เริ่มเลย  ติดต่อฝ่ายขาย 
เริ่มเลย  ติดต่อฝ่ายขาย 

การคุ้มครองข้อมูลส่วนบุคคลบนอินเทอร์เน็ตในฝรั่งเศส

Checkout
Checkout

Stripe Checkout เป็นแบบฟอร์มการชำระเงินสำเร็จรูปที่คุณสามารถปรับแต่งให้เหมาะสำหรับเพิ่มยอดขาย นอกจากนี้คุณยังผสานรวม Checkout เข้ากับเว็บไซต์โดยตรงหรือนำลูกค้าไปยังหน้าเว็บที่จัดการโดย Stripe ได้อย่างง่ายดาย รวมถึงยังรับการชำระเงินแบบครั้งเดียวหรือการชำระเงินตามรอบบิลได้อีกด้วย

ดูข้อมูลเพิ่มเติม 
  1. บทแนะนำ
  2. ข้อมูลส่วนบุคคลคืออะไร
  3. การประมวลผลข้อมูลส่วนบุคคลคืออะไร
  4. กฎระเบียบในปัจจุบันเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลมีอะไรบ้าง
    1. หน่วยงานใดมีหน้าที่รับผิดชอบเรื่องการคุ้มครองข้อมูลส่วนบุคคลในฝรั่งเศส
  5. กฎระเบียบว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (GDPR) มีหลักอะไรบ้าง
  6. GDPR มีข้อกำหนดอะไรบ้าง
    1. การแจ้งให้บุคคลทราบ
    2. การขอความยินยอม
    3. การรับรองสิทธิ์ของบุคคล
    4. การเก็บบันทึกกิจกรรมการประมวลผลอย่างเป็นลายลักษณ์อักษร
    5. การรับรองว่าข้อมูลปลอดภัย
    6. ภาระหน้าที่อื่นๆ
  7. เริ่มใช้งาน Stripe 

บริษัทที่ประมวลผลข้อมูลส่วนบุคคลภายในสหภาพยุโรปจะต้องจัดทำนโยบายว่าด้วยการคุ้มครองข้อมูล แล้วกฎหมายนี้กล่าวถึงการคุ้มครองข้อมูลไว้อย่างไรบ้าง กฎหมายมีข้อกำหนดอะไรบ้าง ธุรกิจจำเป็นต้องแต่งตั้งเจ้าหน้าที่ฝ่ายคุ้มครองข้อมูลหรือเปล่า ในบทความนี้ เราจะมาตอบคำถามต่างๆ ที่สำคัญที่สุดเกี่ยวกับการคุ้มครองข้อมูล พร้อมอธิบายถึงวิธีการปฏิบัติตามกฎระเบียบด้วย

เนื้อหาหลักในบทความ

  • ข้อมูลส่วนบุคคลคืออะไร
  • การประมวลผลข้อมูลส่วนบุคคลคืออะไร
  • กฎระเบียบในปัจจุบันเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลมีอะไรบ้าง
  • กฎระเบียบว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (GDPR) มีหลักอะไรบ้าง
  • GDPR มีข้อกำหนดอะไรบ้าง

ข้อมูลส่วนบุคคลคืออะไร

ข้อมูลส่วนบุคคล (หรือที่เรียกว่า "ข้อมูลส่วนตัว") คือ ข้อมูลที่ใช้ระบุตัวบุคคลได้ ไม่ว่าจะทางตรงหรือทางอ้อม ข้อมูลส่วนบุคคลอาจหมายรวมถึงชื่อหรือนามสกุล หมายเลขประกันสังคม หมายเลขโทรศัพท์ อีเมล หรือที่อยู่ IP (โปรโตคอลอินเทอร์เน็ต) พฤติกรรมการใช้อินเทอร์เน็ต หรือรูปถ่าย ข้อมูลที่ไม่ระบุตัวตน (หรือก็คือ ข้อมูลที่ลบส่วนที่ใช้ระบุตัวบุคคลได้ออกไปแล้ว) จะไม่ถือเป็นข้อมูลส่วนบุคคล โดยหลักการนี้ก็ใช้กับข้อมูลเกี่ยวกับนิติบุคคล เช่น บริษัท ด้วยเช่นกัน

การประมวลผลข้อมูลส่วนบุคคลคืออะไร

การประมวลผลข้อมูลส่วนบุคคล คือ ขั้นตอนจำนวนมากที่ใช้กับข้อมูลส่วนบุคคล โดยขั้นตอนเหล่านี้อาจรวมถึงการเก็บรวบรวม การบันทึก การจัดระเบียบ การจัดเก็บ การแก้ไข การให้คำปรึกษา การระงับ การดึง การเผยแพร่ และการลบข้อมูล โดยกิจกรรมเหล่านี้อาจดำเนินการผ่านระบบคอมพิวเตอร์หรือไม่ก็ได้

ตัวอย่างการประมวลผลข้อมูล ได้แก่ การเก็บรักษาไฟล์ของลูกค้า การเก็บรวบรวมข้อมูลติดต่อของผู้มีโอกาสเป็นลูกค้า และการจัดเก็บที่อยู่ IP โดยข้อมูลส่วนบุคคลที่บริษัทประมวลผลมักจะเกี่ยวข้องกับลูกค้า ซัพพลายเออร์ ผู้ที่มีโอกาสเป็นลูกค้า พนักงาน และผู้สมัครงานเป็นส่วนใหญ่

กฎระเบียบในปัจจุบันเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลมีอะไรบ้าง

ตั้งแต่วันที่ 25 พฤษภาคม 2018 กฎระเบียบว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (GDPR) ได้ทำหน้าที่เป็นกรอบการดำเนินงานในการเก็บรวบรวมและจัดการข้อมูลภายในสหภาพยุโรป โดย GDPR ได้วางมาตรฐานข้อบังคับต่างๆ สำหรับหน่วยงานภาครัฐและเอกชนทั้งหมดที่ประมวลผลข้อมูลส่วนบุคคลภายในสหภาพยุโรป โดยหน่วยงานหลักๆ ที่เกี่ยวข้องมีดังนี้

  • องค์กรที่ก่อตั้งขึ้นภายในสหภาพยุโรป เช่น สตาร์ทอัพ ธุรกิจขนาดเล็กและขนาดกลาง บริษัทขนาดใหญ่ สมาคม องค์กรเฉพาะทาง และหน่วยงานสาธารณะ

  • บริษัทต่างประเทศที่มีเป้าหมายเป็นพลเมืองยุโรป

  • ผู้ประมวลผลที่เก็บรวบรวมและจัดการข้อมูลส่วนบุคคลในนามของธุรกิจอื่นๆ

ตัวอย่างเช่น บริษัทที่ก่อตั้งขึ้นในประเทศจีน แต่ประมวลผลข้อมูลส่วนบุคคลของคนในฝรั่งเศสก็จะต้องปฏิบัติตาม GDPR

หน่วยงานใดมีหน้าที่รับผิดชอบเรื่องการคุ้มครองข้อมูลส่วนบุคคลในฝรั่งเศส

คณะกรรมการเทคโนโลยีข้อมูลสารสนเทศและเสรีภาพของพลเมืองแห่งชาติ (Commission nationale de l’informatique et des libertés หรือ CNIL) จะกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคลที่หน่วยงานภาครัฐและเอกชนเก็บรวบรวมไว้ โดย CNIL จะคอยสนับสนุนบริษัทต่างๆ ในการปฏิบัติตามกฎระเบียบที่เกี่ยวข้อง และมีหน้าที่รับผิดชอบในการลงโทษผู้ที่ไม่ปฏิบัติตามกฎระเบียบดังกล่าว

กฎระเบียบว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (GDPR) มีหลักอะไรบ้าง

GDPR มีหลักการอยู่หลายข้อ การประมวลผลข้อมูลส่วนบุคคลจะต้องชอบด้วยกฎหมาย โปร่งใส ชั่วคราว และปลอดภัย และต้องดำเนินการเท่าที่จำเป็นเท่านั้น (กล่าวคือ การลดขนาดข้อมูล) ข้อมูลเพิ่มเติมเกี่ยวกับหลักการแต่ละข้อมีดังนี้

  • วัตถุประสงค์ที่ชอบด้วยกฎหมาย
    การประมวลผลข้อมูลส่วนบุคคลทุกครั้งจะต้องมีฐานทางกฎหมายรองรับ ด้วยเหตุนี้ ธุรกิจจึงไม่สามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้หากไม่มีจุดประสงค์ที่ชัดเจนและถูกต้องตามกฎหมาย

  • ความโปร่งใส
    บุคคลทั้งหมดจะต้องได้รับแจ้งให้ทราบถึงสิทธิ์ของตนและข้อมูลที่มีการเก็บรวบรวมอยู่ ส่วนธุรกิจต่างๆ ก็ต้องช่วยให้บุคคลเหล่านั้นใช้สิทธิ์ได้โดยสะดวก

  • การลดขนาดข้อมูล
    ธุรกิจควรเก็บรวบรวมข้อมูลเท่าที่จำเป็นต่อการบรรลุเป้าหมายเหล่านี้โดยเคร่งครัดเท่านั้น

  • ระยะเวลาที่จำกัด
    ระยะเวลาการจัดเก็บข้อมูลต้องมีการกำหนดวันที่สิ้นสุดไว้ โดยธุรกิจต้องจัดทำนโยบายที่ชัดเจนเกี่ยวกับการจัดเก็บข้อมูล

  • การรักษาความปลอดภัย
    ธุรกิจต้องใช้มาตรการรักษาความปลอดภัยเพื่อคุ้มครองข้อมูลส่วนบุคคลที่เก็บรวบรวมมา

หมายเหตุ: ผู้ประมวลผลที่ประมวลผลข้อมูลส่วนบุคคลในนามของธุรกิจจะต้องปฏิบัติตาม GDPR ด้วย

GDPR มีข้อกำหนดอะไรบ้าง

GDPR กำหนดให้บริษัทต้องให้ข้อมูลและความโปร่งใสแก่บุคคลผู้เป็นเจ้าของข้อมูลที่บริษัทเก็บรวบรวมไป และเพื่อการนี้ บริษัทก็จะต้องได้รับความยินยอม ช่วยให้ลูกค้าใช้สิทธิ์ได้โดยสะดวก เก็บรักษาทะเบียนการประมวลผลข้อมูล และรับรองการรักษาความปลอดภัยของข้อมูล

การแจ้งให้บุคคลทราบ

บริษัทจะต้องแจ้งให้บุคคลทุกคนซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมทราบ โดยจะต้องแจ้งข้อมูลดังกล่าวอย่างชัดเจนและต้องมีรายละเอียดต่อไปนี้

  • ข้อมูลประจำตัวและข้อมูลติดต่อของผู้ประมวลผล (เช่น ผู้จัดการ)

  • เหตุผลในการประมวลผล

  • ฐานทางกฎหมายที่รองรับการประมวลผล (เช่น ความยินยอมของบุคคล การดำเนินการตามสัญญา ข้อกำหนดทางกฎหมาย)

  • ลักษณะการเก็บรวบรวมข้อมูลว่าเป็นแบบบังคับหรือไม่บังคับ

  • ผู้รับข้อมูลส่วนบุคคล

  • ระยะเวลาในการจัดเก็บข้อมูล

  • สิทธิ์ของลูกค้า

  • สิทธิ์ในการส่งคำร้องต่อ CNIL

  • การโอนข้อมูลไปยังประเทศนอกสหภาพยุโรป (หากเกี่ยวข้อง)

หากมีข้อมูลขาดหายไป อาจทำให้ต้องเสียค่าปรับสูงถึง 1,500 ยูโรสำหรับกิจการที่มีเจ้าของคนเดียวและ 7,500 ยูโรสำหรับธุรกิจ ธุรกิจต่างๆ จะต้องแจ้งให้ทราบในขณะที่มีการเก็บรวบรวมข้อมูล ในกรณีที่มีการเปลี่ยนแปลงในภายหลัง หรือภายในระยะเวลาตามสมควรภายใน 1 เดือน (เช่น สำหรับการเก็บรวบรวมข้อมูลทางอ้อม)

การขอความยินยอม

ธุรกิจจะต้องขอความยินยอมจากลูกค้าด้วยหากธุรกิจทำสิ่งต่อไปนี้

  • ใช้คุกกี้

  • ส่งอีเมลส่งเสริมการขาย

  • เก็บรวบรวมข้อมูลส่วนบุคคลที่ละเอียดอ่อน

  • นำข้อมูลมาใช้ซ้ำเพื่อวัตถุประสงค์อื่นๆ

ในกรณีที่มีวัตถุประสงค์มากกว่า 1 ข้อ ลูกค้าจะต้องให้ความยินยอมสำหรับวัตถุประสงค์ทั้งหมดนั้นแยกจากกันได้ ธุรกิจไม่สามารถใช้ช่องทำเครื่องหมายที่มีการทำเครื่องหมายไว้ตามค่าเริ่มต้นได้

หมายเหตุ: หากไม่มีการให้ความยินยอม อาจมีโทษจำคุก 5 ปี และปรับ 300,000 ยูโรสำหรับกิจการที่มีเจ้าของคนเดียว หรือ 1.5 ล้านยูโรสำหรับบริษัท

การรับรองสิทธิ์ของบุคคล

ธุรกิจต่างๆ จะต้องเคารพสิทธิ์ของบุคคลผู้เป็นเจ้าของข้อมูลที่มีการประมวลผล เช่น สิทธิ์ในการเข้าถึง สิทธิ์ในการแก้ไข สิทธิ์ในการถูกลืม สิทธิ์ในการคัดค้านการประมวลผล และสิทธิ์ในการเคลื่อนย้ายข้อมูล ธุรกิจจะต้องช่วยให้บุคคลเหล่านี้สามารถใช้สิทธิ์ของตนได้อย่างง่ายดาย

การเก็บบันทึกกิจกรรมการประมวลผลอย่างเป็นลายลักษณ์อักษร

บันทึกกิจกรรมการประมวลผลจะให้ข้อมูลเชิงลึกเกี่ยวกับกิจกรรมที่ดำเนินการทั้งหมดได้ การเก็บทำบันทึกอย่างเป็นลายลักษณ์อักษรเป็นข้อบังคับสำหรับบริษัทที่มีพนักงานมากกว่า 250 คน

การรับรองว่าข้อมูลปลอดภัย

คุณจำเป็นต้องจัดให้มีกลไกที่มีประสิทธิภาพในการรับรองความปลอดภัยของข้อมูล ธุรกิจต่างๆ สามารถใช้กลยุทธ์ต่อไปนี้ได้

  • การบังคับให้ลูกค้าต้องตรวจสอบสิทธิ์และการจำกัดการเข้าถึง

  • ระบบลงบันทึกรายวัน เพื่อให้มั่นใจว่าสามารถติดตามกิจกรรมต่างๆ ได้

  • การล็อกอัตโนมัติ ไฟร์วอลล์ ซอฟต์แวร์ป้องกันไวรัส และเครือข่ายส่วนตัวเสมือน (VPN)

  • การสำรองข้อมูลเป็นประจำและการเก็บถาวรสำหรับข้อมูลต่างๆ ที่ไม่ได้ใช้ในแต่ละวัน

คุณสามารถผสานการทำงาน Stripe Checkout เข้ากับเว็บไซต์ของคุณได้โดยตรง เพื่อรักษาความปลอดภัยของข้อมูลลูกค้าให้รัดกุมขึ้น โดย Checkout จะช่วยให้ป้อนและนำข้อมูลการชำระเงินของลูกค้ากลับมาใช้ได้โดยสะดวก ในขณะเดียวกันก็จัดการข้อมูลบัตรที่ละเอียดอ่อนให้เป็นไปตามข้อกำหนดอย่างครบถ้วน

ภาระหน้าที่อื่นๆ

หากธุรกิจประมวลผลข้อมูลส่วนบุคคลเป็นจำนวนมาก อาจจำเป็นต้องแต่งตั้งเจ้าหน้าที่ฝ่ายคุ้มครองข้อมูล (DPO) นอกจากนี้ เมื่อกิจกรรมการประมวลผลของธุรกิจมีความเสี่ยงสูงเกี่ยวกับสิทธิ์และเสรีภาพของลูกค้า ก็จะต้องเข้ารับการประเมินผลกระทบด้านการคุ้มครองข้อมูล (Data Protection Impact Assessment หรือ DPIA)

หากถ่ายโอนข้อมูลส่วนบุคคลออกนอกสหภาพยุโรป (เช่น การถ่ายโอนข้อมูลไปยังบริษัทย่อยในประเทศจีนหรือผู้ทำสัญญาในต่างประเทศ) ธุรกิจจะต้องได้รับอนุญาตจากคณะกรรมาธิการยุโรป โดยประเทศปลายทางจะต้องได้รับคำตัดสินว่ามีการคุ้มครองข้อมูลเพียงพอ (Adequacy) ก่อน ธุรกิจจึงจะถ่ายโอนข้อมูลไปได้

เนื้อหาในบทความนี้มีไว้เพื่อให้ข้อมูลทั่วไปและมีจุดประสงค์เพื่อการศึกษาเท่านั้น ไม่ควรใช้เป็นคําแนะนําทางกฎหมายหรือภาษี Stripe ไม่รับประกันหรือรับประกันความถูกต้อง ความสมบูรณ์ ความไม่เพียงพอ หรือความเป็นปัจจุบันของข้อมูลในบทความ คุณควรขอคําแนะนําจากทนายความที่มีอํานาจหรือนักบัญชีที่ได้รับใบอนุญาตให้ประกอบกิจการในเขตอํานาจศาลเพื่อรับคําแนะนําที่ตรงกับสถานการณ์ของคุณ

บทความอื่นๆ

  • เกิดข้อผิดพลาดบางอย่าง โปรดลองอีกครั้งหรือติดต่อฝ่ายสนับสนุน

หากพร้อมเริ่มใช้งานแล้ว

สร้างบัญชีและเริ่มรับการชำระเงินโดยไม่ต้องทำสัญญาหรือระบุรายละเอียดเกี่ยวกับธนาคาร หรือติดต่อเราเพื่อสร้างแพ็กเกจที่ออกแบบเองสำหรับธุรกิจของคุณ
Checkout

Checkout

ผสานรวม Checkout เข้ากับเว็บไซต์โดยตรงหรือนำลูกค้าไปยังหน้าเว็บที่จัดการโดย Stripe เพื่อให้รับการชำระเงินแบบครั้งเดียวหรือการชำระเงินตามรอบบิลได้อย่างปลอดภัยและง่ายดาย

Stripe Docs เกี่ยวกับ Checkout

สร้างแบบฟอร์มการชำระเงินที่เขียนโค้ดเพียงเล็กน้อยและผสานรวมกับเว็บไซต์ของคุณหรือโฮสต์ไว้ในระบบของ Stripe