ข้อมูลมีความสำคัญต่อชีวิตของเรามากกว่าที่เคยเป็นมา ตั้งแต่บริการออนไลน์ที่ผู้คนใช้ไปจนถึงห้างสรรพสินค้า มีมหาสมุทรของข้อมูลที่เมื่อมีการจัดการอย่างไม่เหมาะสม อาจละเมิดความเป็นส่วนตัวของผู้คนและลดคุณภาพชีวิตของพวกเขาได้
นี่คือเหตุผลที่กฎข้อบังคับในการปกป้องข้อมูล เช่น GDPR (General Data Protection Regulation) มีความสำคัญมาก
การเปลี่ยนแปลงที่สำคัญอย่างหนึ่งของ GDPR ที่พบในวิธีที่เว็บไซต์ใช้ป๊อปอัป หากคุณสงสัยว่า GDPR คืออะไรและเหตุใดคุณจึงเห็นป๊อปอัปเกี่ยวกับข้อมูลของคุณบนเว็บไซต์ บทความนี้เหมาะสำหรับคุณ
GDPR คืออะไร
คณะกรรมาธิการยุโรปได้ร่าง GDPR ขึ้นเป็นครั้งแรกในปี 2016 กฎระเบียบดังกล่าวมีผลใช้บังคับในปี 2018 โดยจัดให้มีกฎเกณฑ์ที่ออกแบบมาเพื่อให้พลเมืองในสหภาพยุโรปสามารถควบคุมข้อมูลส่วนบุคคลของตนได้มากขึ้น ตั้งแต่นั้นมา GDPR ก็มีอิทธิพลมากขึ้นเนื่องจากมีประเทศนอกสหภาพยุโรปนำไปใช้กับภูมิภาคของตนมากขึ้น
หลักการของ GDPR
GDPR มีเป้าหมายเพื่อให้แน่ใจว่าทั้งพลเมืองและธุรกิจจะได้รับประโยชน์จากเศรษฐกิจดิจิทัล ตามข้อมูลของสหภาพยุโรป GDPR ได้รับการออกแบบมาเพื่อ "ประสาน" กฎหมายความเป็นส่วนตัวของข้อมูลทั่วทั้งรัฐสมาชิก และให้การปกป้องข้อมูลและสิทธิ์ความเป็นส่วนตัวแก่บุคคลมากขึ้น
GDPR ตั้งอยู่บนหลักการ 7 ประการ ซึ่งบางส่วนมีอยู่ในกฎการปกป้องข้อมูลก่อนหน้านี้ หลักการ 7 ข้อของ GDPR ได้แก่:
- ความถูกต้องตามกฎหมาย ความยุติธรรม และความโปร่งใส
- ข้อจำกัดวัตถุประสงค์
- การลดขนาดข้อมูล
- ความแม่นยำ
- ข้อจำกัดของพื้นที่เก็บข้อมูล
- ความซื่อสัตย์และการรักษาความลับ (ความปลอดภัย)
- ความรับผิดชอบ
ผู้ควบคุมและผู้ประมวลผลข้อมูล
GDPR มีไว้สำหรับผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล ผู้ควบคุมคือองค์กรที่ควบคุมวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคล GDPR จัดประเภทผู้ควบคุมเป็นบริษัทที่ตัดสินว่าเหตุใดและควรประมวลผลข้อมูลส่วนบุคคลอย่างไร
ในบางกรณี องค์กรสามารถถือเป็นผู้ควบคุมร่วมกันได้ หากร่วมกันกำหนดว่าเหตุใดและอย่างไรจึงควรประมวลผลข้อมูลส่วนบุคคลร่วมกับองค์กรตั้งแต่หนึ่งองค์กรขึ้นไป
ตัวอย่างของผู้ควบคุมข้อมูลร่วมสามารถพบได้โดยบริษัทสองแห่งสร้างเว็บไซต์เพื่อขายผลิตภัณฑ์ของตนและแบ่งปันข้อมูลลูกค้า ทั้งสองบริษัทอาจจัดเป็นผู้ควบคุมร่วมได้เนื่องจากบริการที่รวมกันเสนอและแพลตฟอร์มทั่วไปที่พวกเขาออกแบบและใช้งาน
ผู้ประมวลผลข้อมูลคือบุคคลหรือองค์กรที่ประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ควบคุม ตัวอย่างของผู้ประมวลผลคือบริษัทการพิมพ์ที่ใช้ข้อมูลส่วนบุคคลของลูกค้าของลูกค้าเพื่อจัดทำสื่อการตลาดดิจิทัลตามคำแนะนำ
ภายใต้ GDPR ผู้ควบคุมและผู้ประมวลผลต้องปฏิบัติตามกฎระเบียบเนื่องจากการไม่ปฏิบัติตามกฎอาจทำให้พวกเขาต้องเสียค่าปรับจำนวนมากหรือได้รับความเสียหายจากชื่อเสียง ข้อบังคับเกี่ยวกับวิธีที่ผู้ควบคุมและผู้ประมวลผลรวบรวมและใช้ข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคล
ข้อมูลที่ใช้ในการระบุตัวบุคคลถือเป็นข้อมูลส่วนบุคคลภายใต้ GDPR บ่อยครั้ง ข้อมูลส่วนบุคคลมาในรูปแบบของตัวระบุออนไลน์หรือมีลักษณะพิเศษที่แสดงออกทางกายภาพ จิตวิทยา พันธุกรรม จิตใจ การค้า วัฒนธรรม หรือสังคม
ข้อมูลส่วนบุคคลเป็นองค์ประกอบสำคัญของ GDPR เนื่องจาก GDPR ใช้กับการใช้ข้อมูลส่วนบุคคลเท่านั้น ภายใต้กฎหมายที่มีอยู่ ประเภทของข้อมูลที่อาจจัดเป็นข้อมูลส่วนบุคคล ได้แก่:
- ชื่อ
- หมายเลขประจำตัว
- ที่ตั้ง
- ที่อยู่
- หมายเลขบัตรเครดิต
- ข้อมูลบัญชี
- ป้ายทะเบียน
- หมายเลขลูกค้า
หมวดหมู่พิเศษของข้อมูลส่วนบุคคล
มาตรฐานการปกป้องข้อมูลส่วนบุคคลประเภทพิเศษนั้นสูงกว่ามาตรฐานสำหรับข้อมูลส่วนบุคคลทั่วไปมาก ข้อมูลหมวดหมู่พิเศษ ได้แก่:
- ข้อมูลทางพันธุกรรม
- ข้อมูลไบโอเมตริก
- ข้อมูลสุขภาพ
- ความคิดเห็นทางการเมือง
- ความเชื่อทางศาสนาหรืออุดมการณ์
- การเป็นสมาชิกสหภาพแรงงาน
- ข้อมูลส่วนบุคคลที่เปิดเผยที่มาของเชื้อชาติและชาติพันธุ์
GDPR ให้ความสำคัญกับความโปร่งใสเป็นอย่างมาก ด้วยเหตุนี้ ผู้ให้บริการเว็บไซต์จึงต้องได้รับความยินยอมจากผู้ใช้ในการใช้ข้อมูลที่ได้รับการคุ้มครอง
เหตุใดฉันจึงเห็นป๊อปอัปคำขอข้อมูลและคุกกี้
เมื่อใดก็ตามที่คุณเยี่ยมชมเว็บไซต์ ไฟล์คุกกี้อาจถูกบันทึกไว้ในอุปกรณ์ของคุณ ไฟล์นี้มีข้อมูลเกี่ยวกับเว็บไซต์และคุณ เว็บไซต์อาจใช้ข้อมูลเพื่อปรับแต่งประสบการณ์ให้กับคุณ โดยใช้ข้อมูลที่ได้บันทึกไว้เกี่ยวกับตัวคุณ
ข้อมูลในไฟล์คุกกี้อาจรวมถึงข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ซึ่งน่าจะได้รับการคุ้มครองภายใต้ GDPR ดังนั้น เว็บไซต์ต้องได้รับความยินยอมจากคุณก่อนที่จะรวบรวมข้อมูลของคุณด้วยคุกกี้
บางเว็บไซต์กำหนดให้ผู้ใช้ยอมรับคุกกี้ทั้งหมดก่อนจึงจะสามารถใช้เว็บไซต์ต่อไปได้ ในบางกรณี ผู้ใช้จะได้รับตัวเลือกมากกว่าประเภทคุกกี้ที่อนุญาต ในขณะที่เว็บไซต์อื่นๆ เลือกที่จะไม่รวบรวมข้อมูลหรือบังคับให้ผู้ใช้ตอบสนองต่อแบนเนอร์คุกกี้
เหตุใดจึงไม่ใช้ GDPR ในสหราชอาณาจักร
หลังจากที่สหราชอาณาจักรเสร็จสิ้นช่วงการเปลี่ยนผ่านของ Brexit (ซึ่งเป็นส่วนหนึ่งของกระบวนการแยกตัวออกจากสหภาพยุโรป) GDPR จะไม่มีผลกับประเทศอีกต่อไป เนื่องจากสหราชอาณาจักรไม่ได้เป็นส่วนหนึ่งของสหภาพยุโรปอีกต่อไป GDPR จึงไม่สามารถใช้กับประเทศได้โดยตรง อย่างไรก็ตาม กฎระเบียบยังคงมีอิทธิพลต่อการปกป้องข้อมูลในสหราชอาณาจักรโดยอ้อม
ข้อบังคับ DPPEC (การปกป้องข้อมูล ความเป็นส่วนตัว และการสื่อสารทางอิเล็กทรอนิกส์) ปี 2019 ใช้เพื่อบังคับใช้ข้อกำหนดบางประการของ GDPR กับกฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรปี 2018 (DPA 2018) สหราชอาณาจักรรวมข้อกำหนดของ GDPR ของสหภาพยุโรปเข้ากับ DPA 2018 เพื่อสร้างกฎการปกป้องข้อมูลชุดใหม่ที่เรียกว่า "UK GDPR"
GDPR และข้อบังคับระดับภูมิภาคอื่นๆ
กฎหมายความเป็นส่วนตัวของข้อมูลที่มีบทบัญญัติที่คล้ายคลึงกันกับ GDPR ยังคงถูกนำมาใช้ในส่วนต่างๆ ของโลก ด้วยเหตุนี้ ภูมิภาคต่างๆ มากขึ้นกว่าเดิม (โดยเฉพาะในยุโรป) มีกฎหมายและข้อบังคับในท้องถิ่นที่เป็นมิตรกับ GDPR
Lei Geral de Proteçao de Dados (LGPD) ของบราซิลสร้างแบบจำลองตาม GDPR โดยตรง ข้อบังคับกำหนดให้บริษัทที่ต้องการทำธุรกิจในบราซิลต้องปฏิบัติตามระเบียบข้อบังคับด้านการคุ้มครองข้อมูลหรือจ่ายค่าปรับ คำจำกัดความของข้อมูลส่วนบุคคลใน LGPD นั้นคล้ายกับคำจำกัดความใน GDPR แม้ว่า GDPR จะกำหนดข้อมูลส่วนบุคคลว่า
ในสหรัฐอเมริกา ทุกรัฐมีกฎหมายความเป็นส่วนตัวของตนเอง California Consumer Privacy Act (CCPA) มีกฎความเป็นส่วนตัวของข้อมูลที่เข้มงวดที่สุดในสหรัฐอเมริกา บทบัญญัติจำนวนมากทับซ้อนกับ GDPR แม้ว่า GDPR จะกำหนดให้ธุรกิจต้องแจ้งผู้ใช้ในเว็บไซต์ของตนให้ยอมรับคุกกี้และเทคโนโลยีการติดตามอื่นๆ CCPA กำหนดให้ธุรกิจต้องมีลิงก์ "ห้ามขายข้อมูลของฉัน" หรือ "ห้ามขายข้อมูลส่วนบุคคลของฉัน"
แม้กระทั่งก่อนที่จะมีการนำ GDPR มาใช้ รัฐในสหภาพยุโรปหลายแห่งก็มีกฎระเบียบที่คล้ายคลึงกัน ในหลายประเทศในสหภาพยุโรป ความรับผิดชอบเป็นหลักการเดียวที่กฎการปกป้องข้อมูลไม่เคยมีมาก่อนก่อนใช้ GDPR
การปกป้องสิทธิ์ส่วนบุคคล
ด้วยบทความ 99 บทความ GDPR ถือเป็นชุดกฎการปกป้องข้อมูลที่เข้มงวดที่สุดในโลก
เมื่อเปรียบเทียบกับกฎระเบียบระดับภูมิภาคอื่นๆ เหตุผลก็ชัดเจน มันสร้างขึ้นจากกฎระเบียบที่มีอยู่ก่อนเพิ่มกฎเพิ่มเติมเพื่อปกป้องสิทธิของบุคคล GDPR ได้ลดความซับซ้อนของกระบวนการปกป้องความเป็นส่วนตัวของข้อมูล มากเสียจนแม้แต่เว็บไซต์ที่ไม่มีหน้าก็ใช้ป๊อปอัปเพื่อขอความยินยอมจากผู้ใช้ก่อนที่จะรวบรวมข้อมูลด้วยคุกกี้