กฎหมายใหม่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล – นวนิยายสำคัญ ภาค II

by macca

กฎหมายใหม่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเริ่มมีผลบังคับใช้ในวันที่ 21 สิงหาคม 2019 ในชุดบทความในบล็อก เราจะอธิบายความแปลกใหม่ที่สำคัญซึ่งกฎหมายใหม่แนะนำ

ในบล็อกโพสต์ก่อนหน้าของเราTic-Toc นาฬิกากำลังเดิน… บริษัทของคุณปฏิบัติตามกฎหมายใหม่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือไม่ เราอธิบายว่ากฎหมายใหม่มีผลบังคับใช้เมื่อใด ข้อมูลส่วนบุคคลคืออะไร หลักการและเหตุผลทางกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคลคืออะไร ในบล็อกนี้ เราจะกล่าวถึงมาตรการทางเทคนิคของการปกป้องข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูล และสิทธิ์ของเจ้าของข้อมูล

มาตรการทางเทคนิคสำหรับการปกป้องข้อมูลส่วนบุคคล

การรักษาความปลอดภัยของข้อมูลส่วนบุคคลเป็นหนึ่งในหลักการพื้นฐานที่สำคัญของกฎหมายฉบับใหม่ ด้วยเหตุนี้ กฎหมายจึงกำหนดให้ผู้ควบคุมต้องใช้มาตรการทางเทคนิค องค์กร และบุคลากรอย่างเพียงพอ เพื่อให้แน่ใจว่าการประมวลผลข้อมูลส่วนบุคคลจะดำเนินการตามกฎหมาย ในขณะที่ผู้ควบคุมควรคำนึงถึงลักษณะ ขอบเขต สถานการณ์ วัตถุประสงค์ของการประมวลผล การประเมินความเสี่ยงสำหรับสิทธิและเสรีภาพของบุคคลธรรมดา

หากจำเป็น ผู้ควบคุมต้องสามารถแสดงให้เห็นว่าได้ปฏิบัติตามข้อกำหนดทางกฎหมายนี้

แม้ว่าอาจดูเหมือนว่าบทบัญญัติที่กล่าวถึงข้างต้นนั้นไม่แม่นยำ แต่จริง ๆ แล้วกฎหมายได้ปฏิบัติตามแนวทางจากระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป (GDPR)ซึ่งคำนึงถึงความก้าวหน้าทางเทคโนโลยีอย่างรวดเร็วตลอดจนพื้นที่ต่างๆ ที่การประมวลผลข้อมูลส่วนบุคคลใช้ สถานที่. นั่นคือเหตุผลที่กฎหมายระบุในรายละเอียดอย่างลังเลว่า “มาตรการทางเทคนิค องค์กร และบุคลากร” ที่ผู้ควบคุมควรนำไปใช้คืออะไร

เมื่อมีการใช้มาตรการป้องกันแล้ว ไม่ควรมองว่าถาวรและไม่สามารถเปลี่ยนแปลงได้ ในทางตรงกันข้าม ผู้ควบคุมควรประเมินและอัปเดตหากจำเป็น

ความปลอดภัยของการปกป้องข้อมูลส่วนบุคคลหมายความว่าผู้ควบคุมและผู้ประมวลผลดำเนินการตามมาตรการทางเทคนิค องค์กร และบุคลากรที่เหมาะสม เพื่อให้แน่ใจว่าระดับความปลอดภัยที่เพียงพอของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับความเสี่ยงเฉพาะต่อความปลอดภัยของพวกเขา เมื่อทำเช่นนั้น เราควรคำนึงถึงระดับของความก้าวหน้าทางเทคโนโลยีและค่าใช้จ่ายในการดำเนินการ ลักษณะ ขอบเขต สถานการณ์และวัตถุประสงค์ของการประมวลผล ตลอดจนความน่าจะเป็นของความเสี่ยงที่เกิดขึ้นและระดับความเสี่ยงสำหรับ สิทธิและเสรีภาพของบุคคลธรรมดา

ความสำคัญของการดำเนินการตามมาตรการที่กล่าวถึงข้างต้นนั้นสะท้อนให้เห็นได้ดีที่สุดจากการที่บทลงโทษจำนวนมากสำหรับการละเมิด GDPR นั้นถูกกำหนดขึ้นเนื่องจากขาดการรักษาความปลอดภัยทางเทคนิค ตัวอย่างเช่น บริษัท British Airways ในสหราชอาณาจักรมีบทลงโทษจำนวน 204,000,000.00 ยูโร สำหรับการละเมิดข้อมูลส่วนบุคคลเนื่องจากการโจมตีของแฮกเกอร์ ตามที่เราพูดถึงในข่าวของเราBritish Airways และ Marriott International ละเมิด GDPR – What Consequences พวกเขาสามารถเผชิญ? .

คุณสามารถทำอะไรได้บ้างเพื่อปกป้องข้อมูลส่วนบุคคล?

การประเมินความเสี่ยง

ในการเลือกมาตรการที่เหมาะสมกับบริษัทของคุณ ก่อนอื่นคุณต้องระบุความเสี่ยงที่คุกคามความปลอดภัยของข้อมูลส่วนบุคคลที่คุณดำเนินการ รวมถึงความน่าจะเป็นที่ความเสี่ยงและความเป็นไปได้เหล่านั้นจะกลายเป็นความจริง

ตัวอย่าง :

หากคุณประมวลผลข้อมูลส่วนบุคคลในรูปแบบอิเล็กทรอนิกส์ ความเสี่ยงที่คุกคามความปลอดภัยอาจรวมถึงการเข้าถึงฐานข้อมูลโดยไม่ได้รับอนุญาต การเปลี่ยนแปลงหรือการลบข้อมูลส่วนบุคคล ความเสียหายทางกายภาพต่อเซิร์ฟเวอร์และฮาร์ดแวร์อื่น ๆ ที่เก็บข้อมูลหรือที่ใช้สำหรับ การประมวลผลอันเนื่องมาจากอัคคีภัย อุทกภัย เป็นต้น

มาตรการป้องกันต่อความเสี่ยง

ก. PSEUDONYMIZATION

การระบุนามแฝงคือการประมวลผลข้อมูลส่วนบุคคลซึ่งปิดใช้งานการเชื่อมต่อข้อมูลส่วนบุคคลกับเจ้าของข้อมูลโดยเฉพาะ โดยไม่ต้องใช้ข้อมูลเพิ่มเติม กล่าวอีกนัยหนึ่ง นามแฝง “ซ่อน” เจ้าของข้อมูล แต่ก็ยังสามารถยืนยันตัวตนของบุคคลนั้นได้โดยใช้ข้อมูลเพิ่มเติม เป็นสิ่งสำคัญมากที่จะต้องแยกข้อมูลเพิ่มเติมออกจากกัน เช่นเดียวกับการใช้มาตรการทางเทคนิค องค์กร และบุคลากร เพื่อป้องกันการแสดงที่มาของข้อมูลส่วนบุคคลไปยังเจ้าของข้อมูลที่ระบุหรือระบุตัวได้

ข. การไม่เปิดเผยชื่อ

ข้อมูลระบุคือการประมวลผลข้อมูลที่เป็นสาเหตุของการไร้ความสามารถถาวรเพื่อยืนยันตัวตนของเรื่องข้อมูล นับตั้งแต่ช่วงเวลาที่ข้อมูลส่วนบุคคลถูกปกปิดชื่อ คุณไม่จำเป็นต้องปฏิบัติต่อข้อมูลนั้นตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอีกต่อไป

ค. การเข้ารหัส

การเข้ารหัสข้อมูลเป็นวิธีการป้องกันที่เข้ารหัสข้อมูลและทำให้สามารถเข้าถึงบุคคลที่มีคีย์เข้ารหัสเท่านั้น ข้อมูลที่เข้ารหัสจะแสดงในรูปแบบที่ไม่สามารถอ่านได้สำหรับทุกคนที่ต้องการเข้าถึงโดยไม่มีคีย์เข้ารหัส

ง. หน่วยงานกำกับดูแล

ระบบการจัดเก็บเอกสารต้องอยู่ห่างจากบุคคลที่ไม่ได้รับอนุญาตให้มีความเข้าใจอย่างลึกซึ้งเกี่ยวกับระบบการจัดเก็บเอกสารภายในบริษัท กระบวนการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหมายความว่าต้องกำหนดสิทธิ์ ภาระผูกพัน และความรับผิดชอบของพนักงานในแง่ของการจัดเก็บและการใช้ระบบการจัดเก็บอย่างชัดเจน ข้อมูลบางอย่างอาจมีให้สำหรับพนักงานทุกคนในบริษัท (เช่น ที่อยู่อีเมลธุรกิจ) ในขณะที่ข้อมูลอื่นๆ อาจมีให้เฉพาะกับพนักงานที่ได้รับอนุญาตพิเศษเท่านั้น (เช่น เฉพาะบุคคลในแผนกทรัพยากรบุคคล)

แจ้งกรรมการเกี่ยวกับการละเมิดข้อมูลส่วนบุคคล

ในกรณีที่เกิดการละเมิดข้อมูลส่วนบุคคลโดยไม่คำนึงถึงการใช้มาตรการป้องกันซึ่งอาจก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลธรรมดา ผู้ควบคุมมีหน้าที่ต้องแจ้งให้คณะกรรมาธิการทราบเกี่ยวกับการละเมิดโดยเร็วที่สุดภายใน 72 ชั่วโมง ณ วันที่ทราบการละเมิดอย่างช้าที่สุด

ในทางกลับกัน โปรเซสเซอร์มีหน้าที่ต้องแจ้งให้ผู้ควบคุมทราบเกี่ยวกับการละเมิดข้อมูลทุกครั้ง โดยไม่คำนึงถึงระดับความเสี่ยงสำหรับสิทธิและเสรีภาพของบุคคลธรรมดาโดยไม่ชักช้า

ผู้ควบคุมต้องเก็บบันทึกเกี่ยวกับการละเมิดข้อมูลทั้งหมด ซึ่งประกอบด้วยรายละเอียดของการละเมิด ผลที่ตามมาของการละเมิด และการดำเนินการสำหรับการลบออก

การแจ้งเรื่องข้อมูลเกี่ยวกับการละเมิดข้อมูลส่วนบุคคล

หากการละเมิดข้อมูลอาจทำให้เกิดความเสี่ยงสูงต่อสิทธิและเสรีภาพของบุคคลธรรมดา ผู้ควบคุมต้องแจ้งให้เจ้าของข้อมูลทราบโดยไม่ชักช้า เว้นแต่ผู้ควบคุมได้ใช้มาตรการที่เหมาะสมเพื่อตอบสนองต่อการละเมิด

ดังนั้น เราจะเห็นได้ว่าเฉพาะความเสี่ยงสูงสำหรับสิทธิและเสรีภาพของบุคคลธรรมดาเท่านั้นที่สร้างภาระหน้าที่ในการแจ้งเจ้าของข้อมูล ในขณะที่ต้องแจ้งให้กรรมาธิการทราบในกรณีที่มีความเสี่ยงที่มีนัยสำคัญน้อยกว่า

เจ้าหน้าที่คุ้มครองข้อมูล (อ.ส.ค.)

เมื่อใดที่จะกำหนด อ.ส.ค. ?

โดยทั่วไป ผู้ควบคุมและผู้ประมวลผลอาจกำหนด DPOแต่ไม่จำเป็นต้องทำเช่นนั้น อย่างไรก็ตาม เมื่อพูดถึงองค์กรธุรกิจ กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนดเป็นการกำหนดบังคับของ อ.ส.ค. หาก:

  • บทบาทหลักของผู้ควบคุมหรือผู้ประมวลผลประกอบด้วยกิจกรรมการประมวลผลซึ่งเนื่องจากลักษณะ ขอบเขต หรือวัตถุประสงค์จำเป็นต้องมีการดูแลอย่างสม่ำเสมอและเป็นระบบของเจ้าของข้อมูลจำนวนมาก
  • กิจกรรมหลักของผู้ควบคุมหรือผู้ประมวลผลประกอบด้วยการประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษ (เกี่ยวกับแหล่งกำเนิดทางเชื้อชาติหรือชาติพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา ฯลฯ) ในปริมาณมาก

หากผู้ควบคุมหรือผู้ประมวลผลซึ่งเป็นนิติบุคคลไม่ได้กำหนด DPO ในกรณีดังกล่าว พวกเขาจะถูกปรับเป็นเงินสำหรับความผิดทางอาญาในช่วง RSD 50,000 – RSD 2,000,000

ผู้ควบคุมหรือผู้ประมวลผลมีหน้าที่ต้องเผยแพร่ข้อมูลติดต่อของ อ.ส.ค. และส่งมอบให้กับกรรมาธิการ

จะเข้าร่วม DPO ในบริษัทของเราได้อย่างไร (ที่ผู้ควบคุมหรือผู้ประมวลผล)

  • ขึ้นอยู่กับการจ้างงาน
  • ตามสัญญาอื่น

ตำแหน่งของ อ.ส.ค

อ.ส.ค. มีให้สำหรับเจ้าของข้อมูล ซึ่งสามารถหันไปหา อ.ส.ค. เกี่ยวกับทุกเรื่องที่เกี่ยวข้องกับการประมวลผลข้อมูลของตน ตลอดจนเกี่ยวกับการตระหนักถึงสิทธิของตน

อ.ส.ค. ตอบสนองโดยตรงต่อผู้จัดการของผู้ควบคุมหรือผู้ประมวลผลเพื่อปฏิบัติตามภาระผูกพันทางกฎหมายของ อ.ส.ค.

กฎหมายอนุญาตให้ อ.ส.ค. นอกเหนือจากกิจกรรมที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคลที่ผู้ควบคุมหรือผู้ประมวลผล เพื่อดำเนินกิจกรรมอื่น ๆ และปฏิบัติตามภาระผูกพันอื่น ๆ ผู้ควบคุมหรือผู้ประมวลผลมีหน้าที่ตรวจสอบให้แน่ใจว่าการดำเนินการของกิจกรรมอื่น ๆ และการปฏิบัติตามภาระผูกพันอื่น ๆ จะไม่ทำให้ DPO เกิดความขัดแย้งทางผลประโยชน์

ความรับผิดชอบของ อ.ส.ค. คืออะไร?

  • เพื่อแจ้งและให้ความเห็นแก่ผู้ควบคุมหรือผู้ประมวลผล ตลอดจนพนักงานที่ดำเนินกิจกรรมการประมวลผล เกี่ยวกับภาระผูกพันทางกฎหมายที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคล
  • เพื่อกำกับดูแลการใช้บทบัญญัติของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่น ๆ ตลอดจนกฎระเบียบภายในของผู้ควบคุมหรือผู้ประมวลผลที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคลรวมถึงเรื่องของการแบ่งความรับผิดชอบ สร้างความตระหนักและการฝึกอบรม ของพนักงานที่มีส่วนร่วมในกิจกรรมการประมวลผลตลอดจนการควบคุม
  • เพื่อให้ความเห็น เมื่อถูกถาม เกี่ยวกับการประเมินผลกระทบของการประมวลผลต่อการปกป้องข้อมูลส่วนบุคคล และเพื่อปฏิบัติตามการดำเนินการที่เกี่ยวข้องกับการประเมินนั้น
  • เพื่อเป็นจุดติดต่อขอความร่วมมือกับอธิบดีและปรึกษากับกรรมาธิการในเรื่องที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล

สิทธิของเจ้าของข้อมูล – ภาระผูกพันของผู้ควบคุม

สิทธิที่จะได้รับแจ้ง

หากมีการเก็บรวบรวมข้อมูลจากบุคคลที่เกี่ยวข้องกับข้อมูลนั้น ผู้ควบคุมจะต้องให้ข้อมูลแก่บุคคลนั้นตามที่กฎหมายกำหนดไว้ เช่น ข้อมูลประจำตัวและข้อมูลการติดต่อของผู้ควบคุม ข้อมูลติดต่อของ อ.ส.ค. วัตถุประสงค์ของการประมวลผลตามเจตนาและพื้นฐานทางกฎหมายสำหรับการประมวลผล ผู้รับ ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล สิทธิ์ของเจ้าของข้อมูลที่เกี่ยวข้องกับข้อมูลของพวกเขา เช่นเดียวกับข้อมูลอื่น ๆ

สิทธิ์ในการเข้าถึง

เจ้าของข้อมูลมีสิทธิ์ขอข้อมูลจากผู้ควบคุมว่าผู้ควบคุมประมวลผลข้อมูลส่วนบุคคลของตนหรือไม่ เพื่อขอเข้าถึงข้อมูลนั้น ตลอดจนข้อมูลเกี่ยวกับวัตถุประสงค์ในการประมวลผล เกี่ยวกับประเภทของข้อมูลที่ประมวลผล เกี่ยวกับระยะเวลาในการจัดเก็บ ของข้อมูลส่วนบุคคล เกี่ยวกับสิทธิ์ของเจ้าของข้อมูลในแง่ของการประมวลผลข้อมูล และข้อมูลอื่นๆ

หลังจากคำขอของเจ้าของข้อมูล ผู้ควบคุมจำเป็นต้องส่งสำเนาข้อมูลส่วนบุคคลที่ประมวลผลซึ่งเกี่ยวข้องกับเจ้าของข้อมูลนั้น

สิทธิในการแก้ไข

หากข้อมูลส่วนบุคคลไม่ถูกต้อง เจ้าของข้อมูลมีสิทธิ์ขอให้ผู้ควบคุมแก้ไขข้อมูลโดยไม่ชักช้า

หากข้อมูลส่วนบุคคลไม่สมบูรณ์ โดยคำนึงถึงวัตถุประสงค์ในการประมวลผล เจ้าของข้อมูลมีสิทธิ์เสริมข้อมูลส่วนบุคคลของตน

สิทธิ์ในการลบ

เจ้าของข้อมูลมีสิทธิ์ยื่นคำร้องขอให้ผู้ควบคุมลบข้อมูลส่วนบุคคลของตนโดยผู้ควบคุม

ผู้ควบคุมมีหน้าที่ลบข้อมูลส่วนบุคคลหาก:

  • ข้อมูลส่วนบุคคลไม่จำเป็นสำหรับการปฏิบัติตามวัตถุประสงค์ที่เก็บรวบรวมหรือประมวลผลอีกต่อไป
  • เจ้าของข้อมูลเพิกถอนความยินยอมตามการประมวลผล และไม่มีเหตุทางกฎหมายอื่นใดสำหรับการประมวลผล
  • เจ้าของข้อมูลยื่นคำคัดค้านเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล
  • ข้อมูลส่วนบุคคลได้รับการประมวลผลอย่างผิดกฎหมาย
  • ข้อมูลส่วนบุคคลจะต้องถูกลบเพื่อให้เป็นไปตามภาระผูกพันทางกฎหมายของผู้ควบคุม

หากผู้ควบคุมได้เผยแพร่ข้อมูลส่วนบุคคลต่อสาธารณะ ภาระหน้าที่ของพวกเขาในการลบข้อมูลนั้นรวมถึงการใช้มาตรการที่เหมาะสมทั้งหมดในการแจ้งผู้ควบคุมรายอื่นซึ่งประมวลผลข้อมูลนั้นที่เจ้าของข้อมูลได้ยื่นคำร้องขอให้ลบสำเนาของข้อมูลและการอ้างอิงทั้งหมด กล่าวคือ ลิงก์อิเล็กทรอนิกส์ไปยังข้อมูลเหล่านี้

สิทธิในการจำกัดการประมวลผล

เจ้าของข้อมูลมีสิทธิ์จำกัดการประมวลผลข้อมูลส่วนบุคคลโดยผู้ควบคุมในกรณีต่อไปนี้:

  • เมื่อเจ้าของข้อมูลโต้แย้งความถูกต้องของข้อมูลส่วนบุคคล ในช่วงเวลาที่ผู้ควบคุมสามารถตรวจสอบความถูกต้องของข้อมูลนี้ได้
  • เมื่อการประมวลผลไม่ชอบด้วยกฎหมายและเจ้าของข้อมูลขัดต่อการลบข้อมูล และร้องขอการจำกัดการใช้ข้อมูล แทนที่จะลบทิ้ง
  • เมื่อผู้ควบคุมไม่ต้องการข้อมูลส่วนบุคคลอีกต่อไปเพื่อบรรลุวัตถุประสงค์ในการประมวลผล แต่เจ้าของข้อมูลขอให้พวกเขายื่นเรื่อง การดำเนินการ หรือการป้องกันคำขอทางกฎหมาย
  • เมื่อเจ้าของข้อมูลยื่นคำคัดค้านในการประมวลผลข้อมูล และในขณะที่การประเมินว่าเหตุผลทางกฎหมายสำหรับการประมวลผลโดยผู้ควบคุมมีมากกว่าผลประโยชน์ของเจ้าของข้อมูลหรือไม่

สิทธิในการพกพาข้อมูล

เจ้าของข้อมูลมีสิทธิ์ถ่ายโอนข้อมูลส่วนบุคคลของตน ซึ่งเคยส่งไปยังผู้ควบคุม ไปยังผู้ควบคุมรายอื่นโดยปราศจากการแทรกแซงจากผู้ควบคุมที่ได้รับข้อมูลนั้นในตอนแรก หาก:

1) การประมวลผลขึ้นอยู่กับความยินยอมของเจ้าของข้อมูลหรือตามสัญญา

2) การประมวลผลจะดำเนินการโดยอัตโนมัติ

สิทธิ์ในการพกพาข้อมูลยังรวมถึงการถ่ายโอนโดยตรงจากตัวควบคุมก่อนหน้าไปยังตัวควบคุมใหม่

สิทธิในวัตถุ

เจ้าของข้อมูลมีสิทธิ์ยื่นคำคัดค้านต่อการประมวลผลข้อมูลส่วนบุคคลของตนไปยังผู้ควบคุมได้ตลอดเวลา ซึ่งดำเนินการตามผลประโยชน์สาธารณะหรือการปฏิบัติตามการอนุญาตตามกฎหมายของผู้ควบคุม หรือผลประโยชน์ที่ชอบด้วยกฎหมายของ ผู้ควบคุมหรือบุคคลที่สามเป็นเหตุผลทางกฎหมายของการประมวลผล

ผู้ควบคุมมีหน้าที่หยุดการประมวลผลข้อมูลของบุคคลที่ยื่นคำคัดค้าน เว้นแต่จะสามารถพิสูจน์ได้ว่ามีเหตุผลทางกฎหมายสำหรับการประมวลผลซึ่งเกินดุลผลประโยชน์ สิทธิ หรือเสรีภาพของเจ้าของข้อมูลหรือที่ ที่เกี่ยวข้องกับการยื่น การรับรู้ หรือข้อต่อสู้ข้อเรียกร้องทางกฎหมาย

สุดท้าย ในบทความที่สามและสุดท้ายในชุดข้อความของเราเกี่ยวกับความแปลกใหม่ที่สำคัญของกฎหมายใหม่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เราจะจัดการกับบทบัญญัติบทลงโทษของกฎหมายใหม่

Related Posts

You May Missed