ติดต่อฝ่ายขาย
eSignGlobaleSignGlobal
ศูนย์ความปลอดภัย
Home
 21 CFR Part 11
ซัพพลายเออร์ของ eSignGlobal

GDPR

คำอธิบายเกี่ยวกับการปฏิบัติตามข้อกำหนดด้านข้อมูลของสหภาพยุโรป

  1. ภาพรวมของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป

สหภาพยุโรปได้ประกาศใช้กฎระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป (GDPR) ในปี 2016 และมีผลบังคับใช้ในปี 2018 GDPR มีวัตถุประสงค์เพื่อปกป้องสิทธิในความเป็นส่วนตัวและสิทธิในการคุ้มครองข้อมูลของบุคคลทุกคนในสหภาพยุโรป GDPR มีผลบังคับใช้กับบริษัทและองค์กรทั้งหมดที่ประมวลผลข้อมูลส่วนบุคคล ไม่ว่าที่ตั้งทางภูมิศาสตร์จะเป็นอย่างไร ตราบใดที่กิจกรรมการประมวลผลข้อมูลเกี่ยวข้องกับข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป

(一)คำจำกัดความที่เกี่ยวข้อง

  1. ผู้ควบคุมข้อมูลคือบุคคลธรรมดา นิติบุคคล หน่วยงานภาครัฐ หน่วยงานบริหาร หรือองค์กรที่ไม่แสวงหาผลกำไรอื่น ๆ ที่สามารถตัดสินใจได้ด้วยตนเองหรือร่วมกันเกี่ยวกับวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคล มีหน้าที่รับผิดชอบในการตัดสินใจเกี่ยวกับวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคล แต่มาตรฐานเฉพาะควรได้รับการกำหนดโดยกฎหมายของสหภาพยุโรปหรือประเทศสมาชิก

  2. ผู้ประมวลผลข้อมูลหมายถึงบุคคลธรรมดา นิติบุคคล หน่วยงานภาครัฐ หน่วยงานบริหาร หรือองค์กรที่ไม่แสวงหาผลกำไรอื่น ๆ ที่ประมวลผลข้อมูลส่วนบุคคลให้กับผู้ควบคุมข้อมูล อย่างไรก็ตาม บางครั้งก็ยากที่จะระบุว่าหน่วยงานใดเป็นผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล

3、ข้อมูลส่วนบุคคลหมายถึงข้อมูลใด ๆ ที่อ้างอิงถึงบุคคลธรรมดาที่ระบุตัวตนได้หรือสามารถระบุตัวตนได้ (“เจ้าของข้อมูล”) GDPR ขยายขอบเขตของข้อมูลส่วนบุคคล ตามขอบเขตที่กำหนดโดย GDPR ข้อมูลส่วนบุคคลยังรวมถึงลายนิ้วมือดิจิทัล (เช่น ที่อยู่ IP และ Cookie) นอกจากนี้ ข้อมูลทางพันธุกรรมหรือข้อมูลชีวมิติยังรวมอยู่ในหมวดหมู่ของ “ข้อมูลที่ละเอียดอ่อน”

4、GDPR ระบุอย่างชัดเจนว่าข้อมูลส่วนบุคคลที่ละเอียดอ่อนควรได้รับการคุ้มครองในระดับสูง ข้อมูลเหล่านี้ประกอบด้วย: เชื้อชาติและชาติพันธุ์ของบุคคล ความคิดเห็นทางการเมือง ความเชื่อทางศาสนาและปรัชญา สมาชิกสหภาพแรงงาน ข้อมูลทางพันธุกรรม ข้อมูลชีวมิติ ข้อมูลสุขภาพ ข้อมูลเกี่ยวกับชีวิตทางเพศหรือรสนิยมทางเพศ และข้อมูลประวัติอาชญากรรม และสถานพยาบาลมักจะต้องปฏิบัติตามข้อกำหนดด้านการคุ้มครองข้อมูลที่สูงขึ้น

  1. เนื้อหาหลัก

(一)องค์กรต้องปฏิบัติตามขั้นตอนต่อไปนี้เพื่อให้เป็นไปตามข้อกำหนด GDPR:

(1)การตรวจสอบข้อมูล: ตรวจสอบกิจกรรมการประมวลผลข้อมูลที่มีอยู่เพื่อให้แน่ใจว่าเข้าใจแหล่งที่มา วัตถุประสงค์ในการใช้งาน และระยะเวลาการจัดเก็บข้อมูลส่วนบุคคล

(2)การอัปเดตนโยบายความเป็นส่วนตัว: อัปเดตนโยบายความเป็นส่วนตัวเพื่อให้แน่ใจว่าเนื้อหาสอดคล้องกับข้อกำหนด GDPR และแจ้งให้ผู้ใช้ทราบอย่างชัดเจนเกี่ยวกับวิธีการประมวลผลข้อมูล

(3)การสร้างกลไกการปฏิบัติตามข้อกำหนด: สร้างระบบการจัดการการคุ้มครองข้อมูลเพื่อให้แน่ใจว่ากิจกรรมการประมวลผลข้อมูลทั้งหมดเป็นไปตามหลักการของ GDPR

(4)การฝึกอบรมพนักงาน: ฝึกอบรมพนักงานเกี่ยวกับ GDPR และความรู้ที่เกี่ยวข้องกับการคุ้มครองข้อมูล เพื่อเพิ่มความตระหนักในการปฏิบัติตามข้อกำหนด

การตรวจสอบและการทบทวน: ตรวจสอบกิจกรรมการประมวลผลข้อมูลเป็นประจำเพื่อให้แน่ใจว่าสอดคล้องกับข้อกำหนด GDPR อย่างต่อเนื่อง

  1. การประมวลผลข้อมูลส่วนบุคคล เมื่อใดจึงจะประมวลผลข้อมูลส่วนบุคคลได้อย่างถูกกฎหมาย

ตามข้อกำหนดของ GDPR มาตรา 6 การประมวลผลข้อมูลส่วนบุคคลต้องเป็นไปตามหลักเกณฑ์ทางกฎหมาย 6 ประการดังต่อไปนี้:

(1)เจ้าของข้อมูลยินยอมให้ประมวลผลข้อมูลส่วนบุคคลของเขาหรือเธอเพื่อวัตถุประสงค์เฉพาะอย่างน้อยหนึ่งอย่าง

(2) การประมวลผลเป็นสิ่งจำเป็นสำหรับการปฏิบัติตามสัญญาที่เจ้าของข้อมูลมีส่วนร่วม หรือการประมวลผลเป็นมาตรการที่ดำเนินการตามคำขอของเจ้าของข้อมูลก่อนทำสัญญา

(3)การประมวลผลเป็นสิ่งจำเป็นสำหรับการปฏิบัติตามภาระผูกพันทางกฎหมายที่ผู้ควบคุมข้อมูลต้องปฏิบัติตาม

(4)การประมวลผลเป็นสิ่งจำเป็นเพื่อปกป้องผลประโยชน์ที่สำคัญของเจ้าของข้อมูลหรือบุคคลธรรมดาอื่น

(5)การประมวลผลเป็นสิ่งจำเป็นสำหรับการดำเนินงานในด้านผลประโยชน์สาธารณะหรือการใช้อำนาจหน้าที่ทางราชการที่ผู้ควบคุมข้อมูลกำหนดไว้

(6)การประมวลผลเป็นสิ่งจำเป็นสำหรับผู้ควบคุมข้อมูลหรือบุคคลที่สามในการแสวงหาผลประโยชน์ที่ชอบด้วยกฎหมาย เว้นแต่ผลประโยชน์นี้ถูกแทนที่ด้วยผลประโยชน์หรือสิทธิขั้นพื้นฐานและเสรีภาพของเจ้าของข้อมูลที่ต้องการการปกป้องข้อมูลส่วนบุคคล โดยเฉพาะอย่างยิ่งในกรณีที่เจ้าของข้อมูลเป็นเด็ก (หมายเหตุ: ข้อนี้ใช้ไม่ได้กับการประมวลผลที่ดำเนินการโดยหน่วยงานของรัฐในการปฏิบัติหน้าที่)

การได้รับความยินยอมล่วงหน้าเป็นเงื่อนไขที่สำคัญที่สุดสำหรับบริษัทในการประมวลผลข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรปอย่างถูกกฎหมาย ตัวอย่างเช่น เมื่อเผชิญกับการปฏิบัติตาม GDPR Facebook ควรพยายามขอความยินยอมมากกว่าที่จะปฏิบัติตามหลักการลดปริมาณข้อมูล

การได้รับความยินยอมจะต้องพิสูจน์ได้ ต้องแยกออกจากเรื่องอื่นอย่างชัดเจน และสามารถเพิกถอนได้ สิ่งที่ควรทราบคือ การประมวลผลข้อมูลที่ละเอียดอ่อนต้องได้รับความยินยอมอย่างชัดแจ้ง ความยินยอมที่คลุมเครือหรือ “ครอบคลุมทั้งหมด” ถือเป็นโมฆะ บริษัทต้องนำเสนอภาษาที่เข้าใจง่ายแก่เจ้าของข้อมูลเพื่อให้พวกเขาเลือกว่าจะยินยอมให้ประมวลผลข้อมูลส่วนบุคคลหรือไม่ ด้วยเหตุนี้ อย่างน้อยในทางทฤษฎี คำขอที่คลุมเครือ เต็มไปด้วยศัพท์เฉพาะ และความยินยอมระยะยาวจะไม่มีอยู่อีกต่อไป

นอกจากนี้ การนิ่งเฉย การเลือกไว้ล่วงหน้า หรือการไม่กระตือรือร้น ไม่ถือเป็นความยินยอมที่ถูกต้อง เมื่อผู้ใช้ต้องเลือกหรือให้ความยินยอมทางโทรศัพท์ นี่ถือเป็นการเลือกที่ชัดเจน

ผู้เยาว์ที่มีอายุต่ำกว่า 16 ปีไม่มีสิทธิในการให้ความยินยอมตามกฎหมาย แต่ประเทศสมาชิกสหภาพยุโรปสามารถผ่อนปรนข้อจำกัดด้านอายุนี้ได้ถึง 13 ปี

(二)การถ่ายโอนข้อมูลส่วนบุคคลข้ามพรมแดน

1、การถ่ายโอนภายในสหภาพยุโรป

ในกรณีของการถ่ายโอนข้อมูลส่วนบุคคลภายในสหภาพยุโรป GDPR จะไม่กำหนดข้อกำหนดเพิ่มเติมใดๆ เกี่ยวกับการบังคับใช้โดยตรงของ GDPR อย่างไรก็ตาม เมื่อผู้ควบคุมข้อมูลว่าจ้างผู้ประมวลผล ความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลจะต้องได้รับการควบคุมโดยข้อตกลง และต้องปฏิบัติตามมาตรฐานขั้นต่ำที่กำหนดโดย GDPR ในสถานการณ์เหล่านี้ ข้อตกลงระหว่างผู้ประมวลผลและผู้ประมวลผล (GDPR มาตรา 28) กำหนดหัวข้อและระยะเวลาของการประมวลผล ลักษณะและวัตถุประสงค์ของการประมวลผล ประเภทของข้อมูลส่วนบุคคลและประเภทของเจ้าของข้อมูล ตลอดจนภาระผูกพันและสิทธิของผู้ควบคุมข้อมูล

  1. การถ่ายโอนข้อมูลนอกสหภาพยุโรป: ขั้นตอนในการปฏิบัติตาม GDPR

สำหรับ การถ่ายโอนข้อมูลนอกสหภาพยุโรป GDPR ได้คาดการณ์ถึงสถานการณ์เฉพาะที่การถ่ายโอนดังกล่าวสามารถเกิดขึ้นได้ โดยเฉพาะอย่างยิ่ง องค์กรที่เกี่ยวข้องกับการถ่ายโอนข้อมูลส่วนบุคคลนอกสหภาพยุโรปจะต้องตรวจสอบ

ว่าคณะกรรมาธิการยุโรปมีการตัดสินใจที่เพียงพอหรือไม่ และหากไม่มี ให้จัดหาการรับประกันเพิ่มเติมผ่านข้อตกลงตามสัญญา

(1) คณะกรรมาธิการยุโรปสามารถออกการตัดสินใจเกี่ยวกับระดับการคุ้มครองข้อมูลในประเทศ/ภูมิภาคที่ไม่ใช่สหภาพยุโรป (เช่น EU-US Privacy Shield) การตัดสินใจเหล่านี้ขึ้นอยู่กับการประเมินอย่างละเอียดว่าประเทศที่สามมีการรับประกันทางกฎหมายที่เพียงพอซึ่งเทียบเท่ากับสหภาพยุโรปหรือไม่ ผลของการตัดสินใจที่เพียงพอคือการขจัดอุปสรรคใดๆ ในการถ่ายโอนข้อมูลจากสหภาพยุโรป (รวมถึงนอร์เวย์ ลิกเตนสไตน์ และไอซ์แลนด์) ไปยังประเทศที่สามนั้น โดยไม่ต้องมีข้อกำหนดด้านการคุ้มครองข้อมูลเพิ่มเติมใดๆ

(2) การโอนย้ายต้องเป็นไปตามการป้องกันที่เหมาะสม

หากประเทศที่สามไม่อยู่ในขอบเขตของการตัดสินใจที่เพียงพอ องค์กรในสหภาพยุโรปควรพิจารณาทางเลือกอื่นต่อไปนี้:

1) ข้อสัญญามาตรฐาน ** คณะกรรมาธิการยุโรปยังสามารถนำข้อสัญญามาตรฐานมาใช้เพื่ออำนวยความสะดวกให้ผู้ควบคุมข้อมูลในสหภาพยุโรปในการให้ความคุ้มครองข้อมูลที่เพียงพอเมื่อถ่ายโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมหรือผู้ประมวลผลข้อมูลที่ไม่ใช่สหภาพยุโรป จนถึงขณะนี้ คณะกรรมาธิการยุโรปได้เผยแพร่ข้อสัญญามาตรฐานสองชุด: การถ่ายโอนข้อมูลจากผู้ควบคุมข้อมูลในสหภาพยุโรปไปยังผู้ควบคุมข้อมูลที่ไม่ใช่สหภาพยุโรปหรือ EEA และการถ่ายโอนจากผู้ควบคุมข้อมูลในสหภาพยุโรปไปยังผู้ประมวลผลข้อมูลที่ไม่ใช่สหภาพยุโรปหรือ EEA หน่วยงานคุ้มครองข้อมูลยังสามารถนำข้อกำหนดตัวอย่างมาใช้ได้ อย่างไรก็ตาม ข้อกำหนดเหล่านี้ต้องได้รับการอนุมัติจากคณะกรรมาธิการ สุดท้ายแต่ไม่ท้ายสุด การถ่ายโอนข้ามพรมแดนยังสามารถทำได้ภายใต้ข้อกำหนดตามสัญญาล่วงหน้าที่ตกลงกันระหว่างผู้ส่งออกข้อมูลและผู้นำเข้าข้อมูล ซึ่งจะต้องได้รับการอนุมัติจาก DPA ที่มีอำนาจ

2) กฎเกณฑ์ขององค์กรที่มีผลผูกพัน (BCR) ** หากข้อมูลส่วนบุคคลถูกถ่ายโอนจากหน่วยงานของบริษัทหนึ่งไปยังอีกหน่วยงานหนึ่ง (โดยไม่คำนึงถึงภูมิภาค) การถ่ายโอนข้อมูลจะดำเนินการตามกฎเกณฑ์ขององค์กรที่มีผลผูกพัน (BRC) กฎเกณฑ์ขององค์กรที่มีผลผูกพันคือกฎเกณฑ์ที่มีผลผูกพันทางกฎหมายซึ่งได้รับการอนุมัติจากหน่วยงานกำกับดูแลที่มีอำนาจ ซึ่งควบคุมการถ่ายโอนและการประมวลผลข้อมูลส่วนบุคคลภายในกลุ่มบริษัทหรือกลุ่มองค์กรที่เกี่ยวข้องกับกิจกรรมทางเศรษฐกิจร่วมกัน และพนักงานของพวกเขา (รวมถึงผู้ที่ตั้งอยู่นอกสหภาพยุโรป) อาณาเขต เมื่อเทียบกับข้อสัญญามาตรฐาน ข้อได้เปรียบของ BCR คือเมื่อได้รับการอนุมัติจากหน่วยงานคุ้มครองข้อมูลแล้ว การถ่ายโอนภายในกลุ่มในอนาคตทั้งหมดสามารถทำได้โดยไม่คำนึงถึงภูมิภาค โดยไม่ต้องมีข้อกำหนดเพิ่มเติมใดๆ

การป้องกันเพิ่มเติม นอกเหนือจากตัวเลือกที่กล่าวมาข้างต้น GDPR ยังได้แนะนำเครื่องมือความเพียงพอทางเลือกสองอย่างสำหรับการถ่ายโอนข้อมูล: กลไกการรับรองที่ได้รับการอนุมัติและหลักปฏิบัติที่ได้รับการอนุมัติ กลไกทั้งสองอนุญาตให้ถ่ายโอนข้อมูลได้ โดยมีเงื่อนไขว่าผู้นำเข้าข้อมูลให้คำมั่นสัญญาที่มีผลผูกพันและบังคับใช้ได้เพื่อให้มีการป้องกันที่เหมาะสมสำหรับการใช้งานการคุ้มครองข้อมูล

(3) ข้อยกเว้นการถ่ายโอนข้อมูล

ในหลายกรณี การถ่ายโอนข้อมูลส่วนบุคคลสามารถทำได้โดยไม่มีกลไกการถ่ายโอนที่กล่าวมาข้างต้น สถานการณ์เหล่านี้มีจำกัด รวมถึงสถานการณ์ต่อไปนี้:

  1. ผู้ถูกควบคุมข้อมูลให้ความยินยอมอย่างชัดแจ้ง

  2. การโอนเป็นสิ่งจำเป็นสำหรับการทำสัญญาหรือปฏิบัติตามสัญญา

  3. มีเหตุผลสำคัญที่เป็นประโยชน์ต่อสาธารณะ

  4. มีความจำเป็นในการจัดตั้ง ใช้ หรือปกป้องการเรียกร้องทางกฎหมาย

  5. มีความจำเป็นต่อผลประโยชน์ที่สำคัญของผู้ควบคุมข้อมูลหรือบุคคลอื่น;

  6. เกี่ยวข้องกับข้อมูลที่จดทะเบียนต่อสาธารณะ;

นอกจากนี้ GDPR ยังได้นำข้อจำกัดใหม่มาใช้กับการถ่ายโอนที่ไม่ซ้ำซ้อนซึ่งเกี่ยวข้องกับจำนวนผู้ควบคุมข้อมูลที่จำกัด ซึ่งก็คือการลดหย่อน อนุญาตให้ถ่ายโอนได้โดยไม่มีพื้นฐานทางกฎหมายอื่นใด เมื่อมีวัตถุประสงค์เพื่อผลประโยชน์ที่ชอบด้วยกฎหมายของผู้ส่งออกข้อมูลที่บังคับ และผลประโยชน์ที่ชอบด้วยกฎหมายของผู้ควบคุมข้อมูลไม่ได้ถูกแทนที่ และผู้ส่งออกให้การรับประกันที่เพียงพอสำหรับข้อมูลที่ถ่ายโอน ในกรณีนี้ ผู้ส่งออกจะต้องแจ้งให้สำนักงานคุ้มครองข้อมูลและผู้ควบคุมข้อมูลที่เกี่ยวข้องทราบถึงสถานการณ์เกี่ยวกับการถ่ายโอน

ติดต่อเรา
ปรึกษา WhatsApp
สมัครเพื่อขอรับการสาธิต
ผลิตภัณฑ์
ผู้ช่วย AI
คุณสมบัติหลัก
อุตสาหกรรม
กรณีศึกษาลูกค้า
การเปรียบเทียบ
ทรัพยากร
ลิงก์:อี-ซิกเนเจอร์ |อาลีบาบา คลาวด์ |AWS |หัวเว่ย คลาวด์
นโยบายความเป็นส่วนตัว |ข้อกำหนดในการให้บริการ |ข้อตกลงระดับการให้บริการ
Copyright © 2025 eSignGlobal. All Rights Reserved.