GDPR หรือกฎระเบียบของสหภาพยุโรปเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลมีผลใช้บังคับเมื่อวันที่ 25 THของพฤษภาคม 2018 และควบคุมเรื่องนี้ในลักษณะเครื่องแบบ
การประยุกต์ใช้ GDPR ในอาณาเขตหมายถึง บริษัท ที่จัดตั้งขึ้นหรือมีสำนักงานในประเทศสมาชิกสหภาพยุโรปเป็นหลักไม่ว่าจะดำเนินการที่ใดก็ตาม อย่างไรก็ตามภายใต้สถานการณ์บางอย่างแอปพลิเคชันจะใช้กับ บริษัท ที่ไม่ได้จัดตั้งขึ้นในอาณาเขตของประเทศสมาชิก
การประมวลผลข้อมูลส่วนบุคคลจะต้องดำเนินการตามหลักการควบคุมการประมวลผลข้อมูลและต้องได้รับความยินยอมจากบุคคลธรรมดาที่ประมวลผลข้อมูล ความยินยอมควรไม่คลุมเครือโดยให้ผ่านคำแถลงหรือการยืนยันที่ชัดเจน หากได้รับความยินยอมก่อนวันที่ 25 พฤษภาคม 2018 เป็นไปตามเงื่อนไขที่ระบุไว้ของ GDPR ใหม่ถือว่าถูกต้องและ บริษัท ไม่จำเป็นต้องขอความยินยอมอีก
GDPR ไม่ได้ใช้กับการประมวลผลข้อมูลส่วนบุคคลโดยบุคคลธรรมดาในกิจกรรมส่วนตัวหรือในครัวเรือนเท่านั้นดังนั้นจึงไม่มีส่วนเกี่ยวข้องกับกิจกรรมทางวิชาชีพหรือเชิงพาณิชย์
บริษัท จะต้องปฏิบัติตามกฎของ GDPR หรือไม่นั้นขึ้นอยู่กับความเสี่ยงของการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานซึ่งอาจเกิดขึ้นได้จากการประมวลผลข้อมูล หลักขอบเขตของข้อมูลส่วนบุคคลจะถูกประมวลผลและความไวควรจะนำเข้าบัญชี ตัวอย่างเช่นหาก บริษัท ประมวลผลข้อมูลที่ละเอียดอ่อนจำนวนเล็กน้อยเกี่ยวกับสุขภาพของมนุษย์หรือข้อมูลส่วนบุคคลทั่วไปที่ไม่ละเอียดอ่อนจำนวนมาก บริษัท จะต้องใช้ GDPR
บริษัท ที่ได้รับอิทธิพลจากข้อกำหนด GDPR มากที่สุดคือ บริษัท ที่รวบรวมข้อมูลส่วนบุคคลเช่น บริษัท โซเชียลมีเดียร้านค้าปลีกออนไลน์ธนาคารซัพพลายเออร์ด้านพลังงาน บริษัท โทรคมนาคมเป็นต้น
ยิ่งไปกว่านั้น GDPR ยังห้ามการประมวลผลข้อมูลส่วนบุคคลซึ่งโดยธรรมชาติแล้วโดยเฉพาะอย่างยิ่งมีความละเอียดอ่อนที่เกี่ยวข้องกับสิทธิและเสรีภาพขั้นพื้นฐานเช่นข้อมูลที่เปิดเผยเชื้อชาติหรือชาติพันธุ์ความคิดเห็นทางการเมืองความเชื่อทางศาสนาหรือปรัชญาหรือการเป็นสมาชิกสหภาพแรงงานและ การประมวลผลข้อมูลทางพันธุกรรมข้อมูลไบโอเมตริกเพื่อจุดประสงค์ในการระบุบุคคลธรรมดาโดยไม่ซ้ำกันข้อมูลเกี่ยวกับสุขภาพหรือข้อมูลที่เกี่ยวข้องกับชีวิตทางเพศของบุคคลตามธรรมชาติหรือรสนิยมทางเพศ ซึ่งหมายความว่ากฎ GDPR อาจมีอิทธิพลต่อผู้มีส่วนได้ส่วนเสียซึ่งกิจกรรมต่างๆรวมถึงการให้บริการแก่อุตสาหกรรมด้านสุขภาพเช่น บริษัท ประกันภัย บริษัท ยาเป็นต้นการลอกเลียนแบบจากข้อห้ามทั่วไปในการประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษดังกล่าวได้รับอนุญาตในสถานการณ์ที่กำหนด
ค่าปรับทางปกครองสูงสุดที่สามารถเรียกเก็บได้สำหรับการไม่ปฏิบัติตาม GDRP คือ 20 ล้านยูโรหรือสูงถึง 4% ของมูลค่าการซื้อขายทั่วโลกต่อปีของปีการเงินที่ผ่านมาแล้วแต่จำนวนใดจะสูงกว่า
ภาระผูกพันของ บริษัท ที่จัดตั้งขึ้นในอาณาเขตของสหภาพยุโรป
ในบรรดา บริษัท ที่มีภาระผูกพันภายใต้ GDPR มีความแตกต่างระหว่างผู้ควบคุมที่มีชื่อและบัญชีที่ประมวลผลข้อมูลและผู้ประมวลผลที่ดำเนินการประมวลผลข้อมูลจริง ตัวอย่างเช่นโปรเซสเซอร์อาจเป็นคลังข้อมูลข้อมูลที่จัดเก็บข้อมูลในแพลตฟอร์มคลาวด์ที่เรียกว่าหรือ บริษัท ที่เกี่ยวข้องกับบริการจ่ายเงินเดือนหรือการวิเคราะห์ทางสถิติ ความสัมพันธ์ทางกฎหมายระหว่างตัวควบคุมและตัวประมวลผลถูกควบคุมโดยสัญญาซึ่งเนื้อหาถูกกำหนดไว้ใน GDPR และผู้ควบคุมมีหน้าที่ต้องตรวจสอบให้แน่ใจว่าโปรเซสเซอร์เคารพหลักการประมวลผลข้อมูลตามคำแนะนำของผู้ควบคุม
จำเป็นต้องใช้คอนโทรลเลอร์และตัวประมวลผลข้อมูลส่วนบุคคลเพื่อ:
- เคารพหลักการประมวลผลข้อมูลส่วนบุคคล
- แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลซึ่งจะทำหน้าที่ให้คำปรึกษาและควบคุมการใช้ GDPR ตลอดจนติดต่อกับหน่วยงานกำกับดูแล ในบางสถานการณ์ บริษัท จะได้รับการยกเว้นจากภาระผูกพันในการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล
- ใช้นโยบายภายในและใช้มาตรการทางเทคนิคและองค์กรเพื่อให้สอดคล้องกับ GDPR ในขั้นตอนแรกสุดของการออกแบบการดำเนินการประมวลผล (Data Protection by Design) รวมถึงในขั้นตอนต่อมาเมื่อมีการประมวลผลข้อมูลส่วนบุคคลเพื่อให้แน่ใจว่า ข้อมูลจะได้รับการประมวลผลด้วยการปกป้องความเป็นส่วนตัวสูงสุด (เช่นควรประมวลผลเฉพาะข้อมูลที่จำเป็นระยะเวลาการจัดเก็บสั้นการเข้าถึงที่ จำกัด ) ดังนั้นโดยค่าเริ่มต้นข้อมูลส่วนบุคคลจะไม่สามารถเข้าถึงได้โดยไม่ จำกัด จำนวนบุคคล (การปกป้องข้อมูลโดยค่าเริ่มต้น) GDPR ระบุมาตรการเหล่านี้
- เก็บบันทึกข้อมูลที่ประมวลผลในรูปแบบลายลักษณ์อักษรและอิเล็กทรอนิกส์ เนื้อหาของบันทึกได้รับการควบคุมโดยละเอียด ในบางสถานการณ์ บริษัท จะได้รับการยกเว้นจากภาระหน้าที่ในการเก็บบันทึก
- ในกรณีของการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศนอกอาณาเขตของสหภาพยุโรปหรือไปยังองค์กรระหว่างประเทศให้ปฏิบัติตามเงื่อนไขเฉพาะที่กำหนดไว้ใน GDPR หากคณะกรรมาธิการยุโรปไม่ได้ตัดสินว่าระดับการคุ้มครองข้อมูลส่วนบุคคลในประเทศหรือระหว่างประเทศนั้น ๆ องค์กรอยู่ในระดับที่น่าพอใจ
- แจ้งหน่วยงานกำกับดูแลเกี่ยวกับการละเมิดโดยไม่ชักช้าและที่ล่าสุดภายใน 72 ชั่วโมงหลังจากที่มีการตระหนักถึงการละเมิด ในบางสถานการณ์จะมีภาระผูกพันที่จะต้องแจ้งให้บุคคลที่ข้อมูลส่วนบุคคลถูกละเมิด
- ทำการประเมินผลกระทบต่อการละเมิดสิทธิและเสรีภาพของบุคคลธรรมดาเมื่อประมวลผลข้อมูลในบางสถานการณ์
บริษัท ที่ไม่ได้จัดตั้งขึ้นในอาณาเขตของสหภาพยุโรป
บริษัท ที่ไม่ได้จัดตั้งในดินแดนของประเทศสมาชิก (บริษัท นอกสหภาพยุโรป) อาจตกอยู่ภายใต้โดเมน GDPR ในสองกรณี
กรณีแรกคือหากพวกเขาประมวลผลข้อมูลส่วนบุคคลของบุคคลธรรมดาจากประเทศในสหภาพยุโรปและพวกเขาเสนอ / ทำการตลาดสินค้าหรือบริการให้กับพวกเขา GDPR อธิบายว่าเพียงความสามารถในการเข้าถึงเว็บไซต์ของผู้ควบคุมตัวประมวลผลหรือตัวกลางในสหภาพที่อยู่อีเมลหรือรายละเอียดการติดต่ออื่น ๆ หรือการใช้ภาษาที่ใช้โดยทั่วไปในประเทศที่สามที่มีการจัดตั้งตัวควบคุมนั้นไม่เพียงพอ เพื่อให้แน่ใจว่าผู้ควบคุมคาดการณ์ว่าจะเสนอสินค้าหรือบริการให้กับเจ้าของข้อมูลในสหภาพ หากมีการนำเสนอสินค้าและบริการในภาษาและสกุลเงินของประเทศสมาชิกถือได้ว่าผู้ควบคุมมีเจตนาที่จะทำสัญญากับบุคคลธรรมดาจากประเทศในสหภาพยุโรป บริษัท ที่ยอมรับการชำระเงินในสกุลเงินยูโรมีแนวโน้มที่จะถูกกำหนดเป้าหมายโดย GDPR
กรณีที่สองคือการตรวจสอบพฤติกรรมของบุคคลธรรมดาในดินแดนของสหภาพยุโรป (ที่เรียกว่าการทำโปรไฟล์) โดยเฉพาะอย่างยิ่งจะต้องมีการพิจารณาว่าพฤติกรรมนั้นได้รับการตรวจสอบบนอินเทอร์เน็ตหรือไม่และข้อมูลที่รวบรวมจะถูกนำไปใช้ในการทำนายพฤติกรรมในอนาคตหรือไม่
หาก บริษัท นอกสหภาพยุโรปตกอยู่ภายใต้หนึ่งในสองกรณีพวกเขาจำเป็นต้องปฏิบัติตามข้อผูกพันที่เกี่ยวข้องกับ บริษัท ที่จัดตั้งขึ้นในเขตแดนของสหภาพยุโรป (ภาระผูกพันที่อธิบายไว้ในส่วนแรกของข้อความ)
นอกจากนี้ บริษัท นอกสหภาพยุโรปมีหน้าที่ต้องแต่งตั้งตัวแทนในสหภาพยุโรปซึ่งต้องอาศัยการมีส่วนร่วมของทนายความจากบางประเทศสมาชิกสหภาพยุโรปหรือการจัดตั้งสำนักงานตัวแทนที่จะดำเนินการในนามของและสำหรับบัญชีของผู้ประมวลผลข้อมูล . ในบางสถานการณ์ บริษัท นอกสหภาพยุโรปจะไม่ต้องแต่งตั้งผู้แทน
เซอร์เบียมีภาระผูกพันในการจัดให้มีพระราชบัญญัติคุ้มครองข้อมูลสอดคล้องกับ GDPR ปัจจุบันรัฐบาลเซอร์เบียได้นำข้อเสนอใหม่นี้ไปใช้ซึ่งจะได้รับการดำเนินการเพิ่มเติมในขั้นตอนทางกฎหมายก่อนที่รัฐสภาแห่งชาติ
ขอแนะนำให้ทั้งสอง บริษัท ที่ดำเนินธุรกิจในตลาดในประเทศและ บริษัท ที่ดำเนินงานในระดับสากลตรวจสอบว่ากฎการปกป้องข้อมูลของตนสอดคล้องกับ GDPR หรือไม่โดยคำนึงถึงบทลงโทษที่สูงซึ่งเจ้าหน้าที่ผู้มีอำนาจสามารถกำหนดได้