บริษัทของคุณปฏิบัติตามกฎหมายใหม่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในเซอร์เบียหรือไม่
ส่วนที่ 1
บริษัททั้งหมดมีหน้าที่ต้องดำเนินการตามขั้นตอนมากมายและนำเอกสารจำนวนมากมาใช้ภายในวันที่ 21 สิงหาคม 2019 ตามกฎหมายใหม่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ในชุดของบล็อกโพสต์ เราจะชี้แจงสิ่งใหม่ที่สำคัญที่นำมาใช้โดยกฎหมายใหม่
ร็อคสตาร์ท่ามกลางเอกสารทางกฎหมาย กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (ต่อจากนี้ไป: GDPR ) ซึ่งดึงดูดความสนใจของสื่ออย่างมหาศาลและการล็อบบี้ในระดับที่ไม่เคยมีมาก่อน เริ่มต้นด้วยการบังคับใช้ในวันที่ 25 พฤษภาคม 2018 GDPR ได้นำเสนอการเปลี่ยนแปลงที่สมบูรณ์ของการทำความเข้าใจถึงความสำคัญของการประมวลผลและ การปกป้องข้อมูลส่วนบุคคลในยุคดิจิทัล
แม้ว่าจะเป็นข้อบังคับของสหภาพยุโรป แต่ภายใต้เงื่อนไขบางประการ บริษัทในเซอร์เบียต้องปฏิบัติตาม GDPR ด้วยเช่นกัน หากคุณไม่แน่ใจว่าคุณควรจะกังวลเกี่ยวกับการประยุกต์ใช้บทบัญญัติ GDPR ของคุณสามารถตรวจสอบให้แน่ใจว่าขึ้นอยู่กับคำแนะนำในบล็อกของเราขอบเขตดินแดนของ GDPR เซอร์เบีย
น่าเสียดายสำหรับคุณ หากคุณเชื่อว่าคุณเลิกใช้กฎข้อบังคับที่มีความยาวนี้ ซึ่งประกอบด้วย 88 หน้าที่ไม่น่าเชื่อ ซึ่งกำหนดภาระผูกพันมากมายสำหรับบริษัทต่างๆ พร้อมกับบทลงโทษจำนวนมหาศาลถึง 20,000,000.00 ยูโร หรือ 4% ของมูลค่าการซื้อขายประจำปีทั่วโลกก่อนหน้านี้ ปีการเงินใดจะมากกว่าความสุขนั้นก็อยู่ได้ไม่นาน
ภายใต้อิทธิพลของ GDPR เพื่อให้สอดคล้องกับกฎหมายของสหภาพยุโรป เซอร์เบียได้ประกาศใช้กฎหมายใหม่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในเดือนพฤศจิกายน 2018 ซึ่งได้นำหลักการและมาตรฐานส่วนใหญ่ของ GDPR มาใช้ แม้ว่ากฎหมายใหม่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลจะถูกวิพากษ์วิจารณ์อย่างมาก (ซึ่งเราได้กล่าวถึงในบล็อกของเราแล้วกระทรวงยุติธรรมได้สูญเสียการแปลไปแล้ว – อีกครั้งหรือไม่ ) เป็นที่แน่นอนว่ากฎหมายดังกล่าวได้นำเสนอมาตรฐานการปกป้องข้อมูลส่วนบุคคลที่สูงขึ้นอย่างหาที่เปรียบมิได้ อย่างไรก็ตาม มาตรฐานการป้องกันที่สูงขึ้น บ่งบอกถึงภาระหน้าที่มากขึ้นสำหรับทุกคนที่ประมวลผลข้อมูลส่วนบุคคล
เช่นเดียวกับ GDPR ซึ่งได้รับการรับรองในปี 2559 ซึ่งเริ่มด้วยการดำเนินการในอีกสองปีต่อมา กฎหมายใหม่ว่าด้วยการปกป้องข้อมูลส่วนบุคคล (ต่อไปนี้คือกฎหมายใหม่ ) ได้ให้เวลา 9 เดือนแก่ผู้ที่อยู่ภายใต้กฎหมายทั้งหมด เพื่อให้กิจกรรมและธุรกิจของพวกเขากลมกลืนกับ บทบัญญัติ
ระยะเวลาดังกล่าวจะหมดอายุในวันที่ 21 สิงหาคม 2019 ซึ่งเป็นเวลาที่กฎหมายฉบับใหม่จะเริ่มบังคับใช้
ความแปลกใหม่บางอย่างที่คุณอาจสนใจจะได้รับการอธิบายเพิ่มเติมในบล็อก อย่างไรก็ตาม แม้ว่ากฎหมายฉบับใหม่จะควบคุมการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับองค์กรและสถาบันของรัฐ แต่เนื้อหานี้จะเน้นเฉพาะภาคเอกชนโดยเน้นที่บริษัทต่างๆ
กฎหมายใหม่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลมีผลกระทบต่อบริษัทของฉันหรือไม่?
กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้กับทุกคนที่ประมวลผลข้อมูลส่วนบุคคล การประมวลผล หมายถึงการดำเนินการอัตโนมัติหรือที่ไม่เป็นอัตโนมัติใดๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เช่น การรวบรวม การบันทึก การจัดองค์กร การให้คำปรึกษา การลบ การจัดเก็บ ตลอดจนการดำเนินการอื่น ๆ ทั้งหมดที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
ตัวอย่างเช่น เพียงพอแล้วที่คุณเพียงแค่จัดเก็บข้อมูลส่วนบุคคลบนเซิร์ฟเวอร์ โดยไม่ต้องมีความเข้าใจในฐานข้อมูลนั้น เพื่อให้คุณประมวลผลข้อมูลส่วนบุคคล ซึ่งอยู่ภายใต้การบังคับใช้ของกฎหมายใหม่
เรามักพบข้อความจากลูกค้าที่อ้างว่าไม่ได้ประมวลผลข้อมูลส่วนบุคคล การตีความผิดนี้แพร่หลายอย่างเหลือเชื่อ อันที่จริง เกือบทุกบริษัทประมวลผลข้อมูลส่วนบุคคล
หากไม่ได้ประมวลผลข้อมูลส่วนบุคคลของบุคคลที่สามในระหว่างกิจกรรมทางธุรกิจหลัก (พื้นฐาน) ของบริษัท (เช่น การประมวลผลข้อมูลส่วนบุคคลของผู้บริโภค) แน่นอนว่าทุกบริษัทจะประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับพนักงานและผู้สมัครงาน
หากคุณเป็นนายจ้างและต้องการที่จะหาสิ่งที่คุณควรให้ความสนใจโปรดดูที่บล็อกของเรา9 ส่วนใหญ่เข้าใจผิดกันของนายจ้างเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
บทบัญญัติของกฎหมายมีผลบังคับใช้กับการประมวลผลข้อมูลส่วนบุคคลที่ดำเนินการโดยผู้ควบคุมหรือผู้ประมวลผลซึ่งมีที่นั่ง (ในกรณีของนิติบุคคล) หรือถิ่นที่อยู่อยู่ในอาณาเขตของเซอร์เบียในกิจกรรมที่ดำเนินการในอาณาเขตของ เซอร์เบีย ไม่ว่าจะดำเนินการประมวลผลในอาณาเขตของเซอร์เบียหรือไม่ก็ตาม
กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลมีผลกระทบต่อบริษัทต่างชาติที่ไม่มีที่นั่งในเซอร์เบียหรือไม่?
เช่นเดียวกับที่เป็นไปได้ ภายใต้เงื่อนไขบางประการ ที่จะใช้ข้อกำหนด GDPR กับบริษัทที่ไม่มีสถานะทางธุรกิจใดๆ ภายในสหภาพยุโรป กฎหมายใหม่ยังสามารถนำไปใช้กับการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลโดยผู้ควบคุมหรือผู้ประมวลผล ไม่มีที่นั่งในเซอร์เบีย สำหรับการสมัครนอกอาณาเขต ต้องปฏิบัติตามข้อกำหนดข้อใดข้อหนึ่งต่อไปนี้:
1. หากการดำเนินการที่เกี่ยวข้องกับการเสนอสินค้าหรือบริการให้กับเจ้าของข้อมูลในอาณาเขตของเซอร์เบีย ไม่ว่าบุคคลนั้นจะต้องจ่ายค่าชดเชยสำหรับสินค้าหรือบริการเหล่านั้นหรือไม่ก็ตาม
ดังนั้น หากบริษัทของคุณประกอบธุรกิจการค้าทางอิเล็กทรอนิกส์และนำเสนอสินค้าและ/หรือบริการในอาณาเขตของเซอร์เบียด้วย โดยมีตัวเลือกในการซื้อสินค้าไปยังเซอร์เบียและกิจกรรมทางการตลาดที่มุ่งตรงไปยังผู้ซื้อจากเซอร์เบีย คุณต้องสอดคล้องกับกฎหมายใหม่ แม้จะไม่มีที่นั่งในเซอร์เบีย
2. หากการดำเนินการประมวลผลเกี่ยวข้องกับกิจกรรมการเฝ้าติดตามของเจ้าของข้อมูล และกิจกรรมดำเนินการในอาณาเขตของสาธารณรัฐเซอร์เบีย
ดังนั้น บริษัทต่างชาติที่ติดตามพฤติกรรมของพลเมืองในดินแดนเซอร์เบีย (เช่น ผ่านคุกกี้ “เครื่องมือติดตาม”) จะต้องปฏิบัติตามกฎหมายใหม่ แม้ว่าที่นั่งของพวกเขาจะไม่ได้อยู่ในเซอร์เบียก็ตาม
ในกรณีใดบ้างที่กฎหมายใหม่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลไม่มีผลบังคับใช้?
- กฎหมายใหม่ใช้ไม่ได้เมื่อบุคคลธรรมดาดำเนินการตามความต้องการของตนเอง ตัวอย่างเช่น บุคคลที่มีชื่อและหมายเลขโทรศัพท์ส่วนตัวในหน่วยความจำของโทรศัพท์ ซึ่งพวกเขาใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่มีภาระผูกพันภายใต้กฎหมายใหม่
- กฎหมายฉบับใหม่ยังใช้ไม่ได้กับข้อมูลที่ไม่เปิดเผยตัว กล่าวคือ ข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (ไม่ว่าโดยทางอ้อมหรือโดยตรง)
- นอกจากนี้ยังสามารถหลีกเลี่ยงการใช้กฎหมายได้ในกรณีที่ไม่มีฐานข้อมูลข้อมูลส่วนบุคคล กล่าวคือ ข้อมูลไม่ได้จัดระบบหรือจัดโครงสร้าง
ในกรณีอื่นๆ ทั้งหมด ควรปฏิบัติตามกฎหมายใหม่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
ขั้นตอนแรกในการปฏิบัติตามกฎหมายใหม่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลคืออะไร?
ในขั้นแรก บริษัทต่างๆ จะต้องดำเนินการที่เรียกว่า “การทำแผนที่ข้อมูล” กระบวนการดังกล่าวบอกเป็นนัยว่าพวกเขาจำเป็นต้องตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลใดที่พวกเขารวบรวม ในลักษณะใด จากใคร ในรูปแบบใดและเพื่อวัตถุประสงค์ใด นอกจากนี้ บริษัทต่างๆ ควรตรวจสอบโดยการวิเคราะห์ เหตุผลทางกฎหมาย ว่าข้อมูลส่วนบุคคลถูกเก็บไว้นานเท่าใด มาตรการป้องกันใดที่มีผลบังคับใช้ ข้อมูลส่วนบุคคลดังกล่าวสามารถแบ่งปันกับใครได้บ้าง เป็นข้อมูลส่วนบุคคลที่ถ่ายโอนออกนอกประเทศเซอร์เบีย เป็นต้น
บริษัทควรจัดทำหรือแก้ไขชุดเอกสารภายในที่สมบูรณ์และดำเนินการตามขั้นตอนที่เหมาะสม เพื่อให้กิจกรรมของพวกเขาสอดคล้องกับกฎหมาย
แนวคิดเรื่องข้อมูลส่วนบุคคลได้รับการขยายออกไป
เพื่อให้การทำแผนที่ข้อมูลเป็นไปอย่างเพียงพอ คุณต้องเข้าใจว่ากฎหมายฉบับใหม่ได้ขยายแนวคิดของข้อมูลส่วนบุคคลไปยังทุกข้อมูลที่เกี่ยวข้องกับบุคคลธรรมดา โดยพิจารณาจากตัวตนของบุคคลธรรมดานั้นโดยทางอ้อมหรือโดยตรง:
- ระบุ
หรือ
- ระบุได้
ดังนั้น เราไม่เพียงแค่พูดถึงชื่อและนามสกุล หมายเลขประจำตัวส่วนบุคคล ที่อยู่ และทุกอย่างที่ระบุถึงเราโดยตรง เรากำลังพูดถึงข้อมูลจำนวนมากโดยพิจารณาจากข้อมูลที่สามารถระบุบุคคลโดยอ้อมได้
ในบรรดาข้อมูลส่วนบุคคลที่อ้างอิงถึงบุคคลบางคนทางอ้อมนั้นมีข้อมูลของเราจำนวนมากบนอินเทอร์เน็ต ( ที่อยู่ IP , หมายเลข IMEI ของอุปกรณ์ที่เราเข้าถึงอินเทอร์เน็ต, ตำแหน่งผ่าน GPS, รหัสผ่าน, อีเมล บัญชีผู้ใช้และบัญชีบนโซเชียลเน็ตเวิร์ก ฯลฯ) เป็นที่ชัดเจนว่าข้อมูลนี้รวมอยู่ในข้อมูลส่วนบุคคลและมีสิทธิได้รับการคุ้มครองพิเศษ
“6ประการ”ของการประมวลผลข้อมูลส่วนบุคคล
ในระหว่างขั้นตอนการปฏิบัติตามกฎหมายใหม่ ตลอดจนเมื่อประมวลผลข้อมูลส่วนบุคคลหลังจากนั้น บริษัทต่างๆ จะต้องดูแลการประมวลผลข้อมูลส่วนบุคคลหกประการอย่างต่อเนื่อง เราตั้งชื่อพวกเขาว่า “บัญญัติหกประการ” เนื่องจากขั้นตอนและกฎเกณฑ์ทั้งหมดที่บริษัทดำเนินการต้องเป็นไปตามหลักหกประการตลอดเวลา การละเมิดเหตุผล โดยไม่ละเมิดบทบัญญัติอื่นใดในกฎหมาย อาจส่งผลให้ต้องรับผิดชอบต่อความผิดทางอาญาและค่าปรับทางการเงินสูงถึง RSD 2,000,000.00
| ความชอบธรรม ความเป็นธรรม และความโปร่งใส | ภาระหน้าที่ในการประมวลผลข้อมูลส่วนบุคคลตามกฎหมายใหม่หรือกฎหมายอื่นซึ่งควบคุมการประมวลผลข้อมูลส่วนบุคคลอย่างยุติธรรมและโปร่งใส |
|---|---|
| ตัวอย่าง | ทุกบริษัทที่มีเว็บไซต์ที่รวบรวมข้อมูลส่วนบุคคลจะต้องเผยแพร่นโยบายความเป็นส่วนตัว นโยบายความเป็นส่วนตัวตอนนี้จำเป็นต้องมีองค์ประกอบบังคับทั้งชุด หากไม่มีองค์ประกอบเหล่านี้อย่างน้อยหนึ่งองค์ประกอบ แสดงว่ามีการละเมิดหลักการความโปร่งใส |
| ข้อจำกัด | การเก็บข้อมูลส่วนบุคคลจำเป็นต้องดำเนินการเพื่อวัตถุประสงค์ที่กำหนดไว้โดยเฉพาะ ชัดเจน สมเหตุสมผล และชอบด้วยกฎหมายเท่านั้น |
| ตัวอย่าง | บนเว็บไซต์ของคุณ ผู้ซื้อให้ที่อยู่อีเมลแก่คุณด้วยตนเอง ซึ่งจำเป็นสำหรับการลงทะเบียนบัญชี ดังนั้นวัตถุประสงค์ในการให้ข้อมูลส่วนบุคคลคือการลงทะเบียนบัญชี ในการทำเช่นนั้น ผู้ซื้อไม่ยินยอมที่จะรับข้อเสนอส่งเสริมการขายของบริษัทหรือพันธมิตรของคุณ หากคุณจะใช้ที่อยู่อีเมลเพื่อการนี้ หากไม่มีมูลเหตุทางกฎหมายอื่นในการดำเนินการ การกระทำของคุณก็จะผิดกฎหมาย.. |
| การลดขนาดข้อมูล | ข้อมูลส่วนบุคคลที่กำลังดำเนินการต้องเพียงพอ มีความเกี่ยวข้อง และจำกัดเฉพาะสิ่งที่จำเป็นสำหรับวัตถุประสงค์ในการประมวลผล |
| ตัวอย่าง | หากคุณประกอบธุรกิจการค้าทางอิเล็กทรอนิกส์และต้องการทำข้อตกลงในการขายและซื้อโดยการส่งมอบผลิตภัณฑ์ไปยังที่อยู่ของลูกค้า คุณไม่จำเป็นต้องมีหมายเลขประจำตัวหรือวันเกิดของลูกค้าเพื่อจุดประสงค์ดังกล่าว อย่างไรก็ตาม หากคุณรวบรวมข้อมูลนี้ การประมวลผลดังกล่าวจะผิดกฎหมาย เนื่องจากคุณรวบรวมเกินความจำเป็นสำหรับวัตถุประสงค์ที่กล่าวถึงข้างต้น |
| ความแม่นยำ | ข้อมูลส่วนบุคคลต้องถูกต้องแม่นยำ และหากจำเป็น จะต้องเป็นปัจจุบัน |
| ตัวอย่าง | หากผู้สมัครสมาชิกเพื่อจัดส่งนิตยสารเป็นรายสัปดาห์แล้วเปลี่ยนที่อยู่โดยเปรียบเทียบกับที่อยู่ที่กำหนดไว้ในสัญญาในเวลาที่สรุปผล ผู้ควบคุมจำเป็นต้องอัปเดตข้อมูลนั้นเพื่อให้สัญญาเป็น ดำเนินการอย่างเพียงพอ |
| ข้อจำกัดในการจัดเก็บ | ข้อมูลส่วนบุคคลจำเป็นต้องเก็บไว้ในรูปแบบที่อนุญาตให้ระบุหัวข้อข้อมูลได้ไม่เกินความจำเป็นสำหรับวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล |
| ตัวอย่าง | หากบริษัทใช้กล้องวงจรปิดเพื่อความปลอดภัยของทรัพย์สินและผู้คน เป็นสิ่งสำคัญอย่างยิ่งที่จะต้องนำเอกสารทางกฎหมายที่เพียงพอมาใช้เพื่อกำหนดว่าจะเก็บข้อมูลซึ่งรวบรวมผ่านการเฝ้าระวังวิดีโอนั้นไว้นานเท่าใด จะดูแลเรื่องระยะเวลาในการจัดเก็บ การบันทึกวิดีโอจะถูกทำลายอย่างไร ฯลฯ |
| ความซื่อสัตย์สุจริตและการรักษาความลับ | ข้อมูลส่วนบุคคลต้องได้รับการประมวลผลในลักษณะที่รับประกันความปลอดภัยที่เหมาะสม |
| ตัวอย่าง | หากบริษัทใช้ซอฟต์แวร์ในการประมวลผลข้อมูลส่วนบุคคลของพนักงาน จำเป็นต้องระบุให้ชัดเจนว่าบุคคลใดจะได้รับอนุญาตให้เข้าถึงข้อมูลในฐานข้อมูลได้ นอกจากนี้ จำเป็นสำหรับเจ้าของข้อมูลเหล่านั้นในการลงนามในข้อตกลง/คำชี้แจงการรักษาความลับ |
ฉันสามารถประมวลผลข้อมูลส่วนบุคคลได้เมื่อใด
ก่อนหน้านี้เราได้กล่าวถึงว่าแต่ละกรณีของการประมวลผลต้องมีจุดประสงค์ที่ชัดเจน ชัดเจน และมีเหตุผล นอกจากนี้ วัตถุประสงค์จะต้องถูกกฎหมาย
นั่นหมายความว่าอย่างไร?
เพื่อให้การประมวลผลถูกต้องตามกฎหมาย การประมวลผลจะต้องเป็นหนึ่งในหกเหตุผลทางกฎหมาย ดังนั้น แม้ว่าวัตถุประสงค์ในการประมวลผลจะไม่จำกัดจำนวน แต่จุดประสงค์แต่ละข้อต้องอยู่ภายใต้เหตุผลทางกฎหมายข้อใดข้อหนึ่งจากหกข้อ
กฎหมายใหม่บรรเทาภาระผูกพันของบริษัทต่างๆ หรือไม่?
กฎหมายฉบับใหม่ยุติการลงทะเบียนภาคบังคับกับทะเบียนกลางของฐานข้อมูลข้อมูลส่วนบุคคล ไม่มีภาระหน้าที่ที่จะต้องแจ้งให้ผู้บัญชาการทราบเกี่ยวกับความตั้งใจที่จะสร้างฐานข้อมูลข้อมูลส่วนบุคคลอีกต่อไป และไม่มีภาระหน้าที่ในการลงทะเบียนฐานข้อมูลข้อมูลส่วนบุคคลอีกด้วย
ในอนาคต ผู้ควบคุมหรือผู้ประมวลผลจะเก็บรักษาบันทึกของฐานข้อมูลข้อมูลส่วนบุคคล ในขณะที่ผู้ที่ประมวลผลข้อมูลจะดูแลความถูกต้องตามกฎหมายของการประมวลผล
อย่างไรก็ตาม การยุติภาระผูกพันนี้ไม่ได้หมายความว่าตำแหน่งของบริษัทจะดีขึ้น หรือจะง่ายขึ้นสำหรับผู้ควบคุมหรือผู้ประมวลผลในอนาคต อันที่จริง ภาระความรับผิดชอบอันหนักอึ้งได้ถูกโอนไปยังบริษัทต่างๆ ในขั้นตอนการลงทะเบียนฐานข้อมูลข้อมูลส่วนบุคคล สำนักงานกรรมาธิการได้ให้คำแนะนำและคำแนะนำแก่บริษัทต่างๆ และการประมวลผลข้อมูลของพวกเขาได้รับการอนุมัติอย่างเป็นทางการเกี่ยวกับความถูกต้องตามกฎหมายและความชอบธรรม ที่ทำขึ้นโดยมีจุดประสงค์เพื่อป้องกันปัญหาที่อาจเกิดขึ้น ตอนนี้บริษัทต่างๆ ไม่มี “ความหรูหรา” อีกต่อไปแล้ว และพวกเขามีการประเมินว่าการประมวลผลนั้นถูกกฎหมายหรือไม่ นั่นหมายความว่าขณะนี้บริษัทต่างๆ แบกรับความเสี่ยงที่มีนัยสำคัญกว่าอย่างหาที่เปรียบมิได้
นี่คือทุกสิ่งที่บริษัทของฉันควรรู้หรือไม่?
