลนั้นจำเป็นสำหรับการปกป้องผลประโยชน์ของเจ้าของข้อมูล

  5. การประมวลผลนั้นจำเป็นสำหรับการดำเนินงานที่ทำเพื่อผลประโยชน์ส่วนรวมหรือตามการใช้อำนาจของทางการ หรือ

  6. การประมวลผลนั้นจำเป็นสำหรับผลประโยชน์ที่ถูกต้องตามกฎหมายของฝ่ายดังกล่าว ยกเว้นเมื่อผลประโยชน์ดังกล่าวขัดกับผลประโยชน์หรือสิทธิขั้นพื้นฐานและเสรีภาพของเจ้าของข้อมูลที่ต้องได้รับการคุ้มครองข้อมูลส่วนบุคคล

รายการการประมวลผลที่ได้รับอนุญาตตาม GDPR กับรายการที่อยู่ในระเบียบการคุ้มครองข้อมูลทั่วไปมีความคล้ายคลึงกัน อย่างไรก็ตามทั้งสองยังคงมีความแตกต่างอย่างมีนัยสำคัญ

การเปลี่ยนแปลงที่เกิดจาก GDPR เมื่อเทียบกับระเบียบการคุ้มครองข้อมูลทั่วไปที่ได้รับการพูดถึงมากที่สุดก็คือการเพิ่มความเข้มงวดของข้อกำหนดด้านความยินยอม (ข้อ 1 ในรายการด้านบน) ข้อกำหนดด้านความยินยอมของ GDPR ประกอบด้วยองค์ประกอบอย่าง (i) ข้อกำหนดว่าความยินยอมจะต้องตรวจสอบได้ (ii) คำขอความยินยอมจะต้องแยกจากส่วนอื่นๆ อย่างชัดเจน และ (iii) เจ้าของข้อมูลจะต้องได้รับแจ้งสิทธิของตนที่จะเพิกถอนความยินยอม นอกจากนี้ยังต้องทราบด้วยว่ามีการใช้ข้อกำหนดด้านความยินยอมที่สูงขึ้นไปอีกระดับ (“ความยินยอมอย่างชัดแจ้ง”) เมื่อมีการประมวลผลข้อมูลที่ละเอียดอ่อน

อีกข้อที่ควรเน้นก็คือข้อผลประโยชน์ที่ถูกต้องตามกฎหมาย (ข้อ 6 ในรายการด้านบน) เมื่อใช้ “ผลประโยชน์ที่ถูกต้องตามกฎหมาย” เพื่อรองรับการประมวลผลข้อมูลส่วนบุคคล องค์กรจะต้องรับทราบถึงข้อกำหนดการชั่งน้ำหนักที่มาพร้อมกับพื้นฐานทางกฎหมายข้อนี้ เพื่อให้เป็นไปตามหลักการความรับผิดชอบภายใต้ GDPR องค์กรจะต้องบันทึกการปฏิบัติตามข้อกำหนดด้วยการชั่งน้ำหนัก ซึ่งประกอบด้วยแนวทางและข้อโต้แย้งที่องค์กรได้พิจารณาก่อนที่จะสรุปว่าตนผ่านการชั่งน้ำหนัก

สิทธิของบุคคลภายใต้ GDPR

บุคคลได้รับการรับประกันว่าตนมีสิทธิขั้นพื้นฐานเกี่ยวกับข้อมูลส่วนบุคคลของตนภายใต้ระเบียบการคุ้มครองข้อมูลทั่วไป โดยสิทธิของบุคคลยังคงมีผลภายใต้ GDPR โดยมีการแก้ไขบางส่วนเพื่อให้ความกระจ่าง แผนภูมิด้านล่างจะเปรียบเทียบสิทธิของบุคคลภายใต้ระเบียบการคุ้มครองข้อมูลทั่วไปกับ GDPR

สิทธิของบุคคล ระเบียบการคุ้มครองข้อมูลทั่วไป GDPR
คำขอเข้าถึงสำหรับเจ้าของข้อมูล บุคคลมีสิทธิที่จะรู้ว่าข้อมูลส่วนบุคคลของตนได้รับการประมวลผลหรือไม่ ข้อมูลส่วนบุคคลใดของตนได้รับการประมวลผลและประมวลผลอย่างไร และการประมวลผลนั้นใช้การดำเนินการใด สิทธินี้มีขอบเขตที่กว้างขึ้นภายใต้ GDPR ตัวอย่างเช่น เมื่อส่งคำขอเข้าถึง บุคคลจะต้องได้รับข้อมูลเพิ่มเติม รวมถึงข้อมูลเกี่ยวกับสิทธิการคุ้มครองข้อมูลของตนภายใต้ GDPR ที่ไม่ได้มีมาก่อน เช่น สิทธิในการเคลื่อนย้ายข้อมูล
สิทธิที่จะปฏิเสธ บุคคลสามารถห้ามการดำเนินการประมวลผลข้อมูลบางอย่างโดยที่จะต้องมีเหตุผลทางกฎหมายที่ฟังขึ้น นอกจากนี้ยังปฏิเสธไม่ให้ประมวลผลข้อมูลส่วนบุคคลของตนเพื่อวัตถุประสงค์ทางการตลาดโดยตรงได้ด้วย GDPR ได้ขยายขอบเขตของสิทธินี้เมื่อเทียบกับระเบียบการคุ้มครองข้อมูลทั่วไป
สิทธิที่จะแก้ไขหรือลบ บุคคลสามารถขอให้เติมข้อมูลที่ไม่สมบูรณ์ให้ครบหรือแก้ไขข้อมูลที่ไม่ถูกต้องเพื่อให้มั่นใจได้ว่าการประมวลผลข้อมูลส่วนบุคคลเป็นไปตามหลักการคุ้มครองข้อมูลที่เกี่ยวข้อง โดยส่วนใหญ่แล้วตำแหน่งของ GDPR ก็เหมือนกับระเบียบการคุ้มครองข้อมูลทั่วไป แต่มีการคุ้มครองทางระเบียบวิธีบางอย่างที่เพิ่มขึ้นภายใต้ GDPR
สิทธิที่จะจำกัด ไม่มีสิทธิจำกัดการประมวลผล อย่างไรก็ตามระเบียบการคุ้มครองข้อมูลทั่วไปให้สิทธิบุคคลในการขอให้บล็อกข้อมูลส่วนบุคคลของตนในกรณีที่การดำเนินการประมวลผลไม่เป็นไปตามหลักการคุ้มครองข้อมูล เช่น เมื่อข้อมูลไม่ครบถ้วนหรือไม่ถูกต้อง GDPR ให้สิทธิบุคคลในการขอจำกัดการประมวลผลข้อมูลส่วนบุคคลของตนในบางกรณี รวมถึงกรณีที่บุคคลคัดค้านความถูกต้องของข้อมูล
สิทธิที่จะลบ (“สิทธิที่จะถูกลืม”) บุคคลมีสิทธิที่จะขอให้ลบข้อมูลส่วนบุคคลของตนได้หากการดำเนินการประมวลผลไม่เป็นไปตามหลักการคุ้มครองข้อมูล ดังนั้นสิทธินี้จึงมีขอบเขตแคบมาก GDPR ขยายขอบเขตของสิทธิให้กว้างมากขึ้น เช่น บุคคลสามารถใช้สิทธิที่จะลบได้เมื่อไม่จำเป็นต้องใช้ข้อมูลส่วนบุคคลเพื่อจุดประสงค์ที่มีการเก็บข้อมูลในครั้งแรกอีกต่อไป หรือบุคคลเพิกถอนความยินยอมให้ประมวลผลและไม่มีพื้นฐานทางกฎหมายอื่นใดที่มารองรับการประมวลผลต่อไป
สิทธิในการเคลื่อนย้ายข้อมูล ระเบียบการคุ้มครองข้อมูลทั่วไปไม่ได้กล่าวถึง “การเคลื่อนย้ายข้อมูล” ว่าเป็นสิทธิของเจ้าของข้อมูลอย่างชัดแจ้ง รัฐสมาชิกของสหภาพยุโรปอาจมีสิทธิเพิ่มเติมที่คล้ายคลึงกับสิทธิการเคลื่อนย้ายข้อมูลในระดับชาติ บุคคลสามารถขอให้ผู้ควบคุมข้อมูลรายหนึ่งที่เก็บข้อมูลส่วนบุคคลของตนส่งข้อมูลให้แก่ตนเองหรือผู้ควบคุมรายอื่นได้

การโอนข้อมูลระหว่างประเทศ

หัวข้อการรับส่งข้อมูลระหว่างประเทศเป็นประเด็นร้อนในช่วงไม่กี่ปีมานี้โดยได้มีการโต้เถียงและการปฏิรูปกฎหมายในด้านนี้ค่อนข้างมาก และยังเป็นที่ค่อนข้างแน่ชัดว่ากฎหมายเกี่ยวกับการรับส่งข้อมูลระหว่างประเทศจะมีการเปลี่ยนแปลงไปเรื่อยๆ ในอนาคตที่จะมาถึง ปัจจุบันมีข้อกำหนดบางอย่างภายใต้กฎหมายคุ้มครองข้อมูลของสหภาพยุโรปที่จะต้องปฏิบัติตามก่อนจึงจะส่งข้อมูลของบุคคลในสหภาพยุโรปออกไปนอกสหภาพยุโรปได้ นอกจากว่าองค์กรที่รับข้อมูลส่วนบุคคลอยู่ในเขตอำนาจศาลที่ได้รับอนุญาต (ดูเขตอำนาจศาลที่ได้รับอนุญาตได้ที่นี่)

ภายใต้ GDPR การรับส่งข้อมูลระหว่างประเทศเป็นหัวข้อที่จัดการได้ยากเนื่องจากกฎหมายมีการเปลี่ยนแปลงอยู่ตลอดและมีกลไกการรับส่งข้อมูลให้ใช้ได้ไม่มาก แม้จะเป็นเรื่องท้าทาย แต่องค์กรก็จะต้องตามการเปลี่ยนแปลงนี้ให้ทันเนื่องจากการรับส่งข้อมูลส่วนบุคคลที่เป็นไปตามกฎข้อบังคับถือเป็นหัวใจหลักของบริษัทเทคโนโลยี

เราไม่ใช้กรอบการคุ้มครองความเป็นส่วนตัว (Privacy Shield) เป็นกลไกในการถ่ายโอนข้อมูลที่เกิดในสหภาพยุโรปอีกต่อไป เนื่องจาก EU-U.S. Privacy Shield ใช้ไม่ได้อีกต่อไปอันเป็นผลมาจากการตัดสินคดี Schrems II โดยศาลยุติธรรมยุโรปเมื่อวันที่ 16 กรกฎาคม 2020 เรายังคงยึด Swiss-U.S. Privacy Shield และปฏิบัติตามหลักการของกรอบโครงสร้างการคุ้มครองความเป็นส่วนตัว (Privacy Shield Framework) ต่อไป ด้วยเหตุนี้เราจึงยังคงอ้างอิงถึง Privacy Shield ในนโยบายและข้อตกลง

โดยทั่วไปแล้ว Stripe มีมาตรการเพื่อการปฏิบัติตามกฎการรับส่งข้อมูลระหว่างประเทศที่ควบคุมการประมวลผลข้อมูลส่วนบุคคลของบุคคลในสหภาพยุโรปของหน่วยงาน Stripe ทั่วโลก มาตรการเหล่านี้อ้างอิงจากข้อสัญญามาตรฐานของสหภาพยุโรป

ตามที่กล่าวไว้ข้างต้นว่าการรับส่งข้อมูลระหว่างประเทศจะยังคงเป็นด้านที่มีโอกาสเกิดการปฏิรูปกฎหมายต่อไป ด้วยเหตุนี้เราจึงติดตามการเปลี่ยนแปลงทางกฎหมายเกี่ยวกับมาตรการด้านการปฏิบัติตามกฎการรับส่งข้อมูลระหว่างประเทศอย่างใกล้ชิดมาก และใช้มาตรการทุกอย่างที่มีเพื่อให้มั่นใจว่าการรับส่งข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่อยู่ในสหภาพยุโรปเป็นไปตามกฎข้อบังคับ ซึ่งนี่ยังหมายความว่าเราได้สร้างระบบสำรองในโปรแกรมการปฏิบัติตามกฎระเบียบด้านการรับส่งข้อมูลในขอบเขตที่ครบถ้วนที่สุดเท่าที่จะเป็นไปได้ และพยายามขยายระบบสำรองเหล่านี้ด้วยเครื่องมือที่ Stripe ใช้ได้ภายใต้ GDPR

การไม่ปฏิบัติตามกฎระเบียบ

ผลของการไม่ปฏิบัติตามกฎระเบียบของ GDPR ที่เป็นที่กล่าวถึงมากที่สุดก็คือค่าปรับสูงสุดที่จะเรียกเก็บจากองค์กรที่ไม่ปฏิบัติตาม ค่าปรับสูงสุดอาจอยู่ที่ 4% ของรายได้ทั่วโลกหรือ 20 ล้านยูโร โดยเลือกจำนวนที่สูงกว่า การละเมิดกฎบางประเภทจะมีค่าปรับสูงสุดอยู่ที่ 2% ของรายได้ทั่วโลกหรือ 10 ล้านยูโร โดยเลือกจำนวนที่สูงกว่า

ผลที่มีการกล่าวถึงน้อยลงมาก็คืออำนาจของหน่วยงานคุ้มครองข้อมูล (“DPA”) ภายใต้มาตรา 58 ของ GDPR อำนาจเหล่านี้รวมถึงความสามารถของ DPA ในการดำเนินการลงโทษ เช่น การจำกัดกิจกรรมการประมวลผลชั่วคราวหรือตามระยะเวลาที่กำหนด รวมถึงการห้ามไม่ให้ประมวลผลข้อมูลอย่างสิ้นเชิง หรือสั่งให้ระงับการรับส่งข้อมูลไปยังผู้รับที่อยู่ในประเทศที่สาม

Stripe กับ GDPR

ที่ Stripe ความเป็นส่วนตัว การคุ้มครองข้อมูล และการรักษาความปลอดภัยให้ข้อมูลเป็นหัวใจหลักของทุกสิ่งที่เราทำ เราจะพยายามทำงานเพื่อยกระดับมาตรฐานของเราเองในด้านความเป็นส่วนตัวของข้อมูลและการรักษาความปลอดภัยอย่างต่อเนื่อง และเรามองว่า GDPR เป็นโอกาสสำหรับทั้งวงการที่จะร่วมมือกันและพัฒนาในด้านนี้

Stripe เริ่มความพยายามที่จะปฏิบัติตาม GDPR ตั้งแต่ปี 2016 และเราพยายามอย่างต่อเนื่องที่จะทำให้แน่ใจได้ว่าบริการของเราสอดคล้องกับ GDPR ในวันที่มีผลบังคับใช้เมื่อ 25 พฤษภาคม 2018

การปฏิบัติตาม GDPR มีองค์ประกอบมากมาย หนึ่งในนั้นคือเรากำลังปรับปรุงกระบวนการทางเอกสารและข้อตกลงให้สอดคล้องกับข้อกำหนด GDPR และเรายังปรับปรุงนโยบายและกระบวนการภายในเพื่อให้ได้มาตรฐาน GDPR อีกด้วย

องค์ประกอบของการปฏิบัติตาม GDPR ส่วนใหญ่เกิดขึ้นใน “เบื้องหลัง” ขององค์กร เนื่องจากมีความเกี่ยวข้องกับวิธีที่ประมวลผลข้อมูลส่วนบุคคล ด้านล่างนี้เป็นขั้นตอนบางส่วนที่แพลตฟอร์มอย่าง Stripe ดำเนินการให้กับผู้ใช้ (และแพลตฟอร์มเอง) เพื่อรองรับ GDPR

  • ทำการวิเคราะห์ช่องว่างระหว่างข้อกำหนดของระเบียบการคุ้มครองข้อมูลทั่วไปกับ GDPR ที่มีผลบังคับใช้กับการดำเนินธุรกิจของบริษัท

  • ตรวจสอบและปรับปรุงเครื่องมือ กระบวนการ และนโยบายภายในตามที่จำเป็น

  • แก้ไขแนวทางปฏิบัติด้านการจัดเก็บข้อมูลและการแมปข้อมูล แล้วทำการปรับปรุงตามที่จำเป็นเพื่อให้สอดคล้องกับความรับผิดชอบด้านการเก็บรักษาประวัติภายใต้ GDPR

  • ทำการวิเคราะห์ช่องว่างของเครื่องมือการตรวจสอบการคุ้มครองข้อมูลและความเป็นส่วนตัวโดยเฉพาะเพื่อให้สอดคล้องกับข้อกำหนดของการประเมินผลกระทบจากการคุ้มครองข้อมูล

  • ปรับปรุงแนวทางในการโอนข้อมูลระหว่างประเทศ

  • ปรับปรุงสัญญาเพื่อให้สอดคล้องกับความรับผิดชอบตามมาตราที่ 28 ของ GDPR เนื่องจากมีความเกี่ยวข้องกับฝ่ายที่ทำสัญญาของบริษัท

  • ตรวจสอบและแก้ไขความสัมพันธ์กับผู้ให้บริการ (หากจำเป็น) เพื่อให้เป็นไปตามข้อกำหนดของ GDPR และทำให้มั่นใจว่าบุคคลที่สามเหล่านั้นได้รับและประมวลผลข้อมูลส่วนบุคคลด้วยวิธีที่ถูกต้องตามกฎหมาย

  • ปรับปรุงโปรแกรมการปฏิบัติตามกฎด้านความเป็นส่วนตัวของบริษัทให้มีการฝึกอบรมพนักงานอย่างต่อเนื่องเพื่อให้สอดคล้องกับการเปลี่ยนแปลงที่นำมาใช้เพื่อรองรับ GDPR

หลักการความรับผิดชอบ

ผู้ใช้ Stripe ควรปรึกษากับผู้เชี่ยวชาญทางกฎหมายของตนเพื่อทำความเข้าใจขอบเขตทั้งหมดของภาระหน้าที่ในการปฏิบัติตามกฎภายใต้ GDPR โดยทั่วไปหากคุณเป็นองค์กรที่ก่อตั้งในสหภาพยุโรปหรือองค์กรของคุณประมวลผลข้อมูลส่วนบุคคลของบุคคลในสหภาพยุโรป GDPR จะมีผลบังคับใช้กับคุณ

หลักการที่มาแทนของ GDPR ข้อหนึ่งที่ควรระลึกถึงเสมอก็คือหลักการความรับผิดชอบ หลักการความรับผิดชอบระบุว่าผู้ควบคุมข้อมูลจะต้องสามารถแสดงให้เห็นว่ากิจกรรมการประมวลผลของตนสอดคล้องกับหลักการคุ้มครองข้อมูลที่ระบุไว้ใน GDPR วิธีที่ง่ายที่สุดในการแสดงถึงการปฏิบัติตามกฎก็คือการจัดทำเอกสารและสื่อสารแนวทางในการปฏิบัติตาม GDPR

ที่ Stripe การปฏิบัติตามกฎระเบียบเป็นผลมาจากความพยายามร่วมกันจากหลายฝ่ายทั่วทั้งองค์กร รวมถึงฝ่ายปฏิบัติการผู้ใช้ ฝ่ายขาย ฝ่ายวิศวกรรม ฝ่ายกฎหมายและการรักษาความปลอดภัย จากประสบการณ์ของเรา เราพบว่าความร่วมมือกันข้ามหน่วยงานและการจัดทำเอกสารที่อ่านง่ายมีประโยชน์อย่างมากในกระบวนการปฏิบัติตามกฎ GDPR โดยรวม

รายการตรวจสอบ GDPR สำหรับธุรกิจของคุณ

อีกไม่กี่สัปดาห์ก็จะถึงวันที่ 25 พฤษภาคม 2018 แล้ว ซึ่งองค์กรทั้งขนาดเล็กและขนาดกลางก็อาจพบกับความท้าทายเฉพาะในการเตรียมพร้อมสำหรับ GDPR ด้วยเหตุนี้เราจึงได้รวบรวมองค์ประกอบหลักบางส่วนของโปรแกรมการปฏิบัติตาม GDPR ในรายการตรวจสอบสำหรับผู้ใช้

รับทราบข้อมูลให้ตรงกัน: ประชุมกับเพื่อนร่วมงานฝ่ายเทคนิค ฝ่ายสนับสนุนลูกค้า และฝ่ายกฎหมาย แล้วแจ้งข้อมูลว่า GDPR คืออะไร และจะส่งผลต่อองค์กรของคุณอย่างไร

ทำความเข้าใจให้ชัดเจนว่าเกิดอะไรขึ้นกับข้อมูลส่วนบุคคลในองค์กรของคุณ: การฝึกแมปข้อมูลอาจช่วยให้คุณทราบว่าระบบของคุณจัดเก็บและประมวลผลข้อมูลส่วนบุคคลอย่างไร คำถามต่อไปนี้อาจเป็นแนวทางให้คุณได้

  • คุณประมวลผลข้อมูลส่วนบุคคลหมวดหมู่ใด (เช่น ข้อมูลทางการเงิน ข้อมูลด้านสุขภาพ ข้อมูลเกี่ยวกับการตลาด ฯลฯ)
  • คุณประมวลผลข้อมูลส่วนบุคคลของคนในหมวดหมู่ใด (เช่น เจ้าของบัตร ผู้เยาว์ คนไข้ ฯลฯ)
  • เหตุผลในการประมวลข้อมูลนี้คืออะไร
  • คุณเก็บรวบรวมข้อมูลนี้อย่างไร และเก็บเพื่ออะไร
  • คุณรักษาความปลอดภัยให้ข้อมูลนี้อย่างไร
  • มีบุคคลที่สามที่ได้รับข้อมูลนี้หรือไม่ หากมี คุณเปิดเผยเกี่ยวกับผู้รับบุคคลที่สามนี้ในนโยบายความเป็นส่วนตัวหรือการแจ้งเตือนรูปแบบอื่นๆ หรือไม่ คุณรู้ไหมว่าบุคคลที่สามนี้เป็นใคร คุณเก็บรักษาข้อมูลเกี่ยวกับบุคคลไว้นานเพียงใด

การแมปพื้นฐานทางกฎหมาย: ดูพื้นฐานทางกฎหมายทั้ง 6 ข้อด้านบน เชื่อมโยงการดำเนินการประมวลผลที่ระบุในแผนที่ข้อมูลทุกรายการกลับไปที่พื้นฐานทางกฎหมาย ความเชื่อมโยงนี้จะเป็นแผนที่พื้นฐานทางกฎหมายของคุณ

รู้วิธีปฏิบัติตามบุคคลที่ใช้สิทธิของตน ดังนี้

  • สามารถใช้ข้อมูลจากการแมปข้อมูลเพื่อตอบสนองคำขอเข้าถึงข้อมูลของเจ้าของข้อมูล
  • รู้ว่าข้อมูลส่วนบุคคลอยู่ตรงไหนในระบบของคุณ (และที่มีการอ้างอิงกับระบบอื่นๆ) โดยดูจากแผนที่ข้อมูล เพื่อปฏิบัติตามคำขอเลือกไม่เข้าร่วม คำขอแก้ไข และคำขอลบ
  • รู้ว่าระบบของคุณใช้รูปแบบข้อมูลใด และหาวิธีที่คุณจะตอบสนองคำขอเคลื่อนย้ายข้อมูล

การละเมิดข้อมูลและการตอบสนองต่อเหตุการณ์: เมื่อคุณพูดคุยกับเพื่อนร่วมงานจากฝั่งเทคนิค/การรักษาความปลอดภัยขององค์กร คุณควรทราบแผนการตอบสนองต่อเหตุการณ์ จัดการฝึกอภิปรายเพื่อให้ทุกคนที่มีส่วนในการตอบสนองต่อเหตุการณ์รู้ว่าต้องทำอย่างไรหากเกิดเหตุการณ์ด้านความปลอดภัยขึ้น ในเชิงอุดมคติ ทีมตอบสนองต่อเหตุการณ์ของคุณควรเป็นทีมที่มีประสิทธิภาพสูงสุดและพร้อมที่จะดำเนินการตามแผนการตอบสนองต่อเหตุการณ์เมื่อมีสถานการณ์เกิดขึ้น

ยังมีองค์ประกอบอีกมากที่เพิ่มลงในรายการตรวจสอบนี้ได้ และคุณจะต้องทำงานกับผู้เชี่ยวชาญภายในและที่ปรึกษาภายนอกเพื่อจัดทำรายการที่ปรับตามความจำเป็น ตัวอย่างเช่น คุณอาจต้องทำการประเมินผลกระทบการคุ้มครองข้อมูล แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล จัดการและตรวจสอบแนวทางปฏิบัติด้านการสื่อสารทางการตลาดและด้านอื่นๆ ของบริษัท รวมถึงตรวจทานกระบวนการทำสัญญาและการจัดการผู้ให้บริการของคุณ นี่เป็นเพียงส่วนหนึ่ง

หากคุณมีรากฐานที่มั่นคงจากการแมปกิจกรรมการประมวลผลข้อมูล คุณจะมีข้อได้เปรียบในการตอบคำถามด้านการปฏิบัติตาม GDPR ซึ่งอาจเกิดขึ้นในภายหลัง

ด้านล่างนี้เป็นแหล่งข้อมูลเพิ่มเติมที่เราใช้หาข้อมูลและพบว่าเป็นประโยชน์ ซึ่งเราหวังว่าจะมีประโยชน์สำหรับคุณเช่นกัน

แหล่งข้อมูลเพิ่มเติม

มีการพูดถึง GDPR กันมากมายจนยากจะรู้ว่าแหล่งข้อมูลใดเป็นแหล่งข้อมูลทางออนไลน์ที่ดี ด้านล่างนี้คือแหล่งข้อมูลบางส่วนที่เราใช้เพื่อติดตามการพัฒนา GDPR

  • ทุกอย่างเริ่มต้นที่เนื้อหาทางกฎหมาย: เนื้อหาทางกฎหมายฉบับเต็มเกี่ยวกับ GDPR อยู่ที่นี่ และระเบียบการคุ้มครองข้อมูลทั่วไปมีลิงก์ที่นี่

  • หน่วยงานกำกับดูแล: รัฐสมาชิกสหภาพยุโรปแต่ละรัฐต่างก็มีหน่วยงานคุ้มครองข้อมูล (DPA) และหลายๆ หน่วยงานก็ได้เผยแพร่แนวทางที่เป็นประโยชน์เกี่ยวกับการนำ GDPR ไปใช้ คุณสามารถดูรายชื่อ DPA ได้ที่นี่

  • มาตรา 29 คณะทำงาน (WP29) ที่กำลังจะกลายเป็นคณะกรรมการคุ้มครองข้อมูลยุโรป (EDPB) ในเร็วๆ นี้: WP29 คือคณะที่ปรึกษาซึ่งประกอบด้วยตัวแทนจาก DPA ของรัฐสมาชิกสหภาพยุโรปแต่ละรัฐ ผู้ควบคุมดูแลการคุ้มครองข้อมูลยุโรป และคณะกรรมาธิการยุโรป ในวันที่ 25 พฤษภาคม 2018 WP29 จะกลายเป็น EDPB ซึ่ง EDPB จะประกอบด้วยหัวหน้า DPA ของรัฐสมาชิกสหภาพยุโรปแต่ละรัฐและผู้ควบคุมดูแลการคุ้มครองข้อมูลยุโรป

    WP29 ได้ออกแนวทางและความคิดเห็นหลายร้อยรายการ และได้เปิดหลายหัวข้อเพื่อให้คำปรึกษา แนวทางและความคิดเห็นล่าสุดต่างก็เน้นไปที่วิธีที่ดีที่สุดในการนำองค์ประกอบของ GDPR ไปใช้ในโครงสร้างการปฏิบัติตามกฎระเบียบขององค์กร ห้องข่าว WP29 อยู่ที่นี่

    เว็บไซต์เดิมของคณะทำงาน 29 มีแหล่งข้อมูลเพิ่มเติมมากมาย แต่เมื่อจัดทำโครงร่างเว็บไซต์ใหม่ การเข้าถึงแหล่งข้อมูลเหล่านั้นกลับทำได้ยากขึ้น คุณดูเว็บไซต์ที่เก็บถาวรซี่งมีเนื้อหาเพิ่มเติมได้ที่นี่

  • DPA ของบางรัฐ บริษัทกฎหมาย หน่วยงานด้านความเป็นส่วนตัว เช่น IAPP และองค์กร องค์กรไม่แสวงหาผลกำไร และบริษัทอื่นๆ อีกหลายแห่งมีการจัดกิจกรรมเกี่ยวกับ GDPR และมีแนวโน้มสูงกว่าองค์กรอื่นๆ ก็มีคำถามเกี่ยวกับการนำ GDPR ไปใช้คล้ายๆ กับของคุณ กิจกรรมเหล่านี้เป็นโอกาสอันดีที่จะได้เข้าถึงชุมชน GDPR และหาคำตอบสำหรับคำถามร่วมกัน

กลับไปที่คู่มือ
You’re viewing our website for Lithuania, but it looks like you’re in the United States.