ขอบเขตอาณาเขตของ GDPR ในเซอร์เบีย

เราทราบดีว่าผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลจากสหภาพยุโรปต้องปฏิบัติตามกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) แต่ภายใต้เงื่อนไขบางประการ อาสาสมัครในเซอร์เบียต้องปฏิบัติตามเช่นกัน ในบล็อกโพสต์นี้ เราจะชี้แจงสถานการณ์ที่บริษัทของคุณอยู่ภายใต้ข้อบังคับ GDPR

GDPR มีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2018 และจากนั้นเป็นต้นมา บุคคลธรรมดาและนิติบุคคลที่มีถิ่นที่อยู่หรือสถานประกอบการในสหภาพยุโรปต้องปฏิบัติตามกฎ GDPR นอกจากนี้ ภายใต้เงื่อนไขบางประการ บุคคลธรรมดาและนิติบุคคลในเซอร์เบียจำเป็นต้องปฏิบัติตาม

เนื่องจากการละเมิด GDPR มีบทลงโทษที่สูงมากหากคุณเป็นเจ้าของบริษัทในเซอร์เบียที่มีสถานประกอบการในสหภาพยุโรป (ตามเงื่อนไขที่ระบุไว้ด้านล่าง) คุณควรทราบว่าบริษัทของคุณอยู่ภายใต้ GDPR เมื่อใด 

มีสามกรณีที่เป็นไปได้ภายใต้ GDPR ที่อาจนำไปใช้กับคุณ:

ในบล็อกโพสต์นี้ เราจะเน้นที่แอปพลิเคชัน GDPR สำหรับผู้ควบคุมข้อมูลที่มีสถานประกอบการในเซอร์เบีย ( กรณีที่ 2 )

ข้อกำหนด GDPR – หลักเกณฑ์

เนื่องจากข้อกำหนดของ GDPR มีการกำหนดไว้กว้างมาก ดังนั้นจึงต้องมีการตีความที่แตกต่างกัน European Board for Data Protection (EDPB) จึงได้ออกแนวทางปฏิบัติเกี่ยวกับขอบเขตอาณาเขตของ GDPR เพื่อชี้แจง ในกรณีอื่นๆ ที่ GDPR มีผลบังคับใช้ บริษัทที่มีสำนักงานใหญ่นอกสหภาพยุโรป

แนวปฏิบัติชี้แจงดังต่อไปนี้:

  • นำเสนอสินค้าหรือบริการแก่เจ้าของข้อมูลที่อยู่ในสหภาพยุโรป
  • การตรวจสอบพฤติกรรมของเจ้าของข้อมูลในสหภาพยุโรป เท่าที่พฤติกรรมของพวกเขาเกิดขึ้นภายในสหภาพยุโรป

EDPB ชี้แจงความเข้าใจผิดที่พบบ่อยสองประการ:

– GDPR ใช้กับผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลที่มีสถานประกอบการในสหภาพยุโรปเท่านั้น

– GDPR ใช้กับผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลที่ประมวลผลข้อมูลของเจ้าของข้อมูลที่เป็นพลเมืองของประเทศสมาชิกสหภาพยุโรป

หากผู้ควบคุมหรือผู้ประมวลผลที่มีสถานประกอบการในเซอร์เบียประมวลผลข้อมูลของพลเมืองของประเทศสมาชิกสหภาพยุโรป นั่นไม่ได้หมายความถึงการสมัครอัตโนมัติของ GDPR

ตัวอย่างเช่น ลองใช้บริษัทไอทีของเซอร์เบียที่ประมวลผลข้อมูลของเจ้าของข้อมูลที่เป็นพลเมืองของสหภาพยุโรปแต่ตั้งอยู่ในเซอร์เบีย โดยมีวัตถุประสงค์เพื่อนำเสนอสินค้าหรือบริการในอาณาเขตของสาธารณรัฐเซอร์เบีย บริษัทนี้ต้องปฏิบัติตาม GDPR หรือไม่?

คำตอบคือ: ไม่

อย่างไรก็ตาม สมมติว่าบริษัทไอทีของเซอร์เบียประมวลผลข้อมูลของเจ้าของข้อมูล ซึ่งขณะนี้นำเสนอสินค้าหรือบริการในนามของบริษัทไอทีของเซอร์เบีย ซึ่งตั้งอยู่ในอาณาเขตของประเทศสมาชิกสหภาพยุโรป บริษัทนี้ต้องปฏิบัติตาม GDPR หรือไม่?

คำตอบคือ: ใช่

ที่จริงแล้ว หากผู้ควบคุมและผู้ประมวลผลนอกสหภาพยุโรปต้องการปฏิบัติตาม GDPR ไม่สำคัญว่าข้อมูลของเจ้าของข้อมูลที่มีการประมวลผลข้อมูลถือเป็นสัญชาติหรือถิ่นที่อยู่ชั่วคราวหรือถาวรในประเทศสมาชิกสหภาพยุโรป สิ่งที่สำคัญคือเจ้าของข้อมูลอยู่ในสหภาพยุโรป

คณะกรรมการคุ้มครองข้อมูลแห่งยุโรปได้ให้ตัวอย่างที่ดีที่อธิบายว่า GDPR มีผลบังคับใช้กับบุคคลทุกคนที่อยู่ในสหภาพยุโรป

เป็นสิ่งสำคัญที่เจ้าของข้อมูลที่มีข้อมูลกำลังประมวลผลอยู่ในสหภาพยุโรปในขณะที่เสนอสินค้าหรือบริการ หรือในขณะที่ติดตามพฤติกรรมโดยไม่คำนึงถึงระยะเวลาของการกระทำเหล่านี้

สำหรับการใช้ GDPRการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในอาณาเขตของประเทศสมาชิกสหภาพยุโรปในขณะที่เสนอสินค้าหรือบริการก็เพียงพอแล้ว ไม่ว่าพวกเขาจะได้ชำระค่าสินค้าหรือบริการแล้วก็ตาม ดังนั้น การประมวลผลข้อมูลเพื่อวัตถุประสงค์ในการนำเสนอสินค้าหรือบริการโดยไม่ต้องซื้อสินค้าเหล่านี้ หรือการชำระค่าบริการเหล่านี้ ก็เพียงพอแล้วที่จะใช้บทลงโทษที่เข้มงวดตามที่ GDPR กำหนด

ในทางกลับกัน การประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในสหภาพยุโรปนั้นไม่เพียงพอที่จะใช้ข้อกำหนดของ GDPR กับผู้ประมวลผลข้อมูลหรือผู้ควบคุมข้อมูลที่มีสถานประกอบการนอกสหภาพยุโรป แต่มีความจำเป็นที่วัตถุประสงค์ของการประมวลผลข้อมูลนี้จะต้อง เพื่อเสนอสินค้าหรือบริการแก่บุคคลเหล่านี้หรือติดตามพฤติกรรมของพวกเขาภายในสหภาพ

แต่จะกำหนดได้อย่างไรว่าข้อมูลของเจ้าของข้อมูลที่อยู่ในสหภาพยุโรปได้รับการประมวลผลเพื่อเสนอสินค้าหรือบริการหรือเพื่อติดตามพฤติกรรมของพวกเขาภายในสหภาพหรือไม่?

การประมวลผลข้อมูลโดยมีวัตถุประสงค์เพื่อนำเสนอสินค้าและบริการ

EDPB ได้จัดเตรียมคำแนะนำไว้ในแนวทางปฏิบัติซึ่งระบุว่าข้อมูลของเจ้าของข้อมูลเหล่านี้ได้รับการประมวลผลอย่างแม่นยำด้วยเหตุผลเหล่านี้

เงื่อนไข

ในกรณีที่มีหลายเกณฑ์ที่กล่าวถึงข้างต้น EDPB มีความเห็นว่าข้อมูลของเจ้าของข้อมูลที่อยู่ในสหภาพยุโรปได้รับการประมวลผลอย่างแม่นยำเพื่อวัตถุประสงค์ในการนำเสนอสินค้าหรือบริการ กล่าวคือ GDPR มีผลบังคับใช้

นี่คือตัวอย่าง (ตาม EDPB) ของการประมวลผลข้อมูลของเจ้าของข้อมูลที่อยู่ในอาณาเขตของประเทศสมาชิกสหภาพยุโรป ในนามของผู้ควบคุมข้อมูลที่มีสถานประกอบการนอกสหภาพยุโรป โดยมีวัตถุประสงค์เพื่อเสนอสินค้าหรือบริการ:

ในทางกลับกัน การประมวลผลข้อมูลของพลเมืองของประเทศสมาชิกสหภาพยุโรปที่ทำงานในบริษัทในเซอร์เบียเพื่อวัตถุประสงค์ในการจ่ายเงินเดือนไม่ถือเป็นการประมวลผลข้อมูลโดยมีวัตถุประสงค์เพื่อนำเสนอสินค้าหรือบริการ ดังนั้นจึงไม่ต้องปฏิบัติตาม ภายใต้ข้อกำหนด GDPR

การประมวลผลข้อมูลเพื่อวัตถุประสงค์ในการติดตามพฤติกรรม

European Data Protection Board ได้จัดให้มีการตีความเมื่อถือว่าผู้ควบคุมหรือผู้ประมวลผลตรวจสอบพฤติกรรมของบุคคลในสหภาพยุโรปและพฤติกรรมของพวกเขาที่เกิดขึ้นภายในสหภาพ

ประการแรก ควรสังเกตว่าการเฝ้าติดตามเกี่ยวข้องกับการเฝ้าติดตามผู้คนผ่านทางอินเทอร์เน็ตหรือสร้างโปรไฟล์เพื่อวิเคราะห์หรือคาดการณ์ความชอบ พฤติกรรม และทัศนคติส่วนตัวของพวกเขา

ระบุว่าการติดตามสามารถอยู่ในรูปแบบของ:

– การโฆษณาตามพฤติกรรมของบุคคล

– การตรวจสอบตำแหน่งทางภูมิศาสตร์เพื่อวัตถุประสงค์ทางการตลาด

– การติดตามออนไลน์โดยใช้คุกกี้หรือเทคนิคการติดตามอื่น ๆ

– บริการวิเคราะห์อาหารส่วนบุคคลและสุขภาพออนไลน์

– กล้องวงจรปิด,

– การสำรวจตลาดและการศึกษาพฤติกรรมอื่น ๆ ตามโปรไฟล์ส่วนบุคคล

– การตรวจสอบหรือการรายงานสถานะสุขภาพของแต่ละบุคคลเป็นประจำ – การเฝ้าระวังวิดีโอผ่านกล้อง

คณะกรรมการคุ้มครองข้อมูลแห่งยุโรปยังอ้างถึงตัวอย่างที่ผู้ค้าปลีกหรือผู้ประมวลผลที่มีสถานประกอบการนอกสหภาพยุโรปกำลังประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่อยู่ในสหภาพยุโรปเพื่อติดตามพฤติกรรมของพวกเขาภายในสหภาพ

ควรกล่าวถึงว่าแต่ละเกณฑ์เหล่านี้แยกจากกัน ไม่ได้ระบุว่ามีการเสนอสินค้าและบริการให้กับผู้ที่อยู่ในสหภาพยุโรป และพฤติกรรมของพวกเขากำลังได้รับการตรวจสอบ อย่างไรก็ตาม การรวมกันของเกณฑ์เหล่านี้หลายข้อนำไปสู่ข้อสรุปว่าพวกเขาเป็นกลุ่มเป้าหมาย

จะเกิดอะไรขึ้นหากคุณอยู่ภายใต้ GDPR ในฐานะผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลในเซอร์เบีย

หากคุณทำสิ่งใดสิ่งหนึ่งต่อไปนี้ผ่านธุรกิจของคุณ:

  • ประมวลผลข้อมูลเกี่ยวกับเจ้าของข้อมูลที่มีอยู่จริงในสหภาพยุโรปเพื่อเสนอสินค้าหรือบริการ ไม่ว่าเจ้าของข้อมูลที่มีข้อมูลที่กำลังประมวลผลควรชำระค่าสินค้าหรือบริการเหล่านั้นหรือไม่

หรือ

  • ตรวจสอบพฤติกรรมของเจ้าของข้อมูลเหล่านี้ เท่าที่พฤติกรรมของพวกเขาเกิดขึ้นภายในสหภาพยุโรป

จำเป็นต้องปฏิบัติตามขั้นตอนของ GDPRเพื่อหลีกเลี่ยงการจ่ายเงินค่าปรับทางดาราศาสตร์

ซึ่งหมายความว่าตาม GDPR จำเป็นต้องจ้างบุคคลที่จะทำหน้าที่ในนามของคุณและสำหรับบัญชีของคุณในฐานะตัวแทนของคุณในสหภาพยุโรป และอนุญาตให้คุณปฏิบัติตามข้อกำหนดของ GDPR ตัวแทนสามารถเป็นได้ทั้งบุคคลจริงและนิติบุคคล ข้อมูลของตัวแทนจะต้องพร้อมใช้งานสำหรับเจ้าของข้อมูลที่มีการประมวลผลข้อมูล เช่น ข้อมูลเหล่านั้นอาจระบุไว้ในนโยบายความเป็นส่วนตัว ตัวแทนควรจัดตั้งขึ้นในประเทศสมาชิกสหภาพยุโรปซึ่งมีเจ้าของข้อมูลซึ่งมีการประมวลผลข้อมูลอยู่

หนึ่งในข้อพิสูจน์ของการดำเนินการตาม GDPR คือการตัดสินใจของหน่วยงานคุ้มครองข้อมูลของฝรั่งเศส (CNIL) ที่จะปรับ Google เป็นจำนวนเงิน 50,000,000.00 ยูโร ซึ่งเราได้พูดถึงรายละเอียดในส่วนข่าว ของเราแล้ว การตัดสินใจนี้ควรเป็นคำเตือนสำหรับผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลที่จัดตั้งขึ้นในเซอร์เบีย ซึ่งอยู่ภายใต้ GDPR เพื่อให้ธุรกิจของตนกลมกลืนกับข้อกำหนดของ GDPR ในเวลาที่เหมาะสม เนื่องจากการไม่ปฏิบัติตามข้อกำหนดดังกล่าวถือเป็นการคว่ำบาตรอย่างร้ายแรง