GDPR คืออะไร? การเปรียบเทียบกับ 'Japanese Personal Information Protection Law' และจุดที่บริษัทญี่ปุ่นควรใส่ใจ

ในการขยายธุรกิจไปยังพื้นที่ของสหภาพยุโรป (EU) คุณจำเป็นต้องมีความรู้ครอบคลุมเกี่ยวกับ GDPR (General Data Protection Regulation – กฎหมายคุ้มครองข้อมูลทั่วไป) บริษัทญี่ปุ่นที่ไม่มีสำนักงานในพื้นที่ EU ก็อาจจะต้องปฏิบัติตาม GDPR ได้เช่นกัน จงศึกษาพื้นฐานเกี่ยวกับ GDPR และกฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น เพื่อจัดการข้อมูลอย่างเหมาะสม

บทความนี้จะอธิบายเกี่ยวกับ GDPR โดยเปรียบเทียบกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น และจะชี้แจงถึงประเด็นที่บริษัทญี่ปุ่นควรให้ความสนใจ หากคุณเป็นผู้รับผิดชอบด้านกฎหมายที่กำลังพิจารณาว่าจำเป็นต้องเปลี่ยนแปลงกฎเกณฑ์เกี่ยวกับการคุ้มครองข้อมูลหรือไม่ หรือต้องการทราบกฎหมายที่ควรเตรียมการเพื่อขยายธุรกิจไปยัง EU บทความนี้จะเป็นแหล่งข้อมูลที่มีประโยชน์สำหรับคุณ

GDPR (EU 一般データ保護規則) คืออะไร

“GDPR (General Data Protection Regulation)” หรือที่เรียกในญี่ปุ่นว่า “一般データ保護規則” คือกฎหมายที่สหภาพยุโรป (EU) กำหนดขึ้นเพื่อจัดการกับข้อมูลส่วนบุคคล (การปกป้องข้อมูลส่วนบุคคล) นั่นเอง

กฎหมายนี้กำหนดมาตรฐานที่เข้มงวดสำหรับการจัดการข้อมูลส่วนบุคคลภายใน EU และมีวัตถุประสงค์เพื่อเสริมสร้างการปกป้องความเป็นส่วนตัวของบุคคล

จากมุมมองของการปกป้องข้อมูลส่วนบุคคล กฎหมายนี้ให้แนวทางว่าองค์กรหรือบริษัทควรจัดการข้อมูลอย่างไร และบุคคลสามารถปกป้องข้อมูลของตนเองได้อย่างไร

อ้างอิง: คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล | “一般データ保護規則 (GDPR) แปลเป็นภาษาญี่ปุ่นชั่วคราว[ja]”

หลักการพื้นฐานของ GDPR มีดังนี้

• ความถูกต้องตามกฎหมาย ความยุติธรรม และความโปร่งใส
• การจำกัดวัตถุประสงค์
• การลดข้อมูลให้น้อยที่สุด
• ความถูกต้องของข้อมูล
• การจำกัดการเก็บรักษาข้อมูล
• ความสมบูรณ์และความลับ

เราจะอธิบายแต่ละหลักการพื้นฐานดังกล่าวต่อไป

ความถูกต้องตามกฎหมาย ความยุติธรรม และความโปร่งใส

หลักการพื้นฐานของ GDPR ที่ถูกยกขึ้นเป็นอันดับแรกคือ ความถูกต้องตามกฎหมาย ความยุติธรรม และความโปร่งใส

เมื่อผู้ประกอบการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคล จำเป็นต้องมีพื้นฐานทางกฎหมายที่ชอบด้วยกฎหมาย และต้องสื่อสารให้กับผู้ที่เกี่ยวข้องเข้าใจได้อย่างชัดเจนว่าการประมวลผลนั้นจะดำเนินการอย่างไร

นอกจากนี้ ผู้ประกอบการจะต้องให้ข้อมูลที่เกี่ยวข้องกับความเป็นส่วนตัวอย่างชัดเจน และทำให้ผู้ที่เกี่ยวข้องสามารถเข้าใจและควบคุมว่าข้อมูลของพวกเขาจะถูกจัดการอย่างไร เพื่อรักษาความโปร่งใส

การจำกัดวัตถุประสงค์ในการใช้งาน

การจำกัดวัตถุประสงค์ในการใช้งานหมายถึง การรวบรวมหรือการประมวลผลข้อมูลควรจะดำเนินการเพื่อวัตถุประสงค์ที่ชัดเจนและเฉพาะเจาะจงเท่านั้น

ผู้ประกอบการที่ได้รับข้อมูลส่วนบุคคลจะต้องแสดงวัตถุประสงค์ในการรวบรวมข้อมูลอย่างแม่นยำและเฉพาะเจาะจงต่อผู้ที่เกี่ยวข้อง และต้องได้รับความยินยอมอย่างชัดเจน นอกจากนี้ ผู้ประกอบการจะต้องจำกัดการใช้ข้อมูลที่รวบรวมไว้ไม่ให้เกินกว่าวัตถุประสงค์ที่ได้รับความยินยอมจากเจ้าของข้อมูล และต้องจัดการข้อมูลอย่างเคร่งครัด

การจำกัดข้อมูลส่วนบุคคลให้น้อยที่สุด

การเก็บรวบรวมข้อมูลส่วนบุคคลควรจำกัดเฉพาะขอบเขตที่จำเป็นเพื่อบรรลุวัตถุประสงค์ที่กำหนดไว้เท่านั้น ควรเก็บรวบรวมข้อมูลส่วนบุคคลเฉพาะที่เหมาะสมกับวัตถุประสงค์ที่ได้รับการร้องขอ และไม่เก็บข้อมูลส่วนบุคคลที่ไม่จำเป็นเพิ่มเติม

ด้วยวิธีนี้ จำนวนข้อมูลส่วนบุคคลที่ถูกเก็บรักษาจะถูกจำกัดให้อยู่ในระดับต่ำสุด และความเป็นส่วนตัวของบุคคลนั้นจะได้รับการปกป้อง

ความถูกต้อง

ตามหลักการพื้นฐานของ GDPR (General Data Protection Regulation) ข้อมูลส่วนบุคคลจะต้องมีความถูกต้องและเป็นปัจจุบัน หากข้อมูลส่วนบุคคลไม่ถูกต้องจะต้องได้รับการแก้ไข และต้องมีมาตรการที่เหมาะสมเพื่อรักษาข้อมูลให้เป็นปัจจุบันและถูกต้องอยู่เสมอ

ด้วยวิธีนี้ สิทธิและผลประโยชน์ของบุคคลจะได้รับการคุ้มครอง และการประมวลผลข้อมูลส่วนบุคคลจะดำเนินการบนพื้นฐานของข้อมูลที่ถูกต้อง

ข้อจำกัดในการเก็บรักษาบันทึก

หลักการพื้นฐานของ GDPR มีแนวคิดเรื่องข้อจำกัดในการเก็บรักษาบันทึก ข้อมูลส่วนบุคคลที่ไม่จำเป็นอีกต่อไปหลังจากที่วัตถุประสงค์ได้ถูกบรรลุควรจะถูกลบทิ้งอย่างรวดเร็ว

การไม่เก็บรักษาข้อมูลส่วนบุคคลที่ไม่จำเป็นจะช่วยให้สามารถจัดการข้อมูลส่วนบุคคลได้อย่างเหมาะสมและปกป้องความเป็นส่วนตัวได้อย่างมีประสิทธิภาพ

ความสมบูรณ์และความลับ

ข้อมูลส่วนบุคคลจะต้องครบถ้วนและมีการรักษาความลับอย่างเคร่งครัด ข้อมูลส่วนบุคคลควรได้รับการป้องกันจากการถูกปรับเปลี่ยนหรือสูญหาย และควรมีมาตรการที่เหมาะสมเพื่อป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต

ด้วยวิธีนี้ ความน่าเชื่อถือของข้อมูลส่วนบุคคลจะได้รับการเพิ่มขึ้น

ไม่ใช่แค่บริษัทในสหภาพยุโรปเท่านั้น? ขอบเขตการใช้ GDPR

การใช้ GDPR ไม่ได้จำกัดเฉพาะบริษัทในสหภาพยุโรป (EU) เท่านั้น บริษัทญี่ปุ่นก็อาจต้องปฏิบัติตาม GDPR ได้เช่นกัน บริษัทที่ต้องปฏิบัติตาม GDPR มีดังต่อไปนี้

บริษัทที่ต้องปฏิบัติตาม GDPR จะต้องรับรองการประมวลผลข้อมูลที่ถูกต้องและโปร่งใส รักษาความปลอดภัยของข้อมูล และปฏิบัติตามมาตรฐานของ GDPR

บทความที่เกี่ยวข้อง：กรณีที่ GDPR มีผลบังคับใช้นอกเขตอาณาจักร วิธีการรับมือคืออะไร?[ja]

การจัดการข้อมูลส่วนบุคคลตาม GDPR

GDPR มีบทบาทในการให้กรอบการคุ้มครองความเป็นส่วนตัวและการจัดการข้อมูลส่วนบุคคลอย่างมีระบบ

GDPR มุ่งปกป้องการควบคุมและการเคารพข้อมูลส่วนบุคคล พร้อมทั้งส่งเสริมการไหลเวียนของข้อมูล และรับประกันความน่าเชื่อถือผ่านการจัดการที่เหมาะสม

เพื่อบรรลุเป้าหมายนี้ ความโปร่งใสในการประมวลผลข้อมูลและความรับผิดชอบขององค์กรจึงมีความสำคัญ บริษัทจำเป็นต้องจัดการข้อมูลตามกฎหมายที่กำหนดไว้

นอกจากนี้ GDPR ยังมีข้อบังคับอื่นๆ ดังต่อไปนี้

อย่างไรก็ตาม มีกรณีที่การจัดการข้อมูลส่วนบุคคลอาจได้รับการยกเว้นจากการต้องได้รับความยินยอมจากบุคคลนั้นๆ ตัวอย่างเฉพาะเจาะจงมีดังนี้

• กรณีที่จำเป็นสำหรับการปฏิบัติตามสัญญาที่บุคคลนั้นเป็นฝ่ายสัญญา
• กรณีที่จำเป็นเพื่อดำเนินการตามคำขอของบุคคลนั้นก่อนการทำสัญญา
• กรณีที่จำเป็นเพื่อให้ผู้จัดการปฏิบัติตามหน้าที่ทางกฎหมาย
• กรณีที่จำเป็นเพื่อปกป้องผลประโยชน์ที่เกี่ยวข้องกับชีวิตของบุคคลนั้นหรือบุคคลอื่น
• กรณีที่จำเป็นเพื่อประโยชน์สาธารณะหรือเพื่อการปฏิบัติหน้าที่ของหน่วยงานราชการ
• กรณีที่จำเป็นเพื่อวัตถุประสงค์ของผลประโยชน์ที่ชอบด้วยกฎหมายของผู้จัดการหรือบุคคลที่สาม (จำเป็นต้องมีการประเมินเปรียบเทียบกับสิทธิ์ ผลประโยชน์ และเสรีภาพของบุคคลนั้น)

สิทธิหลักเกี่ยวกับข้อมูลส่วนบุคคลภายใต้ GDPR

ภายใต้ GDPR หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของยุโรป ผู้ที่ข้อมูลส่วนบุคคลเป็นของตนมีสิทธิหลักดังต่อไปนี้

• สิทธิในการเข้าถึงข้อมูลส่วนบุคคลของตนเอง
• สิทธิในการขอแก้ไขหรือลบข้อมูลส่วนบุคคล
• สิทธิในการขอจำกัดการใช้ข้อมูลส่วนบุคคล
• สิทธิในการแสดงความคิดเห็นต่อการจัดการข้อมูลส่วนบุคคล

ผู้ที่ข้อมูลส่วนบุคคลเป็นของตนมีสิทธิที่จะเข้าใจว่าผู้ให้บริการใช้ข้อมูลของพวกเขาอย่างไร หากพบว่าข้อมูลนั้นไม่ถูกต้องหรือถูกใช้งานอย่างไม่เหมาะสม พวกเขาสามารถขอให้มีการแก้ไขหรือลบข้อมูลนั้น รวมถึงมีสิทธิในการหยุดการใช้งานชั่วคราวหรือยื่นคำร้องเรียน

ความรับผิดชอบหลักเกี่ยวกับข้อมูลส่วนบุคคลตาม GDPR

ในขณะที่สิทธิต่างๆ ได้รับการยอมรับสำหรับเจ้าของข้อมูลส่วนบุคคล บริษัทที่เก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลจะต้องรับผิดชอบหลักๆ ดังต่อไปนี้

• ความรับผิดชอบในการจัดตั้งระบบและโครงสร้างบุคลากรสำหรับการจัดการข้อมูลส่วนบุคคลที่สอดคล้องกับ GDPR
• ความรับผิดชอบในการบันทึกการจัดการข้อมูลส่วนบุคคล
• ความรับผิดชอบเมื่อเกิดการละเมิดข้อมูลส่วนบุคคล

เพื่อให้ข้อมูลส่วนบุคคลได้รับการปกป้องอย่างเหมาะสม ความรับผิดชอบเหล่านี้ที่บริษัทต้องรับมีความสำคัญยิ่ง

นอกจากนี้ การบันทึกกิจกรรมการประมวลผลข้อมูลทั้งหมดอย่างเหมาะสมนั้น จำเป็นอย่างยิ่งสำหรับการทบทวนเมื่อจำเป็น

หากเกิดการละเมิดข้อมูลส่วนบุคคล บริษัทมีความรับผิดชอบในการดำเนินมาตรการที่เหมาะสมและแจ้งให้ผู้ที่เกี่ยวข้องทราบ

กรณีที่ฝ่าฝืน GDPR

หากผู้ควบคุมหรือผู้ประมวลผลข้อมูลฝ่าฝืน GDPR และทำให้เจ้าของข้อมูลได้รับความเสียหาย อาจถูกเรียกร้องให้ชดใช้ค่าเสียหายได้ (ตามมาตรา 82 ข้อ 1 ของ GDPR)。

นอกจากนี้ การฝ่าฝืน GDPR อาจนำไปสู่ผลลัพธ์ที่รุนแรง ตัวอย่างเช่น การกระทำที่ฝ่าฝืนอาจถูกสั่งให้จ่ายค่าปรับจากสหภาพยุโรปตามมาตรการที่กำหนดไว้ในมาตรา 83 ของ GDPR (ตามมาตรา 83 ของ GDPR)。

ความแตกต่างระหว่าง GDPR กับ กฎหมายคุ้มครองข้อมูลส่วนบุคคล

ความแตกต่างหลักระหว่าง GDPR กับ กฎหมายคุ้มครองข้อมูลส่วนบุคคล มีดังนี้

• ข้อมูลที่ได้รับการคุ้มครอง
• การตอบสนองเมื่อข้อมูลส่วนบุคคลถูกละเมิด
• การกำหนดตัวแทน
• โทษที่ได้รับในกรณีที่มีการละเมิด

เราจะอธิบายรายละเอียดดังต่อไปนี้

ข้อมูลที่ได้รับการคุ้มครอง

GDPR กับ กฎหมายคุ้มครองข้อมูลส่วนบุคคล มีข้อมูลที่ได้รับการคุ้มครองที่แตกต่างกัน GDPR คุ้มครองข้อมูลส่วนบุคคลที่ถูกประมวลผลภายในสหภาพยุโรปอย่างกว้างขวาง ไม่เพียงแต่บริษัทที่มีฐานการดำเนินงานในสหภาพยุโรปเท่านั้น แต่ยังรวมถึงบริษัทที่ให้บริการหรือสินค้าแก่บุคคลในสหภาพยุโรปด้วย

ในทางตรงกันข้าม กฎหมายคุ้มครองข้อมูลส่วนบุคคลมีข้อมูลที่ได้รับการคุ้มครองที่แตกต่างกันไปตามประเทศหรือภูมิภาค ตัวอย่างเช่น กฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่นคุ้มครองข้อมูลส่วนบุคคลที่ถูกประมวลผลภายในประเทศ และโดยพื้นฐานแล้วการคุ้มครองจะจำกัดอยู่ภายในประเทศเท่านั้น

การตอบสนองเมื่อข้อมูลส่วนบุคคลถูกละเมิด

มีความแตกต่างในการตอบสนองเมื่อข้อมูลส่วนบุคคลถูกละเมิดระหว่าง GDPR กับ กฎหมายคุ้มครองข้อมูลส่วนบุคคล GDPR กำหนดให้บริษัทต้องแจ้งเหตุการณ์การละเมิดข้อมูลให้กับหน่วยงานกำกับดูแลภายใน 72 ชั่วโมง นอกจากนี้ยังมีความรับผิดชอบในการแจ้งให้เจ้าของข้อมูลทราบอย่างรวดเร็วและชัดเจน

ในขณะที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลก็กำหนดให้ต้องแจ้งเหตุการณ์การละเมิดข้อมูลอย่างรวดเร็วเช่นกัน แต่กำหนดเวลาและรายละเอียดการแจ้งของหน้าที่การรายงานอาจแตกต่างกันไปตามประเทศหรือภูมิภาค

การกำหนดตัวแทน

กฎเกณฑ์เกี่ยวกับการกำหนดตัวแทนระหว่าง GDPR กับ กฎหมายคุ้มครองข้อมูลส่วนบุคคลมีความแตกต่างกัน GDPR กำหนดให้ต้องได้รับความยินยอมจากผู้ปกครองหรือตัวแทนทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคลของเด็ก นอกจากนี้ บริษัทที่ให้บริการออนไลน์และจัดการข้อมูลส่วนบุคคลของเด็กอายุต่ำกว่า 16 ปีต้องได้รับความยินยอมจากผู้ปกครอง

กฎหมายคุ้มครองข้อมูลส่วนบุคคลก็กำหนดให้ต้องได้รับความยินยอมจากตัวแทนทางกฎหมายในการจัดการข้อมูลส่วนบุคคลของเด็กเช่นกัน แต่การกำหนดอายุและวิธีการขอความยินยอมอาจแตกต่างกันตามกฎหมายแต่ละประเทศ

โทษที่ได้รับในกรณีที่มีการละเมิด

ความแตกต่างอีกประการหนึ่งระหว่าง GDPR กับ กฎหมายคุ้มครองข้อมูลส่วนบุคคลคือโทษที่ได้รับในกรณีที่มีการละเมิด GDPR กำหนดโทษสำหรับการกระทำผิดที่อาจมีการเรียกเก็บเงินปรับสูงสุดถึง 4% ของยอดขายรวมประจำปีของบริษัทหรือ 20 ล้านยูโร

โทษของกฎหมายคุ้มครองข้อมูลส่วนบุคคลอาจแตกต่างกันไปตามประเทศหรือภูมิภาค แต่โดยทั่วไปจะมีการกำหนดโทษปรับหรือความรับผิดทางกฎหมาย จำนวนเงินปรับอาจแตกต่างกันไปตามความรุนแรงและลักษณะของการละเมิด

จุดสำคัญที่บริษัทญี่ปุ่นควรดำเนินการเพื่อรับมือกับ GDPR

บริษัทที่ตรงตามเงื่อนไขต่อไปนี้จำเป็นต้องดำเนินการเพื่อรับมือกับ GDPR:

• บริษัทที่มีบริษัทย่อยหรือสาขา หรือสำนักงานในพื้นที่ของสหภาพยุโรป (EU)
• บริษัทที่ให้บริการหรือส่งออกสินค้าไปยังพื้นที่ของ EU จากญี่ปุ่น
• บริษัทที่ได้รับมอบหมายให้ดำเนินการประมวลผลข้อมูลส่วนบุคคลจากบริษัทใน EU

ตัวอย่างของมาตรการที่บริษัทควรดำเนินการ ตามมาตรา 32 และบทนำ (83) ของ GDPR แนะนำให้ใช้การเข้ารหัสเป็นหนึ่งในเทคโนโลยีการป้องกันข้อมูลส่วนบุคคล

ดังนั้น จำเป็นต้องเข้ารหัสข้อมูลส่วนบุคคลบนคอมพิวเตอร์ของลูกค้า ฮาร์ดดิสก์ แฟลชไดรฟ์ USB และโฟลเดอร์ที่ใช้ร่วมกัน

นอกจากนี้ ยังจำเป็นต้องปรับเปลี่ยนนโยบายความเป็นส่วนตัวให้สอดคล้องกับ GDPR บทความต่อไปนี้ได้ให้คำอธิบายอย่างละเอียดเกี่ยวกับนโยบายความเป็นส่วนตัวที่สอดคล้องกับ GDPR

บทความที่เกี่ยวข้อง: อธิบายจุดสำคัญในการสร้างนโยบายความเป็นส่วนตัวที่สอดคล้องกับ GDPR[ja]

สรุป: ควรปรึกษาผู้เชี่ยวชาญเกี่ยวกับมาตรการ GDPR

GDPR คือกฎหมายที่มีวัตถุประสงค์ในการปกป้องข้อมูลส่วนบุคคลที่ถูกประมวลผลภายในสหภาพยุโรป (EU) อย่างกว้างขวาง โดยเรียกร้องให้มีการประมวลผลข้อมูลที่ถูกต้องและโปร่งใส รวมถึงการรับรองความปลอดภัย ความแตกต่างระหว่าง GDPR กับกฎหมายการปกป้องข้อมูลส่วนบุคคล ได้แก่ ขอบเขตการปกป้อง การตอบสนองต่อการละเมิดข้อมูลส่วนบุคคล การตั้งตัวแทน และโทษทางกฎหมายเมื่อมีการละเมิด

บริษัทที่มีฐานการดำเนินงานในสหภาพยุโรป (EU) บริษัทที่ให้บริการหรือสินค้าแก่บุคคลในสหภาพยุโรป หรือบริษัทที่ได้รับมอบหมายให้ประมวลผลข้อมูลส่วนบุคคลจากบริษัทในสหภาพยุโรป เป็นต้น จะต้องปฏิบัติตาม GDPR หากมีการละเมิด GDPR อาจต้องเผชิญกับการเรียกร้องค่าเสียหายหรือถูกปรับ ดังนั้นควรให้ความสำคัญและระมัดระวังอย่างยิ่ง

เราขอแนะนำให้คุณปรึกษากับผู้เชี่ยวชาญเพื่อตรวจสอบว่ามีความจำเป็นต้องปรับเปลี่ยนกฎระเบียบการปกป้องข้อมูลของบริษัทของคุณให้สอดคล้องกับ GDPR หรือไม่

แนะนำมาตรการของเรา

ที่สำนักงานกฎหมายมอนอลิธ (Monolith Law Office) เรามีประสบการณ์อันเข้มข้นในด้าน IT โดยเฉพาะอย่างยิ่งกฎหมายและอินเทอร์เน็ต เนื่องจากธุรกิจระดับโลกมีการขยายตัวเพิ่มขึ้นในปีที่ผ่านมา ความจำเป็นในการตรวจสอบทางกฎหมายโดยผู้เชี่ยวชาญจึงเพิ่มมากขึ้นเรื่อยๆ สำนักงานของเราให้บริการโซลูชันทางกฎหมายระหว่างประเทศ

สาขาที่สำนักงานกฎหมายมอนอลิธให้บริการ: กฎหมายระหว่างประเทศและธุรกิจต่างประเทศ[ja]