เนื้อหา
- ความเชื่อที่ 1: GDPR เป็นกฎหมายของสหภาพยุโรปที่ไม่บังคับใช้กับ บริษัท นอกสหภาพยุโรป
- ความเชื่อที่ 2: GDPR แค่ทำให้ผู้คนกลัว แต่ก็ไม่มีการเรียกเก็บค่าปรับตามจริง
- ความเชื่อที่ 3: ทั้งหมดที่ฉันต้องทำเพื่อให้สอดคล้องกับ GDPR คือการเผยแพร่นโยบายความเป็นส่วนตัวในเว็บไซต์ของฉัน
- ความเชื่อที่ 4: หากฉันถูกปรับเพราะละเมิด GDPR ฉันจะต้องจ่ายเงินไม่กี่ร้อยยูโร
- ไม่มีข้อบกพร่องไม่มีความเครียด - คู่มือแบบเป็นขั้นตอนเพื่อสร้างซอฟต์แวร์ที่เปลี่ยนแปลงชีวิตโดยไม่ทำลายชีวิตของคุณ
- ความเชื่อที่ 5: หากฉันปฏิบัติตาม GDPR ฉันจะปฏิบัติตามกฎหมายความเป็นส่วนตัวของสหภาพยุโรปทั้งหมดโดยอัตโนมัติ
- สรุปข้อสังเกต
ที่มา: Alexandersikov / Dreamstime.com
Takeaway:
GDPR ได้ประกาศใช้การเปลี่ยนแปลงขนาดใหญ่ในวิธีการปกป้องข้อมูล แต่มีความเข้าใจผิดมากมายเกี่ยวกับกฎหมายใหม่นี้และความสับสนในการทำงานของมัน
ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (GDPR) มีผลบังคับใช้ในวันที่ 25TH พฤษภาคม 2018 ตั้งแต่นั้นมา บริษัท ต่างๆได้ใช้เงินหลายพันล้านดอลลาร์เพื่อให้แน่ใจว่าสอดคล้องกับกฎหมายใหม่ มีเพียง 500 บริษัท ชั้นนำในสหรัฐอเมริกาที่ใช้เงินประมาณ 7.8 พันล้านเหรียญสหรัฐในการปฏิบัติตามข้อกำหนดที่เข้มงวดของ GDPR แม้จะมีการรายงานข่าวของจีดีพีที่กว้างขวาง แต่หลายตำนานยังคงล้อมรอบกฎหมายของสหภาพยุโรปที่ค่อนข้างใหม่ ในบทความนี้เราพูดถึงห้าคน
ความเชื่อที่ 1: GDPR เป็นกฎหมายของสหภาพยุโรปที่ไม่บังคับใช้กับ บริษัท นอกสหภาพยุโรป
หลักการของอาณาเขตมักใช้กับสาขากฎหมาย หมายความว่าเครื่องมือทางกฎหมายที่นำมาใช้ในประเทศหนึ่งใช้ได้ในประเทศนั้นเท่านั้น ตัวอย่างเช่นสิทธิบัตรในสหรัฐอเมริกาให้การคุ้มครองสิทธิบัตรในสหรัฐอเมริกาเท่านั้น อย่างไรก็ตามผู้เขียนของ GDPR ตัดสินใจที่จะใช้วิธีการที่แตกต่างกันเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลของผู้อยู่อาศัยในสหภาพยุโรปจะไม่ถูกใช้โดย บริษัท ต่างประเทศที่ไร้ยางอาย GDPR นำไปใช้กับ บริษัท นอกสหภาพยุโรป:
- นำเสนอสินค้า / บริการแก่ผู้อยู่อาศัยในสหภาพยุโรป
- ติดตามพฤติกรรมของผู้อยู่อาศัยในสหภาพยุโรปหรือ
- มีสาขาในสหภาพยุโรป (ถ้ากิจกรรมของสาขารวมถึงการประมวลผลข้อมูล)
(สำหรับข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้อ่าน GDPR: คุณรู้หรือไม่ว่าองค์กรของคุณจำเป็นต้องปฏิบัติตามหรือไม่)
ความเชื่อที่ 2: GDPR แค่ทำให้ผู้คนกลัว แต่ก็ไม่มีการเรียกเก็บค่าปรับตามจริง
เวิลด์ไวด์เว็บประกอบด้วยเว็บไซต์มากกว่า 1.5 พันล้านเว็บไซต์ เว็บไซต์หลายแห่งขายสินค้าและ / หรือบริการแก่ผู้อยู่อาศัยในสหภาพยุโรปและอยู่ในขอบเขตของ GDPR มันไม่สมจริงที่จะคาดหวังว่าพวกเขาทั้งหมดจะปฏิบัติตามข้อกำหนดของ GDPR รวมถึง แต่ไม่ จำกัด เพียงการระบุการไหลของข้อมูลข้อสรุปของข้อตกลงการประมวลผลข้อมูลและการจัดทำนโยบายความเป็นส่วนตัวที่ครอบคลุม
แน่นอนว่าไม่ใช่ทุกธุรกิจ e-commerce ที่มีทรัพยากรทางการเงินและมนุษย์เพื่อให้เป็นไปตามมาตรฐานที่สูงตามกฎหมายความเป็นส่วนตัวของสหภาพยุโรปใหม่ อย่างไรก็ตามหน่วยงานคุ้มครองข้อมูลของสหภาพยุโรปปฏิบัติตามหลักการทางกฎหมาย“กฎหมายของ Ignorantia ไม่ใช่ excusat หรือ ignorantia สภา neminem excusat” ซึ่งมาจากยุคโรมัน ในภาษาอังกฤษสามารถแปลได้ว่า“ การเพิกเฉยต่อกฎหมายไม่ใช่ข้อแก้ตัว” แม้ความจริงที่ว่า GDPR ได้มีผลบังคับใช้เมื่อเร็ว ๆ นี้เจ้าหน้าที่คุ้มครองข้อมูลจำนวนมากขึ้นเรื่อย ๆ กำหนดโทษปรับอย่างหนักสำหรับผู้ละเมิดความเป็นส่วนตัว ตัวอย่างเช่นในเดือนมกราคม 2019 หน่วยงานคุ้มครองข้อมูลของฝรั่งเศสได้กำหนดค่าปรับจำนวน 50 ล้านยูโรให้กับ Google สำหรับการละเมิด GDPR ผู้มีอำนาจให้เหตุผลในการตัดสินใจปรับ Google ดังนี้: "จำนวนและการเผยแพร่ของการปรับเป็นครั้งแรกโดยความร้ายแรงของข้อบกพร่องที่ระบุไว้เกี่ยวกับหลักการพื้นฐานของ GDPR: ความโปร่งใสข้อมูลและความยินยอม" เยอรมนีเพื่อนบ้านของ ฝรั่งเศสลงโทษ บริษัท โซเชียลมีเดียที่ละเมิดจีดีพีด้วยค่าปรับที่ต่ำกว่ามาก (20,000 ยูโร) อย่างไรก็ตามแม้จำนวนดังกล่าวอาจมีผลกระทบอย่างรุนแรงต่อ บริษัท สตาร์ทอัพและ บริษัท ขนาดเล็ก
ความเชื่อที่ 3: ทั้งหมดที่ฉันต้องทำเพื่อให้สอดคล้องกับ GDPR คือการเผยแพร่นโยบายความเป็นส่วนตัวในเว็บไซต์ของฉัน
สามารถพบเว็บไซต์จำนวนมากที่เสนอแม่แบบนโยบายความเป็นส่วนตัวที่สอดคล้องกับ "GDPR" บางคนก็อนุญาตให้ผู้ใช้ปรับแต่งนโยบายความเป็นส่วนตัวตามความต้องการ อย่างไรก็ตามการร่างนโยบายความเป็นส่วนตัวเป็นเพียงขั้นตอนเล็ก ๆ เพื่อรับรองการปฏิบัติตาม GDPR ขั้นตอนอื่น ๆ อาจรวมถึง:
- การติดตั้งแบนเนอร์ป๊อปอัพคุกกี้
- การทำแผนที่ข้อมูล
- แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล
- ดำเนินการตามกระบวนการเพื่อแจ้งหน่วยงานคุ้มครองข้อมูลที่เกี่ยวข้องในกรณีที่มีการฝ่าฝืนข้อมูล
- การสรุปข้อตกลงการประมวลผลข้อมูลด้วยตัวประมวลผลข้อมูล
- ตรวจสอบให้แน่ใจว่าตัวประมวลผลข้อมูลในประเทศนอกสหภาพยุโรปมีระดับการป้องกันข้อมูลที่เพียงพอ
นอกจากนี้เพื่อให้สอดคล้องกับ GDPR องค์กรจำเป็นต้องบังคับใช้นโยบายความเป็นส่วนตัวที่เป็นลายลักษณ์อักษรและปรับปรุงเป็นประจำเพื่อให้สอดคล้องกับการเปลี่ยนแปลงล่าสุดในการปฏิบัติด้านการปกป้องข้อมูลขององค์กร
ความเชื่อที่ 4: หากฉันถูกปรับเพราะละเมิด GDPR ฉันจะต้องจ่ายเงินไม่กี่ร้อยยูโร
การลงโทษสำหรับความผิดที่เกิดจาก GDPR ไม่ควรนำมาเปรียบเทียบกับความผิดที่จอดรถเนื่องจากในอดีตอาจมีผลกระทบร้ายแรงต่อสังคมมากกว่าในยุคหลัง ตัวอย่างเช่น บริษัท ที่ขายข้อมูลส่วนบุคคลของลูกค้าให้กับโบรกเกอร์ข้อมูลอาจทำให้ชีวิตส่วนตัวของคนหลายล้านคนตกอยู่ในความเสี่ยง โบรกเกอร์ข้อมูลดังกล่าวอาจขายข้อมูลส่วนบุคคลให้กับผู้ส่งอีเมลขยะที่จะโจมตีแพลตฟอร์มของกลุ่มข้อมูลที่ไม่พึงประสงค์จึงบังคับให้พวกเขาเสียเวลาอันมีค่าในการอ่านและลบจดหมายขยะ การละเมิด GDPR อาจนำไปสู่การเผยแพร่ข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต ทุกวันนี้ข้อมูลส่วนบุคคลใด ๆ ที่เปิดเผยต่อสาธารณชนเกี่ยวกับบุคคลอาจมีผลกระทบด้านลบต่ออาชีพของบุคคลนั้น นี่เป็นเพราะนายจ้างมัก“ Google” ชื่อของพนักงานที่คาดหวังและข้อมูลส่วนบุคคลของพวกเขาเช่นภาพถ่ายที่ถ่ายในงานปาร์ตี้ของนักเรียนอาจทำให้นายจ้างประทับใจ
ไม่มีข้อบกพร่องไม่มีความเครียด - คู่มือแบบเป็นขั้นตอนเพื่อสร้างซอฟต์แวร์ที่เปลี่ยนแปลงชีวิตโดยไม่ทำลายชีวิตของคุณ
คุณไม่สามารถพัฒนาทักษะการเขียนโปรแกรมของคุณเมื่อไม่มีใครใส่ใจคุณภาพของซอฟต์แวร์
ดังนั้นหน่วยงานคุ้มครองข้อมูลของสหภาพยุโรปมีแนวโน้มที่จะกำหนดค่าปรับอย่างรุนแรงต่อผู้ละเมิดจีดีพี ค่าปรับ 50 ล้านยูโรและ 20,000 ยูโรที่ระบุไว้ข้างต้นอย่างชัดเจนบ่งชี้ว่าค่าปรับของหน่วยงานที่ไม่ปฏิบัติตามจะอยู่ในช่วงระหว่างพันถึงล้านยูโร (การไม่ปฏิบัติตามยังสามารถทำให้คุณเป็นเป้าหมายของอาชญากรรมทางไซเบอร์ได้เรียนรู้เพิ่มเติมในวิธีที่อาชญากรไซเบอร์ใช้ GDPR เป็นประโยชน์ในการขยาย บริษัท )
ความเชื่อที่ 5: หากฉันปฏิบัติตาม GDPR ฉันจะปฏิบัติตามกฎหมายความเป็นส่วนตัวของสหภาพยุโรปทั้งหมดโดยอัตโนมัติ
หนึ่งในเป้าหมายของ GDPR คือการสร้างกรอบทางกฎหมายของสหภาพยุโรปที่กลมกลืนซึ่งจะนำไปใช้โดยตรงในทุกประเทศในสหภาพยุโรป แม้ว่าเป้าหมายนี้จะประสบความสำเร็จในระดับหนึ่ง แต่แต่ละประเทศในสหภาพยุโรปยังคงมีดุลยพินิจเกี่ยวกับกฎหมายบางประการ ดังนั้นแต่ละประเทศในสหภาพยุโรปได้รับอนุญาตให้มีกฎเพิ่มเติมแยกต่างหากเกี่ยวกับ GDPR ในปัจจุบันมีกฎดังกล่าวอย่างน้อย 70 ข้อ หลายคนเกี่ยวข้องกับการประมวลผลข้อมูลพนักงาน ดังนั้น บริษัท ยินดีที่จะปฏิบัติตาม GDPR จำเป็นต้องปฏิบัติตามไม่เพียง แต่จะต้องสอดคล้องกับกฎระเบียบเสริมโดยประเทศในสหภาพยุโรปแต่ละบุคคลที่นำมาใช้
สรุปข้อสังเกต
หนังสือช่วยเหลือตนเองอาจมีประโยชน์มากเมื่อคำนึงถึงโดเมนต่าง ๆ เช่นจิตวิทยาการจัดการด้านการเงินส่วนบุคคลและการเริ่มต้นธุรกิจ อย่างไรก็ตามเราต้องระมัดระวังเกี่ยวกับสิ่งตีพิมพ์ใด ๆ ที่เสนอวิธีที่ง่ายในการปฏิบัติตาม GDPR สิ่งพิมพ์ดังกล่าวมักแพร่กระจายตำนานและทำให้ผู้อ่านเสี่ยงต่อการถูกปรับ มีคนเพียงไม่กี่คนที่พยายามปฏิบัติตามกฎหมายหลักทรัพย์ของสหรัฐอเมริกาและกฎระเบียบที่ครอบคลุมของหน่วยงานกำกับดูแลอุตสาหกรรมการเงินของสหรัฐอเมริกาโดยไม่ใช้บริการของผู้เชี่ยวชาญหลักทรัพย์ อย่างไรก็ตามหลายคนยังเชื่ออย่างไร้เดียงสาว่าพวกเขาสามารถปฏิบัติตาม GDPR (กฎหมายไม่ซับซ้อนน้อยกว่ากฎหมายหลักทรัพย์ของสหรัฐอเมริกา) โดยการซื้อเทมเพลตราคา $ 20 และโพสต์ไว้บนเว็บไซต์ของพวกเขา