เพื่อรักษาความปลอดภัยของข้อมูลผู้บริโภค สหภาพยุโรป (EU) ได้บังคับใช้กฎหมายคุ้มครองความเป็นส่วนตัวและความปลอดภัยที่เข้มงวด ซึ่งรู้จักกันในชื่อ ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป (GDPR) ระเบียบว่าด้วยข้อมูลทั่วไปกำหนดและบังคับใช้สิทธิของพลเมืองสหภาพยุโรปเกี่ยวกับข้อมูลส่วนบุคคลของพวกเขา เป็นการนำมาตรฐานด้านความรับผิดชอบ ความปลอดภัย และความโปร่งใสมาใช้ในการใช้ข้อมูลดังกล่าว

บริษัทระดับโลกที่ดำเนินงานในสหภาพยุโรปหรือจัดการข้อมูลส่วนบุคคลจากสหภาพยุโรปจำเป็นต้องเข้าใจว่า ระเบียบว่าด้วยข้อมูลทั่วไปจะส่งผลกระทบต่อพวกเขาอย่างไร และวิธีการรักษาระเบียบว่าด้วยข้อมูลทั่วไป โดยทั่วไปกฎระเบียบ

แง่มุมหนึ่งของกฎหมายดังกล่าวคือการดำเนินการตามข้อตกลงการประมวลผลข้อมูล (DPA) โครงสร้างว่าด้วยข้อมูลทั่วไปข้อตกลงการประมวลผลข้อมูลระบุรายละเอียด กฎ สิทธิ์ และภาระผูกพันที่เกี่ยวข้องกับกิจกรรมการประมวลผลข้อมูล ช่วยให้แน่ใจว่าบริษัทตามกฎข้อบังคับ รักษาความปลอดภัยข้อมูล และปกป้องผู้บริโภคและความพึงพอใจ

คู่มือนี้จะอธิบายรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการทำงานของข้อตกลงระงับข้อพิพาท (DPA) และสิ่งที่ควรระบุไว้ใน DPA

DPA ภายใต้ระเบียบว่าด้วยข้อมูลทั่วไปคืออะไร?

ข้อตกลงการประมวลผลข้อมูลคือสัญญาที่ลงนามระหว่างผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลที่จะจัดการข้อมูลของพวกเขา จำเป็นสำหรับระเบียบว่าด้วยข้อมูลทั่วไปตามกฎข้อบังคับ

ข้อตกลงการประมวลผลข้อมูล (DPA) จะระบุลักษณะ วัตถุประสงค์ และระยะเวลาของกิจกรรมการประมวลผลที่จะเกิดขึ้น นอกจากนี้ยังระบุประเภทของข้อมูลส่วนบุคคลที่จะถูกประมวลผล และหมวดหมู่ของบุคคลที่เป็นเจ้าของข้อมูลนั้นด้วย เอกสารนี้กำหนดสิทธิและหน้าที่ที่ผู้ควบคุมข้อมูลจะมี สามารถระบุถึงการใช้มาตรการรักษาความปลอดภัยทางเทคนิค เช่น ระดับการเข้ารหัสที่แน่นอน ซึ่งจำเป็นต้องมีไว้ใช้ได้

DPA มีผลผูกพันทางกฎหมาย และผู้ควบคุมและประมวลผลข้อมูลต้องปฏิบัติตาม มิฉะนั้นอาจเสี่ยงต่อการลงโทษอย่างรุนแรง

ประโยชน์หลักของข้อตกลงคุ้มครองข้อมูลส่วนบุคคล (DPA) คือการรับประกันคุณสมบัติและความน่าเชื่อถือของผู้ประมวลผลข้อมูล บริษัทต่างๆ จำเป็นต้องมั่นใจว่าข้อมูลของตนได้รับการดูแลอย่างดี เป็นส่วนตัว และปลอดภัยจากการสอดแนมของบุคคลภายนอก ข้อตกลงการเลื่อนการบังคับใช้กฎหมาย (DPA) ช่วยให้เกิดความมั่นใจในเรื่องเหล่านี้ได้

โครงสร้างว่าด้วยข้อมูลทั่วไปและข้อกำหนด DPA มีแนวโน้มที่จะมีผลกระทบอย่างมีนัยสำคัญต่อการดำเนินธุรกิจในอนาคต ธุรกรรมทางธุรกิจอาจเปลี่ยนแปลงไป เนื่องจากข้อจำกัดในการเก็บรวบรวมข้อมูลส่วนบุคคล การสื่อสารเกี่ยวกับการเก็บรวบรวมและการจัดเก็บข้อมูลกลายเป็นสิ่งจำเป็น และความสัมพันธ์กับบุคคลที่สามจำเป็นต้องมีสัญญาที่เข้มงวดมากขึ้น บริษัทแต่ละแห่งและแผนกบุคคลจะรู้สึกถึงผลกระทบอย่างกว้างขวางเมื่อปรับกระบวนการให้สอดคล้องกับระเบียบว่าด้วยข้อกำหนดทั่วไปของข้อมูลทั่วไป

ข้อดีของระเบียบว่าด้วยข้อกำหนดของข้อมูลทั่วไปก็คือความไว้วางใจอาจเจริญรุ่งเรืองในธุรกิจ เนื่องจากผู้คนมีความมั่นใจมากขึ้นในความเป็นส่วนตัวและการปกป้องข้อมูลของตน

เมื่อใดจึงจำเป็นต้องมีข้อตกลงการประมวลผลข้อมูล?

คุณต้องการข้อตกลงการประมวลผลข้อมูลหรือไม่? คุณอาจทำได้หากคุณจัดการข้อมูลส่วนบุคคลในหรือจากสหภาพยุโรป

ภายใต้ระเบียบว่าด้วยข้อมูลทั่วไป เอกสาร DPA มีผลบังคับใช้เมื่อใดก็ตามที่บุคคลหรือองค์กรให้ข้อมูลส่วนบุคคลแก่ผู้ให้บริการบุคคลที่สามสำหรับบริการการทำงานร่วมกัน ฝ่ายใดก็ตามที่ทำหน้าที่เป็นผู้ประมวลผลข้อมูลจะต้องลงนามในข้อตกลงการประมวลผลข้อมูล (DPA) กับผู้ควบคุมข้อมูล

ตัวอย่างเช่น ในสหภาพยุโรป ผู้ให้บริการโฮสติ้งเว็บไซต์จะต้องลงนามในข้อตกลงคุ้มครองข้อมูลส่วนบุคคล (DPA) กับบริษัทที่เป็นเจ้าของเว็บไซต์นั้น บริษัทที่ประมวลผลข้อมูลส่วนบุคคลเพื่อทำการตลาดแบบเจาะกลุ่มเป้าหมายจะต้องลงนามในข้อตกลงการประมวลผลข้อมูล (DPA) ด้วย

ด้านล่างนี้คือบริการทางธุรกิจและสถานการณ์ทั่วไปอื่นๆ ที่จำเป็นต้องใช้ DPA:

  • การจัดการอีเมล การจ้างบุคคลภายนอก
  • โซลูชันการประมวลผลข้อมูลทางเทคนิคสำหรับงานบัญชีการเงินและเงินเดือน
  • บริการสำรองข้อมูล ไม่ว่าจะผ่านเซิร์ฟเวอร์ทางกายภาพหรือบนระบบคลาวด์
  • การรวบรวมข้อมูลหรือการแปลงข้อมูลเป็นดิจิทัลผ่านผู้ให้บริการภายนอก
  • การกำจัดฮาร์ดแวร์เก่าที่มีสาระสำคัญ

ในบางกรณี โครงสร้างว่าด้วยข้อมูลทั่วไปอาจต้องใช้ DPA สำหรับบริษัทนอกยุโรป ข้อกำหนดนี้จะมีผลบังคับใช้ทุกครั้งที่มีการเกี่ยวข้องกับข้อมูลของสหภาพยุโรป ตัวอย่างเช่น บริษัทที่ตั้งอยู่ในแคนาดาอาจต้องปฏิบัติตามข้อกำหนดของ DPA หากบริษัทนั้นจัดการข้อมูลที่เกี่ยวข้องกับพลเมืองของสหภาพยุโรป

เมื่อใดจึงไม่จำเป็นต้องใช้ DPA?

ตารางแสดงกรณีที่ไม่จำเป็นต้องใช้ DPA (ข้อตกลงการคุ้มครองข้อมูล) ซึ่งรวมถึงความร่วมมือ บริการพอร์ทัล หน่วยงานจัดเก็บหนี้ และการจัดการข้อมูลร่วมกันจากหลายบริษัท

ในบางสถานการณ์ ไม่จำเป็นต้องใช้ DPA (Data Protection Agreement) ระบบเหล่านี้มีระบบป้องกันในตัวอยู่แล้ว จึงไม่จำเป็นต้องใช้การคุ้มครองตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (DPA) โปรดพิจารณาสิ่งต่อไปนี้เพื่อทำความเข้าใจภาระผูกพันของบริษัทในสถานการณ์เหล่านี้ได้ดียิ่งขึ้น:

  1. การเป็นพันธมิตรกับกลุ่มวิชาชีพที่มีข้อกำหนดด้านการรักษาความลับ: ในหลายๆ วิชาชีพ แนวปฏิบัติที่ดีที่สุดคือให้ผู้ให้บริการมีข้อตกลงการรักษาความลับเฉพาะอุตสาหกรรมที่ปรับแต่งให้เหมาะสม ซึ่งครอบคลุมมาตรการรักษาความปลอดภัยและข้อกำหนดด้านความเป็นส่วนตัวทั้งหมดที่ข้อตกลงคุ้มครองข้อมูลส่วนบุคคล (DPA) กำหนดไว้ อาชีพบางประเภทที่มักใช้ข้อตกลงรักษาความลับ ได้แก่ กฎหมาย การให้คำปรึกษาด้านภาษี และการตรวจสอบบัญชีทางการเงิน บริการด้านการดูแลสุขภาพหลายแห่งมักมาพร้อมกับข้อตกลงการรักษาความลับที่เข้มงวดของตนเองด้วย
  2. บริการพอร์ทัล: บริการที่ทำหน้าที่เพียงแค่เชื่อมต่อบุคคลหรือหน่วยงานต่างๆ โดยทั่วไปแล้วจะได้รับการยกเว้นจากข้อกำหนดของ DPA (กฎหมายคุ้มครองข้อมูลส่วนบุคคล) บริการจับคู่แบบมืออาชีพเหล่านี้ไม่ยั่งยืนนัก ดังนั้น DPA จึงแทบไม่มีประโยชน์อะไรเลย ตัวอย่างเช่น ผู้สรรหาบุคลากรก็จัดอยู่ในประเภทนี้ พวกเขามีหน้าที่เพียงแค่เชื่อมโยงผู้ที่กำลังมองหางานกับบริษัทที่กำลังมองหาสมาชิกทีมใหม่ที่มีความสามารถ สถานการณ์นี้ทำให้ไม่จำเป็นต้องทำข้อตกลงคุ้มครองข้อมูลส่วนบุคคล (DPA) กับผู้สรรหาบุคลากร
  3. ทำงานร่วมกับบริษัททวงหนี้: บริษัททวงหนี้จะเข้าถึงข้อมูลทางการเงินส่วนบุคคลและข้อมูลทางการแพทย์ได้ เนื่องจากบริษัททวงหนี้แยกต่างหากจากเจ้าหนี้เดิมและดำเนินการทวงหนี้เพื่อผลประโยชน์ของตนเอง จึงได้รับการยกเว้นจากข้อกำหนดของ DPA (ข้อตกลงระงับการชำระหนี้ตามกำหนด) หากหน่วยงานทวงหนี้เหล่านั้นทำงานในนามของเจ้าหนี้เดิม พวกเขาจะต้องลงนามในข้อตกลงระงับการชำระหนี้ (DPA)
  4. การจัดการข้อมูลร่วมกันจากหลายบริษัท: ในบางกรณี บริษัทต่างๆ ทำงานร่วมกันเป็นกลุ่มเพื่อจัดการชุดข้อมูล สถานการณ์นี้มักเกิดขึ้นเมื่อบริษัทต่างๆ มีสิทธิ์เข้าถึงข้อมูลร่วมกันจากซัพพลายเออร์ ผลิตภัณฑ์ หรือข้อมูลลูกค้าเป้าหมาย แม้ว่าบริษัททั้งสองจะเป็นคู่แข่งกัน แต่พวกเขาก็ใช้ข้อมูลเดียวกันเพื่อวัตถุประสงค์ทั่วไปที่เหมือนกัน ปริมาณการใช้งานข้อมูลในระดับนี้โดยทั่วไปหมายความว่าไม่จำเป็นต้องมีข้อตกลงคุ้มครองข้อมูลส่วนบุคคล (DPA)
  5. การทดลองทางคลินิก: การทดลองทางคลินิกขนาดใหญ่ด้านเภสัชกรรมมักไม่ใช้ DPA เนื่องจากมีผู้เกี่ยวข้องจำนวนมาก แพทย์ ศูนย์วิจัย และผู้สนับสนุน ต่างก็สามารถเข้าถึงข้อมูลของผู้ป่วยได้ และแต่ละแห่งก็ประมวลผลข้อมูลเหล่านั้นแตกต่างกันไปตามความต้องการของตนเอง ข้อมูลที่รวบรวมได้นั้นโดยทั่วไปแล้วยังใช้ประโยชน์ได้หลากหลายตลอดการทดลองทางคลินิก ในสถานการณ์เช่นนี้ โดยทั่วไปแล้วข้อตกลงระงับข้อพิพาท (DPA) จะไม่สามารถนำมาใช้ได้

ใครคือผู้ควบคุมข้อมูล?

ข้อตกลง DPA ทุกฉบับเกิดขึ้นระหว่างผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล ผู้ควบคุมข้อมูล คือ องค์กรหรือบุคคลที่กำหนดวิธีการและเหตุผลในการประมวลผลข้อมูลส่วนบุคคล หากบริษัทของคุณตัดสินใจส่งข้อมูลไปยังบุคคลที่สามเพื่อสำรองข้อมูลบนเซิร์ฟเวอร์ของบุคคลที่สามนั้น บริษัทของคุณจะเป็นผู้ควบคุมข้อมูล

คุณลักษณะเด่นของผู้ควบคุมข้อมูลคืออำนาจในการตัดสินใจ ผู้ควบคุมข้อมูลจะทำการตัดสินใจโดยรวมเกี่ยวกับเหตุผลในการเก็บรวบรวมข้อมูลและวิธีการประมวลผลข้อมูลส่วนบุคคล

ในสถานการณ์ส่วนใหญ่ บริษัทหรือองค์กรจะเป็นผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูลเป็นหน่วยงานแยกต่างหากที่ทำสัญญากับบริษัท บุคคล เช่น เจ้าของกิจการคนเดียวหรือผู้ประกอบอาชีพอิสระ อาจเป็นผู้ควบคุมข้อมูลได้ หากบุคคลนั้นเป็นผู้ตัดสินใจเกี่ยวกับการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคล

ใครคือผู้ประมวลผลข้อมูล?

ผู้ประมวลผลข้อมูลคือบุคคลที่สามซึ่งทำหน้าที่ประมวลผลข้อมูลให้กับผู้ควบคุมข้อมูล ในสถานการณ์ข้างต้น หากบริษัทของคุณตัดสินใจส่งข้อมูลของคุณออกไปสำรองข้อมูล บริษัทที่ให้บริการสำรองข้อมูลนั้นจะเป็นผู้ประมวลผลข้อมูล

ตัวประมวลผลข้อมูลสามารถมีได้หลายรูปแบบ อาจเป็นบริษัท บุคคล หรือหน่วยงานภาครัฐ เกณฑ์ที่เกี่ยวข้องคือ บุคคลหรือหน่วยงานนั้นประมวลผลข้อมูลในนามของผู้ควบคุมข้อมูลหรือไม่

เอกสาร DPA ประกอบด้วยอะไรบ้าง?

บทความ 28-36 ของระเบียบว่าด้วยข้อมูลทั่วไประบุว่าภาระผูกพันตามสัญญาใดบ้างที่บังคับสำหรับผู้ประมวลผลข้อมูลภายใต้ระเบียบว่าด้วยกฎ DPA ของข้อมูลทั่วไป ด้านล่างนี้คือข้อกำหนดบางส่วนที่จำเป็นในข้อตกลงการระงับข้อพิพาท (DPA):

1. การวิเคราะห์รายละเอียดการจัดการข้อมูลอย่างครบถ้วน

ข้อตกลงการประมวลผลข้อมูล (DPA) ควรให้รายละเอียดอย่างครบถ้วนเกี่ยวกับวิธีการดำเนินการในทุกแง่มุมของการประมวลผลข้อมูล ข้อตกลงการคุ้มครองข้อมูลควรระบุข้อมูลที่ชัดเจนเกี่ยวกับหัวข้อต่างๆ เช่น:

  • ประเภทของข้อมูลส่วนบุคคลที่จะถูกประมวลผล
  • หัวข้อของข้อมูล
  • ประเภทของเจ้าของข้อมูล
  • วัตถุประสงค์และลักษณะของการประมวลผล
  • ระยะเวลาที่คาดว่าจะใช้ในการประมวลผลข้อมูล
  • พื้นฐานทางกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคล
  • การส่งคืนหรือลบข้อมูลส่วนบุคคลเมื่อสิ้นสุดกระบวนการประมวลผล

2. สิทธิและความรับผิดชอบของผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล

DPA ช่วยให้เกิดความชัดเจนว่าใครเป็นผู้ควบคุมการจัดการข้อมูล

การกำหนดสิทธิและหน้าที่ของทั้งสองฝ่ายอย่างชัดเจนในสัญญาคุ้มครองข้อมูลส่วนบุคคล (DPA) ช่วยให้เกิดความชัดเจนว่าใครเป็นผู้ควบคุมการจัดการข้อมูล

ข้อตกลงคุ้มครองข้อมูลส่วนบุคคล (DPA) ควรระบุอย่างชัดเจนว่า ผู้ประมวลผลข้อมูลต้องดำเนินการประมวลผลตามความประสงค์และข้อกำหนดของผู้ควบคุมข้อมูล ควรระบุให้ชัดเจนว่าตัวควบคุม (controller) ไม่ใช่ตัวประมวลผล (processor) เป็นผู้ควบคุมข้อมูลและสิ่งที่เกิดขึ้นกับข้อมูลนั้นอย่างสมบูรณ์

หน่วยงานคุ้มครองข้อมูลส่วนบุคคล (DPA) ควรสั่งการให้ผู้ประมวลผลข้อมูลประมวลผลข้อมูลตามคำสั่งโดยตรงของผู้ควบคุมข้อมูลเท่านั้น โดยจะเบี่ยงเบนจากคำสั่งเหล่านั้นได้ก็ต่อเมื่อกฎหมายของสหภาพยุโรปหรือกฎหมายของประเทศสมาชิกใดประเทศหนึ่งกำหนดไว้เท่านั้น

3. มาตรการรักษาความลับที่จำเป็นสำหรับผู้ประมวลผลข้อมูล

หน่วยงานคุ้มครองข้อมูลส่วนบุคคลควรระบุระเบียบปฏิบัติที่ผู้ประมวลผลข้อมูลควรปฏิบัติตามเพื่อให้มั่นใจได้ถึงการรักษาความลับของข้อมูลส่วนบุคคล

ตัวอย่างเช่น ผู้ประมวลผลข้อมูลต้องกำหนดให้พนักงานประจำ พนักงานชั่วคราว และผู้รับเหมาช่วงลงนามในข้อตกลงรักษาความลับก่อนจึงจะสามารถเริ่มประมวลผลข้อมูลส่วนบุคคลได้ ข้อตกลงรักษาความลับจะไม่จำเป็นก็ต่อเมื่อกฎหมายกำหนดให้ผู้ประมวลผลข้อมูลต้องรักษาความลับอยู่แล้วเท่านั้น

4. ระเบียบปฏิบัติทางเทคนิคและองค์กรที่จำเป็นสำหรับความปลอดภัยของข้อมูล

ข้อตกลงคุ้มครองข้อมูลส่วนบุคคล (DPA) ควรระบุมาตรการรักษาความปลอดภัยที่ผู้ประมวลผลข้อมูลต้องนำไปใช้ รวมถึงมาตรการเหล่านี้เมื่อเหมาะสม:

  • การเข้ารหัสข้อมูล
  • การปกปิดตัวตนของเจ้าของข้อมูล
  • ระเบียบปฏิบัติเพื่อรับรองการรักษาความลับของข้อมูล ความพร้อมใช้งาน ความยืดหยุ่น และความปลอดภัยของระบบประมวลผลข้อมูลทั้งหมด
  • กระบวนการในการกู้คืนการเข้าถึงข้อมูลส่วนบุคคลหลังจากถูกโจมตีหรือถูกละเมิด
  • โปรแกรมประจำสำหรับการทดสอบและประเมินประสิทธิภาพของมาตรการรักษาความปลอดภัยทั้งหมด

ผู้ประมวลผลจำนวนมากอาจต้องการได้รับการรับรองอย่างเป็นทางการ หรือจัดทำหลักปฏิบัติอย่างเป็นทางการเพื่อรับรองโปรโตคอลที่ตนนำไปใช้ มาตรการเช่นนี้ช่วยให้มั่นใจได้ว่าการประมวลผลข้อมูลเป็นไปตามระเบียบว่าด้วยข้อมูลทั่วไป

5. เงื่อนไขสำหรับสัญญาจ้างเหมาช่วงทุกฉบับ

นอกจากนี้ DPA ควรระบุข้อกำหนดที่ผู้ประมวลผลข้อมูลต้องกำหนดให้กับผู้รับเหมาช่วงด้วย ตัวอย่างเช่น ผู้ประมวลผลต้องมั่นใจว่าได้ปฏิบัติตามกฎและแนวปฏิบัติที่ดีที่สุดเหล่านี้:

  • การว่าจ้างผู้รับเหมาช่วงต้องได้รับความยินยอมและการอนุญาตอย่างชัดแจ้งจากผู้ควบคุมข้อมูล
  • การร่างและลงนามในสัญญาที่บังคับใช้ข้อกำหนดด้านความปลอดภัยของข้อมูลเดียวกันกับที่ผู้ประมวลผลข้อมูลต้องปฏิบัติตาม สำหรับผู้รับเหมาช่วง
  • ตรวจสอบให้แน่ใจว่าผู้รับเหมาช่วงปฏิบัติตามข้อกำหนดด้านข้อมูล
  • แจ้งให้ผู้ควบคุมข้อมูลทราบถึงการเปลี่ยนแปลงใดๆ ที่เกี่ยวข้องกับผู้รับเหมาช่วง และให้เวลาผู้ควบคุมข้อมูลในการตอบสนอง

6. ข้อผูกพันด้านความร่วมมือสำหรับผู้ประมวลผลข้อมูล

ผู้ประมวลผลข้อมูลจะต้องอนุญาตให้ผู้ควบคุมข้อมูลดำเนินการตรวจสอบตามกฎข้อบังคับในระหว่างการประมวลผล

กฎหมายคุ้มครองข้อมูลส่วนบุคคล (DPA) ควรระบุว่าเมื่อใดและอย่างไรที่ผู้ประมวลผลข้อมูลต้องให้ความร่วมมือกับผู้ควบคุมข้อมูล ตัวอย่างเช่น ผู้ประมวลผลข้อมูลต้องให้ความร่วมมือเพื่อช่วยแก้ไขคำขอเข้าถึงข้อมูล ผู้ประมวลผลข้อมูลต้องให้ความร่วมมือในการปกป้องความเป็นส่วนตัวและสิทธิของเจ้าของข้อมูล โดยเฉพาะอย่างยิ่งการปฏิบัติตามข้อกำหนดเหล่านี้:

  • การรักษาความปลอดภัยของข้อมูลส่วนบุคคล
  • แจ้งหน่วยงานที่เกี่ยวข้องและเจ้าของข้อมูลทันทีเมื่อเกิดการละเมิดข้อมูลส่วนบุคคล
  • ดำเนินการประเมินผลกระทบด้านการคุ้มครองข้อมูล (DPIA) ตามความจำเป็น
  • ควรปรึกษาหน่วยงานที่เกี่ยวข้องเมื่อเกิดความเสี่ยงด้านข้อมูลร้ายแรงขึ้น

ผู้ประมวลผลข้อมูลจะต้องอนุญาตให้ผู้ควบคุมข้อมูลดำเนินการตรวจสอบตามกฎข้อบังคับในระหว่างการประมวลผล ในระหว่างการตรวจสอบ ผู้ประมวลผลจะต้องให้ข้อมูลที่เกี่ยวข้องทั้งหมดแก่ผู้ควบคุมโดยทันที เพื่อแสดงว่าได้ปฏิบัติตามข้อบังคับภายใต้มาตรา 28 ของระเบียบว่าด้วยข้อมูลทั่วไป

แนวทางปฏิบัติที่ดีที่สุดยังกำหนดให้ผู้ประมวลผลเก็บบันทึกกิจกรรมการประมวลผลของตนไว้เพื่อสาธิตกฎระเบียบพร้อมกับระเบียบว่าด้วยข้อมูลทั่วไป

จะเกิดอะไรขึ้นหลังจากข้อมูลรั่วไหลภายใต้ข้อตกลงคุ้มครองข้อมูลส่วนบุคคล (DPA)?

หากเกิดการรั่วไหลของข้อมูล บริษัทที่เกี่ยวข้องจำเป็นต้องดำเนินการเฉพาะเจาะจงและทันที บริษัทของคุณ ต้องแจ้งหน่วยงานกำกับดูแลที่เกี่ยวข้องภายใน 72 ชั่วโมง หากการละเมิดดังกล่าวก่อให้เกิดความเสี่ยงร้ายแรง

หากการละเมิดข้อมูลก่อให้เกิดความเสี่ยงสูงมากต่อผู้ที่ได้รับผลกระทบ บริษัทของคุณจะต้องแจ้งให้บุคคลเหล่านั้นทราบด้วยเช่นกัน อย่างไรก็ตาม หากบริษัทของคุณมีมาตรการลดความเสี่ยงทางเทคนิคและองค์กรที่มีประสิทธิภาพอยู่แล้ว การแจ้งเตือนอาจไม่จำเป็น

ตัวอย่างเช่น ลองนึกภาพบริษัทบัตรเครดิตแห่งหนึ่งประสบปัญหาข้อมูลรั่วไหลเนื่องจากการโจมตีเซิร์ฟเวอร์ที่เก็บข้อมูลของบริษัท ข้อมูลทางการเงินส่วนบุคคลของลูกค้าถูกละเมิด ชื่อ ที่อยู่บ้าน ข้อมูลติดต่อเพิ่มเติม รายละเอียดทางการเงิน และรายละเอียดประเภทการชำระเงินที่พวกเขาทำผ่านบัตรเครดิต ล้วนถูกเปิดเผยต่อสาธารณะแล้ว

บริษัทผู้ให้บริการโฮสติ้งเซิร์ฟเวอร์จะต้องแจ้งเจ้าหน้าที่เกี่ยวกับการละเมิดภายใน 72 ชั่วโมง นอกจากนี้ยังต้องแจ้งให้บริษัทบัตรเครดิตทราบด้วย

บริษัทอาจจำเป็นต้องแจ้งให้ผู้บริโภคทราบ เนื่องจาก1การเปิดเผยข้อมูลส่วนบุคคลของพวกเขาอาจทำให้พวกเขาตกอยู่ในความเสี่ยง การละเมิดข้อมูลอาจนำไปสู่การเปิดเผยข้อมูลสุขภาพที่ละเอียดอ่อนและได้รับการคุ้มครองของผู้บริโภค หากพวกเขาชำระค่ารักษาพยาบาลด้วยบัตรเครดิต

บทการลงโทษสำหรับการไม่ปฏิบัติตามระเบียบว่าด้วยข้อมูลทั่วไปมีอะไรบ้าง? 

หากเกิดการรั่วไหลของข้อมูล บริษัทที่พบว่าไม่ปฏิบัติตามกฎระเบียบจะต้องถูกลงโทษทางวินัย การกระทำผิดที่อาจเกิดขึ้นจะได้รับเพียงคำเตือนเท่านั้น เหตุการณ์การไม่ปฏิบัติตามที่ได้รับการยืนยันอาจอยู่ภายใต้ข้อใดข้อหนึ่งหรือมากกว่านั้นดังต่อไปนี้:

  1. การตักเตือนอย่างเป็นทางการ
  2. การห้ามประมวลผลข้อมูลชั่วคราวหรือถาวร
  3. ค่าปรับสูงสุดถึง20 ล้าน ยูโรหรือ 4 เปอร์เซ็นต์ของรายได้รวมทั่วโลกประจำปีของบริษัท

จ้างผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลเข้าร่วมทีมของคุณกับ G-P

เมื่อคุณสร้างทีมที่เน้นเรื่องความปลอดภัยของข้อมูล ให้ทำงานร่วมกับ G-P ทีมงานมืออาชีพของเราสามารถช่วยคุณทำความเข้าใจข้อกำหนดเกี่ยวกับข้อตกลงการประมวลผลข้อมูลที่ใช้บังคับกับบริษัทของคุณได้

การมีเจ้าหน้าที่ข้อมูลและผู้เชี่ยวชาญด้านกฎหมายอื่นๆ อยู่ในทีมของคุณถือเป็นสิ่งสำคัญสำหรับการคงอยู่ใน DPA ตามกฎข้อบังคับ ในฐานะผู้ให้บริการระดับโลกตัวแทนนายจ้าง (EOR) G-P ช่วยให้คุณจ้างงานและจ่ายเงินเดือนตามนายจ้างที่คุณต้องการเพื่อความสำเร็จ เราให้ความสำคัญกับความเป็นส่วนตัวของข้อมูลอย่างจริงจัง และเราสามารถช่วยให้คุณปฏิบัติตามกฎหมายแรงงานและรักษาความปลอดภัยข้อมูลที่เป็นความลับของคุณเมื่อคุณขยายขนาดบริษัทของคุณในระดับสากล

ที่ G-P เราช่วยให้กระบวนการสรรหาบุคลากรของคุณรวดเร็วยิ่งขึ้น เมื่อใช้ Global Employment Platform แบบเต็มรูปแบบ ของเรา คุณสามารถจ้างงานและต้อนรับสมาชิกใหม่ของคุณได้ด้วยการคลิกเพียงไม่กี่ครั้ง ประหยัดเวลาและปรับปรุงแนวทางของคุณในการรับมือกับความท้าทายของบริษัทในวันพรุ่งนี้

ขอรับข้อเสนอราคาได้ ในวันนี้ หรือ ติดต่อเรา เพื่อเรียนรู้เกี่ยวกับการว่าจ้างผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลผ่านแพลตฟอร์มของเรา