กฎระเบียบว่าด้วยการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล (GDPR)

คู่มือ Stripe เกี่ยวกับการเปลี่ยนแปลงด้านการปกป้องข้อมูลและความเป็นส่วนตัวของยุโรป

บทนำ

อัปเดตล่าสุดวันที่ 19 สิงหาคม 2020 เพื่อรายงานผลการตัดสินใจของศาลยุติธรรมยุโรปในคดี Schrems II

ภาพรวมเกี่ยวกับกฎหมายคุ้มครองข้อมูลและความเป็นส่วนตัวฉบับใหม่ที่มีผลเมื่อวันที่ 25 พฤษภาคม 2018 และหลักปฏิบัติที่ดีที่สุดเพื่อส่งเสริมการปฏิบัติตามกฎระเบียบ GDPR

GDPR เป็นการเปลี่ยนแปลงในกฎระเบียบว่าด้วยความเป็นส่วนตัวของข้อมูลที่สำคัญที่สุดในช่วงหลายสิบปีมานี้ บริษัทที่กำลังนำการเปลี่ยนแปลงครั้งใหญ่นี้ไปใช้ในระบบและสัญญารวมถึงบริษัทที่ดำเนินงานในแพลตฟอร์มที่ปฏิบัติตามกฎข้อบังคับและให้ความสำคัญต่อความเป็นส่วนตัวจะมีข้อได้เปรียบ คู่มือนี้มีจุดประสงค์เพื่อช่วยให้ผู้ใช้ของเราเข้าใจผลที่ตามมาในวงกว้างของ GDPR ตลอดจนโอกาสในการปรับปรุงกระบวนการประมวลผลข้อมูล และวิธีปฏิบัติตามกฎ GDPR ให้ยั่งยืนต่อไปเรื่อยๆ

หมายเหตุ: คู่มือ GDPR นี้จัดทำขึ้นเพื่อให้ข้อมูลเท่านั้น ไม่ได้เป็นคำแนะนำทางกฎหมาย โปรดติดต่อที่ปรึกษาทางกฎหมายของคุณเพื่อขอคำแนะนำว่า GDPR อาจส่งผลกระทบต่อธุรกิจของคุณอย่างไร

GDPR คืออะไร

กฎระเบียบว่าด้วยการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล (GDPR) เป็นกฎหมายว่าด้วยการคุ้มครองข้อมูลและความเป็นส่วนตัวฉบับใหม่ที่มีผลทั่วทั้งสหภาพยุโรป กฎหมายนี้เรียกร้องให้มีการคุ้มครองความเป็นส่วนตัวที่ละเอียดขึ้นในระบบขององค์กร ให้มีข้อตกลงในการคุ้มครองข้อมูลที่รอบคอบขึ้น และมีการเปิดเผยข้อมูลเกี่ยวกับแนวทางปฏิบัติขององค์กรด้านการคุ้มครองข้อมูลและความเป็นส่วนตัวโดยละเอียดและง่ายสำหรับผู้ใช้มากขึ้น

GDPR มาแทนที่ขอบข่ายงานด้านกฎหมายของการคุ้มครองข้อมูลในปัจจุบันของสหภาพยุโรปซึ่งใช้มาตั้งแต่ปี 1995 (รู้จักกันในนาม “ระเบียบการคุ้มครองข้อมูลทั่วไป”) ระเบียบการคุ้มครองข้อมูลทั่วไปนี้กำหนดว่าต้องมีการเปลี่ยนไปใช้กฎหมายแห่งชาติของสมาชิกสหภาพยุโรป ซึ่งทำให้ภาพรวมของกฎหมายคุ้มครองข้อมูลของสหภาพยุโรปมีความไม่เป็นอันหนึ่งอันเดียวกัน ส่วน GDPR เป็นข้อบังคับในสหภาพยุโรปที่มีผลทางกฎหมายโดยตรงกับรัฐสมาชิกสหภาพยุโรปทุกรัฐโดยตรง นั่นคือกฎหมายนี้ไม่จำเป็นต้องถูกถ่ายเข้าไปในกฎหมายแห่งชาติของรัฐสมาชิกสหภาพยุโรปเพื่อให้มีผลบังคับผูกพัน ซึ่งจะเป็นการเพิ่มความสอดคล้องและการบังคับใช้กฎหมายในสหภาพยุโรปให้เป็นไปในแนวทางเดียวกันมากขึ้น

GDPR อาจมีผลบังคับใช้กับองค์กรที่อยู่นอกสหภาพยุโรป

GDPR ต่างจากระเบียบการคุ้มครองข้อมูลทั่วไปตรงที่กฎหมายนี้มีความเกี่ยวข้องกับบริษัทที่ดำเนินธุรกิจทั่วโลก ไม่ใช่เฉพาะบริษัทที่อยู่ในสหภาพยุโรป องค์กรอาจอยู่ในขอบเขตการบังคับใช้ GDPR หาก (i) องค์กรนั้นตั้งอยู่ในสหภาพยุโรป หรือ (ii) องค์กรนั้นไม่ได้ตั้งอยู่ในสหภาพยุโรปแต่กิจกรรมการประมวลผลข้อมูลมีความเกี่ยวข้องกับบุคคลในสหภาพยุโรปและเกี่ยวกับการนำเสนอผลิตภัณฑ์และบริการให้กับบุคคลดังกล่าวหรือติดตามพฤติกรรมของบุคคลดังกล่าว

การประมวลผลข้อมูลส่วนบุคคลเป็นแนวคิดกว้างๆ ภายใต้ GDPR

GDPR ควบคุมวิธีที่องค์กรสามารถประมวลผลข้อมูลส่วนบุคคลของบุคคลในสหภาพยุโรป “ข้อมูลส่วนบุคคล” และ “การประมวลผล” เป็นคำที่ใช้บ่อยในนิติบัญญัติ และการทำความเข้าใจความหมายเฉพาะเจาะจงของคำเหล่านี้ภายใต้ GDPR จะช่วยให้เข้าใจขอบเขตของกฎหมายนี้ได้ดีขึ้น

  • ข้อมูลส่วนบุคคลคือข้อมูลใดๆ ที่เกี่ยวข้องกับบุคคลที่ถูกระบุตัวตนหรือระบุตัวตนได้ คำนี้มีความหมายรวมกว้างมากเนื่องจากรวมถึงข้อมูลใดๆ ที่ใช้ระบุตัวบุคคลได้ไม่ว่าจะใช้เดี่ยวๆ หรือใช้ร่วมกับข้อมูลอื่น ข้อมูลส่วนบุคคลไม่ใช่แค่ชื่อหรืออีเมลของบุคคล แต่ยังรวมไปถึงข้อมูลอื่นอย่างเช่นข้อมูลทางการเงิน หรือในบางกรณียังอาจรวมไปถึงที่อยู่ IP ยิ่งไปกว่านั้นข้อมูลส่วนบุคคลบางหมวดหมู่ยังได้รับการคุ้มครองข้อมูลในระดับที่สูงขึ้นเนื่องจากมีลักษณะที่ละเอียดอ่อน หมวดหมู่เหล่านี้ได้แก่ข้อมูลเกี่ยวกับชาติพันธุ์หรือเชื้อชาติของบุคคล ความเห็นทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา การเป็นสมาชิกสหภาพแรงงาน ข้อมูลทางพันธุกรรม ข้อมูลไบโอเมตริก ข้อมูลสุขภาพ ข้อมูลเกี่ยวกับชีวิตทางเพศหรือลักษณะทางเพศของบุคคล และข้อมูลประวัติอาชญากรรม

  • การประมวลผลข้อมูลส่วนบุคคลเป็นกิจกรรมหลักที่ทำให้เกิดภาระหน้าที่ในการปฏิบัติตาม GDPR การประมวลผลคือการดำเนินการหรือชุดการดำเนินการไม่ว่าจะเป็นแบบอัตโนมัติหรือไม่ก็ตามที่ทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม การบันทึก การจัดระเบียบ การจัดโครงสร้าง การจัดเก็บ การดัดแปลงหรือการแก้ไข การเรียกดู การรับคำปรึกษา การใช้ การเปิดเผยด้วยการส่งต่อ การเผยแพร่หรือทำให้เข้าดูได้ การจัดให้สอดคล้องหรือการรวม การจำกัด การลบหรือการทำลาย ในทางปฏิบัติหมายความว่ากระบวนการใดก็ตามที่จัดเก็บหรือนำข้อมูลส่วนบุคคลมาใช้เพื่อให้ได้ความรู้บางอย่างจะถือว่าเป็นการประมวลผล

แนวคิดหลัก: ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล

ในกฎหมายคุ้มครองข้อมูลของสหภาพยุโรป มี 2 ฝ่ายที่สามารถประมวลผลข้อมูลส่วนบุคคลได้ นั่นคือผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล

ผู้ควบคุมข้อมูล (“ผู้ควบคุม”) คือผู้ที่กำหนด_วัตถุประสงค์และวิธี_ในการประมวลผลข้อมูลส่วนบุคคล โดยอาจทำแต่เพียงผู้เดียวหรือทำร่วมกับผู้อื่นก็ได้ ผู้ประมวลผลข้อมูล (“ผู้ประมวลผล”) คือผู้ที่_ประมวลผล_ข้อมูลส่วนบุคคลในนามของผู้ควบคุม

เราจำเป็นต้องพิจารณาว่าผู้ที่ประมวลผลข้อมูลส่วนบุคคลในกิจกรรมการประมวลผลหนึ่งๆ เป็นผู้ควบคุมหรือผู้ประมวลผล การฝึกแมปข้อมูลนี้จะช่วยให้องค์กรเข้าใจสิทธิและภาระหน้าที่ที่มาพร้อมกับการดำเนินการประมวลผลข้อมูลของตน

Stripe มีกิจกรรมการประมวลผลข้อมูลบางอย่างที่เราทำหน้าที่เป็นผู้ควบคุมข้อมูล และมีกิจกรรมที่เราทำหน้าที่เป็นผู้ประมวลผลข้อมูลด้วย ตัวอย่างที่ดีซึ่งแสดงให้เห็นบทบาทควบคุมนี้ก็คือเมื่อ Stripe ประมวลผลธุรกรรมบัตรเครดิต การทำให้ธุรกรรมเกิดขึ้นได้จะต้องมีการประมวลผลข้อมูลส่วนบุคคล เช่น ชื่อเจ้าของบัตร หมายเลขบัตรเครดิต วันหมดอายุบัตร และรหัส CVC โดยระบบจะส่งข้อมูลของเจ้าของบัตรจากผู้ใช้ Stripe มาให้ Stripe ผ่าน Stripe API (หรือด้วยวิธีการผสานการทำงานอย่างอื่น เช่น Stripe Elements) จากนั้น Stripe จะใช้ข้อมูลดังกล่าวเพื่อดำเนินการธุรกรรมให้เสร็จสิ้นภายในระบบของเครือข่ายบัตรเครดิต นี่เป็นหน้าที่ของ Stripe ในฐานะผู้ประมวลผลข้อมูล อย่างไรก็ตาม Stripe ก็ใช้ข้อมูลนี้เพื่อปฏิบัติตามหน้าที่ตามข้อบังคับ (เช่น รู้จักลูกค้าของคุณ (“KYC”) และการป้องกันการฟอกเงิน (“AML”) ด้วย ซึ่งในบทบาทนี้ Stripe ถือเป็นผู้ควบคุมข้อมูล

พื้นฐานทางกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคลใน GDPR

สิ่งต่อไปที่ต้องพิจารณาก็คือ กิจกรรมการประมวลผลหนึ่งๆ สอดคล้องกับ GDPR หรือไม่ GDPR กำหนดว่ากิจกรรมการประมวลผลข้อมูลแต่ละครั้งที่ดำเนินการในฐานะผู้ควบคุมหรือผู้ประมวลผลจะต้องตั้งอยู่บนพื้นฐานทางกฎหมาย GDPR ยอมรับพื้นฐานทางกฎหมายทั้งหมด 6 ข้อในการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในสหภาพยุโรป (ใน GDPR บุคคลที่อยู่ในสหภาพยุโรปจะเรียกว่าเป็น “เจ้าของข้อมูล”) พื้นฐานทางกฎหมายทั้ง 6 ข้อซึ่งเรียงตามกฎหมาย GDPR มาตรา 6 (1) (a) ถึง (f) ได้แก่

  1. เจ้าของข้อมูลได้ให้คำยินยอมในการประมวลผลข้อมูลส่วนบุคคลของตนเพื่อจุดประสงค์เฉพาะเจาะจงอย่างน้อย 1 ข้อ

  2. การประมวลผลนั้นจำเป็นสำหรับการดำเนินการตามสัญญาที่เจ้าของข้อมูลเข้าร่วม หรือสำหรับการดำเนินการตามขั้นตอนที่เจ้าของข้อมูลขอก่อนที่จะเข้าร่วมสัญญา

  3. การประมวลผลนั้นจำเป็นสำหรับการปฏิบัติตามหน้าที่ทางกฎหมายที่มีผลบังคับใช้กับผู้ควบคุม

  4. การประมวลผลนั้นจำเป็นสำหรับการปกป้องผลประโยชน์ของเจ้าของข้อมูล

  5. การประมวลผลนั้นจำเป็นสำหรับการดำเนินงานที่ทำเพื่อผลประโยชน์ส่วนรวมหรือตามการใช้อำนาจของทางการ หรือ

  6. การประมวลผลนั้นจำเป็นสำหรับผลประโยชน์ที่ถูกต้องตามกฎหมายของฝ่ายดังกล่าว ยกเว้นเมื่อผลประโยชน์ดังกล่าวขัดกับผลประโยชน์หรือสิทธิขั้นพื้นฐานและเสรีภาพของเจ้าของข้อมูลที่ต้องได้รับการคุ้มครองข้อมูลส่วนบุคคล

รายการการประมวลผลที่ได้รับอนุญาตตาม GDPR กับรายการที่อยู่ในระเบียบการคุ้มครองข้อมูลทั่วไปมีความคล้ายคลึงกัน อย่างไรก็ตามทั้งสองยังคงมีความแตกต่างอย่างมีนัยสำคัญ

การเปลี่ยนแปลงที่เกิดจาก GDPR เมื่อเทียบกับระเบียบการคุ้มครองข้อมูลทั่วไปที่ได้รับการพูดถึงมากที่สุดก็คือการเพิ่มความเข้มงวดของข้อกำหนดด้านความยินยอม (ข้อ 1 ในรายการด้านบน) ข้อกำหนดด้านความยินยอมของ GDPR ประกอบด้วยองค์ประกอบอย่าง (i) ข้อกำหนดว่าความยินยอมจะต้องตรวจสอบได้ (ii) คำขอความยินยอมจะต้องแยกจากส่วนอื่นๆ อย่างชัดเจน และ (iii) เจ้าของข้อมูลจะต้องได้รับแจ้งสิทธิของตนที่จะเพิกถอนความยินยอม นอกจากนี้ยังต้องทราบด้วยว่ามีการใช้ข้อกำหนดด้านความยินยอมที่สูงขึ้นไปอีกระดับ (“ความยินยอมอย่างชัดแจ้ง”) เมื่อมีการประมวลผลข้อมูลที่ละเอียดอ่อน

อีกข้อที่ควรเน้นก็คือข้อผลประโยชน์ที่ถูกต้องตามกฎหมาย (ข้อ 6 ในรายการด้านบน) เมื่อใช้ “ผลประโยชน์ที่ถูกต้องตามกฎหมาย” เพื่อรองรับการประมวลผลข้อมูลส่วนบุคคล องค์กรจะต้องรับทราบถึงข้อกำหนดการชั่งน้ำหนักที่มาพร้อมกับพื้นฐานทางกฎหมายข้อนี้ เพื่อให้เป็นไปตามหลักการความรับผิดชอบภายใต้ GDPR องค์กรจะต้องบันทึกการปฏิบัติตามข้อกำหนดด้วยการชั่งน้ำหนัก ซึ่งประกอบด้วยแนวทางและข้อโต้แย้งที่องค์กรได้พิจารณาก่อนที่จะสรุปว่าตนผ่านการชั่งน้ำหนัก

สิทธิของบุคคลภายใต้ GDPR

บุคคลได้รับการรับประกันว่าตนมีสิทธิขั้นพื้นฐานเกี่ยวกับข้อมูลส่วนบุคคลของตนภายใต้ระเบียบการคุ้มครองข้อมูลทั่วไป โดยสิทธิของบุคคลยังคงมีผลภายใต้ GDPR โดยมีการแก้ไขบางส่วนเพื่อให้ความกระจ่าง แผนภูมิด้านล่างจะเปรียบเทียบสิทธิของบุคคลภายใต้ระเบียบการคุ้มครองข้อมูลทั่วไปกับ GDPR

สิทธิของบุคคล ระเบียบการคุ้มครองข้อมูลทั่วไป GDPR
คำขอเข้าถึงสำหรับเจ้าของข้อมูล บุคคลมีสิทธิที่จะรู้ว่าข้อมูลส่วนบุคคลของตนได้รับการประมวลผลหรือไม่ ข้อมูลส่วนบุคคลใดของตนได้รับการประมวลผลและประมวลผลอย่างไร และการประมวลผลนั้นใช้การดำเนินการใด สิทธินี้มีขอบเขตที่กว้างขึ้นภายใต้ GDPR ตัวอย่างเช่น เมื่อส่งคำขอเข้าถึง บุคคลจะต้องได้รับข้อมูลเพิ่มเติม รวมถึงข้อมูลเกี่ยวกับสิทธิการคุ้มครองข้อมูลของตนภายใต้ GDPR ที่ไม่ได้มีมาก่อน เช่น สิทธิในการเคลื่อนย้ายข้อมูล
สิทธิที่จะปฏิเสธ บุคคลสามารถห้ามการดำเนินการประมวลผลข้อมูลบางอย่างโดยที่จะต้องมีเหตุผลทางกฎหมายที่ฟังขึ้น นอกจากนี้ยังปฏิเสธไม่ให้ประมวลผลข้อมูลส่วนบุคคลของตนเพื่อวัตถุประสงค์ทางการตลาดโดยตรงได้ด้วย GDPR ได้ขยายขอบเขตของสิทธินี้เมื่อเทียบกับระเบียบการคุ้มครองข้อมูลทั่วไป
สิทธิที่จะแก้ไขหรือลบ บุคคลสามารถขอให้เติมข้อมูลที่ไม่สมบูรณ์ให้ครบหรือแก้ไขข้อมูลที่ไม่ถูกต้องเพื่อให้มั่นใจได้ว่าการประมวลผลข้อมูลส่วนบุคคลเป็นไปตามหลักการคุ้มครองข้อมูลที่เกี่ยวข้อง โดยส่วนใหญ่แล้วตำแหน่งของ GDPR ก็เหมือนกับระเบียบการคุ้มครองข้อมูลทั่วไป แต่มีการคุ้มครองทางระเบียบวิธีบางอย่างที่เพิ่มขึ้นภายใต้ GDPR
สิทธิที่จะจำกัด ไม่มีสิทธิจำกัดการประมวลผล อย่างไรก็ตามระเบียบการคุ้มครองข้อมูลทั่วไปให้สิทธิบุคคลในการขอให้บล็อกข้อมูลส่วนบุคคลของตนในกรณีที่การดำเนินการประมวลผลไม่เป็นไปตามหลักการคุ้มครองข้อมูล เช่น เมื่อข้อมูลไม่ครบถ้วนหรือไม่ถูกต้อง GDPR ให้สิทธิบุคคลในการขอจำกัดการประมวลผลข้อมูลส่วนบุคคลของตนในบางกรณี รวมถึงกรณีที่บุคคลคัดค้านความถูกต้องของข้อมูล
สิทธิที่จะลบ (“สิทธิที่จะถูกลืม”) บุคคลมีสิทธิที่จะขอให้ลบข้อมูลส่วนบุคคลของตนได้หากการดำเนินการประมวลผลไม่เป็นไปตามหลักการคุ้มครองข้อมูล ดังนั้นสิทธินี้จึงมีขอบเขตแคบมาก GDPR ขยายขอบเขตของสิทธิให้กว้างมากขึ้น เช่น บุคคลสามารถใช้สิทธิที่จะลบได้เมื่อไม่จำเป็นต้องใช้ข้อมูลส่วนบุคคลเพื่อจุดประสงค์ที่มีการเก็บข้อมูลในครั้งแรกอีกต่อไป หรือบุคคลเพิกถอนความยินยอมให้ประมวลผลและไม่มีพื้นฐานทางกฎหมายอื่นใดที่มารองรับการประมวลผลต่อไป
สิทธิในการเคลื่อนย้ายข้อมูล ระเบียบการคุ้มครองข้อมูลทั่วไปไม่ได้กล่าวถึง “การเคลื่อนย้ายข้อมูล” ว่าเป็นสิทธิของเจ้าของข้อมูลอย่างชัดแจ้ง รัฐสมาชิกของสหภาพยุโรปอาจมีสิทธิเพิ่มเติมที่คล้ายคลึงกับสิทธิการเคลื่อนย้ายข้อมูลในระดับชาติ บุคคลสามารถขอให้ผู้ควบคุมข้อมูลรายหนึ่งที่เก็บข้อมูลส่วนบุคคลของตนส่งข้อมูลให้แก่ตนเองหรือผู้ควบคุมรายอื่นได้

การโอนข้อมูลระหว่างประเทศ

หัวข้อการรับส่งข้อมูลระหว่างประเทศเป็นประเด็นร้อนในช่วงไม่กี่ปีมานี้โดยได้มีการโต้เถียงและการปฏิรูปกฎหมายในด้านนี้ค่อนข้างมาก และยังเป็นที่ค่อนข้างแน่ชัดว่ากฎหมายเกี่ยวกับการรับส่งข้อมูลระหว่างประเทศจะมีการเปลี่ยนแปลงไปเรื่อยๆ ในอนาคตที่จะมาถึง ปัจจุบันมีข้อกำหนดบางอย่างภายใต้กฎหมายคุ้มครองข้อมูลของสหภาพยุโรปที่จะต้องปฏิบัติตามก่อนจึงจะส่งข้อมูลของบุคคลในสหภาพยุโรปออกไปนอกสหภาพยุโรปได้ นอกจากว่าองค์กรที่รับข้อมูลส่วนบุคคลอยู่ในเขตอำนาจศาลที่ได้รับอนุญาต (ดูเขตอำนาจศาลที่ได้รับอนุญาตได้ที่นี่)

ภายใต้ GDPR การรับส่งข้อมูลระหว่างประเทศเป็นหัวข้อที่จัดการได้ยากเนื่องจากกฎหมายมีการเปลี่ยนแปลงอยู่ตลอดและมีกลไกการรับส่งข้อมูลให้ใช้ได้ไม่มาก แม้จะเป็นเรื่องท้าทาย แต่องค์กรก็จะต้องตามการเปลี่ยนแปลงนี้ให้ทันเนื่องจากการรับส่งข้อมูลส่วนบุคคลที่เป็นไปตามกฎข้อบังคับถือเป็นหัวใจหลักของบริษัทเทคโนโลยี

เราไม่ใช้กรอบการคุ้มครองความเป็นส่วนตัว (Privacy Shield) เป็นกลไกในการถ่ายโอนข้อมูลที่เกิดในสหภาพยุโรปอีกต่อไป เนื่องจาก EU-U.S. Privacy Shield ใช้ไม่ได้อีกต่อไปอันเป็นผลมาจากการตัดสินคดี Schrems II โดยศาลยุติธรรมยุโรปเมื่อวันที่ 16 กรกฎาคม 2020 เรายังคงยึด Swiss-U.S. Privacy Shield และปฏิบัติตามหลักการของกรอบโครงสร้างการคุ้มครองความเป็นส่วนตัว (Privacy Shield Framework) ต่อไป ด้วยเหตุนี้เราจึงยังคงอ้างอิงถึง Privacy Shield ในนโยบายและข้อตกลง

โดยทั่วไปแล้ว Stripe มีมาตรการเพื่อการปฏิบัติตามกฎการรับส่งข้อมูลระหว่างประเทศที่ควบคุมการประมวลผลข้อมูลส่วนบุคคลของบุคคลในสหภาพยุโรปของหน่วยงาน Stripe ทั่วโลก มาตรการเหล่านี้อ้างอิงจากข้อสัญญามาตรฐานของสหภาพยุโรป

ตามที่กล่าวไว้ข้างต้นว่าการรับส่งข้อมูลระหว่างประเทศจะยังคงเป็นด้านที่มีโอกาสเกิดการปฏิรูปกฎหมายต่อไป ด้วยเหตุนี้เราจึงติดตามการเปลี่ยนแปลงทางกฎหมายเกี่ยวกับมาตรการด้านการปฏิบัติตามกฎการรับส่งข้อมูลระหว่างประเทศอย่างใกล้ชิดมาก และใช้มาตรการทุกอย่างที่มีเพื่อให้มั่นใจว่าการรับส่งข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่อยู่ในสหภาพยุโรปเป็นไปตามกฎข้อบังคับ ซึ่งนี่ยังหมายความว่าเราได้สร้างระบบสำรองในโปรแกรมการปฏิบัติตามกฎระเบียบด้านการรับส่งข้อมูลในขอบเขตที่ครบถ้วนที่สุดเท่าที่จะเป็นไปได้ และพยายามขยายระบบสำรองเหล่านี้ด้วยเครื่องมือที่ Stripe ใช้ได้ภายใต้ GDPR

การไม่ปฏิบัติตามกฎระเบียบ

ผลของการไม่ปฏิบัติตามกฎระเบียบของ GDPR ที่เป็นที่กล่าวถึงมากที่สุดก็คือค่าปรับสูงสุดที่จะเรียกเก็บจากองค์กรที่ไม่ปฏิบัติตาม ค่าปรับสูงสุดอาจอยู่ที่ 4% ของรายได้ทั่วโลกหรือ 20 ล้านยูโร โดยเลือกจำนวนที่สูงกว่า การละเมิดกฎบางประเภทจะมีค่าปรับสูงสุดอยู่ที่ 2% ของรายได้ทั่วโลกหรือ 10 ล้านยูโร โดยเลือกจำนวนที่สูงกว่า

ผลที่มีการกล่าวถึงน้อยลงมาก็คืออำนาจของหน่วยงานคุ้มครองข้อมูล (“DPA”) ภายใต้มาตรา 58 ของ GDPR อำนาจเหล่านี้รวมถึงความสามารถของ DPA ในการดำเนินการลงโทษ เช่น การจำกัดกิจกรรมการประมวลผลชั่วคราวหรือตามระยะเวลาที่กำหนด รวมถึงการห้ามไม่ให้ประมวลผลข้อมูลอย่างสิ้นเชิง หรือสั่งให้ระงับการรับส่งข้อมูลไปยังผู้รับที่อยู่ในประเทศที่สาม

Stripe กับ GDPR

ที่ Stripe ความเป็นส่วนตัว การคุ้มครองข้อมูล และการรักษาความปลอดภัยให้ข้อมูลเป็นหัวใจหลักของทุกสิ่งที่เราทำ เราจะพยายามทำงานเพื่อยกระดับมาตรฐานของเราเองในด้านความเป็นส่วนตัวของข้อมูลและการรักษาความปลอดภัยอย่างต่อเนื่อง และเรามองว่า GDPR เป็นโอกาสสำหรับทั้งวงการที่จะร่วมมือกันและพัฒนาในด้านนี้

Stripe เริ่มความพยายามที่จะปฏิบัติตาม GDPR ตั้งแต่ปี 2016 และเราพยายามอย่างต่อเนื่องที่จะทำให้แน่ใจได้ว่าบริการของเราสอดคล้องกับ GDPR ในวันที่มีผลบังคับใช้เมื่อ 25 พฤษภาคม 2018

การปฏิบัติตาม GDPR มีองค์ประกอบมากมาย หนึ่งในนั้นคือเรากำลังปรับปรุงกระบวนการทางเอกสารและข้อตกลงให้สอดคล้องกับข้อกำหนด GDPR และเรายังปรับปรุงนโยบายและกระบวนการภายในเพื่อให้ได้มาตรฐาน GDPR อีกด้วย

องค์ประกอบของการปฏิบัติตาม GDPR ส่วนใหญ่เกิดขึ้นใน “เบื้องหลัง” ขององค์กร เนื่องจากมีความเกี่ยวข้องกับวิธีที่ประมวลผลข้อมูลส่วนบุคคล ด้านล่างนี้เป็นขั้นตอนบางส่วนที่แพลตฟอร์มอย่าง Stripe ดำเนินการให้กับผู้ใช้ (และแพลตฟอร์มเอง) เพื่อรองรับ GDPR

  • ทำการวิเคราะห์ช่องว่างระหว่างข้อกำหนดของระเบียบการคุ้มครองข้อมูลทั่วไปกับ GDPR ที่มีผลบังคับใช้กับการดำเนินธุรกิจของบริษัท

  • ตรวจสอบและปรับปรุงเครื่องมือ กระบวนการ และนโยบายภายในตามที่จำเป็น

  • แก้ไขแนวทางปฏิบัติด้านการจัดเก็บข้อมูลและการแมปข้อมูล แล้วทำการปรับปรุงตามที่จำเป็นเพื่อให้สอดคล้องกับความรับผิดชอบด้านการเก็บรักษาประวัติภายใต้ GDPR

  • ทำการวิเคราะห์ช่องว่างของเครื่องมือการตรวจสอบการคุ้มครองข้อมูลและความเป็นส่วนตัวโดยเฉพาะเพื่อให้สอดคล้องกับข้อกำหนดของการประเมินผลกระทบจากการคุ้มครองข้อมูล

  • ปรับปรุงแนวทางในการโอนข้อมูลระหว่างประเทศ

  • ปรับปรุงสัญญาเพื่อให้สอดคล้องกับความรับผิดชอบตามมาตราที่ 28 ของ GDPR เนื่องจากมีความเกี่ยวข้องกับฝ่ายที่ทำสัญญาของบริษัท

  • ตรวจสอบและแก้ไขความสัมพันธ์กับผู้ให้บริการ (หากจำเป็น) เพื่อให้เป็นไปตามข้อกำหนดของ GDPR และทำให้มั่นใจว่าบุคคลที่สามเหล่านั้นได้รับและประมวลผลข้อมูลส่วนบุคคลด้วยวิธีที่ถูกต้องตามกฎหมาย

  • ปรับปรุงโปรแกรมการปฏิบัติตามกฎด้านความเป็นส่วนตัวของบริษัทให้มีการฝึกอบรมพนักงานอย่างต่อเนื่องเพื่อให้สอดคล้องกับการเปลี่ยนแปลงที่นำมาใช้เพื่อรองรับ GDPR

หลักการความรับผิดชอบ

ผู้ใช้ Stripe ควรปรึกษากับผู้เชี่ยวชาญทางกฎหมายของตนเพื่อทำความเข้าใจขอบเขตทั้งหมดของภาระหน้าที่ในการปฏิบัติตามกฎภายใต้ GDPR โดยทั่วไปหากคุณเป็นองค์กรที่ก่อตั้งในสหภาพยุโรปหรือองค์กรของคุณประมวลผลข้อมูลส่วนบุคคลของบุคคลในสหภาพยุโรป GDPR จะมีผลบังคับใช้กับคุณ

หลักการที่มาแทนของ GDPR ข้อหนึ่งที่ควรระลึกถึงเสมอก็คือหลักการความรับผิดชอบ หลักการความรับผิดชอบระบุว่าผู้ควบคุมข้อมูลจะต้องสามารถแสดงให้เห็นว่ากิจกรรมการประมวลผลของตนสอดคล้องกับหลักการคุ้มครองข้อมูลที่ระบุไว้ใน GDPR วิธีที่ง่ายที่สุดในการแสดงถึงการปฏิบัติตามกฎก็คือการจัดทำเอกสารและสื่อสารแนวทางในการปฏิบัติตาม GDPR

ที่ Stripe การปฏิบัติตามกฎระเบียบเป็นผลมาจากความพยายามร่วมกันจากหลายฝ่ายทั่วทั้งองค์กร รวมถึงฝ่ายปฏิบัติการผู้ใช้ ฝ่ายขาย ฝ่ายวิศวกรรม ฝ่ายกฎหมายและการรักษาความปลอดภัย จากประสบการณ์ของเรา เราพบว่าความร่วมมือกันข้ามหน่วยงานและการจัดทำเอกสารที่อ่านง่ายมีประโยชน์อย่างมากในกระบวนการปฏิบัติตามกฎ GDPR โดยรวม

รายการตรวจสอบ GDPR สำหรับธุรกิจของคุณ

อีกไม่กี่สัปดาห์ก็จะถึงวันที่ 25 พฤษภาคม 2018 แล้ว ซึ่งองค์กรทั้งขนาดเล็กและขนาดกลางก็อาจพบกับความท้าทายเฉพาะในการเตรียมพร้อมสำหรับ GDPR ด้วยเหตุนี้เราจึงได้รวบรวมองค์ประกอบหลักบางส่วนของโปรแกรมการปฏิบัติตาม GDPR ในรายการตรวจสอบสำหรับผู้ใช้

รับทราบข้อมูลให้ตรงกัน: ประชุมกับเพื่อนร่วมงานฝ่ายเทคนิค ฝ่ายสนับสนุนลูกค้า และฝ่ายกฎหมาย แล้วแจ้งข้อมูลว่า GDPR คืออะไร และจะส่งผลต่อองค์กรของคุณอย่างไร

ทำความเข้าใจให้ชัดเจนว่าเกิดอะไรขึ้นกับข้อมูลส่วนบุคคลในองค์กรของคุณ: การฝึกแมปข้อมูลอาจช่วยให้คุณทราบว่าระบบของคุณจัดเก็บและประมวลผลข้อมูลส่วนบุคคลอย่างไร คำถามต่อไปนี้อาจเป็นแนวทางให้คุณได้

  • คุณประมวลผลข้อมูลส่วนบุคคลหมวดหมู่ใด (เช่น ข้อมูลทางการเงิน ข้อมูลด้านสุขภาพ ข้อมูลเกี่ยวกับการตลาด ฯลฯ)
  • คุณประมวลผลข้อมูลส่วนบุคคลของคนในหมวดหมู่ใด (เช่น เจ้าของบัตร ผู้เยาว์ คนไข้ ฯลฯ)
  • เหตุผลในการประมวลข้อมูลนี้คืออะไร
  • คุณเก็บรวบรวมข้อมูลนี้อย่างไร และเก็บเพื่ออะไร
  • คุณรักษาความปลอดภัยให้ข้อมูลนี้อย่างไร
  • มีบุคคลที่สามที่ได้รับข้อมูลนี้หรือไม่ หากมี คุณเปิดเผยเกี่ยวกับผู้รับบุคคลที่สามนี้ในนโยบายความเป็นส่วนตัวหรือการแจ้งเตือนรูปแบบอื่นๆ หรือไม่ คุณรู้ไหมว่าบุคคลที่สามนี้เป็นใคร คุณเก็บรักษาข้อมูลเกี่ยวกับบุคคลไว้นานเพียงใด

การแมปพื้นฐานทางกฎหมาย: ดูพื้นฐานทางกฎหมายทั้ง 6 ข้อด้านบน เชื่อมโยงการดำเนินการประมวลผลที่ระบุในแผนที่ข้อมูลทุกรายการกลับไปที่พื้นฐานทางกฎหมาย ความเชื่อมโยงนี้จะเป็นแผนที่พื้นฐานทางกฎหมายของคุณ

รู้วิธีปฏิบัติตามบุคคลที่ใช้สิทธิของตน ดังนี้

  • สามารถใช้ข้อมูลจากการแมปข้อมูลเพื่อตอบสนองคำขอเข้าถึงข้อมูลของเจ้าของข้อมูล
  • รู้ว่าข้อมูลส่วนบุคคลอยู่ตรงไหนในระบบของคุณ (และที่มีการอ้างอิงกับระบบอื่นๆ) โดยดูจากแผนที่ข้อมูล เพื่อปฏิบัติตามคำขอเลือกไม่เข้าร่วม คำขอแก้ไข และคำขอลบ
  • รู้ว่าระบบของคุณใช้รูปแบบข้อมูลใด และหาวิธีที่คุณจะตอบสนองคำขอเคลื่อนย้ายข้อมูล

การละเมิดข้อมูลและการตอบสนองต่อเหตุการณ์: เมื่อคุณพูดคุยกับเพื่อนร่วมงานจากฝั่งเทคนิค/การรักษาความปลอดภัยขององค์กร คุณควรทราบแผนการตอบสนองต่อเหตุการณ์ จัดการฝึกอภิปรายเพื่อให้ทุกคนที่มีส่วนในการตอบสนองต่อเหตุการณ์รู้ว่าต้องทำอย่างไรหากเกิดเหตุการณ์ด้านความปลอดภัยขึ้น ในเชิงอุดมคติ ทีมตอบสนองต่อเหตุการณ์ของคุณควรเป็นทีมที่มีประสิทธิภาพสูงสุดและพร้อมที่จะดำเนินการตามแผนการตอบสนองต่อเหตุการณ์เมื่อมีสถานการณ์เกิดขึ้น

ยังมีองค์ประกอบอีกมากที่เพิ่มลงในรายการตรวจสอบนี้ได้ และคุณจะต้องทำงานกับผู้เชี่ยวชาญภายในและที่ปรึกษาภายนอกเพื่อจัดทำรายการที่ปรับตามความจำเป็น ตัวอย่างเช่น คุณอาจต้องทำการประเมินผลกระทบการคุ้มครองข้อมูล แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล จัดการและตรวจสอบแนวทางปฏิบัติด้านการสื่อสารทางการตลาดและด้านอื่นๆ ของบริษัท รวมถึงตรวจทานกระบวนการทำสัญญาและการจัดการผู้ให้บริการของคุณ นี่เป็นเพียงส่วนหนึ่ง

หากคุณมีรากฐานที่มั่นคงจากการแมปกิจกรรมการประมวลผลข้อมูล คุณจะมีข้อได้เปรียบในการตอบคำถามด้านการปฏิบัติตาม GDPR ซึ่งอาจเกิดขึ้นในภายหลัง

ด้านล่างนี้เป็นแหล่งข้อมูลเพิ่มเติมที่เราใช้หาข้อมูลและพบว่าเป็นประโยชน์ ซึ่งเราหวังว่าจะมีประโยชน์สำหรับคุณเช่นกัน

แหล่งข้อมูลเพิ่มเติม

มีการพูดถึง GDPR กันมากมายจนยากจะรู้ว่าแหล่งข้อมูลใดเป็นแหล่งข้อมูลทางออนไลน์ที่ดี ด้านล่างนี้คือแหล่งข้อมูลบางส่วนที่เราใช้เพื่อติดตามการพัฒนา GDPR

  • ทุกอย่างเริ่มต้นที่เนื้อหาทางกฎหมาย: เนื้อหาทางกฎหมายฉบับเต็มเกี่ยวกับ GDPR อยู่ที่นี่ และระเบียบการคุ้มครองข้อมูลทั่วไปมีลิงก์ที่นี่

  • หน่วยงานกำกับดูแล: รัฐสมาชิกสหภาพยุโรปแต่ละรัฐต่างก็มีหน่วยงานคุ้มครองข้อมูล (DPA) และหลายๆ หน่วยงานก็ได้เผยแพร่แนวทางที่เป็นประโยชน์เกี่ยวกับการนำ GDPR ไปใช้ คุณสามารถดูรายชื่อ DPA ได้ที่นี่

  • มาตรา 29 คณะทำงาน (WP29) ที่กำลังจะกลายเป็นคณะกรรมการคุ้มครองข้อมูลยุโรป (EDPB) ในเร็วๆ นี้: WP29 คือคณะที่ปรึกษาซึ่งประกอบด้วยตัวแทนจาก DPA ของรัฐสมาชิกสหภาพยุโรปแต่ละรัฐ ผู้ควบคุมดูแลการคุ้มครองข้อมูลยุโรป และคณะกรรมาธิการยุโรป ในวันที่ 25 พฤษภาคม 2018 WP29 จะกลายเป็น EDPB ซึ่ง EDPB จะประกอบด้วยหัวหน้า DPA ของรัฐสมาชิกสหภาพยุโรปแต่ละรัฐและผู้ควบคุมดูแลการคุ้มครองข้อมูลยุโรป

    WP29 ได้ออกแนวทางและความคิดเห็นหลายร้อยรายการ และได้เปิดหลายหัวข้อเพื่อให้คำปรึกษา แนวทางและความคิดเห็นล่าสุดต่างก็เน้นไปที่วิธีที่ดีที่สุดในการนำองค์ประกอบของ GDPR ไปใช้ในโครงสร้างการปฏิบัติตามกฎระเบียบขององค์กร ห้องข่าว WP29 อยู่ที่นี่

    เว็บไซต์เดิมของคณะทำงาน 29 มีแหล่งข้อมูลเพิ่มเติมมากมาย แต่เมื่อจัดทำโครงร่างเว็บไซต์ใหม่ การเข้าถึงแหล่งข้อมูลเหล่านั้นกลับทำได้ยากขึ้น คุณดูเว็บไซต์ที่เก็บถาวรซี่งมีเนื้อหาเพิ่มเติมได้ที่นี่

  • DPA ของบางรัฐ บริษัทกฎหมาย หน่วยงานด้านความเป็นส่วนตัว เช่น IAPP และองค์กร องค์กรไม่แสวงหาผลกำไร และบริษัทอื่นๆ อีกหลายแห่งมีการจัดกิจกรรมเกี่ยวกับ GDPR และมีแนวโน้มสูงกว่าองค์กรอื่นๆ ก็มีคำถามเกี่ยวกับการนำ GDPR ไปใช้คล้ายๆ กับของคุณ กิจกรรมเหล่านี้เป็นโอกาสอันดีที่จะได้เข้าถึงชุมชน GDPR และหาคำตอบสำหรับคำถามร่วมกัน

กลับไปที่คู่มือ