อธิบายง่าย ๆ GDPR คืออะไร?
ทำไมถึงเกิดเป็น GDPR ขึ้นมา
GDPR มีผลบังคับใช้กับใคร
อะไรบ้างที่นับเป็นข้อมูลส่วนบุคคลภายใต้กฎหมาย GDPR?
ต้องดำเนินการอย่างไรจึงจะประมวลผลข้อมูลตามกฎหมายนี้ได้?
7 หลักการสำคัญของ GDPR
สิทธิในข้อมูลสำหรับผู้ใช้งานภายใต้กฎหมาย GDPR
ภายใต้กฎหมาย GDPR ความยินยอมคืออะไรและได้มาอย่างไร?
วิธีที่ธุรกิจต่าง ๆ สามารถปฏิบัติตามข้อกำหนดของ GDPR
การบังคับใช้กฎหมาย GDPR และบทลงโทษสำหรับการฝ่าฝืน
GDPR ครอบคลุมถึงสหรัฐอเมริกาด้วยหรือไม่?
คุกกี้มีบทบาทอย่างไรภายใต้กฎหมาย GDPR?
ความเข้าใจผิดที่พบเห็นได้บ่อยเกี่ยวกับ GDPR
คำถามที่พบบ่อย : คำถามที่พบบ่อยเกี่ยวกับ GDPR

อธิบายง่าย ๆ GDPR คืออะไร?
ทำไมถึงเกิดเป็น GDPR ขึ้นมา
GDPR มีผลบังคับใช้กับใคร
อะไรบ้างที่นับเป็นข้อมูลส่วนบุคคลภายใต้กฎหมาย GDPR?
ต้องดำเนินการอย่างไรจึงจะประมวลผลข้อมูลตามกฎหมายนี้ได้?
7 หลักการสำคัญของ GDPR
สิทธิในข้อมูลสำหรับผู้ใช้งานภายใต้กฎหมาย GDPR
ภายใต้กฎหมาย GDPR ความยินยอมคืออะไรและได้มาอย่างไร?
วิธีที่ธุรกิจต่าง ๆ สามารถปฏิบัติตามข้อกำหนดของ GDPR
การบังคับใช้กฎหมาย GDPR และบทลงโทษสำหรับการฝ่าฝืน
GDPR ครอบคลุมถึงสหรัฐอเมริกาด้วยหรือไม่?
คุกกี้มีบทบาทอย่างไรภายใต้กฎหมาย GDPR?
ความเข้าใจผิดที่พบเห็นได้บ่อยเกี่ยวกับ GDPR
คำถามที่พบบ่อย : คำถามที่พบบ่อยเกี่ยวกับ GDPR

Blog
Featured
GDPR คืออะไร? คู่มือการคุ้มครองข้อมูลของสหภาพยุโรป

GDPR คืออะไร? คู่มือที่เข้าใจง่ายเกี่ยวกับการคุ้มครองข้อมูลของสหภาพยุโรป

Featured 28.05.2026 4 นาที

เขียนโดย Jennifer Pelegrin

รีวิวโดย Katarina Glamoslija

แก้ไขโดย Kate Davidson

illustration_what is the gdpr- simple guide to eu data protection

ถ้าองค์กรของคุณมีการเก็บ ใช้ หรือติดตามข้อมูลส่วนบุคคลจากบุคคลที่อยู่ในสหภาพยุโรป กฎหมาย General Data Protection Regulation (GDPR) ก็จะมีผลบังคับใช้กับคุณด้วย ไม่สำคัญว่าบริษัทของคุณจะตั้งอยู่ที่ไหน : กฎหมายด้านความเป็นส่วนตัวของยุโรปฉบับนี้มีผลบังคับใช้ทั่วโลก และเป็นการพลิกโฉมวิธีการที่ภาคธุรกิจใช้จัดการข้อมูลส่วนบุคคล

GDPR ได้รับการอนุมัติในปี 2016 และมีผลบังคับใช้ตั้งแต่เดือนพฤษภาคม 2018 โดยได้กำหนดหลักเกณฑ์ที่ชัดเจนว่าข้อมูลประเภทใดบ้างที่จัดเป็นข้อมูลส่วนบุคคล ข้อมูลนั้นสามารถนำไปใช้งานได้อย่างไรบ้าง และบุคคลทั่วไปมีสิทธิในข้อมูลของตนเองอย่างไรบ้าง

คู่มือฉบับนี้จะครอบคลุมว่า GDPR คืออะไร มีผลกับใคร และสิ่งที่ภาคธุรกิจต้องรู้เพื่อที่จะปฏิบัติตามกฎหมายฉบับนี้

GDPR คือ กฎหมายด้านความเป็นส่วนตัวของสหภาพยุโรป ซึ่งจะคุ้มครองข้อมูลส่วนตัวของคนที่อยู่ในสหภาพยุโรป สิ่งนี้จะรวมถึงข้อมูลใด ๆ ที่สามารถระบุตัวตนของใครบางคนได้ทั้งทางตรงและทางอ้อม อย่างเช่น ชื่อ ที่อยู่อีเมล ที่อยู่ IP หรือคุกกี้

GDPR ช่วยให้ผู้คนสามารถควบคุมข้อมูลของตนเองได้มากขึ้น นอกจากนี้ยังกำหนดให้ภาคธุรกิจต้องประมวลผลข้อมูลนี้อย่างเป็นธรรม ชี้แจงเหตุผลในการจัดเก็บรวบรวม และรักษาข้อมูลดังกล่าวให้ปลอดภัย กฎหมายนี้มาแทนที่กฎหมายด้านข้อมูลของสหภาพยุโรปเดิมโดยมีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2018

ก่อนที่จะมี GDPR การคุ้มครองข้อมูลในสหภาพยุโรปนั้นจะอยู่ภายใต้ 1995 Data Protection Directive สมัยก่อน อินเทอร์เน็ตยังเป็นเรื่องใหม่ และบริษัทก็จัดการกับข้อมูลส่วนบุคคลในปริมาณที่น้อยกว่ามาก ๆ เมื่อเทคโนโลยีมีความก้าวหน้ามากยิ่งขึ้นและบริการออนไลน์กลายเป็นส่วนหนึ่งของชีวิตประจำวัน ก็เริ่มมีความชัดเจนมากยิ่งขึ้นว่ากฎรูปแบบเดิมนั้นไม่เพียงพออีกต่อไปแล้ว

ในปี 2012 คณะกรรมาธิการยุโรปได้เสนอกฎหมายฉบับใหม่เพื่อเสริมสร้างสิทธิความเป็นส่วนตัวและปรับตัวให้เข้ากับเศรษฐกิจดิจิทัล หลังจากผ่านการหารือมาเป็นเวลาหลายปี GDPR ได้รับการอนุมัติในปี 2016 และมีผลบังคับใช้ในปี 2018

ต่างจากระเบียบข้อบังคับฉบับเก่า กฎหมายนี้มีผลบังคับใช้โดยตรงในทุกประเทศสมาชิกของสหภาพยุโรป ซึ่งเป็นการกำหนดมาตรฐานที่สอดคล้องกันและให้สิทธิแก่บุคคลทั่วไปที่ดียิ่งขึ้นในการควบคุมข้อมูลส่วนบุคคลของตนเอง

ความเป็นส่วนตัวนั้นกลายเป็นเรื่องสำคัญมากกว่าที่เคยในโลกที่มีการเชื่อมต่อหากันได้สะดวกยิ่งขึ้น และกฎหมายอย่าง GDRP ก็ถูกออกแบบมาเพื่อทำให้ผู้ใช้งานสามารถควบคุมข้อมูลของตนเองได้

GDRP มีผลบังคับใช้กับทุกองค์กรที่มีการเก็บรวบรวม ใช้ หรือจัดเก็บข้อมูลส่วนบุคคลของบุคคลที่อยู่ในสหภาพยุโรปไม่ว่าบริษัทจะตั้งอยู่ภายในหรือภายนอกเขตเศรษฐกิจยุโรป (EEA) ก็ตาม กฎหมายนี้จะบังคับใช้ตามตัวข้อมูล ไม่ใช่ตามสถานที่ตั้งของบริษัท

กฎหมายนี้ได้ระบุบทบาทสำคัญไว้ 2 บทบาท ได้แก่ :

ผู้ควบคุมข้อมูล : ตัดสินว่าข้อมูลส่วนบุคคลถูกเก็บไปทำไมและจะถูกประมวลผลอย่างไร
ผู้ประมวลผลข้อมูล : เป็นตัวแทนจัดการข้อมูลให้ผู้ควบคุม อย่างเช่น ผู้ให้บริการคลาวด์หรือผู้ประมวลผลการชำระเงิน

Gdpr Th 1

ภาคธุรกิจใน EEA

EEA นั้นครอบคลุมทั้ง 27 รัฐสมาชิกสหภาพยุโรป ไอซ์แลนด์ ลิกเตนสไตน์ และนอร์เวย์ องค์กรใดก็ตามที่จัดตั้งขึ้นภายใน EEA จะต้องปฏิบัติตาม GDPR เมื่อมีการประมวลผลข้อมูลส่วนบุคคล แม้ว่าการประมวลผลนั้นจะเกิดขึ้นภายนอกยุโรปก็ตาม ยกตัวอย่างเช่น บริษัทตั้งอยู่ใน สเปน ที่มีการใช้งานเซิร์ฟเวอร์ใน ไทย ก็ยังต้องปฏิบัติตามกฎหมาย GDPR อยู่

ภาคธุรกิจนอก EEA

การที่องค์กรตั้งอยู่นอก EEA ไม่ได้หมายความว่า GDPR จะไม่มีผลบังคับใช้กับพวกเขา ถ้าธุรกิจของคุณมีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลของผู้อยู่อาศัยในสหภาพยุโรปในรูปแบบต่าง ๆ ต่อไปนี้ กฎหมายก็ยังมีผลบังคับใช้อยู่ :

เสนอขายสินค้าหรือบริการให้ผู้ที่อยู่ในสหภาพยุโรปไม่ว่าจะให้ฟรีหรือมีค่าธรรมเนียมก็ตาม
มีการตรวจสอบพฤติกรรมของผู้ที่อยู่ในสหภาพยุโรป อย่างเช่น การติดตามกิจกรรมออนไลน์ผ่านคุกกี้หรือการทำโปรไฟล์

ยกตัวอย่างเช่น แพลตฟอร์มด้านการศึกษาที่ตั้งอยู่ใน ไทย แต่มีกลุ่มเป้าหมายเป็นนักศึกษาใน สเปนหรือโปรตุเกส ก็ยังต้องปฏิบัติตามกฎหมาย GDPR อยู่ และบริษัทใด ๆ ก็ตามที่ตั้งอยู่นอก EEA ซึ่งมีหน้าที่เป็นผู้ประมวลผลข้อมูลให้บริษัทที่อยู่ภายใน EEA ก็ต้องปฏิบัติตามกฎหมายด้วย

หากบริการนั้นสามารถเข้าถึงได้จากภายในสหภาพยุโรปโดยบังเอิญ และไม่ได้มีกลุ่มเป้าหมายเป็นผู้ใช้งานในสหภาพยุโรปโดยเฉพาะ หรือไม่ได้จัดการกับข้อมูลส่วนบุคคลของผู้ใช้งานเหล่านั้น บริการดังกล่าวอาจอยู่นอกเหนือขอบเขตการบังคับใช้ของ GDPR แต่ถ้าบริษัทไม่มีความพยายามอย่างชัดเจนที่จะกีดกันผู้อยู่อาศัยในสหภาพยุโรป หน่วยงานกำกับดูแลก็อาจตัดสินได้ว่า GDPR ยังคงมีผลบังคับใช้อยู่

นอกจากนี้ก็ยังมีข้อมูลบางประเภทที่ได้รับข้อยกเว้นจากกฎหมายนี้ซึ่งรวมถึงข้อมูลที่ถูกเก็บเพื่อวัตถุประสงค์ด้านความมั่นคงแห่งชาติ การบังคับใช้กฎหมาย หรือเพื่อเหตุผลส่วนตัวภายในครัวเรือน

ภายใต้กฎหมาย GDPR ข้อมูลส่วนบุคคลคือข้อมูลใด ๆ ที่มีส่วนเกี่ยวข้องกับบุคคลที่มีชีวิตอยู่ซึ่งสามารถระบุตัวตนได้ทั้งทางตรงหรือทางอ้อม ตัวอย่างประกอบไปด้วย :

ชื่อเต็ม
ที่อยู่บ้าน
ที่อยู่อีเมลที่มีชื่อบุคคล
หมายเลขบัตรประจำตัวประชาชนหรือหนังสือเดินทาง
ที่อยู่ IP
ID คุกกี้
รหัสโฆษณาบนอุปกรณ์
เวชระเบียน

นอกจากนี้ GDPR ยังแยกแยะความแตกต่างระหว่าง ข้อมูลที่ใช้นามแฝงซึ่งเป็นข้อมูลที่ยังสามารถเชื่อมโยงกลับไปหาตัวบุคคลได้ กับ ข้อมูลที่นิรนามอย่างแท้จริง ซึ่งไม่สามารถระบุตัวบุคคลได้อีกต่อไป เฉพาะรูปแบบหลังเท่านั้นที่จะอยู่ภายนอกขอบเขตของกฎหมายนี้

นอกจากนี้ GDPR ยังระบุถึง ข้อมูลส่วนบุคคลประเภทพิเศษ เช่น เชื้อชาติหรือชาติพันธุ์ ความเชื่อทางศาสนา ความคิดเห็นทางการเมือง และข้อมูลไบโอเมตริกซ์ การประมวลผลข้อมูลประเภทนี้เป็นสิ่งต้องห้าม เว้นแต่จะอยู่ภายใต้สถานการณ์ที่เฉพาะเจาะจงมาก ๆ เนื่องจากมีความเสี่ยงที่สูงกว่า

ต้องดำเนินการอย่างไรจึงจะประมวลผลข้อมูลตามกฎหมายนี้ได้?

GDPR ไม่ได้อนุญาตให้องค์กรต่าง ๆ ประมวลผลข้อมูลส่วนบุคคลเพียงแค่เพราะพวกเขาต้องการ แต่จำเป็นต้องมีเหตุผลทางกฎหมายที่ชัดเจนซึ่งกฎหมายนี้ได้กำหนดทางเลือกไว้ 6 ประการดังนี้ :

ความยินยอม : เมื่อใครบางคนให้อนุญาตอย่างชัดเจนว่าสามารถนำข้อมูลของพวกเขาไปใช้งานได้ การให้ความยินยอมจะต้องเป็นไปโดยสมัครใจ มีความเฉพาะเจาะจง และสามารถถอนความยินยอมได้ง่าย การนิ่งเฉยหรือการทำเครื่องหมายเลือกไว้ในกล่องล่วงหน้าไม่ใช่สิ่งที่สามารถยอมรับได้
สัญญา : การประมวลผลที่จำเป็นสำหรับการปฏิบัติตามสัญญากับตัวบุคคล (ยกตัวอย่างเช่น การประมวลผลรายละเอียดการชำระเงินเพื่อทำการสั่งซื้อ)
หน้าที่ตามกฎหมาย : บางครั้งกฎหมายอาจกำหนดให้องค์กรต้องประมวลผลข้อมูลส่วนบุคคล อย่างเช่น ในกรณีที่โรงพยาบาลจำเป็นต้องเก็บเวชระเบียน
ประโยชน์สำคัญต่อชีวิต : การประมวลผลข้อมูลที่จำเป็นต่อการปกป้องชีวิตของบุคคล อย่างเช่น กรณีฉุกเฉินทางการแพทย์
ภารกิจสาธารณะ : การประมวลผลข้อมูลมีความจำเป็นต่อการปฏิบัติหน้าที่ทางการหรือภารกิจเพื่อประโยชน์สาธารณะ (มักจะเกี่ยวข้องกับหน่วยงานของภาครัฐ)
ประโยชน์อันชอบธรรมด้วยกฎหมาย : อนุญาตให้องค์กรต่าง ๆ สามารถประมวลผลข้อมูลได้หากมีเหตุผลที่สมควรซึ่งไม่ละเมิดสิทธิของบุคคล เช่น การใช้ข้อมูลเพื่อดูแลรักษาระบบความปลอดภัยทางไซเบอร์

GDPR ถูกสร้างขึ้นมาภายใต้เจ็ดหลักการสำคัญซึ่งเป็นตัวกำหนดวิธีการจัดการกับข้อมูลส่วนบุคคล หลักการเหล่านี้เป็นตัวกำหนดมาตรฐานสำหรับความยุติความ ความปลอดภัย และความรับผิดชอบในการประมวลผลข้อมูล
Gdpr Th 2

1. ยุติธรรม ชอบด้วยกฎหมาย และโปร่งใส

หลักการนี้กำหนดว่าข้อมูลควรจะถูกเก็บรวบรวมและนำไปใช้เพื่อเหตุผลที่ถูกต้องและได้รับอนุญาตตามกฎหมาย GDPR เท่านั้น เช่น การได้รับความยินยอมจากบุคคลนั้นหรือความจำเป็นในการใช้ข้อมูลเพื่อให้บริการ และก็ยังหมายรวมถึงการใช้ข้อมูลดังกล่าวอย่างยุติธรรม โดยไม่ทำให้เกิดความเข้าใจผิดกับตัวบุคคลหรือใช้ข้อมูลของพวกเขาในรูปแบบที่พวกเขาไม่คาดคิด สุดท้าย ความโปร่งใสนั้นเป็นกุญแจสำคัญ : องค์กรจะต้องอธิบายให้เข้าใจได้โดยง่ายว่าพวกเขาเก็บรวบรวมข้อมูลอะไร เหตุผลในการเก็บ และตั้งใจจะนำข้อมูลไปใช้ทำอะไร

2. กำหนดวัตถุประสงค์ที่เฉพาะเจาะจง

ภายใต้กฎหมาย GDPR การที่จะเก็บรวบรวมข้อมูลส่วนบุคคลได้นั้น จะต้องมีวัตถุประสงค์เฉพาะที่ชัดเจน องค์กรจะต้องแจ้งให้บุคคลทั่วไปทราบถึงเหตุผลในการรวบรวมข้อมูล ณ เวลาที่ทำการเก็บรวบรวมข้อมูลนั้น เมื่อเก็บรวบรวมแล้ว มันจะไม่สามารถถูกนำไปใช้เพื่อวัตถุประสงค์อื่นซึ่งไม่สอดคล้องกับวัตถุประสงค์เดิม

3. เก็บข้อมูลให้น้อยที่สุดเท่าที่จำเป็น

GDPR กำหนดให้องค์กรเก็บข้อมูลส่วนบุคคลที่จำเป็นสำหรับวัตถุประสงค์ที่เฉพาะเจาะจงเท่านั้น หลักการนี้จะช่วยจำกัดปริมาณข้อมูลเกี่ยวกับตัวบุคคลที่ถูกเก็บรวบรวมเพื่อลดความเสี่ยงในกรณีที่ข้อมูลสูญหายหรือถูกนำไปใช้ในทางที่ผิด ทำให้การเก็บรวบรวมมีความเฉพาะเจาะจงและเกี่ยวข้องกับวัตถุประสงค์

4. ข้อมูลต้องมีความถูกต้องและเป็นปัจจุบัน

ข้อมูลส่วนบุคคลต้องมีความถูกต้อง ถ้าองค์กรจัดเก็บข้อมูลเกี่ยวกับตัวบุคคล จะต้องตรวจสอบให้แน่ใจว่าข้อมูลดังกล่าวนั้นมีความแม่นยำและเป็นปัจจุบันตามความจำเป็น ถ้ารายละเอียดมีการเปลี่ยนแปลงหรือพบข้อผิดพลาด องค์กรมีหน้าที่ในการแก้ไขข้อมูลดังกล่าว การรักษาความถูกต้องและเป็นปัจจุบันของข้อมูลจะช่วยหลีกเลี่ยงข้อผิดพลาดที่อาจส่งผลกระทบกับตัวบุคคล โดยเฉพาะอย่างยิ่งถ้าข้อมูลนี้ถูกนำไปใช้ในการตัดสินใจเกี่ยวกับพวกเขา

5. การเก็บรักษาข้อมูลอย่างจำกัดระยะเวลา

องค์กรจะต้องไม่เก็บข้อมูลไว้นานเกินกว่าที่จำเป็น เมื่อข้อมูลได้ถูกใช้งานตามวัตถุประสงค์แล้ว มันก็ควรจะถูกลบหรือถูกทำให้เป็นนิรนาม หลักการนี้จะช่วยให้มั่นใจได้ว่าข้อมูลของคุณจะไม่ถูกเก็บ "เผื่อ" เอาไว้โดยไม่มีเหตุผลที่ชัดเจน มันยังช่วยลดความเสี่ยงที่เกี่ยวข้องกับการเก็บข้อมูลโดยไม่จำเป็น อย่างเช่น การละเมิดข้อมูลหรือปัญหาด้านความเป็นส่วนตัวอีกด้วย

6. การรักษาความถูกต้องครบถ้วนและรักษาความลับข้อมูลส่วนบุคคล

การเก็บข้อมูลส่วนบุคคลให้ปลอดภัยนั้นเป็นเรื่องสำคัญ องค์กรจะต้องปกป้องข้อมูลไม่ให้ถูกเปิดดู ถูกขโมย หรือถูกเปลี่ยนแปลงโดยบุคคลที่ไม่ควรมีสิทธิในการเข้าถึง หมายความว่าจะต้องมีการรักษาความปลอดภัยที่ดีพอในด้านเทคโนโลยีและการจัดการข้อมูล

7. ความรับผิดชอบ

ความรับผิดชอบหมายความว่าองค์กรไม่เพียงแต่ถูกคาดหวังให้ปฏิบัติตามกฎของ GDPR เท่านั้น แต่ยังต้องพิสูจน์ให้เห็นได้ด้วยว่าได้ปฏิบัติตามจริง สิ่งนี้รวมถึงการแสดงให้เห็นว่าพวกเขาได้ดำเนินการในขั้นตอนที่เกี่ยวข้องเพื่อปกป้องข้อมูลส่วนบุคคล เช่น การบันทึกประวัติการประมวลผลข้อมูล การฝึกอบรมพนักงาน และการกำหนดนโยบายความเป็นส่วนตัวขึ้นมา

สิทธิในการได้รับแจ้งข้อมูล

คุณมีสิทธิที่จะได้รู้เมื่อองค์กรเก็บรวบรวมข้อมูลส่วนบุคคลของคุณพร้อมเหตุผลในการเก็บ นี่หมายความว่าบริษัทจะต้องมีความชัดเจนตั้งแต่เริ่มเกี่ยวกับข้อมูลที่พวกเขาเก็บรวบรวมจากคุณ พวกเขาจะนำข้อมูลไปใช้งานอย่างไร และพวกเขาจะแบ่งปันข้อมูลนั้นกับใคร

เรื่องนี้ควรจะต้องเข้าใจได้โดยง่าย เพื่อให้คุณสามารถทำการตัดสินใจโดยมีข้อมูลประกอบว่าคุณยินยอมที่จะแบ่งปันข้อมูลของคุณหรือไม่

สิทธิในการเข้าถึงข้อมูล

นี่หมายความว่าคุณสามารถสอบถามองค์กรต่าง ๆ ได้ว่าพวกเขามีข้อมูลส่วนบุคคลใด ๆ ของคุณบ้าง คุณสามารถขอสำเนาข้อมูลดังกล่าว ควบคู่ไปกับรายละเอียดเกี่ยวกับวิธีการนำข้อมูลไปใช้ และข้อมูลนี้ถูกแบ่งปันให้ใครบ้าง องค์กรมีหน้าที่ที่ต้องมอบข้อมูลนี้ให้ภายในเวลาที่เหมาะสม

อย่างไรก็ตาม สิทธินี้ไม่ใช่สิทธิเด็ดขาด มันจะต้องไม่ส่งผลกระทบในทางลบต่อสิทธิและเสรีภาพของบุคคลอื่น ซึ่งรวมถึงความลับทางการค้าหรือทรัพย์สินทางปัญญาด้วย

สิทธิในการแก้ไขข้อมูลให้ถูกต้อง

ถ้าข้อมูลส่วนบุคคลใด ๆ ที่องค์กรจัดเก็บไว้นั้นมีความไม่ถูกต้องหรือไม่ครบถ้วน คุณมีสิทธิขอให้แก้ไขให้ถูกต้องได้ ไม่ว่าจะเป็นชื่อที่สะกดผิด ที่อยู่ที่ล้าสมัย หรือข้อมูลที่ขาดหายไป องค์กรก็จะต้องแก้ไขสิ่งต่าง ๆ เหล่านี้

สิทธิในการลบ (สิทธิในการถูกลืม)

คุณสามารถขอให้องค์กรลบข้อมูลส่วนบุคคลของคุณได้เมื่อไม่มีเหตุผลสมควรให้จัดเก็บเอาไว้อีกต่อ สิ่งนี้มักจะถูกเรียกว่า "สิทธิที่จะถูกลืม" สิทธินี้จะมีผลใช้เมื่อข้อมูลนั้นไม่มีความจำเป็นสำหรับวัตถุประสงค์ในการเก็บรวบรวมอีกต่อไปหรือเมื่อองค์กรได้ประมวลผลข้อมูลของคุณโดยมิชอบด้วยกฎหมาย

อย่างไรก็ตาม สิทธินี้ก็ไม่เด็ดขาดเช่นกัน เนื่องจากบริษัทสามารถเก็บข้อมูลของคุณเอาไว้ได้ถ้าพวกเขามีหน้าที่ตามกฎหมายที่จะต้องเก็บหรือมีเหตุผลอื่น ๆ อันสมควร

สิทธิในการจำกัดการประมวลผลข้อมูล

สิทธินี้ทำให้คุณจำกัดวิธีการที่องค์กรจะสามารถนำข้อมูลส่วนบุคคลของคุณไปใช้ได้ คุณอาจจะร้องขอสิ่งนี้หากคุณเชื่อว่าข้อมูลดังกล่าวไม่ถูกต้อง หากข้อมูลนั้นถูกประมวลผลโดยมิชอบด้วยกฎหมาย หรือหากองค์กรไม่มีความจำเป็นต้องใช้ข้อมูลนั้นแล้ว แต่คุณต้องการให้พวกเขาเก็บรักษาไว้เพื่อใช้ในการเรียกร้องทางกฎหมาย เมื่อมีการจำกัดนี้ องค์กรจะสามารถจัดเก็บข้อมูลนี้ได้ แต่จะไม่สามารถใช้มันเพื่อวัตถุประสงค์อื่น ๆ ได้ เว้นแต่ว่าคุณจะให้อนุญาตหรือมีเหตุผลทางกฎหมายที่ต้องกระทำ

สิทธิในการโอนย้ายข้อมูล

สิทธินี้ช่วยให้คุณสามารถขอรับสำเนาข้อมูลส่วนบุคคลของคุณในรูปแบบที่สามารถเข้าถึงได้ง่าย คุณยังสามารถขอให้ข้อมูลถูกส่งโดยตรงไปยังองค์กรอื่นได้ด้วยหากสามารถทำได้ทางเทคนิค แนวคิดนี้คือการให้คุณมีอำนาจในการควบคุมข้อมูลของตนเองมากขึ้น ทำให้สามารถเปลี่ยนไปใช้บริการอื่นหรือย้ายข้อมูลไปยังที่อื่นได้ง่ายขึ้น โดยไม่ต้องเริ่มต้นนับหนึ่งใหม่ทั้งหมด

สิทธิในการคัดค้าน

คุณมีสิทธิในการคัดค้านวิธีการที่ข้อมูลส่วนบุคคลของคุณจะถูกนำไปใช้งาน โดยเฉพาะอย่างยิ่งเมื่อมันจะถูกนำไปใช้เพื่อวัตถุประสงค์ด้านการตลาดโดยตรง ถ้าคุณคัดค้าน องค์กรจะต้องหยุดการใช้งานข้อมูลของคุณในทันที เว้นแต่ว่าพวกเขาจะสามารถแสดงให้เห็นว่าพวกเขามีเหตุผลอันสมควรจริง ๆ ที่จะต้องประมวลผลข้อมูลนั้นต่อ

สิทธิในการคัดค้านการตัดสินใจแทนโดยอัตโนมัติ

คุณยังมีสิทธิที่จะคัดค้านการตัดสินใจที่มาจากกระบวนการอัตโนมัติทั้งหมดที่ดำเนินการเกี่ยวกับคุณ โดยเฉพาะอย่างยิ่งหากการตัดสินใจนั้นส่งผลกระทบอย่างมีนัยสำคัญ อย่างเช่น การอนุมัติเงินกู้หรือการรับเข้าทำงาน GDPR ให้สิทธิแก่คุณในการร้องขอให้มีบุคคลเข้ามามีส่วนร่วมในกรณีเหล่านี้ โดยคุณสามารถขอให้มีบุคคลเข้ามาทบทวนการตัดสินใจแทนที่จะปล่อยให้เป็นหน้าที่ของอัลกอริทึมหรือระบบอัตโนมัติแต่เพียงอย่างเดียว

ความยินยอมภายใต้กฎหมาย GDPR จะต้องเป็นไปตามมาตรฐานที่เข้มงวดจึงจะถือว่ามีผลสมบูรณ์ เพื่อให้ถือว่ามีผลสมบูรณ์ ความยินยอมของคุณจะต้องเป็นไปตามเงื่อนไขดังนี้ :
Gdpr Th 3

ให้โดยสมัครใจ : คุณจะต้องมีทางเลือกจริง ๆ ไม่ถูกกดดัน หรือมีผลที่ตามมาในทางลบสำหรับการปฏิเสธ
มีความเฉพาะเจาะจงและมีข้อมูลประกอบ : องค์กรจะต้องบอกคุณว่าพวกเขาเป็นใคร พวกเขาเก็บรวบรวมข้อมูลอะไรบ้าง ทำไมจึงต้องใช้ข้อมูลเหล่านั้น และจะนำข้อมูลไปใช้อย่างไร
ไม่คลุมเครือ : ความยินยอมจะต้องมาจากการดำเนินการที่แสดงออกอย่างชัดเจน เช่น การทำเครื่องหมายในกล่องหรือการลงนามในแบบฟอร์ม การนิ่งเฉยหรือการทำเครื่องหมายเลือกไว้ในกล่องล่วงหน้าไม่ใช่สิ่งที่สามารถยอมรับได้

ทุกคนยังมีสิทธิในการถอนความยินยอมได้ทุกเมื่ออีกด้วย และก็ควรดำเนินการได้ง่ายเทียบเท่ากับการยินยอม เมื่อถอนความยินยอมแล้ว บริษัทจะต้องหยุดใช้ข้อมูลของคุณเพื่อวัตถุประสงค์ดังกล่าว

สำหรับบริการที่มีกลุ่มเป้าหมายเป็นผู้ใช้งานที่อายุต่ำกว่า 16 ปี โดยปกติแล้วจำเป็นต้องได้รับความยินยอมจากผู้ปกครองด้วย แต่บางประเทศในสหภาพยุโรปได้มีการปรับลดเกณฑ์อายุขั้นต่ำนี้ลงเหลือ 13 ปี

มีขั้นตอนเฉพาะเจาะจงที่ทุกองค์กรควรดำเนินการเพื่อให้สอดคล้องกับข้อกำหนดของ GDPR และปกป้องความเป็นส่วนตัว

บันทึกกิจกรรมการประมวลผล (RoPA)

มาตรา 30 ของ GDPR กำหนดให้บริษัทต้องบันทึกการจัดการข้อมูลส่วนบุคคล บันทึกเหล่านี้จะต้องครอบคลุมถึงเหตุผลสำหรับการประมวลผล ชนิดของข้อมูลที่เก็บรวบรวม ผู้ที่ได้รับการแบ่งปันข้อมูล ระยะเวลาจัดเก็บ และมาตรการรักษาความปลอดภัยที่มี

แม้ว่าธุรกิจขนาดเล็กอาจได้รับการยกเว้นหากการประมวลผลข้อมูลเกิดขึ้นไม่บ่อยและมีความเสี่ยงต่ำ แต่การจัดเก็บบันทึกรายการเหล่านี้ถือเป็นกุญแจสำคัญในการแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนดของ GDPR เมื่อได้รับการตรวจสอบจากหน่วยงานกำกับดูแล

การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA)

เมื่อบริษัทตั้งใจที่จะประมวลผลข้อมูลส่วนบุคคลที่อาจมีความเสี่ยงสูงต่อสิทธิและเสรีภาพของตัวบุคคล บริษัทจะต้องดำเนินการ DPIA สิ่งนี้เป็นสิ่งจำเป็นต้องทำในกรณีต่าง ๆ เช่น การใช้เทคโนโลยีใหม่ ๆ การเฝ้าติดตามพื้นที่สาธารณะในวงกว้าง หรือการประมวลผลข้อมูลประเภทพิเศษเป็นจำนวนมาก

วัตถุประสงค์ของ DPIA คือการระบุและลดความเสี่ยงที่อาจเกิดขึ้นก่อนที่การประมวลผลข้อมูลใด ๆ จะเริ่มต้นขึ้น หากยังคงมีความเสี่ยงสูงอยู่แม้จะดำเนินการตามมาตรการต่าง ๆ แล้ว บริษัทจะต้องปรึกษาหารือกับหน่วยงาน Data Protection Authority (DPA) ซึ่งเป็นองค์กรระดับชาติในแต่ละประเทศของสหภาพยุโรปที่มีหน้าที่บังคับใช้กฎหมาย GDPR ก่อนที่จะดำเนินการต่อไป

แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

บางองค์กรจะต้องแต่งตั้ง DPO ภายใต้กฎหมาย GDPR บุคคลนี้มีหน้าที่รับผิดชอบในการกำกับดูแลวิธีการจัดการข้อมูลส่วนบุคคลภายในบริษัท และตรวจสอบให้แน่ใจว่ามีการปฏิบัติตามข้อกำหนดของ GDPR
Gdpr Th 4 คุณจะต้องแต่งตั้ง DPO ถ้า :

คุณทำการเฝ้าติดตามผู้ใช้งานอย่างเป็นประจำหรือเป็นระบบในวงกว้าง เช่น การติดตามพฤติกรรมทางออนไลน์
คุณทำการประมวลผลข้อมูลประเภทพิเศษเป็นจำนวนมาก เช่น ข้อมูลสุขภาพ ข้อมูลพันธุกรรม หรือข้อมูลไบโอเมตริกซ์
คุณเป็นหน่วยงานหรือองค์กรสาธารณะ (โดยมีข้อยกเว้นสำหรับศาลหรือองค์กรตุลาการที่เป็นอิสระ)

DPO สามารถเป็นพนักงานของบริษัทหรือเป็นผู้เชี่ยวชาญจากภายนอกที่จ้างผ่านสัญญาการให้บริการก็ได้ ไม่ว่าจะเลือกรูปแบบใดก็ตาม พวกเขาจะต้องปฏิบัติหน้าที่อย่างเป็นอิสระ โดยทำหน้าที่ให้คำแนะนำแก่พนักงาน กำกับดูแลมาตรการคุ้มครองข้อมูลส่วนบุคคล และทำหน้าที่เป็นผู้ประสานงานหลักกับ DPA

คุ้มครองความปลอดภัยในการโอนย้ายข้อมูล

เมื่อมีการโอนย้ายข้อมูลส่วนบุคคลภายนอกสหภาพยุโรป GDPR กำหนดให้ธุรกิจต่าง ๆ ต้องมั่นใจว่าข้อมูลดังกล่าวจะได้รับความคุ้มครองในระดับเดียวกันกับที่กฎหมายกำหนดไว้ บริษัทต่าง ๆ ต้องใช้มาตรการคุ้มครองความปลอดภัยเพื่อรักษาความปลอดภัยของข้อมูล และปฏิบัติตามมาตรฐานของ GDPR

มีวิธีการที่ได้รับการอนุมัติหลายวิธีในการคุ้มครองความปลอดภัยในการโอนย้ายข้อมูล :

การรับรองความเพียงพอ : ข้อมูลสามารถถูกส่งไปยังประเทศที่สหภาพยุโรปพิจารณาแล้วว่ามีระดับการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
มาตรการคุ้มครองตามสัญญา : ธุรกิจต่าง ๆ สามารถระบุข้อกำหนดที่เฉพาะเจาะจงลงในสัญญาที่ทำกับผู้รับข้อมูลนอกสหภาพยุโรปเพื่อรับประกันการคุ้มครองข้อมูลส่วนบุคคลได้
ข้อยกเว้น : ในบางกรณี การโอนย้ายข้อมูลสามารถทำได้หากตัวบุคคลได้ให้ความยินยอมอย่างชัดเจนหรือหากมีความจำเป็นเพราะเหตุผลทางสัญญา

การควบคุมความปลอดภัยและการเข้ารหัสข้อมูลภายใต้กฎหมาย GDPR

องค์กรจะต้องมีการควบคุมความปลอดภัยที่แข็งแกร่งเพื่อปกป้องข้อมูลส่วนบุคคลจากการเข้าถึง การเปลี่ยนแปลง หรือการแก้ไขโดยไม่ได้รับอนุญาต รวมถึงการสูญหาย สิ่งเหล่านี้รวมถึงมาตรการทางเทคนิคต่าง ๆ เช่น การเข้ารหัสข้อมูล และขั้นตอนการจัดการองค์กร เช่น การจำกัดสิทธิ์การเข้าถึงไว้ให้เฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้น

การเข้ารหัสข้อมูล มีบทบาทสำคัญอย่างยิ่งในการปกป้องความเป็นส่วนตัวและเสรีภาพในสังคมแบบเปิด และยังคงเป็นหนึ่งในเครื่องมือที่มีประสิทธิภาพมากที่สุดในการป้องกันการละเมิดข้อมูลอีกด้วย

การรายงานการละเมิดข้อมูล

ถ้าการละเมิดข้อมูลมีความเสี่ยงต่อสิทธิและเสรีภาพของตัวบุคคล องค์กรจะต้องแจ้งหน่วยงาน DPA ที่เกี่ยวข้องให้ทราบภายใน 72 ชั่วโมง ถ้ามีความเสี่ยงสูง จะต้องแจ้งให้ตัวบุคคลที่ได้รับผลกระทบทราบด้วย

หากไม่รายงานการละเมิดภายในระยะเวลาที่กำหนด อาจทำให้เกิดการลงโทษ ดังนั้นจึงเป็นเรื่องสำคัญสำหรับธุรกิจต่าง ๆ ที่จะมีกระบวนที่ชัดเจนในการตรวจจับ ประเมิน และตอบสนองต่อการละเมิดข้อมูลอย่างมีประสิทธิภาพ

ความตระหนักรู้และการฝึกพนักงาน

การปฏิบัติตามข้อกำหนดของ GDPR ไม่ได้ขึ้นอยู่กับนโยบายเพียงเท่านั้น แต่ยังขึ้นกับว่าพนักงานมีความเข้าใจและนำนโยบายเหล่านั้นไปปรับใช้ได้ดีเพียงใดด้วย พนักงานจำเป็นต้องได้รับคำแนะนำที่ชัดเจนและการฝึกอบรมอย่างสม่ำเสมอ เพื่อให้สามารถจัดการข้อมูลส่วนบุคคลได้อย่างมีความรับผิดชอบและเคารพในสิทธิส่วนบุคคล ความตระหนักรู้ทั่วทั้งองค์กรจะช่วยป้องกันการละเมิดและสนับสนุนความพยายามในการปฏิบัติตามข้อกำหนด

การบังคับใช้กฎหมาย GDPR และบทลงโทษสำหรับการฝ่าฝืน

แต่ละประเทศใน EEA จะมี DPA ที่คอยกำกับดูแลการปฏิบัติตามกฎการคุ้มครองข้อมูลขององค์กรต่าง ๆ หน่วยงานกำกับดูแลเหล่านี้สามารถดำเนินการตรวจสอบ เรียกดูเอกสารต่าง ๆ หรือแม้กระทั่งเข้าตรวจสถานที่ประกอบการ เพื่อให้มั่นใจว่าธุรกิจต่าง ๆ ปฏิบัติตามหน้าที่ของพวกเขา

หากตรวจพบว่าบริษัทมีการละเมิดกฎหมาย GDPR บทลงโทษที่ตามมาก็อาจมีความร้ายแรงและตีเป็นมูลค่าที่สูง การละเมิดขั้นร้ายแรงที่สุดอาจทำให้เกิดค่าปรับสูงถึง 20 ล้านยูโรหรือ 4% จากยอดขายทั้งปีของบริษัทรวมทั่วโลก นอกจากบทลงโทษทางการเงินแล้ว หน่วยงานกำกับดูแลยังอาจกำหนดให้มีมาตรการแก้ไขเยียวยาด้วย เช่น การสั่งให้บริษัทหยุดประมวลผลข้อมูลบางประเภท หรือสั่งให้ปรับปรุงมาตรการคุ้มครองข้อมูลส่วนบุคคลให้ดียิ่งขึ้น

อำนาจในการบังคับเหล่านี้ช่วยให้มั่นใจว่า การปฏิบัติตามข้อกำหนดของ GDPR ไม่ใช่สิ่งที่จะเลือกทำหรือไม่ทำก็ได้ ธุรกิจที่มีการจัดการกับข้อมูลส่วนบุคคลจะต้องมีความรับผิดชอบอย่างจริงจัง ถ้าไม่เช่นนั้นก็จะต้องเผชิญกับผลกระทบที่ตามมาซึ่งตีมูลค่าเป็นเงินมหาศาล

GDPR เป็นกฎหมายของสหภาพยุโรป แต่ก็ไม่ได้ครอบคลุมเพียงแค่พื้นที่ในยุโรปเท่านั้น ธุรกิจในสหรัฐอเมริกาก็สามารถตกอยู่ภายใต้ขอบเขตของกฎหมายนี้ได้ ถ้าพวกเขาต้องจัดการกับข้อมูลส่วนบุคคลของผู้ที่อยู่ในสหภาพยุโรป นี่หมายความว่าถึงแม้ว่าบริษัทจะไม่มีตัวตนอยู่ในพื้นที่ของยุโรป แต่บริษัทในสหรัฐอเมริกาก็ยังอาจที่จะต้องปฏิบัติตามข้อกำหนดของ GDPR อยู่ดี ถ้ากิจกรรมของพวกเขาเข้าเกณฑ์ที่กำหนดเอาไว้

การปฏิบัติตามข้อกำหนดสำหรับบริษัทในสหรัฐอเมริกา

ภายใต้ มาตรา 3 ของ GDPR บริษัทในสหรัฐอเมริกาจะต้องปฏิบัติตามข้อกำหนด หากบริษัทมีสถานประกอบการอยู่ในสหภาพยุโรป หรือหากมีการเสนอขายสินค้าหรือให้บริการแก่บุคคลที่อยู่ในสหภาพยุโรป แม้ว่าบริการนั้น ๆ จะเป็นการให้บริการฟรีก็ตาม การติดตามพฤติกรรมทางออนไลน์ของบุคคลในสหภาพยุโรป เช่น ผ่านการใช้คุกกี้ การติดตามข้อมูล หรือการทำโฆษณาแบบระบุเป้าหมาย ก็ส่งผลให้ธุรกิจในสหรัฐอเมริกาตกอยู่ภายใต้ขอบเขตการบังคับใช้ของกฎหมาย GDPR ด้วย

ในการจะปฏิบัติตามข้อกำหนด ธุรกิจในสหรัฐอเมริกาจะต้อง :

ตรวจสอบประเภทของข้อมูลส่วนบุคคลที่มีการจัดเก็บรวบรวม
กำหนดฐานทางกฎหมายที่ชัดเจนในการประมวลผลข้อมูลแต่ละประเภท เช่น ฐานความยินยอมหรือฐานความจำเป็นทางสัญญา
ประเมินการโอนย้ายข้อมูลใด ๆ จากสหภาพยุโรปไปยังสหรัฐอเมริกา โดยตรวจสอบให้แน่ใจว่ามีมาตรการคุ้มครองที่เหมาะสมรองรับ เช่น ข้อสัญญามาตรฐาน (SCC)
แต่งตั้งตัวแทนสำหรับการดำเนินที่เกี่ยวข้องกับ GDPR ภายในสหภาพยุโรป ในกรณีที่ธุรกิจไม่มีสถานประกอบการอยู่ที่นั่น
ขอความยินยอมล่วงหน้าสำหรับการเก็บรวบรวมข้อมูลบนเว็บไซต์และการใช้คุกกี้
ปรับปรุงนโยบายความเป็นส่วนตัวให้สะท้อนถึงหน้าที่ตามกฎหมาย GDPR และสิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคล

GDPR vs. CCPA และ CPRA

ในขณะที่กฎหมาย GDPR กำหนดให้ต้องได้รับความยินยอมอย่างชัดเจนก่อนที่จะทำการประมวลผลข้อมูลส่วนบุคคล แต่กฎหมาย California Consumer Privacy Act ( CCPA) รวมถึงฉบับแก้ไขเพิ่มเติมอย่างกฎหมาย California Privacy Rights Act ( CPRA) กลับใช้แนวทางที่แตกต่างออกไป โดยใช้รูปแบบการให้เลือกปฏิเสธ

ในรัฐแคลิฟอร์เนีย โดยทั่วไปแล้วธุรกิจต่าง ๆ ไม่จำเป็นต้องได้รับความยินยอมล่วงหน้าในการเก็บรวบรวมหรือประมวลผลข้อมูลส่วนบุคคล เว้นแต่ในบางกรณีเฉพาะ เช่น การขายหรือการแบ่งปันข้อมูล การจัดการข้อมูลของผู้เยาว์ หรือการประมวลผลข้อมูลที่มีความละเอียดอ่อน

กฎหมายเหล่านี้จะมุ่งเน้นไปที่ความโปร่งใสแทน โดยกำหนดให้ธุรกิจต่าง ๆ ต้องแจ้งให้ผู้ใช้งานทราบเกี่ยวกับแนวทางปฏิบัติในการจัดการข้อมูล และต้องมีช่องทางที่ง่ายสำหรับผู้ใช้งานในการเลือกปฏิเสธการขายหรือการแบ่งปันข้อมูลส่วนบุคคลของพวกเขา โดยรวมแล้ว รัฐแคลิฟอร์เนียจะให้ความสำคัญกับการให้ผู้ใช้งานมีสิทธิควบคุมและการมองเห็น มากกว่าการขอความยินยอมล่วงหน้า

สำหรับบริษัทในสหรัฐอเมริกา สิ่งนี้ชี้ให้เห็นถึงความแตกต่างที่สำคัญซึ่งคือข้อกำหนดเรื่องการขอความยินยอมที่เข้มงวดของกฎหมาย GDPR ไม่ได้ถูกนำมาบังคับใช้ในสหรัฐอเมริกา ดังนั้นธุรกิจที่ดำเนินงานอยู่ในทั้งสองภูมิภาคจึงจำเป็นต้องปรับเปลี่ยนแนวปฏิบัติของตนให้เหมาะสมตามไปด้วย

ภายใต้กฎหมาย GDPR คุกกี้ที่สามารถระบุตัวตนของบุคคลหรือติดตามพฤติกรรมออนไลน์ของพวกเขาจะถือเป็นส่วนหนึ่งของข้อมูลส่วนบุคคล สิ่งนี้ครอบคลุมถึงเทคนิคต่าง ๆ ที่นอกเหนือไปจากการใช้คุกกี้แบบดั้งเดิม เช่น browser fingerprinting ซึ่งสามารถระบุตัวตนของผู้ใช้งานแต่ละรายได้อย่างเฉพาะเจาะจง โดยพิจารณาจากการตั้งค่าอุปกรณ์และเบราว์เซอร์ของผู้ใช้งานเหล่านั้น
Gdpr Th 5
Websites must let users choose which types of cookies they accept, a concept known as granular consent. อย่างไรก็ตาม คุกกี้ประเภทที่มีความจำเป็นอย่างยิ่งจะไม่จำเป็นต้องขอความยินยอม

ในขณะที่กฎหมาย GDPR มีการกำหนดวิธีในการขอความยินยอมไว้อย่างชัดเจน แต่การใช้คุกกี้ในสหภาพยุโรปยังถูกควบคุมโดยกฎหมาย ePrivacy Directive อีกด้วย ซึ่งเข้ามาช่วยเสริมกฎหมาย GDPR ในการกำกับดูแลเทคโนโลยีการติดตามทางออนไลน์อย่างคุกกี้โดยเฉพาะ นี่คือเหตุผลว่าทำไมเว็บไซต์จำนวนมากจึงแสดงแถบข้อความแจ้งเตือนเรื่องคุกกี้ให้แก่ผู้เข้าชมจากสหภาพยุโรป เพื่อขอให้กำหนดค่าความยินยอมก่อนที่จะมีการเปิดใช้งานคุกกี้ประเภทที่ไม่จำเป็น

หากคุณกำลังมองหาวิธีลดการถูกติดตามในขณะท่องเว็บ การใช้เครือข่ายส่วนตัวเสมือน (VPN) ก็สามารถช่วยให้คุณ ท่องเว็บได้อย่างเป็นส่วนตัวมากขึ้น โดยการซ่อนที่อยู่ IP และเข้ารหัสข้อมูลทราฟฟิคของคุณ

แม้ว่าจะมีการบังคับใช้มานานหลายปีแล้ว แต่ในปัจจุบันก็ยังคงมีความเข้าใจผิดอย่างแพร่หลายเกี่ยวกับความหมายที่แท้จริงของกฎหมาย GDPR ที่มีผลต่อธุรกิจต่าง ๆ มาแก้ไขความเข้าใจผิดเหล่านั้นด้วยกัน

GDPR มีผลบังคับใช้กับบริษัทในสหภาพยุโรปเท่านั้น

คนส่วนใหญ่มักจะคิดว่า GDPR มีผลบังคับใช้กับธุรกิจภายในสหภาพยุโรปเท่านั้น แต่จริง ๆ แล้วกฎหมายนี้ผลบังคับใช้ครอบคลุมกว่านั้น ทุกบริษัทที่ตั้งอยู่นอกสหภาพยุโรป ซึ่งรวมถึง สหรัฐอเมริกา และไทย จะต้องปฏิบัติตามข้อกำหนด หากบริษัทนั้นมีการขายสินค้าหรือให้บริการแก่บุคคลที่อยู่ในสหภาพยุโรป หรือมีการติดตามพฤติกรรมทางออนไลน์ของบุคคลเหล่านั้น เช่น การใช้เทคโนโลยีการติดตามต่าง ๆ

ต้องมีการให้ความยินยอมเสมอ

อีกหนึ่งเรื่องที่เข้าใจผิดกันบ่อยครั้งก็คือ GDPR กำหนดให้ต้องขอความยินยอมเสมอสำหรับการประมวลผลข้อมูล ในความเป็นจริง ความยินยอมนั้นเป็นเพียงหนึ่งใน หลาย ๆ ฐานทางกฎหมาย บริษัทยังสามารถอาศัย สัญญา หน้าที่ตามกฎหมาย ประโยชน์สำคัญต่อชีวิต ภารกิจสาธารณะ หรือฐานประโยชน์อันชอบธรรมได้ด้วย โดยมีเงื่อนไขว่าจะต้องเคารพสิทธิต่าง ๆ ของบุคคลเหล่านั้น ความยินยอมจะจำเป็นก็ต่อเมื่อไม่มีฐานทางกฎหมายอื่น ๆ ที่สามารถนำมาใช้บังคับได้

GDPR นั้นเกี่ยวกับเรื่องค่าปรับเท่านั้น

คนส่วนใหญ่จะเข้าใจว่า GDRP นั้นเป็น ระบบที่ทำมาเพื่อปรับเงินก้อนโต แต่วัตถุประสงค์หลักจริง ๆ แล้วคือการเพิ่มสิทธิด้านความเป็นส่วนตัวและกระตุ้นให้เกิดการจัดการข้อมูลอย่างมีความรับผิดชอบ ในขณะที่บทลงโทษอาจตีมูลค่าเป็นเงินจำนวนมหาศาล แต่หัวใจหลักของกฎหมายนี้คือการช่วยทำให้แน่ใจว่าองค์กรต่าง ๆ จะจัดการกับข้อมูลส่วนบุคคลอย่างมีความโปร่งใส ปลอดภัย และเป็นไปตามสิทธิของตัวบุคคล

GDPR หยุดงานด้านการตลาดทั้งหมด

นอกจากนี้ก็มีความเข้าใจผิดด้วยว่า GDPR ทำให้ไม่สามารถทำงานด้านการตลาดได้ กฎหมายนี้ไม่ได้สั่งห้ามงานด้านการตลาดอย่างสิ้นเชิง แต่จะเป็นการสร้างขอบเขตที่ทำให้ข้อมูลส่วนบุคคลถูกนำไปใช้อย่างยุติธรรม ถ้ามีฐานทางกฎหมายที่เหมาะสม ไม่ว่าจะเป็น ความยินยอมหรือฐานประโยชน์อันชอบธรรม ธุรกิจต่าง ๆ ก็สามารถทำการตลาดกับบุคคลในสหภาพยุโรปต่อไปได้ ตราบใดก็ตามที่ไม่มีการละเมิดสิทธิความเป็นส่วนตัว

ฉันจะอ่านกฎหมาย GDPR ฉบับเต็มได้จากที่ไหน?

คุณสามารถอ่านกฎหมาย General Data Protection Regulation (GDPR) ฉบับเต็มได้บน เว็บไซต์ EUR-Lex ซึ่งจะมีกฎหมายทางการทั้งหมดของสหภาพยุโรป ฉบับที่มีผลผูกพันทางกฎหมายและเป็นของแท้ดั้งเดิมจะถูกตีพิมพ์ใน Official Journal of the European Union ซึ่งก็สามารถเข้าถึงได้ผ่านทาง EUR-Lex เช่นกัน

อะไรคือเกณฑ์ในการขอลบข้อมูลของคุณภายใต้กฎหมาย GDPR?

คุณสามารถขอให้ลบ ข้อมูลส่วนบุคคล ของคุณได้เมื่อมันหมดความจำเป็น เมื่อคุณถอนการให้ความยินยอม หรือเมื่อมันถูกประมวลผลอย่างผิดกฎหมาย สิทธิในการลบยังรวมถึงในกรณีที่ข้อมูลของคุณถูกเก็บรวบรวมเมื่อคุณเป็นผู้เยาว์ด้วย

สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล (DSAR) คืออะไร?

สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล (DSAR) ทำให้คุณสามารถขอให้องค์กรยืนยันได้ว่าพวกเขามีข้อมูลส่วนบุคคลของคุณหรือไม่ คุณยังสามารถ ร้องขอสำเนา และสอบถามได้ด้วยว่าข้อมูลถูกประมวลผลอย่างไร

การเก็บข้อมูลให้น้อยที่สุดเท่าที่จำเป็นหมายความว่าอย่างไร?

การเก็บข้อมูลให้น้อยที่สุดเท่าที่จำเป็นหมายความว่าจะต้องเก็บรวบรวม ข้อมูลส่วนบุคคล เฉพาะที่จำเป็นสำหรับการบรรลุวัตถุประสงค์ที่เฉพาะเจาะจงเท่านั้น องค์กรจะไม่สามารถขอข้อมูลเพิ่มเติมที่ไม่เกี่ยวข้อง ทั้งนี้เพื่อเป็นการลดความเสี่ยงของการนำข้อมูลไปใช้ในทางที่ผิดหรือการละเมิดข้อมูล

ใครคือผู้บังคับใช้กฎหมาย GDPR?

รัฐสมาชิกสหภาพยุโรปแต่ละแห่งจะมี Data Protection Authority (DPA) ซึ่งเป็นผู้กำกับดูแลด้านการบังคับใช้กฎหมาย General Data Protection Regulation (GDPR) DPA สามารถสอบสวนเกี่ยวกับข้อร้องเรียน สามารถตรวจสอบบริษัท และเรียกค่าปรับหากพบการไม่ปฏิบัติตามข้อกำหนด

Jennifer Pelegrin

Jennifer Pelegrin is a writer at the ExpressVPN Blog, where she creates clear, engaging content on digital privacy, cybersecurity, and technology. With experience in UX writing, SEO, and technical content, she specializes in breaking down complex topics for a wider audience. Before joining ExpressVPN, she worked with global brands across different industries, bringing an international perspective to her writing. When she’s not working, she’s traveling, exploring new cultures, or spending time with her cat, who occasionally supervises her writing.