Calculator.io
คู่มือครอบคลุมเกี่ยวกับ GDPR
GDPR คืออะไร?
GDPR เป็นข้อบังคับที่ใช้กับองค์กรใดๆ ที่ประมวลผลข้อมูลส่วนบุคคลของพลเมืองหรือผู้พำนักในสหภาพยุโรป ไม่ว่าองค์กรนั้นจะตั้งอยู่ที่ใด มันกำหนดข้อกำหนดที่เข้มงวดสำหรับการเก็บรวบรวม ประมวลผล และจัดเก็บข้อมูลส่วนบุคคล และให้สิทธิ์แก่บุคคลในการควบคุมข้อมูลส่วนบุคคลของตนมากขึ้น
การปฏิบัติตาม
การปฏิบัติตาม GDPR หมายถึงมาตรการที่องค์กรต้องปฏิบัติตามเพื่อให้สอดคล้องตามข้อกำหนดที่กำหนดไว้ใน GDPR ซึ่งรวมถึงการใช้มาตรการทางเทคนิคและมาตรการขององค์กรที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคล การขอความยินยอมอย่างชัดแจ้งสำหรับการประมวลผลข้อมูล และให้สิทธิ์แก่บุคคลในการเข้าถึง แก้ไข และลบข้อมูลส่วนบุคคลของตน
ข้อกำหนด
ข้อกำหนดสำคัญบางประการของ GDPR ได้แก่:
- การขอความยินยอมอย่างชัดแจ้งสำหรับการประมวลผลข้อมูล
- ให้สิทธิ์แก่บุคคลในการเข้าถึง แก้ไข และลบข้อมูลส่วนตัวของตน
- การใช้มาตรการทางเทคนิคและมาตรการขององค์กรที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคล
- รายงานการละเมิดข้อมูลภายใน 72 ชั่วโมง
- การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ในบางสถานการณ์
ค่าปรับ
องค์กรที่ไม่ปฏิบัติตาม GDPR อาจเผชิญกับค่าปรับที่มีนัยสำคัญสูงถึง 20 ล้านยูโรหรือ 4% ของรายได้รวมประจำปีทั่วโลก แล้วแต่จำนวนใดจะสูงกว่า ค่าปรับจะกำหนดตามความรุนแรงของการละเมิดและระดับความร่วมมือขององค์กรกับหน่วยงาน
สหราชอาณาจักร
UK GDPR เป็นเวอร์ชันของสหราชอาณาจักรของ GDPR ซึ่งมีผลบังคับใช้ในวันที่ 1 มกราคม 2021 หลังจากที่สหราชอาณาจักรออกจากสหภาพยุโรป มีพื้นฐานมาจาก EU GDPR เป็นส่วนใหญ่ แต่มีความแตกต่างเล็กน้อยเพื่อสะท้อนกรอบกฎหมายของสหราชอาณาจักร
สหภาพยุโรป
EU GDPR เป็นเวอร์ชันต้นฉบับของ GDPR ซึ่งใช้กับประเทศสมาชิกทั้งหมดของสหภาพยุโรป มันกำหนดกฎและข้อกำหนดสำหรับการคุ้มครองข้อมูลทั่วสหภาพยุโรป และเป็นพื้นฐานสำหรับกฎหมายคุ้มครองข้อมูลของประเทศในแต่ละรัฐสมาชิก
GDPR ของแคลิฟอร์เนีย
ในขณะที่แคลิฟอร์เนียไม่มีเวอร์ชันของตัวเองของ GDPR CCPA นั้นมีความคล้ายคลึงกับ GDPR ในแง่ของการมุ่งเน้นด้านการคุ้มครองข้อมูลและสิทธิของบุคคล อย่างไรก็ตาม ยังมีความแตกต่างที่สำคัญบางประการระหว่างกฎหมายทั้งสองฉบับ
CCPA กับ GDPR
พระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคในแคลิฟอร์เนีย (CCPA) เป็นกฎหมายคุ้มครองข้อมูลที่ใช้กับธุรกิจที่ดำเนินงานในแคลิฟอร์เนีย ในขณะที่มีความคล้ายคลึงกับ GDPR แต่ก็มีความแตกต่างที่สำคัญในแง่ของขอบเขต ข้อกำหนด และการบังคับใช้
ข้อบังคับ
GDPR กำหนดชุดข้อบังคับและข้อกำหนดสำหรับองค์กรที่ประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงข้อกำหนดสำหรับการประมวลผลข้อมูล ความปลอดภัยของข้อมูล สิทธิของเจ้าของข้อมูล และการโอนข้อมูลไปยังนอกสหภาพยุโรป
การคุ้มครองข้อมูล
GDPR ได้รับการออกแบบมาเพื่อปกป้องข้อมูลส่วนบุคคลของพลเมืองและผู้พำนักในสหภาพยุโรป กำหนดข้อกำหนดที่เข้มงวดสำหรับการเก็บรวบรวม ประมวลผล และจัดเก็บข้อมูลส่วนบุคคล และให้สิทธิ์แก่บุคคลในการควบคุมข้อมูลส่วนบุคคลของตนมากขึ้น
นโยบายความเป็นส่วนตัว
ภายใต้ GDPR องค์กรต้องมีนโยบายความเป็นส่วนตัวที่อธิบายอย่างชัดเจนว่าพวกเขาเก็บรวบรวม ใช้ และปกป้องข้อมูลส่วนบุคคลอย่างไร นโยบายความเป็นส่วนตัวต้องเข้าถึงได้ง่ายและเขียนด้วยภาษาที่ชัดเจนและเข้าใจง่าย
ข้อมูลส่วนบุคคล
ภายใต้ GDPR ข้อมูลส่วนบุคคลหมายถึงข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลธรรมดาที่ระบุตัวตนหรือระบุได้ ซึ่งรวมถึงชื่อ ที่อยู่อีเมล หมายเลขโทรศัพท์ ที่อยู่ IP และตัวระบุอื่น ๆ ที่ไม่ซ้ำกัน
การรับรอง
การรับรอง GDPR เป็นขั้นตอนที่สมัครใจซึ่งองค์กรสามารถดำเนินการเพื่อแสดงความสอดคล้องกับ GDPR การรับรองได้รับจากหน่วยงานรับรองที่ได้รับการรับรองและสามารถช่วยองค์กรในการสร้างความไว้วางใจกับลูกค้าและพันธมิตร
GDPR ใช้กับใคร?
GDPR ใช้กับองค์กรใด ๆ ที่ประมวลผลข้อมูลส่วนบุคคลของพลเมืองหรือผู้พำนักในสหภาพยุโรป ไม่ว่าองค์กรนั้นจะตั้งอยู่ที่ใด ซึ่งรวมถึงธุรกิจ องค์กรไม่แสวงหาผลกำไร และหน่วยงานภาครัฐ
การยินยอมคุกกี้
ภายใต้ GDPR องค์กรต้องได้รับความยินยอมอย่างชัดแจ้งจากบุคคลก่อนที่จะวางคุกกี้บนอุปกรณ์ของพวกเขา ซึ่งหมายความว่าต้องให้ข้อมูลที่ชัดเจนเกี่ยวกับคุกกี้ที่ใช้และให้ทางเลือกแก่บุคคลในการยอมรับหรือปฏิเสธคุกกี้
ประเทศ
GDPR ใช้กับรัฐสมาชิกทั้งหมดของสหภาพยุโรป รวมทั้งไอซ์แลนด์ ลิกเตนสไตน์ และนอร์เวย์ ซึ่งเป็นส่วนหนึ่งของเขตเศรษฐกิจยุโรป (EEA) ประเทศอื่น ๆ เช่น สหราชอาณาจักร ยังได้ดำเนินการเวอร์ชันของตัวเองของ GDPR
รายการตรวจสอบ
เพื่อให้มั่นใจว่ามีการปฏิบัติตาม GDPR องค์กรควรปฏิบัติตามรายการตรวจสอบที่ครอบคลุมทุกด้านของการประมวลผลข้อมูล ได้แก่:
- การแม็ปและสต็อกข้อมูล
- นโยบายความเป็นส่วนตัวและประกาศ
- ขั้นตอนสิทธิของเจ้าของข้อมูล
- มาตรการความปลอดภัยของข้อมูล
- ขั้นตอนการแจ้งการละเมิดข้อมูล
- กลไกการโอนย้ายข้อมูล
- การประเมินผลกระทบด้านการคุ้มครองข้อมูล (DPIAs)
สรุป
GDPR เป็นกฎหมายคุ้มครองข้อมูลที่ครอบคลุม ซึ่งกำหนดข้อกำหนดที่เข้มงวดสำหรับการเก็บรวบรวม ประมวลผล และเก็บรักษาข้อมูลส่วนบุคคล ใช้กับองค์กรใด ๆ ที่ประมวลผลข้อมูลส่วนบุคคลของพลเมืองหรือผู้พำนักในสหภาพยุโรปและให้สิทธิ์แก่บุคคลในการควบคุมข้อมูลส่วนบุคคลของตนมากขึ้น องค์กรที่ไม่ปฏิบัติตาม GDPR อาจเผชิญกับค่าปรับที่มีนั