ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป (GDPR)

การปฏิบัติตาม GDPR (General Data Protection Regulation) เป็นหนึ่งในหลักการสำคัญของความสัมพันธ์ของเรากับลูกค้า โดย GDPR ถูกสร้างขึ้นเพื่อเสริมความแข็งแกร่งในการปกป้องข้อมูลผู้ใช้ ทั้งนี้การปฏิบัติตาม GDPR เป็นกุญแจสำคัญในการโต้ตอบกับผู้บริโภคที่ประสบความสำเร็จ โดยกฎระเบียบนี้มีผลบังคับใช้ในปี 2018 ดังนั้นผู้ใช้บางคนจึงทราบเรื่องนี้ค่อนข้างดีอยู่แล้ว ทั้งนี้เราจะช่วยให้คุณเข้าใจปัญหานี้โดยละเอียดและชี้แจงความแตกต่างทั้งหมดของ GDPR

สาระสำคัญของเอกสาร

GDPR เป็นเอกสารที่ควบคุมความสัมพันธ์ระหว่างผู้ใช้ที่ให้ข้อมูลส่วนบุคคลและองค์กร ที่รวบรวมและประมวลผลข้อมูลนี้

กฎระเบียบมีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม ปี 2018 ซึ่งเอกสารอย่างเป็นทางการฉบับก่อนหน้าที่ควบคุมการรักษาความปลอดภัยของข้อมูลส่วนบุคคลของผู้ใช้คือ EU Data Protection Directive ซึ่งมีผลบังคับใช้มาตั้งแต่ปี 1995

GDPR ให้สิทธิ์ผู้ใช้ในการจัดการข้อมูลส่วนบุคคลที่รวบรวมโดยบริษัท ซึ่งบุคคลหรือองค์กรสามารถรับข้อมูลที่จำเป็นได้โดยทำการร้องขอพิเศษ

ผู้เล่นหลักในข้อบังคับคือผู้ควบคุมและผู้ประมวลผล โดยที่ผู้ควบคุมคือบริษัทหรือองค์กรที่รวบรวมข้อมูลผู้ใช้ และโปรเซสเซอร์คือบริษัทที่ประมวลผลข้อมูลนี้ในนามของผู้ควบคุม

ตามข้อบังคับ ข้อมูลต่อไปนี้ถือเป็นข้อมูลส่วนบุคคล:

• ชื่อบุคคล ที่อยู่บ้านและที่ทำงานของพวกเขา
• หมายเลขโทรศัพท์มือถือและโทรศัพท์บ้าน
• หมายเลขเอกสารแสดงตน (หนังสือเดินทาง ประกันสุขภาพ ใบขับขี่ ฯลฯ)
• ข้อมูลทางการเงิน (บัตรธนาคาร บัญชีการเงินอิเล็กทรอนิกส์)
• ข้อมูลด้านสุขภาพ
• เอกลักษณ์ทางเชื้อชาติและวัฒนธรรมของผู้ใช้
• ที่อยู่ IP หรือ คุกกี้ ฯลฯ

นี่เป็นเพียงข้อมูลพื้นฐานบางประเภท ซึ่งรายการทั้งหมดแสดงอยู่ในข้อความของข้อบังคับ

ทุกองค์กรต้องบันทึกคำขอทั้งหมดและตรวจสอบให้แน่ใจว่าข้อมูลผู้ใช้ได้รับการปกป้องอย่างปลอดภัย โดยกฎใหม่นี้ใช้กับบริษัทในยุโรปทั้งหมด รวมทั้งองค์กรการค้าจากประเทศอื่นๆ ที่ให้บริการแก่พลเมืองของสหภาพยุโรป

หลักการสำคัญของระเบียบ

วิธีการปกป้องข้อมูลส่วนบุคคลเป็นไปตามหลักการ 7 ประการ ที่ชุมชนยุโรปพัฒนาและปรับปรุงอย่างค่อยเป็นค่อยไปตั้งแต่ช่วงทศวรรษที่ 80 ของศตวรรษที่ 20

1. ความโปร่งใส เป็นธรรม และถูกกฎหมาย ข้อมูลจะต้องถูกเก็บรวบรวมในทางที่ถูกกฎหมาย ซึ่งองค์กรไม่สามารถถ่ายโอนและประมวลผลข้อมูลส่วนบุคคลโดยที่ผู้ใช้ไม่ทราบ
2. วัตถุประสงค์ของการประมวลผลข้อมูล ต้องระบุวัตถุประสงค์ในการรวบรวมและประมวลผลข้อมูลอย่างชัดเจน ไม่สามารถใช้ข้อมูลเพื่อวัตถุประสงค์ที่ผิดกฎหมายได้
3. การลดปริมาณข้อมูลให้น้อยที่สุด บริษัทสามารถเก็บรวบรวมข้อมูลตามจำนวนที่ต้องการได้เท่านั้น ห้ามมิให้ใช้ข้อมูลเกี่ยวกับผู้ใช้ที่ไม่เกี่ยวข้องกับเรื่องและวัตถุประสงค์ของการวิเคราะห์
4. ความถูกต้องของข้อมูล ข้อมูลส่วนบุคคลจะต้องถูกต้องและเป็นความจริงมากที่สุด หากข้อมูลที่รวบรวมมีข้อผิดพลาด บุคคลนั้นมีสิทธิ์แก้ไข
5. เงื่อนไขการจัดเก็บ ข้อมูลควรถูกลบออกหลังการประมวลผล
6. ความเป็นส่วนตัว องค์กรที่รวบรวมและประมวลผลข้อมูลมีหน้าที่รับผิดชอบในการรักษาความลับ
7. ความรับผิดชอบ ผู้ควบคุมและผู้ประมวลผลควรพร้อมที่จะยืนยันการปฏิบัติตามมาตรการที่ระบุไว้ข้างต้น

บทลงโทษในกรณีที่ไม่ปฏิบัติตามกฎ

ตามรายงานของสื่อ ภายหลังการนำข้อบังคับไปใช้ บริษัทบางแห่งได้ทำการตรวจสอบแหล่งข้อมูลของตนเพื่อให้สอดคล้องกับข้อกำหนดของ GDPR โดยค่อนข้างขาดความรับผิดชอบ เป็นผลให้หลายบริษัทถูกบังคับให้ต้องจ่ายค่าปรับจำนวนมาก ตัวอย่างเช่น บริษัทขนาดใหญ่อย่าง Google และ British Airways ถูกเรียกเก็บเงินจำนวนมากเนื่องจากการไม่ปฏิบัติตามบรรทัดฐานใหม่

จำนวนเงินค่าปรับขึ้นอยู่กับระดับความเสียหายต่อการรักษาความลับของผู้ใช้ ตัวอย่างเช่น British Airways ประสบกับการละเมิดข้อมูล (ข้อมูลเกี่ยวกับลูกค้า 500,000 ราย) บริษัทต้องจ่ายค่าปรับมากกว่า 200 ล้านยูโร ผลรวมของการหักเงินสามารถคิดเป็น 2% ของมูลค่าการซื้อขายประจำปีของสาขาของบริษัททั้งหมด

ดังนั้น เพื่อหลีกเลี่ยงปัญหาทางการเงินและกฎหมาย องค์กรต้องเตรียมพร้อมที่จะทำงานร่วมกับลูกค้าของตนตามหลักการ GDPR ประการแรกนั้น จำเป็นต้องดำเนินการตรวจสอบและประเมินว่าบริษัทพร้อมที่จะให้ความคุ้มครองและการรักษาความลับของข้อมูลผู้ใช้หรือไม่

นอกจากการตรวจสอบเบื้องต้นของบริษัทแล้ว ยังต้องดำเนินการตรวจสอบอย่างสม่ำเสมอทุกๆ 6–12 เดือนเพื่อระบุจุดอ่อนและข้อผิดพลาดของบริษัท

ซึ่งมีสองวิธีในการดำเนินการตรวจสอบ — ตรวจสอบด้วยการมีส่วนร่วมของผู้เชี่ยวชาญและดำเนินการตรวจสอบอย่างอิสระ ในกรณีแรก ผู้ประกอบการควรหันไปหาบริษัทตรวจสอบที่น่าเชื่อถือ ซึ่งได้รับชื่อเสียงที่ดีในประเทศในสหภาพยุโรป

ในการดำเนินการตรวจสอบอย่างอิสระ จำเป็นต้องจ้างพนักงานพิเศษที่จะทำหน้าที่ตรวจสอบอย่างสม่ำเสมอ โดยแนวทางนี้แสดงถึงการลงทุนทางการเงินที่ค่อนข้างมาก อย่างไรก็ตาม แนวทางนี้สามารถรับประกันความปลอดภัยในการโต้ตอบกับลูกค้าได้

การตรวจสอบอีกประเภทหนึ่งคือการประเมินองค์กรโดยหน่วยงานกำกับดูแล ตามกฎแล้ว การตรวจสอบดังกล่าวจะไม่สม่ำเสมอ เนื่องจากพวกเขาจะต้องดำเนินการคัดเลือก

ภาระผูกพันของเรา

2WinPower ทำงานร่วมกับลูกค้าจากประเทศในยุโรปมาหลายปีแล้ว เราปฏิบัติตามกฎใหม่ที่นำมาใช้ในปี 2018 ด้วยความรับผิดชอบสูงสุด บริษัทของเราได้ทำทุกอย่างเท่าที่ทำได้เพื่อสร้างสภาพแวดล้อมที่ปลอดภัยสำหรับการทำงานกับข้อมูลส่วนบุคคลของลูกค้า

2WinPower ได้ดำเนินมาตรการดังต่อไปนี้:

• การรวบรวมข้อมูลเกิดขึ้นเฉพาะด้วยความยินยอมส่วนบุคคลของผู้ใช้ตามเงื่อนไขการใช้งาน
• 2WinPower รวบรวมและประมวลผลข้อมูลส่วนบุคคลเพื่อการสื่อสารกับลูกค้าและการให้บริการ เราไม่เปิดเผยข้อมูลที่เป็นความลับเกี่ยวกับผู้ใช้ของเรา
• ลูกค้าสามารถเข้าถึงข้อมูลส่วนบุคคลของตนได้ พวกเขาสามารถเปลี่ยนแปลงข้อมูลส่วนบุคคลที่ให้ไว้ได้ด้วยตนเอง
• ข้อมูลการชำระเงินของผู้ใช้ได้รับการปกป้องอย่างน่าเชื่อถือโดยใช้เทคโนโลยีการเข้ารหัส

ภาระหน้าที่หลักของ 2WinPower คือการปกป้องความเป็นส่วนตัวของผู้ใช้ การใช้ระบบรักษาความปลอดภัยที่ทันสมัยทำให้มั่นใจได้ถึงความปลอดภัยของข้อมูลส่วนบุคคลของผู้ใช้

นอกจากนี้เรายังรวบรวมและวิเคราะห์รายงานเกี่ยวกับคำขอภายนอก และพยายามรับข้อมูลส่วนบุคคลอย่างผิดกฎหมาย จากผลลัพธ์ เราได้ตัดสินใจแก้ไขกลไกการรักษาความปลอดภัยของบริษัท 2WinPower (เพื่อเพิ่มระดับความปลอดภัย ใช้เครื่องมือใหม่ หรือละทิ้งวิธีการที่ไม่มีประสิทธิภาพ)

ทีมโปรแกรมเมอร์ทำการทดสอบความน่าเชื่อถือของระบบรักษาความปลอดภัยอย่างต่อเนื่อง เพื่อป้องกันการรั่วไหลของข้อมูล นอกจากนี้ เราทำงานร่วมกับทนายความที่มีประสบการณ์ซึ่งช่วยเราดำเนินการตาม GDPR และปกป้องผลประโยชน์ของลูกค้าของเรา

เราเปิดรับหน่วยงานกำกับดูแลของประเทศในสหภาพยุโรปและพร้อมที่จะให้ข้อมูลเกี่ยวกับคำขอภายนอกและกลไกการป้องกันของเรา

2WinPower แจ้งองค์กรอื่นๆ ที่ประมวลผลข้อมูลส่วนบุคคลของผู้ใช้ในบริษัทของเรา เกี่ยวกับความสำคัญของการรักษาความเป็นส่วนตัวและบทลงโทษที่อาจเกิดขึ้น ในกรณีที่มีการเบี่ยงเบนไปจากมาตรฐานสากล

องค์กรของเรากำหนดอัลกอริธึมที่ชัดเจนสำหรับการทำงานกับข้อมูลส่วนบุคคลในแต่ละกรณี รายการการกระทำนี้มีระบุไว้ในสัญญา เราเข้าใจถึงความรับผิดชอบอย่างเต็มที่สำหรับการเบี่ยงเบนจากอัลกอริทึมนี้ การใช้เครื่องมือเพิ่มเติม และประสิทธิภาพของการกระทำที่ไม่สอดคล้องกัน

ความรับผิดชอบของลูกค้าของเรา

ตาม GDPR แล้วนั้น ลูกค้า 2WinPower เป็นผู้ควบคุม วัตถุประสงค์และวิธีการในการประมวลผลข้อมูลถูกกำหนดโดยผู้ควบคุม ซึ่งตามกฎ GDPR ข้างต้น ผู้ควบคุมต้องถ่ายโอนข้อมูลของตนไปยังผู้ประมวลผลเพื่อรับประกันความเป็นส่วนตัวและการปกป้องข้อมูลส่วนบุคคลโดยสมบูรณ์

เช่นเดียวกับผู้ประมวลผล โดยผู้ควบคุมมีหน้าที่รับผิดชอบต่อการรักษาความลับ ความจริงใจ และความถูกต้องตามกฎหมายของข้อมูลที่นำเสนอ ห้ามมิให้ถ่ายโอนข้อมูลเกี่ยวกับบุคคลที่สามโดยไม่ได้รับความยินยอม ข้อมูลที่ให้โดยผู้ควบคุมจะต้องเชื่อถือได้และไม่ควรละเมิดกฎหมายของรัฐใดรัฐหนึ่ง

ประโยชน์สำหรับผู้ใช้

ตามข้อกำหนดของ GDPR พลเมืองของสหภาพยุโรปมีสิทธิ์ที่จะยินยอมหรือปฏิเสธการรวบรวมข้อมูลส่วนบุคคลของพวกเขา พวกเขายังมีสิทธิที่จะลบและเปลี่ยนแปลงข้อมูลส่วนบุคคลที่รวบรวมโดยองค์กรต่างๆ เมื่อเทียบกับข้อกำหนดการปกป้องข้อมูลของสหภาพยุโรป (1995) โดยกฎระเบียบใหม่นี้ให้อิสระแก่ผู้ใช้มากขึ้น

ผู้คนได้รับสิทธิดังต่อไปนี้:

• เพื่อทราบวัตถุประสงค์ของการรวบรวมและประมวลผลข้อมูล
• เพื่อเข้าถึงข้อมูลส่วนบุคคลและมีโอกาสจัดการ
• ปฏิเสธการรวบรวมและประมวลผลข้อมูล
• เพื่อท้าทายการรวบรวมและประมวลผลข้อมูล
• มีโอกาสในการถ่ายโอนข้อมูลจากแหล่งข้อมูลหนึ่งไปยังบริการอื่นๆ