กฎหมายใหม่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเริ่มมีผลบังคับใช้ในวันที่ 21 สิงหาคม 2019 ในชุดบทความในบล็อก เราจะอธิบายความแปลกใหม่ที่สำคัญซึ่งกฎหมายใหม่แนะนำ
ในบล็อกโพสต์ก่อนหน้าของเราTic-Toc นาฬิกากำลังเดิน… บริษัทของคุณปฏิบัติตามกฎหมายใหม่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือไม่ เราอธิบายว่ากฎหมายใหม่มีผลบังคับใช้เมื่อใด ข้อมูลส่วนบุคคลคืออะไร หลักการและเหตุผลทางกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคลคืออะไร ในบล็อกนี้ เราจะกล่าวถึงมาตรการทางเทคนิคของการปกป้องข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูล และสิทธิ์ของเจ้าของข้อมูล
การรักษาความปลอดภัยของข้อมูลส่วนบุคคลเป็นหนึ่งในหลักการพื้นฐานที่สำคัญของกฎหมายฉบับใหม่ ด้วยเหตุนี้ กฎหมายจึงกำหนดให้ผู้ควบคุมต้องใช้มาตรการทางเทคนิค องค์กร และบุคลากรอย่างเพียงพอ เพื่อให้แน่ใจว่าการประมวลผลข้อมูลส่วนบุคคลจะดำเนินการตามกฎหมาย ในขณะที่ผู้ควบคุมควรคำนึงถึงลักษณะ ขอบเขต สถานการณ์ วัตถุประสงค์ของการประมวลผล การประเมินความเสี่ยงสำหรับสิทธิและเสรีภาพของบุคคลธรรมดา
หากจำเป็น ผู้ควบคุมต้องสามารถแสดงให้เห็นว่าได้ปฏิบัติตามข้อกำหนดทางกฎหมายนี้
แม้ว่าอาจดูเหมือนว่าบทบัญญัติที่กล่าวถึงข้างต้นนั้นไม่แม่นยำ แต่จริง ๆ แล้วกฎหมายได้ปฏิบัติตามแนวทางจากระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป (GDPR)ซึ่งคำนึงถึงความก้าวหน้าทางเทคโนโลยีอย่างรวดเร็วตลอดจนพื้นที่ต่างๆ ที่การประมวลผลข้อมูลส่วนบุคคลใช้ สถานที่. นั่นคือเหตุผลที่กฎหมายระบุในรายละเอียดอย่างลังเลว่า “มาตรการทางเทคนิค องค์กร และบุคลากร” ที่ผู้ควบคุมควรนำไปใช้คืออะไร
เมื่อมีการใช้มาตรการป้องกันแล้ว ไม่ควรมองว่าถาวรและไม่สามารถเปลี่ยนแปลงได้ ในทางตรงกันข้าม ผู้ควบคุมควรประเมินและอัปเดตหากจำเป็น
ความปลอดภัยของการปกป้องข้อมูลส่วนบุคคลหมายความว่าผู้ควบคุมและผู้ประมวลผลดำเนินการตามมาตรการทางเทคนิค องค์กร และบุคลากรที่เหมาะสม เพื่อให้แน่ใจว่าระดับความปลอดภัยที่เพียงพอของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับความเสี่ยงเฉพาะต่อความปลอดภัยของพวกเขา เมื่อทำเช่นนั้น เราควรคำนึงถึงระดับของความก้าวหน้าทางเทคโนโลยีและค่าใช้จ่ายในการดำเนินการ ลักษณะ ขอบเขต สถานการณ์และวัตถุประสงค์ของการประมวลผล ตลอดจนความน่าจะเป็นของความเสี่ยงที่เกิดขึ้นและระดับความเสี่ยงสำหรับ สิทธิและเสรีภาพของบุคคลธรรมดา
ความสำคัญของการดำเนินการตามมาตรการที่กล่าวถึงข้างต้นนั้นสะท้อนให้เห็นได้ดีที่สุดจากการที่บทลงโทษจำนวนมากสำหรับการละเมิด GDPR นั้นถูกกำหนดขึ้นเนื่องจากขาดการรักษาความปลอดภัยทางเทคนิค ตัวอย่างเช่น บริษัท British Airways ในสหราชอาณาจักรมีบทลงโทษจำนวน 204,000,000.00 ยูโร สำหรับการละเมิดข้อมูลส่วนบุคคลเนื่องจากการโจมตีของแฮกเกอร์ ตามที่เราพูดถึงในข่าวของเราBritish Airways และ Marriott International ละเมิด GDPR – What Consequences พวกเขาสามารถเผชิญ? .
ในการเลือกมาตรการที่เหมาะสมกับบริษัทของคุณ ก่อนอื่นคุณต้องระบุความเสี่ยงที่คุกคามความปลอดภัยของข้อมูลส่วนบุคคลที่คุณดำเนินการ รวมถึงความน่าจะเป็นที่ความเสี่ยงและความเป็นไปได้เหล่านั้นจะกลายเป็นความจริง
ตัวอย่าง :
หากคุณประมวลผลข้อมูลส่วนบุคคลในรูปแบบอิเล็กทรอนิกส์ ความเสี่ยงที่คุกคามความปลอดภัยอาจรวมถึงการเข้าถึงฐานข้อมูลโดยไม่ได้รับอนุญาต การเปลี่ยนแปลงหรือการลบข้อมูลส่วนบุคคล ความเสียหายทางกายภาพต่อเซิร์ฟเวอร์และฮาร์ดแวร์อื่น ๆ ที่เก็บข้อมูลหรือที่ใช้สำหรับ การประมวลผลอันเนื่องมาจากอัคคีภัย อุทกภัย เป็นต้น
การระบุนามแฝงคือการประมวลผลข้อมูลส่วนบุคคลซึ่งปิดใช้งานการเชื่อมต่อข้อมูลส่วนบุคคลกับเจ้าของข้อมูลโดยเฉพาะ โดยไม่ต้องใช้ข้อมูลเพิ่มเติม กล่าวอีกนัยหนึ่ง นามแฝง “ซ่อน” เจ้าของข้อมูล แต่ก็ยังสามารถยืนยันตัวตนของบุคคลนั้นได้โดยใช้ข้อมูลเพิ่มเติม เป็นสิ่งสำคัญมากที่จะต้องแยกข้อมูลเพิ่มเติมออกจากกัน เช่นเดียวกับการใช้มาตรการทางเทคนิค องค์กร และบุคลากร เพื่อป้องกันการแสดงที่มาของข้อมูลส่วนบุคคลไปยังเจ้าของข้อมูลที่ระบุหรือระบุตัวได้
ข้อมูลระบุคือการประมวลผลข้อมูลที่เป็นสาเหตุของการไร้ความสามารถถาวรเพื่อยืนยันตัวตนของเรื่องข้อมูล นับตั้งแต่ช่วงเวลาที่ข้อมูลส่วนบุคคลถูกปกปิดชื่อ คุณไม่จำเป็นต้องปฏิบัติต่อข้อมูลนั้นตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอีกต่อไป
การเข้ารหัสข้อมูลเป็นวิธีการป้องกันที่เข้ารหัสข้อมูลและทำให้สามารถเข้าถึงบุคคลที่มีคีย์เข้ารหัสเท่านั้น ข้อมูลที่เข้ารหัสจะแสดงในรูปแบบที่ไม่สามารถอ่านได้สำหรับทุกคนที่ต้องการเข้าถึงโดยไม่มีคีย์เข้ารหัส
ระบบการจัดเก็บเอกสารต้องอยู่ห่างจากบุคคลที่ไม่ได้รับอนุญาตให้มีความเข้าใจอย่างลึกซึ้งเกี่ยวกับระบบการจัดเก็บเอกสารภายในบริษัท กระบวนการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหมายความว่าต้องกำหนดสิทธิ์ ภาระผูกพัน และความรับผิดชอบของพนักงานในแง่ของการจัดเก็บและการใช้ระบบการจัดเก็บอย่างชัดเจน ข้อมูลบางอย่างอาจมีให้สำหรับพนักงานทุกคนในบริษัท (เช่น ที่อยู่อีเมลธุรกิจ) ในขณะที่ข้อมูลอื่นๆ อาจมีให้เฉพาะกับพนักงานที่ได้รับอนุญาตพิเศษเท่านั้น (เช่น เฉพาะบุคคลในแผนกทรัพยากรบุคคล)
ในกรณีที่เกิดการละเมิดข้อมูลส่วนบุคคลโดยไม่คำนึงถึงการใช้มาตรการป้องกันซึ่งอาจก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลธรรมดา ผู้ควบคุมมีหน้าที่ต้องแจ้งให้คณะกรรมาธิการทราบเกี่ยวกับการละเมิดโดยเร็วที่สุดภายใน 72 ชั่วโมง ณ วันที่ทราบการละเมิดอย่างช้าที่สุด
ในทางกลับกัน โปรเซสเซอร์มีหน้าที่ต้องแจ้งให้ผู้ควบคุมทราบเกี่ยวกับการละเมิดข้อมูลทุกครั้ง โดยไม่คำนึงถึงระดับความเสี่ยงสำหรับสิทธิและเสรีภาพของบุคคลธรรมดาโดยไม่ชักช้า
ผู้ควบคุมต้องเก็บบันทึกเกี่ยวกับการละเมิดข้อมูลทั้งหมด ซึ่งประกอบด้วยรายละเอียดของการละเมิด ผลที่ตามมาของการละเมิด และการดำเนินการสำหรับการลบออก
หากการละเมิดข้อมูลอาจทำให้เกิดความเสี่ยงสูงต่อสิทธิและเสรีภาพของบุคคลธรรมดา ผู้ควบคุมต้องแจ้งให้เจ้าของข้อมูลทราบโดยไม่ชักช้า เว้นแต่ผู้ควบคุมได้ใช้มาตรการที่เหมาะสมเพื่อตอบสนองต่อการละเมิด
ดังนั้น เราจะเห็นได้ว่าเฉพาะความเสี่ยงสูงสำหรับสิทธิและเสรีภาพของบุคคลธรรมดาเท่านั้นที่สร้างภาระหน้าที่ในการแจ้งเจ้าของข้อมูล ในขณะที่ต้องแจ้งให้กรรมาธิการทราบในกรณีที่มีความเสี่ยงที่มีนัยสำคัญน้อยกว่า
โดยทั่วไป ผู้ควบคุมและผู้ประมวลผลอาจกำหนด DPOแต่ไม่จำเป็นต้องทำเช่นนั้น อย่างไรก็ตาม เมื่อพูดถึงองค์กรธุรกิจ กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนดเป็นการกำหนดบังคับของ อ.ส.ค. หาก:
หากผู้ควบคุมหรือผู้ประมวลผลซึ่งเป็นนิติบุคคลไม่ได้กำหนด DPO ในกรณีดังกล่าว พวกเขาจะถูกปรับเป็นเงินสำหรับความผิดทางอาญาในช่วง RSD 50,000 – RSD 2,000,000
ผู้ควบคุมหรือผู้ประมวลผลมีหน้าที่ต้องเผยแพร่ข้อมูลติดต่อของ อ.ส.ค. และส่งมอบให้กับกรรมาธิการ
อ.ส.ค. มีให้สำหรับเจ้าของข้อมูล ซึ่งสามารถหันไปหา อ.ส.ค. เกี่ยวกับทุกเรื่องที่เกี่ยวข้องกับการประมวลผลข้อมูลของตน ตลอดจนเกี่ยวกับการตระหนักถึงสิทธิของตน
อ.ส.ค. ตอบสนองโดยตรงต่อผู้จัดการของผู้ควบคุมหรือผู้ประมวลผลเพื่อปฏิบัติตามภาระผูกพันทางกฎหมายของ อ.ส.ค.
กฎหมายอนุญาตให้ อ.ส.ค. นอกเหนือจากกิจกรรมที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคลที่ผู้ควบคุมหรือผู้ประมวลผล เพื่อดำเนินกิจกรรมอื่น ๆ และปฏิบัติตามภาระผูกพันอื่น ๆ ผู้ควบคุมหรือผู้ประมวลผลมีหน้าที่ตรวจสอบให้แน่ใจว่าการดำเนินการของกิจกรรมอื่น ๆ และการปฏิบัติตามภาระผูกพันอื่น ๆ จะไม่ทำให้ DPO เกิดความขัดแย้งทางผลประโยชน์
หากมีการเก็บรวบรวมข้อมูลจากบุคคลที่เกี่ยวข้องกับข้อมูลนั้น ผู้ควบคุมจะต้องให้ข้อมูลแก่บุคคลนั้นตามที่กฎหมายกำหนดไว้ เช่น ข้อมูลประจำตัวและข้อมูลการติดต่อของผู้ควบคุม ข้อมูลติดต่อของ อ.ส.ค. วัตถุประสงค์ของการประมวลผลตามเจตนาและพื้นฐานทางกฎหมายสำหรับการประมวลผล ผู้รับ ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล สิทธิ์ของเจ้าของข้อมูลที่เกี่ยวข้องกับข้อมูลของพวกเขา เช่นเดียวกับข้อมูลอื่น ๆ
เจ้าของข้อมูลมีสิทธิ์ขอข้อมูลจากผู้ควบคุมว่าผู้ควบคุมประมวลผลข้อมูลส่วนบุคคลของตนหรือไม่ เพื่อขอเข้าถึงข้อมูลนั้น ตลอดจนข้อมูลเกี่ยวกับวัตถุประสงค์ในการประมวลผล เกี่ยวกับประเภทของข้อมูลที่ประมวลผล เกี่ยวกับระยะเวลาในการจัดเก็บ ของข้อมูลส่วนบุคคล เกี่ยวกับสิทธิ์ของเจ้าของข้อมูลในแง่ของการประมวลผลข้อมูล และข้อมูลอื่นๆ
หลังจากคำขอของเจ้าของข้อมูล ผู้ควบคุมจำเป็นต้องส่งสำเนาข้อมูลส่วนบุคคลที่ประมวลผลซึ่งเกี่ยวข้องกับเจ้าของข้อมูลนั้น
หากข้อมูลส่วนบุคคลไม่ถูกต้อง เจ้าของข้อมูลมีสิทธิ์ขอให้ผู้ควบคุมแก้ไขข้อมูลโดยไม่ชักช้า
หากข้อมูลส่วนบุคคลไม่สมบูรณ์ โดยคำนึงถึงวัตถุประสงค์ในการประมวลผล เจ้าของข้อมูลมีสิทธิ์เสริมข้อมูลส่วนบุคคลของตน
เจ้าของข้อมูลมีสิทธิ์ยื่นคำร้องขอให้ผู้ควบคุมลบข้อมูลส่วนบุคคลของตนโดยผู้ควบคุม
ผู้ควบคุมมีหน้าที่ลบข้อมูลส่วนบุคคลหาก:
หากผู้ควบคุมได้เผยแพร่ข้อมูลส่วนบุคคลต่อสาธารณะ ภาระหน้าที่ของพวกเขาในการลบข้อมูลนั้นรวมถึงการใช้มาตรการที่เหมาะสมทั้งหมดในการแจ้งผู้ควบคุมรายอื่นซึ่งประมวลผลข้อมูลนั้นที่เจ้าของข้อมูลได้ยื่นคำร้องขอให้ลบสำเนาของข้อมูลและการอ้างอิงทั้งหมด กล่าวคือ ลิงก์อิเล็กทรอนิกส์ไปยังข้อมูลเหล่านี้
เจ้าของข้อมูลมีสิทธิ์จำกัดการประมวลผลข้อมูลส่วนบุคคลโดยผู้ควบคุมในกรณีต่อไปนี้:
เจ้าของข้อมูลมีสิทธิ์ถ่ายโอนข้อมูลส่วนบุคคลของตน ซึ่งเคยส่งไปยังผู้ควบคุม ไปยังผู้ควบคุมรายอื่นโดยปราศจากการแทรกแซงจากผู้ควบคุมที่ได้รับข้อมูลนั้นในตอนแรก หาก:
1) การประมวลผลขึ้นอยู่กับความยินยอมของเจ้าของข้อมูลหรือตามสัญญา
2) การประมวลผลจะดำเนินการโดยอัตโนมัติ
สิทธิ์ในการพกพาข้อมูลยังรวมถึงการถ่ายโอนโดยตรงจากตัวควบคุมก่อนหน้าไปยังตัวควบคุมใหม่
เจ้าของข้อมูลมีสิทธิ์ยื่นคำคัดค้านต่อการประมวลผลข้อมูลส่วนบุคคลของตนไปยังผู้ควบคุมได้ตลอดเวลา ซึ่งดำเนินการตามผลประโยชน์สาธารณะหรือการปฏิบัติตามการอนุญาตตามกฎหมายของผู้ควบคุม หรือผลประโยชน์ที่ชอบด้วยกฎหมายของ ผู้ควบคุมหรือบุคคลที่สามเป็นเหตุผลทางกฎหมายของการประมวลผล
ผู้ควบคุมมีหน้าที่หยุดการประมวลผลข้อมูลของบุคคลที่ยื่นคำคัดค้าน เว้นแต่จะสามารถพิสูจน์ได้ว่ามีเหตุผลทางกฎหมายสำหรับการประมวลผลซึ่งเกินดุลผลประโยชน์ สิทธิ หรือเสรีภาพของเจ้าของข้อมูลหรือที่ ที่เกี่ยวข้องกับการยื่น การรับรู้ หรือข้อต่อสู้ข้อเรียกร้องทางกฎหมาย
สุดท้าย ในบทความที่สามและสุดท้ายในชุดข้อความของเราเกี่ยวกับความแปลกใหม่ที่สำคัญของกฎหมายใหม่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เราจะจัดการกับบทบัญญัติบทลงโทษของกฎหมายใหม่
ส่วนที่ 1 บริษั…