ການແບ່ງປັນຂໍ້ມູນແມ່ນສາຍເລືອດຂອງການຄ້າທີ່ທັນສະໄໝ. ບໍ່ວ່າທ່ານຈະເລີ່ມໃຊ້ບໍລິການຜູ້ໃຫ້ບໍລິການຄລາວໃໝ່, ຮ່ວມມືກັບອົງການກາລະຕະຫຼາດ, ຫຼື ການເຊື່ອມໂຍງລະບົບ HR ພາກສ່ວນທີສາມ, ຂໍ້ມູນສ່ວນຕົວຈະໄຫຼລະຫວ່າງອົງກອນຕ່າງໆຢ່າງຕໍ່ເນື່ອງ. ແຕ່ນີ້ແມ່ນຄວາມຈິງທີ່ບໍ່ສະບາຍໃຈ: ທຸລະກິດສ່ວນໃຫຍ່ປະເມີນຄ່າຄວາມຂັດແຍ້ງທາງກົດໝາຍທີ່ການແບ່ງປັນຂໍ້ມູນເປັນຕົວແທນພາຍໃຕ້ລະບຽບການປົກປ້ອງຂໍ້ມູນທົ່ວໄປ (GDPR) ຕໍ່າເກີນໄປ.

ຄວາມສ່ຽງແມ່ນແທ້ຈິງ. ຄ່າປັບໄໝສາມາດສູງເຖິງ 20 ລ້ານເອີໂຣ ຫຼື 4% ຂອງລາຍຮັບປະຈຳປີທົ່ວໂລກ - ອັນໃດສູງກວ່າ. ນອກເໜືອໄປຈາກການລົງໂທດທາງດ້ານການເງິນ, ທ່ານມີຄວາມສ່ຽງທີ່ຈະມີຄວາມເສຍຫາຍຕໍ່ຊື່ສຽງ, ການກວດສອບດ້ານກົດລະບຽບ, ແລະ ການຮຽກຮ້ອງຄວາມຮັບຜິດຊອບທາງແພ່ງຈາກບຸກຄົນທີ່ໄດ້ຮັບຜົນກະທົບ. ອົງການປົກປ້ອງຂໍ້ມູນຂອງໂຮນລັງ (Autoriteit Persoonsgegevens, ຫຼື AP) ໄດ້ເຮັດໃຫ້ມັນຊັດເຈນວ່າ: ຄວາມບໍ່ຮູ້ບໍ່ແມ່ນການປ້ອງກັນ.

ບົດຄວາມນີ້ຈະນຳພາທ່ານຜ່ານຄວາມສ່ຽງທີ່ສຳຄັນເຈັດຢ່າງຂອງ GDPR ທີ່ເກີດຂຶ້ນເມື່ອແບ່ງປັນຂໍ້ມູນສ່ວນຕົວ. ຄວາມສ່ຽງແຕ່ລະຢ່າງແມ່ນອີງໃສ່ຂໍ້ກຳນົດສະເພາະຂອງ GDPR, ເຊິ່ງສະແດງໃຫ້ເຫັນຜົນສະທ້ອນໃນໂລກຕົວຈິງ, ແລະ ຈັບຄູ່ກັບຄຳແນະນຳທີ່ເປັນປະໂຫຍດເພື່ອຊ່ວຍໃຫ້ທ່ານປະຕິບັດຕາມ. ບໍ່ວ່າທ່ານຈະເປັນເຈົ້າຂອງທຸລະກິດ, ເຈົ້າໜ້າທີ່ປະຕິບັດຕາມກົດລະບຽບ, ຫຼື ຜູ້ຊ່ຽວຊານດ້ານກົດໝາຍທີ່ດຳເນີນງານຢູ່ໃນປະເທດເນເທີແລນ, ການເຂົ້າໃຈບັນຫາເຫຼົ່ານີ້ແມ່ນສິ່ງຈຳເປັນ.

1. ການແບ່ງປັນຂໍ້ມູນໂດຍບໍ່ມີພື້ນຖານທາງກົດໝາຍທີ່ຖືກຕ້ອງ (ມາດຕາ 6 GDPR)

ຄວາມສ່ຽງ: ທ່ານບໍ່ສາມາດແບ່ງປັນຂໍ້ມູນສ່ວນຕົວພຽງແຕ່ຍ້ອນວ່າມັນສະດວກ ຫຼື ເປັນປະໂຫຍດ. ທຸກໆກໍລະນີຂອງການແບ່ງປັນຂໍ້ມູນຮຽກຮ້ອງໃຫ້ມີພື້ນຖານທາງກົດໝາຍທີ່ຖືກຕ້ອງຕາມມາດຕາ 6 GDPR.

ເປັນຫຍັງບໍລິສັດຈຶ່ງເຮັດຜິດພາດ: ຫຼາຍອົງກອນສົມມຸດວ່າການມີເຫດຜົນທາງການຄ້າເພື່ອແບ່ງປັນຂໍ້ມູນແມ່ນພຽງພໍແລ້ວ. ມັນບໍ່ແມ່ນ. GDPR ກຳນົດພື້ນຖານທີ່ຖືກຕ້ອງຕາມກົດໝາຍຫົກຢ່າງສຳລັບການປະມວນຜົນຄື: ການຍິນຍອມ, ຄວາມຈຳເປັນຕາມສັນຍາ, ພັນທະທາງກົດໝາຍ, ຜົນປະໂຫຍດທີ່ສຳຄັນ, ໜ້າທີ່ສາທາລະນະ, ແລະ ຜົນປະໂຫຍດທີ່ຖືກຕ້ອງຕາມກົດໝາຍ. ແຕ່ລະອັນມີຂໍ້ກຳນົດ ແລະ ຂໍ້ຈຳກັດສະເພາະ.

ຕົວຢ່າງ, “ຜົນປະໂຫຍດທີ່ຖືກຕ້ອງຕາມກົດໝາຍ” ມັກຖືກກ່າວເຖິງເພື່ອໃຫ້ເຫດຜົນໃນການແບ່ງປັນຂໍ້ມູນກັບຄູ່ຮ່ວມງານ ຫຼື ຜູ້ໃຫ້ບໍລິການ. ແຕ່ພື້ນຖານນີ້ຮຽກຮ້ອງໃຫ້ມີການທົດສອບການດຸ່ນດ່ຽງຢ່າງລະມັດລະວັງ: ຜົນປະໂຫຍດຂອງທ່ານຕ້ອງບໍ່ລົບລ້າງສິດ ແລະ ເສລີພາບຂອງບຸກຄົນທີ່ທ່ານກຳລັງປະມວນຜົນຂໍ້ມູນຂອງເຂົາເຈົ້າ. ແລະ ທ່ານຕ້ອງບັນທຶກການປະເມີນນີ້.

ພື້ນຖານທາງກົດໝາຍ: ມາດຕາ 6 GDPR ກຳນົດບັນຊີລາຍຊື່ພື້ນຖານທາງກົດໝາຍທີ່ຄົບຖ້ວນ. ມາດຕາ 5(1)(a) GDPR ກຳນົດວ່າການປະມວນຜົນທັງໝົດຕ້ອງຖືກຕ້ອງຕາມກົດໝາຍ, ຍຸດຕິທຳ ແລະ ໂປ່ງໃສ.

ຜົນສະທ້ອນຂອງໂລກທີ່ແທ້ຈິງ: AP ໄດ້ອອກຄ່າປັບໃໝໃຫ້ແກ່ອົງກອນຕ່າງໆທີ່ແບ່ງປັນຂໍ້ມູນຂອງລູກຄ້າໃຫ້ກັບພາກສ່ວນທີສາມເພື່ອຈຸດປະສົງທາງການຕະຫຼາດໂດຍບໍ່ມີພື້ນຖານທາງກົດໝາຍທີ່ເໝາະສົມ. ເຖິງແມ່ນວ່າຂໍ້ມູນດັ່ງກ່າວຈະຖືກລຶບຊື່ ຫຼື ລວມເຂົ້າກັນ, ຖ້າການລະບຸຕົວຕົນຄືນໃໝ່ເປັນໄປໄດ້, ມັນຍັງຄົງເປັນຂໍ້ມູນສ່ວນຕົວ ແລະ ຕ້ອງການພື້ນຖານທາງກົດໝາຍ.

ເອົາໄປປະຕິບັດໄດ້: ກ່ອນທີ່ຈະແບ່ງປັນຂໍ້ມູນສ່ວນຕົວໃດໆ, ໃຫ້ລະບຸ ແລະ ບັນທຶກພື້ນຖານທາງກົດໝາຍທີ່ໃຊ້ໄດ້. ຖ້າອີງໃສ່ຜົນປະໂຫຍດທີ່ຖືກຕ້ອງຕາມກົດໝາຍ, ໃຫ້ດໍາເນີນການປະເມີນຜົນປະໂຫຍດທີ່ຖືກຕ້ອງຕາມກົດໝາຍ (LIA) ແລະ ບັນທຶກ. ຖ້າໃຊ້ການຍິນຍອມ, ໃຫ້ຮັບປະກັນວ່າມັນໄດ້ຮັບການໃຫ້ຢ່າງເສລີ, ເຈາະຈົງ, ມີຂໍ້ມູນຄົບຖ້ວນ ແລະ ບໍ່ມີຄວາມສັບສົນ.

2. ຄວາມສັບສົນກ່ຽວກັບບົດບາດ: ຜູ້ຄວບຄຸມ ທຽບກັບ ຜູ້ປະມວນຜົນ (ມາດຕາ 4(7)–(8) GDPR)

ຄວາມສ່ຽງ: GDPR ຈຳແນກຄວາມແຕກຕ່າງລະຫວ່າງຜູ້ຄວບຄຸມ (ຜູ້ທີ່ກຳນົດຈຸດປະສົງ ແລະ ວິທີການປະມວນຜົນ) ແລະ ຜູ້ປະມວນຜົນ (ຜູ້ທີ່ປະມວນຜົນຂໍ້ມູນໃນນາມຂອງຜູ້ຄວບຄຸມ). ການລະບຸບົດບາດຂອງທ່ານ ຫຼື ຂອງຄູ່ຮ່ວມງານຂອງທ່ານຜິດພາດ ສ້າງຊ່ອງຫວ່າງການປະຕິບັດຕາມກົດລະບຽບທີ່ຮ້າຍແຮງ.

ເປັນຫຍັງບໍລິສັດຈຶ່ງເຮັດຜິດພາດ: ໃນທາງປະຕິບັດ, ພາລະບົດບາດອາດຈະບໍ່ຊັດເຈນ. ຖ້າທ່ານແບ່ງປັນຂໍ້ມູນກັບຜູ້ໃຫ້ບໍລິການ SaaS, ພວກເຂົາເປັນຜູ້ຄວບຄຸມ ຫຼື ຜູ້ປະມວນຜົນບໍ? ຈະເປັນແນວໃດຖ້າພວກເຂົາໃຊ້ຂໍ້ມູນຂອງທ່ານເພື່ອປັບປຸງອັລກໍຣິທຶມຂອງພວກເຂົາ? ທຸລະກິດຫຼາຍແຫ່ງມັກຈະເອີ້ນຜູ້ຂາຍທຸກຄົນວ່າ "ຜູ້ປະມວນຜົນ" ໂດຍບໍ່ໄດ້ວິເຄາະຄວາມສຳພັນຢ່າງຖືກຕ້ອງ.

ການຈັດປະເພດທີ່ບໍ່ຖືກຕ້ອງແມ່ນມີຄວາມສຳຄັນເພາະວ່າຜູ້ຄວບຄຸມ ແລະ ຜູ້ປະມວນຜົນມີພັນທະທີ່ແຕກຕ່າງກັນ. ຜູ້ຄວບຄຸມຕ້ອງຮັບປະກັນວ່າຜູ້ປະມວນຜົນໃຫ້ການຮັບປະກັນທີ່ພຽງພໍກ່ຽວກັບການປະຕິບັດຕາມ (ມາດຕາ 28 GDPR). ຜູ້ຄວບຄຸມຮ່ວມຕ້ອງຕົກລົງເຫັນດີກ່ຽວກັບຄວາມຮັບຜິດຊອບຂອງຕົນ (ມາດຕາ 26 GDPR). ເຮັດຜິດພາດ, ແລະ ທ່ານອາດຈະຕ້ອງຮັບຜິດຊອບຕໍ່ການລະເມີດທີ່ທ່ານບໍ່ຮູ້ວ່າເກີດຂຶ້ນ.

ພື້ນຖານທາງກົດໝາຍ: ມາດຕາ 4(7) ແລະ (8) GDPR ກຳນົດນິຍາມຂອງ “ຜູ້ຄວບຄຸມ” ແລະ “ຜູ້ປະມວນຜົນ”. ມາດຕາ 24 GDPR ກຳນົດພັນທະຄວາມຮັບຜິດຊອບຂອງຜູ້ຄວບຄຸມ.

ຜົນສະທ້ອນຂອງໂລກທີ່ແທ້ຈິງ: ສານຍຸຕິທຳເອີຣົບໄດ້ຕັດສິນໃນ ແຟຊັ່ນ ID (C-40/17) ວ່າເຖິງແມ່ນວ່າການກຳນົດຈຸດປະສົງບາງສ່ວນກໍ່ສາມາດເຮັດໃຫ້ທ່ານເປັນຜູ້ຄວບຄຸມຮ່ວມໄດ້. ນີ້ໝາຍຄວາມວ່າທ່ານສາມາດຮັບຜິດຊອບຮ່ວມກັນສຳລັບການລະເມີດ GDPR, ເຖິງແມ່ນວ່າພາກສ່ວນອື່ນຈະເປັນສາເຫດຂອງການລະເມີດດັ່ງກ່າວກໍຕາມ.

ເອົາໄປປະຕິບັດໄດ້: ວາງແຜນການໄຫຼຂອງຂໍ້ມູນ ແລະ ກຳນົດວ່າໃຜເປັນຜູ້ຕັດສິນໃຈ ເປັນຫຍັງ ແລະ ວິທີການ ຂໍ້ມູນຖືກປະມວນຜົນແລ້ວ. ບັນທຶກສິ່ງນີ້ເປັນລາຍລັກອັກສອນ ແລະ ຮັບປະກັນວ່າແຕ່ລະຝ່າຍເຂົ້າໃຈບົດບາດ ແລະ ພັນທະຂອງເຂົາເຈົ້າ.

3. ຂໍ້ຕົກລົງການປະມວນຜົນຂໍ້ມູນຂາດຫາຍໄປ ຫຼື ບໍ່ພຽງພໍ (ມາດຕາ 28 GDPR)

ຄວາມສ່ຽງ: ຖ້າທ່ານຈ້າງຜູ້ປະມວນຜົນເພື່ອຈັດການຂໍ້ມູນສ່ວນຕົວໃນນາມຂອງທ່ານ, ທ່ານຕ້ອງມີຂໍ້ຕົກລົງການປະມວນຜົນຂໍ້ມູນເປັນລາຍລັກອັກສອນ (DPA) ຕາມກົດໝາຍ. ບໍ່ມີຂໍ້ຍົກເວັ້ນ.

ເປັນຫຍັງບໍລິສັດຈຶ່ງເຮັດຜິດພາດ: ມັນເປັນສິ່ງທີ່ໜ້າລໍ້ລວງທີ່ຈະຂ້າມເອກະສານ, ໂດຍສະເພາະກັບຄູ່ຮ່ວມງານທີ່ເຊື່ອຖືໄດ້ ຫຼື ຄູ່ຮ່ວມງານທີ່ມີມາດົນນານ. ແຕ່ຖ້າບໍ່ມີ DPA ທີ່ປະຕິບັດຕາມ, ທ່ານກຳລັງລະເມີດມາດຕາ 28 GDPR ຕັ້ງແຕ່ມື້ທຳອິດ - ເຖິງແມ່ນວ່າຈະບໍ່ມີອັນຕະລາຍຕົວຈິງເກີດຂຶ້ນກໍຕາມ.

DPA ທີ່ເໝາະສົມຕ້ອງປະກອບມີຂໍ້ກຳນົດບັງຄັບສະເພາະຄື: ຫົວຂໍ້ ແລະ ໄລຍະເວລາຂອງການປະມວນຜົນ, ລັກສະນະ ແລະ ຈຸດປະສົງຂອງການປະມວນຜົນ, ປະເພດຂໍ້ມູນສ່ວນຕົວ, ໝວດໝູ່ຂອງເຈົ້າຂອງຂໍ້ມູນ, ແລະ ພັນທະ ແລະ ສິດທິຂອງຜູ້ຄວບຄຸມ. ມັນຍັງຕ້ອງແກ້ໄຂການປະມວນຜົນຍ່ອຍ, ຄວາມປອດໄພຂອງຂໍ້ມູນ, ແລະ ການແຈ້ງເຕືອນການລະເມີດ.

ພື້ນຖານທາງກົດໝາຍ: ມາດຕາ 28(3) GDPR ລະບຸເນື້ອໃນບັງຄັບຂອງ DPA. ມາດຕາ 28(4) GDPR ຮຽກຮ້ອງໃຫ້ມີການອະນຸຍາດຢ່າງຊັດເຈນສຳລັບຜູ້ປະມວນຜົນຍ່ອຍ.

ຜົນສະທ້ອນຂອງໂລກທີ່ແທ້ຈິງ: AP ໄດ້ລົງໂທດອົງກອນຕ່າງໆສຳລັບການຈ້າງຜູ້ປະມວນຜົນທີ່ບໍ່ມີ DPA ທີ່ພຽງພໍ. ເຖິງແມ່ນວ່າຜູ້ປະມວນຜົນເອງຈະປະຕິບັດຕາມ, ຜູ້ຄວບຄຸມກໍຍັງສາມາດຖືກປັບໃໝໄດ້ຍ້ອນບໍ່ໄດ້ເຂົ້າສູ່ຂໍ້ຕົກລົງທີ່ຖືກຕ້ອງ.

ເອົາໄປປະຕິບັດໄດ້: ໃຊ້ແມ່ແບບ DPA ມາດຕະຖານທີ່ກວມເອົາຂໍ້ກຳນົດທັງໝົດຂອງມາດຕາ 28(3). ທົບທວນຂໍ້ຕົກລົງທີ່ມີຢູ່ເພື່ອຮັບປະກັນວ່າພວກມັນສອດຄ່ອງກັບ GDPR. ຢ່າຕິດຕັ້ງຜູ້ປະມວນຜົນໃໝ່ໂດຍບໍ່ມີ DPA ທີ່ໄດ້ເຊັນແລ້ວ.

4. ການຍົກຍ້າຍທີ່ຜິດກົດໝາຍໄປປະເທດທີສາມນອກ EEA (ມາດຕາ 44–49 GDPR & Schrems II)

ຄວາມສ່ຽງ: ການໂອນຍ້າຍຂໍ້ມູນສ່ວນຕົວອອກໄປນອກເຂດເສດຖະກິດເອີຣົບ (EEA) ແມ່ນຖືກຈຳກັດຢ່າງເຂັ້ມງວດ. ທ່ານສາມາດເຮັດໄດ້ພຽງແຕ່ຖ້າປະເທດປາຍທາງໃຫ້ການປົກປ້ອງໃນລະດັບທີ່ພຽງພໍ - ຫຼືຖ້າທ່ານຈັດຕັ້ງປະຕິບັດມາດຕະການປ້ອງກັນທີ່ເໝາະສົມ.

ເປັນຫຍັງບໍລິສັດຈຶ່ງເຮັດຜິດພາດ: ທຸລະກິດຫຼາຍແຫ່ງໃຊ້ບໍລິການຄລາວ, ຕົວປະມວນຜົນການຈ່າຍເງິນ, ຫຼືເຄື່ອງມືວິເຄາະທີ່ໂຮດຢູ່ໃນສະຫະລັດ ຫຼື ອາຊີໂດຍທີ່ບໍ່ຮູ້ວ່າພວກມັນກຳລັງກະຕຸ້ນກົດລະບຽບການໂອນເງິນສາກົນ. ເຖິງແມ່ນວ່າສັນຍາຂອງທ່ານຈະຢູ່ກັບໜ່ວຍງານ EU, ຖ້າຂໍ້ມູນຖືກເກັບຮັກສາ ຫຼື ເຂົ້າເຖິງນອກ EEA, ກົດລະບຽບການໂອນເງິນຈະຖືກນຳໃຊ້.

ໄດ້ Schrems II ຄຳຕັດສິນ (ຄະດີ C-311/18) ໄດ້ຍົກເລີກການປົກປ້ອງຄວາມເປັນສ່ວນຕົວຂອງ EU-US ແລະ ໄດ້ເນັ້ນໜັກວ່າຂໍ້ກຳນົດສັນຍາມາດຕະຖານ (SCC) ຢ່າງດຽວບໍ່ພຽງພໍ. ທ່ານຍັງຕ້ອງດຳເນີນການປະເມີນຜົນກະທົບຂອງການໂອນຍ້າຍ (TIA) ເພື່ອປະເມີນວ່າກົດໝາຍຂອງປະເທດປາຍທາງໄດ້ທຳລາຍການປົກປ້ອງທີ່ຮັບປະກັນໂດຍ SCC ຫຼືບໍ່.

ພື້ນຖານທາງກົດໝາຍ: ມາດຕາ 44–49 GDPR ຄຸ້ມຄອງການໂອນເງິນລະຫວ່າງປະເທດ. ບົດທີ V GDPR ຮຽກຮ້ອງໃຫ້ມີການຕັດສິນໃຈກ່ຽວກັບຄວາມພຽງພໍ (ມາດຕາ 45) ຫຼື ມາດຕະການປ້ອງກັນທີ່ເໝາະສົມ (ມາດຕາ 46), ເຊັ່ນ SCCs.

ຜົນສະທ້ອນຂອງໂລກທີ່ແທ້ຈິງ: AP ສາມາດສັ່ງໃຫ້ທ່ານໂຈະ ຫຼື ຫ້າມການໂອນຂໍ້ມູນໄປຍັງປະເທດທີສາມ ຖ້າບໍ່ມີມາດຕະການປ້ອງກັນທີ່ພຽງພໍ. ບໍລິສັດຕ່າງໆໄດ້ປະເຊີນກັບການບັງຄັບໃຊ້ ແລະ ຄວາມເສຍຫາຍຕໍ່ຊື່ສຽງສຳລັບການໂອນຂໍ້ມູນໄປຍັງສະຫະລັດໂດຍບໍ່ໄດ້ດຳເນີນການ TIA ຫຼັງຈາກ...Schrems II.

ເອົາໄປປະຕິບັດໄດ້: ລະບຸການໂອນຍ້າຍທັງໝົດຈາກປະເທດທີສາມໃນກະແສຂໍ້ມູນຂອງທ່ານ. ກວດສອບວ່າມີການຕັດສິນໃຈກ່ຽວກັບຄວາມພຽງພໍຫຼືບໍ່. ຖ້າບໍ່ມີ, ໃຫ້ຈັດຕັ້ງປະຕິບັດ SCCs ແລະ ດຳເນີນການ TIA. ບັນທຶກມາດຕະການເພີ່ມເຕີມຖ້າຈຳເປັນ (ເຊັ່ນ: ການເຂົ້າລະຫັດ, ການໃຊ້ນາມແຝງ).

5. ການບໍ່ປະຕິບັດການປະເມີນຜົນກະທົບຂອງການປົກປ້ອງຂໍ້ມູນ (ມາດຕາ 35 GDPR)

ຄວາມສ່ຽງ: ການປະເມີນຜົນກະທົບຂອງການປົກປ້ອງຂໍ້ມູນ (DPIA) ແມ່ນສິ່ງບັງຄັບເມື່ອການແບ່ງປັນຂໍ້ມູນມີແນວໂນ້ມທີ່ຈະສົ່ງຜົນໃຫ້ມີຄວາມສ່ຽງສູງຕໍ່ສິດທິ ແລະ ເສລີພາບຂອງບຸກຄົນ. ນີ້ລວມທັງການປະມວນຜົນຂໍ້ມູນປະເພດພິເສດໃນຂອບເຂດກ້ວາງ, ການຕິດຕາມກວດກາຢ່າງເປັນລະບົບ, ຫຼື ການນໍາໃຊ້ເຕັກໂນໂລຊີໃໝ່.

ເປັນຫຍັງບໍລິສັດຈຶ່ງເຮັດຜິດພາດ: ຫຼາຍອົງກອນປະຕິບັດຕໍ່ DPIA ເປັນທາງເລືອກ ຫຼື ກ່ຽວຂ້ອງກັບໂຄງການ "ໃຫຍ່" ເທົ່ານັ້ນ. ໃນຄວາມເປັນຈິງແລ້ວ, ການແບ່ງປັນຂໍ້ມູນສຸຂະພາບກັບແພລດຟອມການວິເຄາະພາກສ່ວນທີສາມ, ການນຳໃຊ້ເຄື່ອງມືການວິເຄາະທີ່ຂັບເຄື່ອນດ້ວຍ AI, ຫຼື ການລວມຊຸດຂໍ້ມູນຈາກຫຼາຍແຫຼ່ງສາມາດກະຕຸ້ນຄວາມຕ້ອງການ DPIA ໄດ້.

DPIA ບໍ່ແມ່ນພຽງແຕ່ການຝຶກຊ້ອມແບບກຳນົດກ່ອງເທົ່ານັ້ນ. ມັນເປັນຂະບວນການທີ່ມີໂຄງສ້າງເພື່ອລະບຸຄວາມສ່ຽງ, ປະເມີນຄວາມຮຸນແຮງຂອງພວກມັນ, ແລະ ກຳນົດມາດຕະການເພື່ອຫຼຸດຜ່ອນຄວາມສ່ຽງເຫຼົ່ານັ້ນ. ຖ້າຄວາມສ່ຽງທີ່ຍັງເຫຼືອຍັງຄົງສູງ, ທ່ານຕ້ອງປຶກສາກັບ AP ກ່ອນທີ່ຈະດຳເນີນການຕໍ່ໄປ.

ພື້ນຖານທາງກົດໝາຍ: ມາດຕາ 35 GDPR ກຳນົດໃຫ້ໃຊ້ DPIA ສຳລັບການປະມວນຜົນທີ່ມີຄວາມສ່ຽງສູງ. AP ໄດ້ເຜີຍແຜ່ຄຳແນະນຳກ່ຽວກັບເວລາທີ່ຕ້ອງມີ DPIA.

ຜົນສະທ້ອນຂອງໂລກທີ່ແທ້ຈິງ: ການບໍ່ດຳເນີນການ DPIA ເມື່ອຈຳເປັນກໍ່ຖືວ່າເປັນການລະເມີດ GDPR. AP ໄດ້ປັບໃໝອົງກອນຕ່າງໆສຳລັບການດຳເນີນການແບ່ງປັນຂໍ້ມູນທີ່ມີຄວາມສ່ຽງສູງໂດຍບໍ່ໄດ້ເຮັດ DPIA ໃຫ້ສຳເລັດ, ເຖິງແມ່ນວ່າຈະບໍ່ມີການລະເມີດຂໍ້ມູນຕົວຈິງເກີດຂຶ້ນກໍຕາມ.

ເອົາໄປປະຕິບັດໄດ້: ກວດສອບກິດຈະກຳການແບ່ງປັນຂໍ້ມູນທັງໝົດເພື່ອຊອກຫາຕົວກະຕຸ້ນ DPIA. ເມື່ອມີຄວາມສົງໄສ, ໃຫ້ດຳເນີນການດັ່ງກ່າວ. ໃຫ້ເຈົ້າໜ້າທີ່ປົກປ້ອງຂໍ້ມູນຂອງທ່ານ (DPO) ມີສ່ວນຮ່ວມ ແລະ ບັນທຶກຂະບວນການປະເມີນຢ່າງລະອຽດ.

6. ຂໍ້ມູນທີ່ບໍ່ພຽງພໍສຳລັບເຈົ້າຂອງຂໍ້ມູນ (ມາດຕາ 13 ແລະ 14 GDPR)

ຄວາມສ່ຽງ: ຄວາມໂປ່ງໃສແມ່ນພື້ນຖານຂອງ GDPR. ເມື່ອໃດກໍຕາມທີ່ທ່ານເກັບກຳ ຫຼື ແບ່ງປັນຂໍ້ມູນສ່ວນຕົວ, ທ່ານຕ້ອງແຈ້ງໃຫ້ເຈົ້າຂອງຂໍ້ມູນຮູ້ກ່ຽວກັບຜູ້ທີ່ຈະໄດ້ຮັບຂໍ້ມູນຂອງເຂົາເຈົ້າ, ເພື່ອຈຸດປະສົງຫຍັງ, ແລະ ບົນພື້ນຖານທາງກົດໝາຍແນວໃດ.

ເປັນຫຍັງບໍລິສັດຈຶ່ງເຮັດຜິດພາດ: ແຈ້ງການຄວາມເປັນສ່ວນຕົວມັກຈະບໍ່ຊັດເຈນ ຫຼື ລ້າສະໄໝ. ປະໂຫຍກຕ່າງໆເຊັ່ນ “ພວກເຮົາອາດຈະແບ່ງປັນຂໍ້ມູນຂອງທ່ານກັບຄູ່ຮ່ວມງານທີ່ເຊື່ອຖືໄດ້” ແມ່ນບໍ່ພຽງພໍ. ທ່ານຕ້ອງລະບຸໝວດໝູ່ຂອງຜູ້ຮັບ (ເຊັ່ນ “ຜູ້ໃຫ້ບໍລິການໂຮດຕິ້ງຄລາວ,” “ອົງການກາລະຕະຫຼາດ”) ແລະ ຖ້າກ່ຽວຂ້ອງ, ໃຫ້ຕັ້ງຊື່ພວກເຂົາ.

ເມື່ອຂໍ້ມູນໄດ້ຮັບໂດຍທາງອ້ອມ - ຕົວຢ່າງ, ຈາກນາຍໜ້າຂໍ້ມູນ ຫຼື ຜູ້ຄວບຄຸມອື່ນ - ມາດຕາ 14 GDPR ກຳນົດພັນທະຂໍ້ມູນເພີ່ມເຕີມ, ລວມທັງແຫຼ່ງຂໍ້ມູນ.

ພື້ນຖານທາງກົດໝາຍ: ມາດຕາ 13 ແລະ 14 GDPR ລະບຸຂໍ້ມູນທີ່ຕ້ອງໄດ້ສະໜອງໃຫ້ແກ່ເຈົ້າຂອງຂໍ້ມູນ. ມາດຕາ 5(1)(a) GDPR ຮຽກຮ້ອງໃຫ້ມີຄວາມໂປ່ງໃສໃນກິດຈະກຳການປະມວນຜົນທັງໝົດ.

ຜົນສະທ້ອນຂອງໂລກທີ່ແທ້ຈິງ: ໜັງສືພິມ AP ໄດ້ລົງໂທດບໍລິສັດຕ່າງໆ ຍ້ອນບໍ່ໄດ້ແຈ້ງໃຫ້ບຸກຄົນຮູ້ວ່າຂໍ້ມູນຂອງເຂົາເຈົ້າໄດ້ຖືກແບ່ງປັນໃຫ້ກັບພາກສ່ວນທີສາມ. ເຖິງແມ່ນວ່າການແບ່ງປັນນັ້ນຈະຖືກກົດໝາຍ, ແຕ່ຄວາມບໍ່ໂປ່ງໃສທີ່ບໍ່ພຽງພໍກໍ່ເປັນການລະເມີດແຍກຕ່າງຫາກ.

ເອົາໄປປະຕິບັດໄດ້: ກວດສອບ ແລະ ອັບເດດແຈ້ງການຄວາມເປັນສ່ວນຕົວຂອງທ່ານເພື່ອອະທິບາຍຢ່າງຈະແຈ້ງກ່ຽວກັບການປະຕິບັດການແບ່ງປັນຂໍ້ມູນ. ຮັບປະກັນວ່າແຈ້ງການສາມາດເຂົ້າເຖິງໄດ້ງ່າຍ ແລະ ຂຽນເປັນພາສາທີ່ເຂົ້າໃຈງ່າຍ. ເມື່ອແບ່ງປັນຂໍ້ມູນກັບຄູ່ຮ່ວມງານໃໝ່, ໃຫ້ອັບເດດແຈ້ງການຂອງທ່ານກ່ອນທີ່ຈະເລີ່ມຕົ້ນການແບ່ງປັນ.

7. ການໃສ່ຊື່ປອມເປັນຄວາມຮູ້ສຶກທີ່ບໍ່ຖືກຕ້ອງກ່ຽວກັບຄວາມປອດໄພ

ຄວາມສ່ຽງ: ການປອມແປງຊື່ — ການທົດແທນຕົວລະບຸໂດຍກົງດ້ວຍລະຫັດ ຫຼື ໂທເຄັນ — ແມ່ນໄດ້ຮັບການຊຸກຍູ້ພາຍໃຕ້ GDPR ເປັນມາດຕະການຄວາມປອດໄພ. ແຕ່ມັນບໍ່ໄດ້ເຮັດໃຫ້ຂໍ້ມູນບໍ່ລະບຸຊື່. ຖ້າຂໍ້ມູນຍັງສາມາດເຊື່ອມໂຍງກັບບຸກຄົນໄດ້, ມັນຍັງຄົງເປັນຂໍ້ມູນສ່ວນຕົວ ແລະ ຂຶ້ນກັບຂອບເຂດທັງໝົດຂອງ GDPR.

ເປັນຫຍັງບໍລິສັດຈຶ່ງເຮັດຜິດພາດ: ທຸລະກິດມັກສົມມຸດວ່າຂໍ້ມູນທີ່ໃຊ້ນາມແຝງແມ່ນ "ປອດໄພ" ໃນການແບ່ງປັນໂດຍບໍ່ມີຂໍ້ຈຳກັດ. ໃນທາງປະຕິບັດ, ການໃຊ້ນາມແຝງພຽງແຕ່ຊ່ວຍຫຼຸດຜ່ອນຄວາມສ່ຽງເທົ່ານັ້ນ; ມັນບໍ່ໄດ້ລົບລ້າງຄວາມສ່ຽງນັ້ນ. ຖ້າທ່ານແບ່ງປັນຂໍ້ມູນທີ່ໃຊ້ນາມແຝງກັບຄູ່ຮ່ວມງານທີ່ສາມາດເຂົ້າເຖິງກະແຈ ຫຼື ຊຸດຂໍ້ມູນອື່ນໆທີ່ຊ່ວຍໃຫ້ສາມາດລະບຸຕົວຕົນຄືນໃໝ່ໄດ້, ທ່ານຍັງກຳລັງປະມວນຜົນຂໍ້ມູນສ່ວນຕົວຢູ່.

ພື້ນຖານທາງກົດໝາຍ: ມາດຕາ 4(5) GDPR ກຳນົດນິຍາມການໃຊ້ນາມແຝງ. ມາດຕາ 26 GDPR ຊີ້ແຈງວ່າຂໍ້ມູນທີ່ໃຊ້ນາມແຝງຍັງຄົງເປັນຂໍ້ມູນສ່ວນຕົວ ເວັ້ນເສຍແຕ່ວ່າມັນຈະຖືກເຮັດໃຫ້ບໍ່ລະບຸຊື່ຢ່າງແທ້ຈິງ (ເຊັ່ນ: ການລະບຸຕົວຕົນຄືນໃໝ່ແມ່ນເປັນໄປບໍ່ໄດ້ອີກຕໍ່ໄປດ້ວຍວິທີທີ່ສົມເຫດສົມຜົນ).

ຜົນສະທ້ອນຂອງໂລກທີ່ແທ້ຈິງ: AP ໄດ້ຊີ້ແຈງໃນຄຳແນະນຳວ່າການໃສ່ຊື່ແຝງບໍ່ແມ່ນບັດ "ອອກຈາກຄຸກໂດຍບໍ່ມີຂໍ້ຈຳກັດ". ຖ້າການຢືນຢັນຕົວຕົນຄືນໃໝ່ເປັນໄປໄດ້, ພັນທະ GDPR ທັງໝົດຈະຖືກນຳໃຊ້, ລວມທັງການມີພື້ນຖານທາງກົດໝາຍ, ການດຳເນີນການ DPIA, ແລະ ການຮັບປະກັນຄວາມປອດໄພທີ່ພຽງພໍ.

ເອົາໄປປະຕິບັດໄດ້: ໃຫ້ປະຕິບັດຕໍ່ຂໍ້ມູນທີ່ໃຊ້ນາມແຝງຄືກັບຂໍ້ມູນສ່ວນຕົວ ເວັ້ນເສຍແຕ່ວ່າທ່ານໄດ້ຜ່ານຂະບວນການລຶບຂໍ້ມູນລະບຸຕົວຕົນຢ່າງເຂັ້ມງວດທີ່ໄດ້ຮັບການຢືນຢັນຈາກຜູ້ຊ່ຽວຊານ. ບັນທຶກມາດຕະການດ້ານວິຊາການ ແລະ ການຈັດຕັ້ງທີ່ມີຢູ່ເພື່ອປ້ອງກັນການລະບຸຕົວຕົນຄືນໃໝ່.

ຄໍາ​ຖາມ​ທີ່​ຖືກ​ຖາມ​ເລື້ອຍໆ

ການແບ່ງປັນຂໍ້ມູນພາຍໃຕ້ GDPR ໄດ້ຮັບອະນຸຍາດເມື່ອໃດ?

ການແບ່ງປັນຂໍ້ມູນຈະຖືກກົດໝາຍພຽງແຕ່ຖ້າທ່ານມີພື້ນຖານທາງກົດໝາຍທີ່ຖືກຕ້ອງຕາມມາດຕາ 6 GDPR. ພື້ນຖານທາງກົດໝາຍຫົກຢ່າງຄື: ການຍິນຍອມ, ຄວາມຈຳເປັນຕາມສັນຍາ, ພັນທະທາງກົດໝາຍ, ຜົນປະໂຫຍດທີ່ສຳຄັນ, ໜ້າທີ່ສາທາລະນະ, ແລະ ຜົນປະໂຫຍດທີ່ຖືກຕ້ອງຕາມກົດໝາຍ. ທ່ານຍັງຕ້ອງປະຕິບັດຕາມຫຼັກການຂອງຄວາມຖືກຕ້ອງຕາມກົດໝາຍ, ຄວາມຍຸຕິທຳ, ຄວາມໂປ່ງໃສ, ການຈຳກັດຈຸດປະສົງ, ການຫຼຸດຜ່ອນຂໍ້ມູນ, ຄວາມຖືກຕ້ອງ, ການຈຳກັດການເກັບຮັກສາ, ຄວາມຊື່ສັດ, ແລະ ການຮັກສາຄວາມລັບ (ມາດຕາ 5 GDPR). ໃນທາງປະຕິບັດ, ນີ້ໝາຍເຖິງການບັນທຶກຢ່າງຊັດເຈນວ່າເປັນຫຍັງທ່ານຈຶ່ງແບ່ງປັນຂໍ້ມູນ, ຮັບປະກັນວ່າຈຸດປະສົງສອດຄ່ອງກັບເຫດຜົນທີ່ທ່ານເກັບກຳມັນໃນເບື້ອງຕົ້ນ, ແລະ ແຈ້ງໃຫ້ເຈົ້າຂອງຂໍ້ມູນຮູ້ກ່ຽວກັບການແບ່ງປັນ.

ຄວາມແຕກຕ່າງກັນລະຫວ່າງຕົວຄວບຄຸມ ແລະ ໂປເຊດເຊີແມ່ນຫຍັງ?

A ຄວບຄຸມ ກຳນົດຈຸດປະສົງ ແລະ ວິທີການປະມວນຜົນຂໍ້ມູນສ່ວນຕົວ. A processor ປະມວນຜົນຂໍ້ມູນໃນນາມຂອງຜູ້ຄວບຄຸມພາຍໃຕ້ຄຳແນະນຳສະເພາະ. ຄວາມແຕກຕ່າງນີ້ມີຄວາມສຳຄັນເພາະວ່າຜູ້ຄວບຄຸມມີຄວາມຮັບຜິດຊອບຕົ້ນຕໍຕໍ່ການປະຕິບັດຕາມ GDPR, ໃນຂະນະທີ່ຜູ້ປະມວນຜົນມີພັນທະທີ່ຈຳກັດຫຼາຍກວ່າ (ສ່ວນໃຫຍ່ແມ່ນຮັບປະກັນຄວາມປອດໄພ ແລະ ຄວາມລັບ). ຖ້າທ່ານແບ່ງປັນຂໍ້ມູນກັບຜູ້ສະໜອງທີ່ປະມວນຜົນມັນຕາມຄຳແນະນຳຂອງທ່ານ - ຕົວຢ່າງ, ຜູ້ໃຫ້ບໍລິການເງິນເດືອນ ຫຼື ບໍລິການເກັບຮັກສາຂໍ້ມູນໃນຄລາວ - ໂດຍປົກກະຕິແລ້ວພວກເຂົາແມ່ນຜູ້ປະມວນຜົນ. ຖ້າພວກເຂົາຍັງຕັດສິນໃຈວ່າຈະນຳໃຊ້ຂໍ້ມູນເພື່ອຈຸດປະສົງຂອງຕົນເອງແນວໃດ, ພວກເຂົາອາດຈະເປັນຜູ້ຄວບຄຸມ (ຮ່ວມ). ການລະບຸບົດບາດທີ່ບໍ່ຖືກຕ້ອງສາມາດນຳໄປສູ່ຊ່ອງຫວ່າງໃນຄວາມຮັບຜິດຊອບ ແລະ ຄວາມຮັບຜິດຊອບຮ່ວມກັນສຳລັບການລະເມີດ.

ຂໍ້ຕົກລົງການປະມວນຜົນຂໍ້ມູນ (DPA) ຕ້ອງມີຜົນບັງຄັບໃຊ້ເມື່ອໃດ?

DPA ແມ່ນບັງຄັບທຸກຄັ້ງທີ່ທ່ານຈ້າງຜູ້ປະມວນຜົນເພື່ອຈັດການຂໍ້ມູນສ່ວນຕົວໃນນາມຂອງທ່ານ (ມາດຕາ 28 GDPR). ສິ່ງນີ້ໃຊ້ໄດ້ໂດຍບໍ່ຄໍານຶງເຖິງຂະໜາດຂອງອົງກອນຂອງທ່ານ ຫຼື ປະລິມານຂໍ້ມູນທີ່ກ່ຽວຂ້ອງ. DPA ຕ້ອງເປັນລາຍລັກອັກສອນ ແລະ ປະກອບມີຂໍ້ກໍານົດບັງຄັບສະເພາະ, ເຊັ່ນ: ຫົວຂໍ້ ແລະ ໄລຍະເວລາຂອງການປະມວນຜົນ, ລັກສະນະ ແລະ ຈຸດປະສົງ, ປະເພດຂໍ້ມູນ ແລະ ໝວດໝູ່ຂອງເຈົ້າຂອງຂໍ້ມູນ, ແລະ ພັນທະຂອງທັງສອງຝ່າຍກ່ຽວກັບຄວາມປອດໄພ, ການແຈ້ງເຕືອນການລະເມີດ, ແລະ ການປະມວນຜົນຍ່ອຍ. ຖ້າບໍ່ມີ DPA ທີ່ປະຕິບັດຕາມ, ທ່ານຈະລະເມີດຕັ້ງແຕ່ເວລາທີ່ຜູ້ປະມວນຜົນເລີ່ມປະມວນຜົນ, ເຖິງແມ່ນວ່າບໍ່ມີອັນຕະລາຍເກີດຂຶ້ນກໍຕາມ.

ຂ້ອຍສາມາດແບ່ງປັນຂໍ້ມູນລູກຄ້າກັບພາກສ່ວນທີ່ຢູ່ນອກສະຫະພາບເອີຣົບໄດ້ບໍ?

ແມ່ນແລ້ວ, ແຕ່ຖ້າມີເງື່ອນໄຂທີ່ເຂັ້ມງວດເທົ່ານັ້ນ. ພາຍໃຕ້ມາດຕາ 44–49 GDPR, ທ່ານສາມາດໂອນຂໍ້ມູນໄປຍັງປະເທດທີສາມໄດ້ຖ້າ: (ກ) ຄະນະກຳມະການເອີຣົບໄດ້ອອກຄຳຕັດສິນກ່ຽວກັບຄວາມພຽງພໍສຳລັບປະເທດນັ້ນ, ຫຼື (ຂ) ທ່ານໄດ້ວາງມາດຕະການປ້ອງກັນທີ່ເໝາະສົມ, ເຊັ່ນ: ຂໍ້ສັນຍາມາດຕະຖານ (SCCs). ປະຕິບັດຕາມ Schrems II ນອກຈາກການຕັດສິນແລ້ວ, ທ່ານຕ້ອງໄດ້ດຳເນີນການປະເມີນຜົນກະທົບຂອງການໂອນຍ້າຍ (TIA) ເພື່ອປະເມີນວ່າກົດໝາຍຂອງປະເທດປາຍທາງ (ເຊັ່ນ: ການເຝົ້າລະວັງຂອງລັດຖະບານ) ທຳລາຍການປົກປ້ອງທີ່ຮັບປະກັນໂດຍ SCC ຫຼືບໍ່. ຖ້າຄວາມສ່ຽງຍັງຄົງຢູ່, ທ່ານຕ້ອງປະຕິບັດມາດຕະການເພີ່ມເຕີມ, ເຊັ່ນ: ການເຂົ້າລະຫັດ ຫຼື ການຫຼຸດຜ່ອນຂໍ້ມູນ. ການໂອນຍ້າຍໂດຍບໍ່ມີການປ້ອງກັນທີ່ພຽງພໍສາມາດສົ່ງຜົນໃຫ້ມີການບັງຄັບໃຊ້ໂດຍ AP, ລວມທັງການຢຸດການໂອນ.

ເວລາໃດທີ່ DPIA ຈຳເປັນສຳລັບການແບ່ງປັນຂໍ້ມູນ?

DPIA ແມ່ນບັງຄັບພາຍໃຕ້ມາດຕາ 35 GDPR ເມື່ອການປະມວນຜົນມີແນວໂນ້ມທີ່ຈະສົ່ງຜົນໃຫ້ມີຄວາມສ່ຽງສູງຕໍ່ສິດທິ ແລະ ເສລີພາບຂອງບຸກຄົນ. ນີ້ລວມມີ: ການປະມວນຜົນຂໍ້ມູນປະເພດພິເສດຂະໜາດໃຫຍ່ (ເຊັ່ນ: ສຸຂະພາບ, ຂໍ້ມູນຊີວະມິຕິ, ຂໍ້ມູນທາງພັນທຸກໍາ), ການຕິດຕາມກວດກາຢ່າງເປັນລະບົບຂອງພື້ນທີ່ທີ່ສາມາດເຂົ້າເຖິງໄດ້ໂດຍສາທາລະນະ, ການຕັດສິນໃຈແບບອັດຕະໂນມັດທີ່ມີຜົນກະທົບທາງກົດໝາຍ ຫຼື ຜົນກະທົບທີ່ສຳຄັນຄ້າຍຄືກັນ, ແລະ ການນໍາໃຊ້ເຕັກໂນໂລຢີໃໝ່. ເມື່ອແບ່ງປັນຂໍ້ມູນ, DPIA ມັກຈະເປັນສິ່ງຈໍາເປັນຖ້າທ່ານກໍາລັງລວມຊຸດຂໍ້ມູນ, ການແບ່ງປັນຂໍ້ມູນທີ່ລະອຽດອ່ອນ, ຫຼື ການນໍາໃຊ້ຂໍ້ມູນສໍາລັບການວິເຄາະໂປຣໄຟລ໌ ຫຼື ການວິເຄາະທີ່ຂັບເຄື່ອນດ້ວຍ AI. AP ໄດ້ເຜີຍແຜ່ລາຍຊື່ຂອງການດໍາເນີນການປະມວນຜົນທີ່ຕ້ອງການ DPIA. ຖ້າມີຂໍ້ສົງໄສ, ໃຫ້ດໍາເນີນການ - ມັນດີກວ່າທີ່ຈະປອດໄພກວ່າການເສຍໃຈ.

ບໍລິສັດຕ່າງໆສາມາດປະເຊີນກັບຄ່າປັບໃໝອັນໃດຖ້າລະເມີດ GDPR?

GDPR ກຳນົດໃຫ້ມີຄ່າປັບໃໝສອງລະດັບ. ລະດັບຕ່ຳສຸດ - ສູງສຸດ 10 ລ້ານເອີໂຣ ຫຼື 2% ຂອງລາຍຮັບປະຈຳປີທົ່ວໂລກ - ໃຊ້ກັບການລະເມີດເຊັ່ນ: ການບໍ່ປະຕິບັດມາດຕະການຄວາມປອດໄພທີ່ເໝາະສົມ ຫຼື ບໍ່ດຳເນີນການ DPIA ເມື່ອຕ້ອງການ. ລະດັບສູງກວ່າ - ສູງສຸດ 20 ລ້ານເອີໂຣ ຫຼື 4% ຂອງລາຍຮັບປະຈຳປີທົ່ວໂລກ - ໃຊ້ກັບການລະເມີດທີ່ຮ້າຍແຮງກວ່າ, ລວມທັງການຂາດພື້ນຖານທາງກົດໝາຍສຳລັບການປະມວນຜົນ, ການໂອນຍ້າຍລະຫວ່າງປະເທດທີ່ຜິດກົດໝາຍ, ຫຼື ການລະເມີດສິດທິຂອງເຈົ້າຂອງຂໍ້ມູນ. AP ກຳນົດຈຳນວນຄ່າປັບໃໝໂດຍອີງໃສ່ປັດໃຈຕ່າງໆລວມທັງລັກສະນະ ແລະ ຄວາມຮຸນແຮງຂອງການລະເມີດ, ບໍ່ວ່າຈະເປັນເຈດຕະນາ ຫຼື ລະເລີຍ, ຈຳນວນບຸກຄົນທີ່ໄດ້ຮັບຜົນກະທົບ, ແລະ ການກະທຳທີ່ຫຼຸດຜ່ອນຜົນກະທົບໃດໆທີ່ໄດ້ປະຕິບັດ. ການບັງຄັບໃຊ້ທີ່ຜ່ານມາສະແດງໃຫ້ເຫັນວ່າ AP ເຕັມໃຈທີ່ຈະປັບໃໝຢ່າງຫຼວງຫຼາຍ, ໂດຍສະເພາະສຳລັບການລະເມີດທີ່ເປັນລະບົບ ຫຼື ໂດຍເຈດຕະນາ.

ຂໍ້ມູນທີ່ໃຊ້ນາມແຝງປອດໄພສະເໝີທີ່ຈະແບ່ງປັນບໍ?

ບໍ່. ການໃສ່ຊື່ປອມຊ່ວຍຫຼຸດຜ່ອນຄວາມສ່ຽງແຕ່ບໍ່ໄດ້ລົບລ້າງມັນ. ພາຍໃຕ້ມາດຕາ 4(5) GDPR, ການໃສ່ຊື່ປອມໝາຍເຖິງການປ່ຽນແທນຕົວລະບຸໂດຍກົງ (ເຊັ່ນຊື່) ດ້ວຍລະຫັດ ຫຼື ນາມແຝງ. ຢ່າງໃດກໍຕາມ, ຖ້າຂໍ້ມູນຍັງສາມາດເຊື່ອມໂຍງກັບບຸກຄົນໄດ້ - ຕົວຢ່າງ, ໂດຍການໃຊ້ຂໍ້ມູນເພີ່ມເຕີມທີ່ທ່ານ ຫຼື ຜູ້ຮັບຖືຄອງ - ມັນຍັງຄົງເປັນຂໍ້ມູນສ່ວນຕົວ ແລະ ຂຶ້ນກັບ GDPR ຢ່າງສົມບູນ. ນີ້ໝາຍຄວາມວ່າທ່ານຍັງຕ້ອງການພື້ນຖານທາງກົດໝາຍ, ຕ້ອງແຈ້ງໃຫ້ເຈົ້າຂອງຂໍ້ມູນຊາບ, ແລະ ຕ້ອງຮັບປະກັນຄວາມປອດໄພທີ່ພຽງພໍ. ມີພຽງການໃສ່ຊື່ປອມທີ່ແທ້ຈິງເທົ່ານັ້ນ - ບ່ອນທີ່ການລະບຸຕົວຕົນຄືນໃໝ່ເປັນໄປບໍ່ໄດ້ອີກຕໍ່ໄປດ້ວຍວິທີທີ່ສົມເຫດສົມຜົນ - ເອົາຂໍ້ມູນອອກຈາກຂອບເຂດຂອງ GDPR. ໃນທາງປະຕິບັດ, ການບັນລຸການໃສ່ຊື່ປອມທີ່ແທ້ຈິງແມ່ນຍາກ ແລະ ຕ້ອງການການກວດສອບຈາກຜູ້ຊ່ຽວຊານ.

ຂ້ອຍຄວນເຮັດແນວໃດຖ້າທຸລະກິດຂອງຂ້ອຍມີການລະເມີດຂໍ້ມູນຍ້ອນການແບ່ງປັນຂໍ້ມູນທີ່ຜິດກົດໝາຍ?

ຖ້າທ່ານພົບເຫັນການລະເມີດຂໍ້ມູນສ່ວນຕົວ - ລວມທັງການລະເມີດທີ່ເກີດຈາກການແບ່ງປັນຂໍ້ມູນທີ່ຜິດກົດໝາຍ - ທ່ານມີ ຊົ່ວໂມງ 72 ແຈ້ງໃຫ້ AP ຊາບພາຍໃຕ້ມາດຕາ 33 GDPR (ເວັ້ນເສຍແຕ່ວ່າການລະເມີດດັ່ງກ່າວບໍ່น่าຈະເຮັດໃຫ້ເກີດຄວາມສ່ຽງຕໍ່ສິດທິ ແລະ ເສລີພາບຂອງບຸກຄົນ). ທ່ານຍັງຕ້ອງແຈ້ງໃຫ້ບຸກຄົນທີ່ໄດ້ຮັບຜົນກະທົບຊາບໂດຍບໍ່ມີການຊັກຊ້າໂດຍບໍ່ຈຳເປັນ ຖ້າການລະເມີດດັ່ງກ່າວມີແນວໂນ້ມທີ່ຈະເຮັດໃຫ້ເກີດຄວາມສ່ຽງສູງຕໍ່ເຂົາເຈົ້າ (ມາດຕາ 34 GDPR). ຂັ້ນຕອນໃນທັນທີລວມມີ: ການສະກັດກັ້ນການລະເມີດ, ການປະເມີນຂອບເຂດ ແລະ ຜົນກະທົບຂອງມັນ, ການບັນທຶກສິ່ງທີ່ເກີດຂຶ້ນ ແລະ ສິ່ງທີ່ທ່ານກຳລັງເຮັດກ່ຽວກັບມັນ, ແລະ ແຈ້ງໃຫ້ AP ຊາບຜ່ານທາງອອນໄລນ໌ຂອງເຂົາເຈົ້າ. ການບໍ່ແຈ້ງໃຫ້ຊາບອາດສົ່ງຜົນໃຫ້ມີການປັບໃໝແຍກຕ່າງຫາກ. AP ຈະປະເມີນວ່າການດຳເນີນການບັງຄັບໃຊ້ແມ່ນຈຳເປັນຫຼືບໍ່ໂດຍອີງໃສ່ຄວາມຮຸນແຮງຂອງການລະເມີດ ແລະ ການຕອບສະໜອງຂອງທ່ານ.

ປົກປ້ອງທຸລະກິດຂອງທ່ານ—ຮັບຄໍາແນະນໍາທາງດ້ານກົດໝາຍຈາກຜູ້ຊ່ຽວຊານ

ການແບ່ງປັນຂໍ້ມູນແມ່ນບໍ່ສາມາດຫຼີກລ່ຽງໄດ້, ແຕ່ການລະເມີດ GDPR ບໍ່ຈຳເປັນຕ້ອງເປັນແບບນັ້ນ. ຄວາມສ່ຽງເຈັດຢ່າງທີ່ໄດ້ກ່າວມາຂ້າງເທິງນັ້ນບໍ່ແມ່ນທາງທິດສະດີ - ພວກມັນແມ່ນມາຈາກກໍລະນີການບັງຄັບໃຊ້ຕົວຈິງ, ຄຳຕັດສິນຂອງສານ, ແລະ ຄຳແນະນຳດ້ານກົດລະບຽບ. ທຸກໆຢ່າງສາມາດສົ່ງຜົນໃຫ້ມີການປັບໃໝ, ການຮຽກຮ້ອງຄວາມຮັບຜິດຊອບ, ແລະ ຄວາມເສຍຫາຍຕໍ່ຊື່ສຽງ.

ຂ່າວດີບໍ? ດ້ວຍຂອບກົດໝາຍທີ່ຖືກຕ້ອງ, ເອກະສານທີ່ຊັດເຈນ, ແລະ ມາດຕະການປະຕິບັດຕາມຢ່າງຕັ້ງໜ້າ, ທ່ານສາມາດແບ່ງປັນຂໍ້ມູນໄດ້ຢ່າງໝັ້ນໃຈ ແລະ ຖືກຕ້ອງຕາມກົດໝາຍ. ແຕ່ການເຮັດມັນໃຫ້ຖືກຕ້ອງຕ້ອງການຫຼາຍກວ່າຄຳແນະນຳທົ່ວໄປ - ມັນຕ້ອງການການສະໜັບສະໜູນທາງດ້ານກົດໝາຍທີ່ເໝາະສົມທີ່ເຂົ້າໃຈທຸລະກິດຂອງທ່ານ, ການໄຫຼຂອງຂໍ້ມູນຂອງທ່ານ, ແລະ ຄວາມສ່ຽງສະເພາະທີ່ທ່ານປະເຊີນ.

ຢ່າລໍຖ້າໃຫ້ AP ມາເຄາະປະຕູ. ຖ້າທ່ານບໍ່ແນ່ໃຈວ່າການປະຕິບັດການແບ່ງປັນຂໍ້ມູນຂອງທ່ານສອດຄ່ອງກັບ GDPR ຫຼືບໍ່, ຫຼືຖ້າທ່ານຕ້ອງການຄວາມຊ່ວຍເຫຼືອໃນການຮ່າງ DPA, ການດຳເນີນການ DPIA, ຫຼືການຄຸ້ມຄອງການໂອນຍ້າຍລະຫວ່າງປະເທດ, ໃຫ້ຕິດຕໍ່ກັບທະນາຍຄວາມດ້ານຄວາມເປັນສ່ວນຕົວຜູ້ຊ່ຽວຊານ. ທຸລະກິດຂອງທ່ານ - ແລະລູກຄ້າຂອງທ່ານ - ສົມຄວນໄດ້ຮັບສິ່ງທີ່ບໍ່ດີໜ້ອຍກວ່ານີ້.