เราทราบดีว่าผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลจากสหภาพยุโรปต้องปฏิบัติตามกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) แต่ภายใต้เงื่อนไขบางประการ อาสาสมัครในเซอร์เบียต้องปฏิบัติตามเช่นกัน ในบล็อกโพสต์นี้ เราจะชี้แจงสถานการณ์ที่บริษัทของคุณอยู่ภายใต้ข้อบังคับ GDPR
GDPR มีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2018 และจากนั้นเป็นต้นมา บุคคลธรรมดาและนิติบุคคลที่มีถิ่นที่อยู่หรือสถานประกอบการในสหภาพยุโรปต้องปฏิบัติตามกฎ GDPR นอกจากนี้ ภายใต้เงื่อนไขบางประการ บุคคลธรรมดาและนิติบุคคลในเซอร์เบียจำเป็นต้องปฏิบัติตาม
เนื่องจากการละเมิด GDPR มีบทลงโทษที่สูงมากหากคุณเป็นเจ้าของบริษัทในเซอร์เบียที่มีสถานประกอบการในสหภาพยุโรป (ตามเงื่อนไขที่ระบุไว้ด้านล่าง) คุณควรทราบว่าบริษัทของคุณอยู่ภายใต้ GDPR เมื่อใด
มีสามกรณีที่เป็นไปได้ภายใต้ GDPR ที่อาจนำไปใช้กับคุณ:
ในบล็อกโพสต์นี้ เราจะเน้นที่แอปพลิเคชัน GDPR สำหรับผู้ควบคุมข้อมูลที่มีสถานประกอบการในเซอร์เบีย ( กรณีที่ 2 )
ข้อกำหนด GDPR – หลักเกณฑ์
เนื่องจากข้อกำหนดของ GDPR มีการกำหนดไว้กว้างมาก ดังนั้นจึงต้องมีการตีความที่แตกต่างกัน European Board for Data Protection (EDPB) จึงได้ออกแนวทางปฏิบัติเกี่ยวกับขอบเขตอาณาเขตของ GDPR เพื่อชี้แจง ในกรณีอื่นๆ ที่ GDPR มีผลบังคับใช้ บริษัทที่มีสำนักงานใหญ่นอกสหภาพยุโรป
แนวปฏิบัติชี้แจงดังต่อไปนี้:
- นำเสนอสินค้าหรือบริการแก่เจ้าของข้อมูลที่อยู่ในสหภาพยุโรป
- การตรวจสอบพฤติกรรมของเจ้าของข้อมูลในสหภาพยุโรป เท่าที่พฤติกรรมของพวกเขาเกิดขึ้นภายในสหภาพยุโรป
EDPB ชี้แจงความเข้าใจผิดที่พบบ่อยสองประการ:
– GDPR ใช้กับผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลที่มีสถานประกอบการในสหภาพยุโรปเท่านั้น
– GDPR ใช้กับผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลที่ประมวลผลข้อมูลของเจ้าของข้อมูลที่เป็นพลเมืองของประเทศสมาชิกสหภาพยุโรป
หากผู้ควบคุมหรือผู้ประมวลผลที่มีสถานประกอบการในเซอร์เบียประมวลผลข้อมูลของพลเมืองของประเทศสมาชิกสหภาพยุโรป นั่นไม่ได้หมายความถึงการสมัครอัตโนมัติของ GDPR
ตัวอย่างเช่น ลองใช้บริษัทไอทีของเซอร์เบียที่ประมวลผลข้อมูลของเจ้าของข้อมูลที่เป็นพลเมืองของสหภาพยุโรปแต่ตั้งอยู่ในเซอร์เบีย โดยมีวัตถุประสงค์เพื่อนำเสนอสินค้าหรือบริการในอาณาเขตของสาธารณรัฐเซอร์เบีย บริษัทนี้ต้องปฏิบัติตาม GDPR หรือไม่?
คำตอบคือ: ไม่
อย่างไรก็ตาม สมมติว่าบริษัทไอทีของเซอร์เบียประมวลผลข้อมูลของเจ้าของข้อมูล ซึ่งขณะนี้นำเสนอสินค้าหรือบริการในนามของบริษัทไอทีของเซอร์เบีย ซึ่งตั้งอยู่ในอาณาเขตของประเทศสมาชิกสหภาพยุโรป บริษัทนี้ต้องปฏิบัติตาม GDPR หรือไม่?
คำตอบคือ: ใช่
ที่จริงแล้ว หากผู้ควบคุมและผู้ประมวลผลนอกสหภาพยุโรปต้องการปฏิบัติตาม GDPR ไม่สำคัญว่าข้อมูลของเจ้าของข้อมูลที่มีการประมวลผลข้อมูลถือเป็นสัญชาติหรือถิ่นที่อยู่ชั่วคราวหรือถาวรในประเทศสมาชิกสหภาพยุโรป สิ่งที่สำคัญคือเจ้าของข้อมูลอยู่ในสหภาพยุโรป
คณะกรรมการคุ้มครองข้อมูลแห่งยุโรปได้ให้ตัวอย่างที่ดีที่อธิบายว่า GDPR มีผลบังคับใช้กับบุคคลทุกคนที่อยู่ในสหภาพยุโรป
เป็นสิ่งสำคัญที่เจ้าของข้อมูลที่มีข้อมูลกำลังประมวลผลอยู่ในสหภาพยุโรปในขณะที่เสนอสินค้าหรือบริการ หรือในขณะที่ติดตามพฤติกรรมโดยไม่คำนึงถึงระยะเวลาของการกระทำเหล่านี้
สำหรับการใช้ GDPRการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในอาณาเขตของประเทศสมาชิกสหภาพยุโรปในขณะที่เสนอสินค้าหรือบริการก็เพียงพอแล้ว ไม่ว่าพวกเขาจะได้ชำระค่าสินค้าหรือบริการแล้วก็ตาม ดังนั้น การประมวลผลข้อมูลเพื่อวัตถุประสงค์ในการนำเสนอสินค้าหรือบริการโดยไม่ต้องซื้อสินค้าเหล่านี้ หรือการชำระค่าบริการเหล่านี้ ก็เพียงพอแล้วที่จะใช้บทลงโทษที่เข้มงวดตามที่ GDPR กำหนด
ในทางกลับกัน การประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในสหภาพยุโรปนั้นไม่เพียงพอที่จะใช้ข้อกำหนดของ GDPR กับผู้ประมวลผลข้อมูลหรือผู้ควบคุมข้อมูลที่มีสถานประกอบการนอกสหภาพยุโรป แต่มีความจำเป็นที่วัตถุประสงค์ของการประมวลผลข้อมูลนี้จะต้อง เพื่อเสนอสินค้าหรือบริการแก่บุคคลเหล่านี้หรือติดตามพฤติกรรมของพวกเขาภายในสหภาพ
แต่จะกำหนดได้อย่างไรว่าข้อมูลของเจ้าของข้อมูลที่อยู่ในสหภาพยุโรปได้รับการประมวลผลเพื่อเสนอสินค้าหรือบริการหรือเพื่อติดตามพฤติกรรมของพวกเขาภายในสหภาพหรือไม่?
การประมวลผลข้อมูลโดยมีวัตถุประสงค์เพื่อนำเสนอสินค้าและบริการ
EDPB ได้จัดเตรียมคำแนะนำไว้ในแนวทางปฏิบัติซึ่งระบุว่าข้อมูลของเจ้าของข้อมูลเหล่านี้ได้รับการประมวลผลอย่างแม่นยำด้วยเหตุผลเหล่านี้
เงื่อนไข
ในกรณีที่มีหลายเกณฑ์ที่กล่าวถึงข้างต้น EDPB มีความเห็นว่าข้อมูลของเจ้าของข้อมูลที่อยู่ในสหภาพยุโรปได้รับการประมวลผลอย่างแม่นยำเพื่อวัตถุประสงค์ในการนำเสนอสินค้าหรือบริการ กล่าวคือ GDPR มีผลบังคับใช้
นี่คือตัวอย่าง (ตาม EDPB) ของการประมวลผลข้อมูลของเจ้าของข้อมูลที่อยู่ในอาณาเขตของประเทศสมาชิกสหภาพยุโรป ในนามของผู้ควบคุมข้อมูลที่มีสถานประกอบการนอกสหภาพยุโรป โดยมีวัตถุประสงค์เพื่อเสนอสินค้าหรือบริการ:
ในทางกลับกัน การประมวลผลข้อมูลของพลเมืองของประเทศสมาชิกสหภาพยุโรปที่ทำงานในบริษัทในเซอร์เบียเพื่อวัตถุประสงค์ในการจ่ายเงินเดือนไม่ถือเป็นการประมวลผลข้อมูลโดยมีวัตถุประสงค์เพื่อนำเสนอสินค้าหรือบริการ ดังนั้นจึงไม่ต้องปฏิบัติตาม ภายใต้ข้อกำหนด GDPR
การประมวลผลข้อมูลเพื่อวัตถุประสงค์ในการติดตามพฤติกรรม
European Data Protection Board ได้จัดให้มีการตีความเมื่อถือว่าผู้ควบคุมหรือผู้ประมวลผลตรวจสอบพฤติกรรมของบุคคลในสหภาพยุโรปและพฤติกรรมของพวกเขาที่เกิดขึ้นภายในสหภาพ
ประการแรก ควรสังเกตว่าการเฝ้าติดตามเกี่ยวข้องกับการเฝ้าติดตามผู้คนผ่านทางอินเทอร์เน็ตหรือสร้างโปรไฟล์เพื่อวิเคราะห์หรือคาดการณ์ความชอบ พฤติกรรม และทัศนคติส่วนตัวของพวกเขา
ระบุว่าการติดตามสามารถอยู่ในรูปแบบของ:
– การโฆษณาตามพฤติกรรมของบุคคล
– การตรวจสอบตำแหน่งทางภูมิศาสตร์เพื่อวัตถุประสงค์ทางการตลาด
– การติดตามออนไลน์โดยใช้คุกกี้หรือเทคนิคการติดตามอื่น ๆ
– บริการวิเคราะห์อาหารส่วนบุคคลและสุขภาพออนไลน์
– กล้องวงจรปิด,
– การสำรวจตลาดและการศึกษาพฤติกรรมอื่น ๆ ตามโปรไฟล์ส่วนบุคคล
– การตรวจสอบหรือการรายงานสถานะสุขภาพของแต่ละบุคคลเป็นประจำ – การเฝ้าระวังวิดีโอผ่านกล้อง
คณะกรรมการคุ้มครองข้อมูลแห่งยุโรปยังอ้างถึงตัวอย่างที่ผู้ค้าปลีกหรือผู้ประมวลผลที่มีสถานประกอบการนอกสหภาพยุโรปกำลังประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่อยู่ในสหภาพยุโรปเพื่อติดตามพฤติกรรมของพวกเขาภายในสหภาพ
ควรกล่าวถึงว่าแต่ละเกณฑ์เหล่านี้แยกจากกัน ไม่ได้ระบุว่ามีการเสนอสินค้าและบริการให้กับผู้ที่อยู่ในสหภาพยุโรป และพฤติกรรมของพวกเขากำลังได้รับการตรวจสอบ อย่างไรก็ตาม การรวมกันของเกณฑ์เหล่านี้หลายข้อนำไปสู่ข้อสรุปว่าพวกเขาเป็นกลุ่มเป้าหมาย
จะเกิดอะไรขึ้นหากคุณอยู่ภายใต้ GDPR ในฐานะผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลในเซอร์เบีย
หากคุณทำสิ่งใดสิ่งหนึ่งต่อไปนี้ผ่านธุรกิจของคุณ:
- ประมวลผลข้อมูลเกี่ยวกับเจ้าของข้อมูลที่มีอยู่จริงในสหภาพยุโรปเพื่อเสนอสินค้าหรือบริการ ไม่ว่าเจ้าของข้อมูลที่มีข้อมูลที่กำลังประมวลผลควรชำระค่าสินค้าหรือบริการเหล่านั้นหรือไม่
หรือ
- ตรวจสอบพฤติกรรมของเจ้าของข้อมูลเหล่านี้ เท่าที่พฤติกรรมของพวกเขาเกิดขึ้นภายในสหภาพยุโรป
จำเป็นต้องปฏิบัติตามขั้นตอนของ GDPRเพื่อหลีกเลี่ยงการจ่ายเงินค่าปรับทางดาราศาสตร์
ซึ่งหมายความว่าตาม GDPR จำเป็นต้องจ้างบุคคลที่จะทำหน้าที่ในนามของคุณและสำหรับบัญชีของคุณในฐานะตัวแทนของคุณในสหภาพยุโรป และอนุญาตให้คุณปฏิบัติตามข้อกำหนดของ GDPR ตัวแทนสามารถเป็นได้ทั้งบุคคลจริงและนิติบุคคล ข้อมูลของตัวแทนจะต้องพร้อมใช้งานสำหรับเจ้าของข้อมูลที่มีการประมวลผลข้อมูล เช่น ข้อมูลเหล่านั้นอาจระบุไว้ในนโยบายความเป็นส่วนตัว ตัวแทนควรจัดตั้งขึ้นในประเทศสมาชิกสหภาพยุโรปซึ่งมีเจ้าของข้อมูลซึ่งมีการประมวลผลข้อมูลอยู่
หนึ่งในข้อพิสูจน์ของการดำเนินการตาม GDPR คือการตัดสินใจของหน่วยงานคุ้มครองข้อมูลของฝรั่งเศส (CNIL) ที่จะปรับ Google เป็นจำนวนเงิน 50,000,000.00 ยูโร ซึ่งเราได้พูดถึงรายละเอียดในส่วนข่าว ของเราแล้ว การตัดสินใจนี้ควรเป็นคำเตือนสำหรับผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลที่จัดตั้งขึ้นในเซอร์เบีย ซึ่งอยู่ภายใต้ GDPR เพื่อให้ธุรกิจของตนกลมกลืนกับข้อกำหนดของ GDPR ในเวลาที่เหมาะสม เนื่องจากการไม่ปฏิบัติตามข้อกำหนดดังกล่าวถือเป็นการคว่ำบาตรอย่างร้ายแรง