กรณีที่ GDPR ถูกนําไปใช้นอกเขตอาณาจักร ควรจะรับมืออย่างไร? อธิบายวิธีการตอบสนอง
GDPR คือ กฎหมายที่สหภาพยุโรป (EU) กำหนดขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคลและการจัดการข้อมูลนั้น หากคุณกำลังจะเปิดตัวสินค้าหรือบริการในพื้นที่ EU ก็มีโอกาสที่ GDPR จะถูกนำมาใช้กับคุณ อย่างไรก็ตาม อาจมีบางคนที่ไม่แน่ใจว่าบริษัทของตนเองตกอยู่ภายใต้ขอบเขตของ GDPR หรือไม่ และหากเป็นเช่นนั้น ควรทำอย่างไร
บทความนี้จะอธิบายขอบเขตการใช้งานของ GDPR สิ่งที่ควรทำหากกฎหมายนี้ถูกนำมาใช้ และการตอบสนองที่คาดหวังจากคุณ นอกจากนี้ยังมีส่วน Q&A เกี่ยวกับการใช้ GDPR ดังนั้นโปรดใช้เป็นข้อมูลอ้างอิง
ขอบเขตการใช้บังคับของ GDPR
เงื่อนไขที่ทำให้ GDPR มีผลบังคับใช้ถูกกำหนดไว้ในมาตรา 3 ‘ขอบเขตทางภูมิศาสตร์’ ของ GDPR ขอบเขตการใช้บังคับของ GDPR แบ่งออกเป็น 2 กรณี คือ กรณีที่มีฐานการดำเนินงานอยู่ในสหภาพยุโรป (EU) และกรณีที่ไม่มี
เนื้อหาที่กำหนดไว้สำหรับกรณีที่มีฐานการดำเนินงานอยู่ใน EU มีดังนี้
“ไม่ว่าการจัดการข้อมูลจะดำเนินการใน EU หรือไม่ก็ตาม จะถูกนำไปใช้กับการจัดการข้อมูลส่วนบุคคลในกระบวนการดำเนินงานของผู้ควบคุมหรือผู้ประมวลผลที่มีฐานการดำเนินงานอยู่ใน EU”
อ้างอิง: คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล | “การแปลชั่วคราวของกฎหมายคุ้มครองข้อมูลทั่วไป (GDPR)[ja]“
นั่นคือ หากมีผู้ควบคุมหรือผู้ประมวลผลที่มีฐานการดำเนินงานอยู่ใน EU ก็จะถูกนำ GDPR มาใช้บังคับ
| ผู้ควบคุม | บุคคลที่กำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคล |
| ผู้ประมวลผล | บุคคลที่ประมวลผลข้อมูลส่วนบุคคลแทนผู้ควบคุม |
สำหรับกรณีที่ไม่มีฐานการดำเนินงานอยู่ใน EU ขอบเขตการใช้บังคับมี 2 กรณีดังนี้
- ในกรณีที่มีการเสนอสินค้าหรือบริการให้กับบุคคลใน EU
- ในกรณีที่มีการติดตามพฤติกรรมของบุคคลใน EU
GDPR กำหนดข้อจำกัดที่เข้มงวดต่อประเทศนอก EU และเพื่อให้สามารถโอนย้ายข้อมูลได้อย่างอิสระ จำเป็นต้องมี “การรับรองความเพียงพอ” การรับรองความเพียงพอคือการรับรองที่ตัดสินโดยคณะกรรมาธิการยุโรปหลังจากการปรึกษาหารือ ซึ่งจะมอบให้กับประเทศหรือภูมิภาคที่มีระดับการปกป้องข้อมูลส่วนบุคคลที่เพียงพอ
ประเทศหรือภูมิภาคที่ไม่ได้รับการรับรองความเพียงพอจะต้องดำเนินการตามขั้นตอนเช่น SCC หรือ BCR เพื่อโอนย้ายข้อมูลออกนอก EU
| SCC (Standard Contractual Clauses) | ข้อกำหนดที่จำเป็นต้องรวมไว้ในสัญญาการโอนข้อมูล |
| BCR (Binding Corporate Rules) | นโยบายและกฎที่กำหนดเพื่อปกป้องข้อมูลส่วนบุคคลที่ได้มาจากพื้นที่เศรษฐกิจยุโรป (EEA) และกฎสำหรับการแชร์ข้อมูลกับบริษัทในเครือนอก EEA |
สิ่งที่เปลี่ยนแปลงเมื่อได้รับการรับรองความเพียงพอคือไม่จำเป็นต้องดำเนินการตามขั้นตอนเช่น SCC หรือ BCR
การรับรองความเพียงพอสำหรับญี่ปุ่นได้รับการประกาศในการประชุมสุดยอดประจำปีระหว่างญี่ปุ่นและ EU เมื่อเดือนกรกฎาคม 2018 (2018) เพื่อดำเนินการให้กรอบการโอนย้ายข้อมูลส่วนบุคคลสามารถใช้งานได้ หลังจากนั้น ในวันที่ 23 มกราคม 2019 (2019) ญี่ปุ่นได้รับการรับรองความเพียงพอ และมีการประกาศว่า “ยินดีต้อนรับการตัดสินใจที่ EU และญี่ปุ่นยอมรับระดับการปกป้องข้อมูลส่วนบุคคลของกันและกันเป็นที่เท่าเทียมกัน”
บริษัทที่ต้องปฏิบัติตาม GDPR ต้องทำอะไรบ้าง
หากบริษัทต้องปฏิบัติตาม GDPR มีสิ่งที่บริษัทต้องทำดังต่อไปนี้
- การแต่งตั้งตัวแทนในสหภาพยุโรป/สหราชอาณาจักร
- การระบุข้อมูลในนโยบายความเป็นส่วนตัว
ต่อไปนี้จะอธิบายรายละเอียดของแต่ละข้อ
การแต่งตั้งตัวแทนในสหภาพยุโรป/สหราชอาณาจักร
ตามมาตรา 27 ของ GDPR กำหนดให้บริษัทที่มีการประยุกต์ใช้ GDPR นอกเขตของสหภาพยุโรปหรือสหราชอาณาจักรต้องมีตัวแทนที่ตั้งอยู่ในสหภาพยุโรปหรือสหราชอาณาจักร
ตัวแทนที่กล่าวถึงที่นี่คือบุคคลที่ได้รับการแต่งตั้งโดยผู้ควบคุมหรือผู้ประมวลผลข้อมูลเป็นลายลักษณ์อักษร และมีหน้าที่แทนผู้ควบคุมหรือผู้ประมวลผลข้อมูลในการปฏิบัติตามหน้าที่ตาม GDPR
ไม่ใช่ทุกบริษัทที่ดำเนินธุรกิจในสหภาพยุโรปจะต้องมีตัวแทน บริษัทที่ไม่จำเป็นต้องมีตัวแทนคือบริษัทที่อยู่ในกรณีต่อไปนี้ (ตามมาตรา 27 ของ GDPR)
- การประมวลผลข้อมูลที่ต้องปฏิบัติตาม GDPR ไม่ใช่เพียงชั่วคราว และไม่รวมถึง “ข้อมูลประเภทพิเศษ” หรือ “การจัดการข้อมูลส่วนบุคคลที่เกี่ยวข้องกับคำพิพากษาที่มีความผิดและการกระทำที่ผิดกฎหมายจำนวนมาก และเมื่อพิจารณาถึงลักษณะ กระบวนการ ขอบเขต และวัตถุประสงค์ของการจัดการข้อมูล มีความเป็นไปได้น้อยที่จะเกิดความเสี่ยงต่อสิทธิหรือเสรีภาพของบุคคลธรรมดา
- ไม่ใช่หน่วยงานของรัฐหรือองค์กรของรัฐ
อ้างอิง: คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล | “การแปลชั่วคราวของกฎหมายคุ้มครองข้อมูลทั่วไป (GDPR)[ja]“
การระบุข้อมูลในนโยบายความเป็นส่วนตัว
บริษัทที่ต้องปฏิบัติตาม GDPR จำเป็นต้องระบุข้อมูลเกี่ยวกับการแต่งตั้งตัวแทนในนโยบายความเป็นส่วนตัวของตน
กฎหมายเกี่ยวกับบทลงโทษเมื่อไม่ได้แต่งตั้งตัวแทน
หากอยู่ในขอบเขตที่ต้องปฏิบัติตาม GDPR แต่ไม่ได้แต่งตั้งตัวแทน จะต้องระวังเพราะอาจต้องเผชิญกับบทลงโทษได้ บทลงโทษนั้นอาจสูงถึง 1,000 ยูโร หรือไม่เกิน 2% ของยอดขายทั่วโลก แล้วแต่จำนวนไหนที่มากกว่า (ตามมาตรา 84 ย่อหน้าที่ 4 ของ GDPR)
หน้าที่ที่ต้องการจากตัวแทน
หากอยู่ในขอบเขตที่ต้องปฏิบัติตาม GDPR ก็จำเป็นต้องแต่งตั้งตัวแทนตามหลักการทั่วไป แล้วหน้าที่ที่ตัวแทนต้องทำมีอะไรบ้าง? ที่นี่เราจะอธิบายหน้าที่ของตัวแทนอย่างละเอียด
การจัดการบันทึกตามมาตรา 30
ผู้ควบคุมหรือผู้ประมวลผลที่มีตัวแทนในประเทศสมาชิกของสหภาพยุโรปจะต้องแชร์บันทึกการประมวลผลของตนกับตัวแทน นอกจากนี้ ตัวแทนจะต้องเก็บรักษาบันทึกเหล่านั้นเช่นเดียวกับผู้ควบคุมหรือผู้ประมวลผล (ตามมาตรา 30 ของ GDPR)
รายการที่จำเป็นต้องบันทึกมีดังนี้
- ชื่อและข้อมูลติดต่อของผู้ควบคุม, DPO (เจ้าหน้าที่คุ้มครองข้อมูล)
- วัตถุประสงค์ของการประมวลผล
- ลักษณะของเจ้าของข้อมูลและประเภทข้อมูลที่จะประมวลผล
- ระยะเวลาการเก็บข้อมูล
- เวลาที่จะลบข้อมูล
เจ้าของข้อมูลหมายถึงบุคคลธรรมดาที่สามารถระบุตัวตนได้หรือสามารถระบุตัวตนได้โดยอ้อม ซึ่งเป็นบุคคลที่ข้อมูลส่วนบุคคลเกี่ยวข้อง
หากมีคำขอจากหน่วยงานกำกับดูแล จะต้องสามารถใช้บันทึกการประมวลผลเหล่านี้ได้
การตอบคำถามจากเจ้าของข้อมูลหรือหน่วยงานกำกับดูแล
หากมีคำถามจากเจ้าของข้อมูลหรือหน่วยงานกำกับดูแล ตัวแทนจะต้องทำหน้าที่แทนผู้ควบคุมหรือผู้ประมวลผลในการตอบสนองต่อเจ้าของข้อมูลและหน่วยงานกำกับดูแล (ตามมาตรา 27 ข้อ 3 ของ GDPR) ตัวอย่างเช่น หากเจ้าของข้อมูลมีคำขอ ผู้ควบคุมจะต้องให้ข้อมูลภายในหนึ่งเดือน (ตามมาตรา 12 ข้อ 3 ของ GDPR) นอกจากนี้ ตัวแทนจะต้องตอบสนองต่อคำขอจากหน่วยงานกำกับดูแลและทำงานร่วมกับหน่วยงานกำกับดูแล (ตามมาตรา 31 ของ GDPR)
คำถามที่พบบ่อยเกี่ยวกับการใช้บังคับของ GDPR
เราจะตอบคำถามที่พบบ่อยเกี่ยวกับการใช้บังคับของ GDPR ดังต่อไปนี้
ไม่มีแผนที่จะขยายธุรกิจไปต่างประเทศ แต่จำเป็นต้องปฏิบัติตาม GDPR หรือไม่?
โดยพื้นฐานแล้ว หากไม่มีแผนที่จะขยายธุรกิจไปต่างประเทศ ก็ไม่จำเป็นต้องปฏิบัติตาม GDPR อย่างไรก็ตาม แม้ว่าจะไม่ได้ขยายธุรกิจไปต่างประเทศ แต่หากมีโอกาสได้รับข้อมูลส่วนบุคคลจากบุคคลในสหภาพยุโรป ก็จำเป็นต้องระมัดระวัง
ตัวอย่างเช่น สามารถพิจารณากรณีดังต่อไปนี้ได้
- ดำเนินการเว็บไซต์ EC และได้รับการติดต่อหรือคำสั่งซื้อจากบุคคลในสหภาพยุโรป
- จากการเข้าชมเว็บไซต์ ได้รับตัวระบุออนไลน์ของบุคคลในสหภาพยุโรป (เช่น ที่อยู่ IP หรือคุกกี้)
- ได้รับที่อยู่อีเมลจากการตอบกลับคำถามของบุคคลในสหภาพยุโรป
แม้ว่าจะได้รับข้อมูลส่วนบุคคลของบุคคลในสหภาพยุโรปโดยไม่ได้ตั้งใจ แต่หากไม่ตรงกับขอบเขตการใช้งานทางภูมิศาสตร์ ก็ไม่จำเป็นต้องปฏิบัติตาม GDPR แต่อย่างใด
ควรจำไว้ว่า จำเป็นต้องปฏิบัติตาม GDPR เฉพาะในกรณีที่มีฐานการดำเนินงานอยู่ในสหภาพยุโรป หรือแม้ไม่มีฐานการดำเนินงานในสหภาพยุโรป แต่ตรงกับสองเงื่อนไขต่อไปนี้
- ให้บริการสินค้าหรือบริการแก่บุคคลในสหภาพยุโรป
- มีการติดตามพฤติกรรมของบุคคลในสหภาพยุโรป
การดำเนินการที่จำเป็นเมื่อเปิดตั้งเว็บไซต์ EC ข้ามพรมแดนที่มีเป้าหมายในสหภาพยุโรป (EU)
เมื่อคุณเปิดตั้งเว็บไซต์ EC ข้ามพรมแดนที่มีเป้าหมายในสหภาพยุโรป (EU) คุณอาจจะต้องเก็บข้อมูลส่วนบุคคลภายใน EU ข้อมูลที่อาจจะถูกเก็บรวบรวม ได้แก่:
- ชื่อ
- อีเมล
- ที่อยู่
- ข้อมูลบัตรเครดิต
- ข้อมูลการซื้อ
- ข้อมูลตำแหน่งที่ตั้ง
- IP แอดเดรสและ Cookie ID
หากคุณเก็บข้อมูลเหล่านี้ คุณจะต้องปฏิบัติตามกฎหมาย GDPR ที่กำหนดไว้สำหรับข้อมูลส่วนบุคคล
ขั้นตอนแรกคือการทบทวนนโยบายความเป็นส่วนตัวที่สอดคล้องกับ GDPR และการปรับปรุงและเผยแพร่ประกาศความเป็นส่วนตัว
บทความที่เกี่ยวข้อง:คำแนะนำในการสร้างนโยบายความเป็นส่วนตัวที่สอดคล้องกับ GDPR![ja]
จากนั้น คุณควรดำเนินการตามขั้นตอนต่อไปนี้:
- สร้างนโยบายคุกกี้ใหม่และขอความยินยอมในการใช้คุกกี้จากผู้เยี่ยมชมเว็บไซต์ EC ครั้งแรก
- เมื่อเก็บข้อมูลส่วนบุคคล ต้องขอความยินยอมในการจัดการข้อมูลส่วนบุคคล
- ดำเนินมาตรการด้านความปลอดภัยเพื่อป้องกันข้อมูลส่วนบุคคลและป้องกันการรั่วไหล
- แต่งตั้งตัวแทน
นอกจากนี้ คุณควรทบทวนกฎระเบียบภายในองค์กรและสร้างคู่มือเพื่อปฏิบัติตาม GDPR รวมถึงทบทวนสัญญากับผู้รับจ้างภายนอกตามความจำเป็น
GDPR กับ UK GDPR ต่างกันอย่างไร?
UK GDPR หมายถึง กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหราชอาณาจักร ซึ่งได้รับการบังคับใช้ตั้งแต่วันที่ 1 มกราคม 2021 (2021) ตามการออกจากสหภาพยุโรป (EU) ของสหราชอาณาจักร ในขณะที่ GDPR เป็นกฎหมายของ EU และไม่ได้รับการบังคับใช้ในสหราชอาณาจักร
UK GDPR จะถูกบังคับใช้ในกรณีต่อไปนี้:
- เมื่อมีการเสนอสินค้าหรือบริการให้กับบุคคลในสหราชอาณาจักร
- เมื่อมีการติดตามพฤติกรรมของบุคคลในสหราชอาณาจักร
หากคุณดำเนินธุรกิจในสหราชอาณาจักรและในพื้นที่ของ EU คุณจะต้องปฏิบัติตามทั้ง GDPR และ UK GDPR
สรุป: หากท่านมีปัญหาเกี่ยวกับขอบเขตการใช้บังคับของ GDPR กรุณาปรึกษาผู้เชี่ยวชาญ
หากท่านมีสำนักงานอยู่ในสหภาพยุโรป (EU) หรือแม้ไม่มีสำนักงานใน EU แต่ท่าน “ให้บริการสินค้าหรือบริการแก่บุคคลใน EU” หรือ “มีการติดตามพฤติกรรมของบุคคล” ท่านจะต้องอยู่ภายใต้ขอบเขตการใช้บังคับของ GDPR บริษัทที่ต้องปฏิบัติตาม GDPR จำเป็นต้องมีตัวแทนที่ได้รับการรับรองใน EU และต้องระบุข้อมูลนี้ไว้ในนโยบายความเป็นส่วนตัวของบริษัท
หากไม่มีการรับรองตัวแทน บริษัทอาจต้องเสียค่าปรับจำนวนมาก บริษัทที่กำลังดำเนินธุรกิจหรือมีแผนที่จะเข้าไปทำธุรกิจใน EU ควรจัดการรับรองตัวแทนเพื่อให้สอดคล้องกับ GDPR
หากท่านไม่แน่ใจว่าบริษัทของท่านต้องปฏิบัติตาม GDPR หรือไม่ ขอแนะนำให้ปรึกษากับผู้เชี่ยวชาญด้านกฎหมายระหว่างประเทศ
แนะนำมาตรการของเรา
ที่สำนักงานกฎหมายมอนอลิธ (Monolith Law Office) เราเป็นสำนักงานกฎหมายที่มีประสบการณ์อันเข้มข้นในด้านไอที โดยเฉพาะอย่างยิ่งกฎหมายเกี่ยวกับอินเทอร์เน็ต ในปัจจุบัน ธุรกิจระดับโลกกำลังขยายตัวอย่างต่อเนื่อง และความจำเป็นในการตรวจสอบทางกฎหมายโดยผู้เชี่ยวชาญก็เพิ่มขึ้นเรื่อยๆ สำนักงานของเราให้บริการโซลูชันทางกฎหมายระหว่างประเทศ
สาขาที่สำนักงานกฎหมายมอนอลิธให้บริการ: กฎหมายระหว่างประเทศและธุรกิจต่างประเทศ[ja]
Related Articles
ข้อควรระวังเมื่อขายอาหารผ่านร้านค้าออนไลน์ อธิบายเกี่ยวกับ 'Japanese Food Sanitation Law
General Corporate
การใช้ชื่อสินค้าของบริษัทอื่นเป็นแฮชแท็กอาจเป็นการละเมิดสิทธิ์ทางการค้าหรือไม่? อธิบายตัวอย่างจา.
General Corporate
การอธิบายตัวอย่างเจาะลึกเกี่ยวกับประสบการณ์และภาพถ่ายก่อนและหลังที่จะไม่ได้รับอนุญาตภายใต้กฎระเบ.
General Corporate
ใช้ประโยชน์จากเศรษฐกิจแบ่งปันในการทำงานพร้อมกับงานหลัก หรืองานเสริม จะขัดแย้งกับกฎระเบียบการทำงา.
General Corporate
