ภาระหน้าที่ของโปรเซสเซอร์และตัวควบคุมภายใต้ GDPR: Cheat-Sheet

เผยแพร่แล้ว: 2021-08-18

ในการดำเนินการต่อ ชุดบล็อก ของเรา เกี่ยวกับกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) เราจะใช้เวลาสองสามนาทีเพื่ออธิบายภาระหน้าที่ต่างๆ ที่ GDPR กำหนดให้กับผู้ ควบคุม ข้อมูล และผู้ ประมวลผลข้อมูล จากนั้นให้คุณมีเอกสารสรุปข้อมูลบางส่วน จุดดำเนินการเพื่อช่วยให้คุณระบุงานเฉพาะที่อาจจำเป็นต้องทำเพื่อให้แน่ใจว่าคุณมีการปฏิบัติตามข้อกำหนด

แต่ก่อนอื่นคำจำกัดความบางอย่าง

GDPR กำหนดผู้ ควบคุมข้อมูล ในมาตรา 4(6) เป็น:

บุคคลธรรมดาหรือนิติบุคคล หน่วยงานสาธารณะ หน่วยงานหรือหน่วยงานอื่น ๆ ซึ่งกำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคลโดยลำพังหรือร่วมกับผู้อื่น”

ในขณะที่ผู้ ประมวลผลข้อมูล (มาตรา 4(7)) คือ:

“บุคคลธรรมดาหรือนิติบุคคล หน่วยงานสาธารณะ หน่วยงานหรือหน่วยงานอื่น ๆ ที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม”

เพื่อยกตัวอย่างที่เป็นรูปธรรมมากขึ้น: หากคุณเป็นผู้ค้าปลีกวิดเจ็ตออนไลน์ และ Jane Doe ลงชื่อสมัครใช้รายชื่อผู้รับจดหมายของคุณโดยหวังว่าจะได้เรียนรู้เพิ่มเติมเกี่ยวกับวิดเจ็ตของคุณ (หรืออาจจะซุ่มซ่อนจนกว่าคุณจะขายได้) คุณอาจมีแนวโน้ม รวบรวมที่อยู่อีเมลของเธอ—และอาจจะเป็นข้อมูลติดต่ออื่นๆ—เมื่อเธอลงทะเบียน ยินดีด้วย! คุณเพิ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลของ Jane Doe เธอตกลงที่จะรับข้อความทางการตลาดจากคุณ และคุณในฐานะผู้ควบคุมข้อมูลสามารถกำหนดได้ว่าจะส่งอีเมลเหล่านั้นเมื่อใดและอย่างไร

สมมติว่าคุณไม่ได้ส่งอีเมลการตลาดของคุณเอง บางทีคุณอาจจ้างผู้ให้บริการอีเมล (ESP) เพื่อช่วยคุณสร้างเนื้อหา กำหนดเวลาอีเมล ติดตามและรายงานการส่งมอบ ESP จะไม่มีสิทธิ์ทำสิ่งที่พวกเขาต้องการด้วยข้อมูลของ Jane พวกเขามีสิทธิ์ช่วยคุณในการร่างแคมเปญ ส่งอีเมล ฯลฯ ตามที่คุณต้องการเท่านั้น ในกรณีนี้ ESP เป็นตัวประมวลผลข้อมูล

ในระยะหลัง คุณตัดสินใจที่จะทำการตลาดแบบร่วมแบรนด์กับพาร์ทเนอร์ A ที่ใกล้ชิดของคุณ (ซึ่งในกรณีนี้ก็ไม่เป็นไร เพราะเมื่อ Jane ลงทะเบียน คุณได้รับ ความยินยอมจาก เธอ ในการแชร์ ข้อมูลกับพาร์ทเนอร์ A เพื่อจุดประสงค์นี้) ในกระบวนการเจรจา คุณได้ตัดสินใจใช้ ESP ของพาร์ทเนอร์ A แทนการส่งแคมเปญของคุณ ดังนั้น คุณจึงส่งรายชื่อสมาชิกของคุณ (รวมถึงข้อมูลของ Jane) ไปยังพันธมิตรของคุณ ซึ่งจะเป็นผู้อัปโหลดไปยัง ESP ของพวกเขา อีเมลถูกส่ง

โดยการแบ่งปันข้อมูลของ Jane กับ Partner A สำหรับกิจกรรมการตลาดร่วมกัน คุณได้ทำให้ Partner A เป็นผู้ควบคุมข้อมูลของ Jane ร่วมกัน พาร์ทเนอร์ A จะใช้ข้อมูลของ Jane ต่อไปนอกขอบเขตความสัมพันธ์ของคุณกับ Jane ESP ของพาร์ทเนอร์ A ยังคงเป็นผู้ประมวลผลข้อมูลและจะต้องปฏิบัติตามข้อกำหนดทั้งของคุณและพาร์ทเนอร์ A แต่คุณยังเพิ่งแนะนำความซับซ้อนบางอย่างในความสัมพันธ์ของคุณกับ Jane ซึ่ง GDPR กำหนดให้คุณต้องติดตาม

ภายใต้ GDPR ในฐานะเจ้าของข้อมูล เจ้าของข้อมูลจะได้รับสิทธิ์ เช่น (โปรดทราบว่านี่ไม่ใช่รายการที่สมบูรณ์)

  • ข้อที่ 15 (สิทธิ์ในการเข้าถึง): เจนสามารถเขียนถึงคุณและขอสำเนาข้อมูลส่วนบุคคลที่คุณได้รวบรวมจากเธอ คุณในฐานะผู้ควบคุมข้อมูลจะต้องปฏิบัติตามคำขอนี้ภายใน 30 วันหลังจากได้รับคำขอของเธอ
  • ข้อ 16 (สิทธิในการแก้ไข): หากเจนพบว่าข้อมูลที่คุณมีเกี่ยวกับเธอไม่ถูกต้องหรือไม่สมบูรณ์ เธออาจขอให้คุณอัปเดตข้อมูลนั้น (เช่น เปลี่ยนที่อยู่อีเมลของเธอ หรือเปลี่ยนการสะกดชื่อของเธอในฐานข้อมูลของคุณ)
  • ข้อ 17 (สิทธิในการลบ): เจนอาจขอให้คุณลบข้อมูลของเธอทั้งหมด บางทีเธออาจเพิกถอนความยินยอมเพื่อรับข้อความจากคุณในอนาคต หรือบางทีเธออาจคิดว่าแคมเปญที่คุณกำหนดเป้าหมายไปที่เธอกำลังมุ่งหน้าไปในทิศทางที่ไม่ถูกต้อง และเธอต้องการเริ่มต้นจากศูนย์
  • มาตรา 18 (สิทธิ์ในการจำกัดการประมวลผล): บางทีคุณอาจเริ่มติดตามการเปิดและการคลิกของ Jane (การติดตามตามพฤติกรรม) แต่ Jane ไม่คิดว่าเธอยินยอมให้คุณทำเช่นนั้น (ตาม GDPR การติดตามตามพฤติกรรม จะต้องได้รับความยินยอม คุณไม่สามารถทำได้ แค่สมมติว่าคุณทำได้) เจนสามารถขอให้คุณหยุดติดตามการเปิดและคลิกของเธอจนกว่าคุณจะทั้งสองแยกแยะว่าเธอยินยอมอย่างไร
  • ข้อ 20 (สิทธิ์ในการเคลื่อนย้ายข้อมูล): ในบางกรณี Jane มีสิทธิ์ขอให้คุณซิปข้อมูลของเธอและโอนไปยังคู่แข่งรายใดรายหนึ่งของคุณ (ใช่! จริงๆ มีวัตถุประสงค์เพื่อช่วยให้เจนย้ายข้อมูลของเธอ—เช่น—จากผู้ให้บริการโทรศัพท์มือถือรายหนึ่งไปยังอีกรายหนึ่ง หรือเพื่อย้ายสถานะโซเชียลมีเดียของเธอจากแอปหนึ่งไปยังอีกแอปหนึ่งได้อย่างง่ายดาย หากคุณกำลังประมวลผลข้อมูลของเธอผ่าน “ประสิทธิภาพการทำงาน ของสัญญา” หรือ “ตามความยินยอม” บทบัญญัตินี้อาจมีผลบังคับใช้กับคุณ

ถ้าเจนตัดสินใจที่จะใช้สิทธิ์ของเธอและขอให้คุณลบข้อมูลของเธอ ในกระบวนทัศน์ของผู้ควบคุม-ตัวประมวลผลเดียว ก็ค่อนข้างตรงไปตรงมา คุณลบข้อมูลของเธอออกจากระบบของคุณและขอให้โปรเซสเซอร์ (ESP ของคุณ) ลบออกจากระบบด้วยเช่นกัน

อย่างไรก็ตาม ในรูปแบบตัวควบคุมร่วม ตามมาตรา 17(2) คุณจะต้องไม่เพียงแค่ลบมันออกจากโครงสร้างพื้นฐานของคุณและโปรเซสเซอร์ของคุณเท่านั้น แต่คุณจะต้อง:

“ดำเนินการตามสมควร รวมถึงมาตรการทางเทคนิค เพื่อแจ้งให้ผู้ควบคุมซึ่งกำลังประมวลผลข้อมูลส่วนบุคคลที่เจ้าของข้อมูลร้องขอให้ลบ”

กล่าวอีกนัยหนึ่ง คุณจะต้องเก็บบันทึกอย่างระมัดระวังเกี่ยวกับตำแหน่งที่คุณส่งข้อมูลของ Jane และเริ่มคำขอลบข้อมูลในนามของ Jane ไปยังผู้ควบคุมร่วมรายอื่นๆ ที่อาจมีข้อมูลของเธอ ผู้ควบคุมร่วมเหล่านั้นจะต้องติดต่อกับโปรเซสเซอร์ที่พวกเขาใช้ และลบข้อมูลของ Jane ออกจากระบบเหล่านั้นด้วย

และนั่นเป็นเพียงการเริ่มต้นภาระหน้าที่ของคุณในฐานะผู้ประมวลผลข้อมูลและผู้ควบคุมข้อมูลของ Jane ดูรายการสิ่งที่จำเป็นภายใต้ GDPR ด้านล่าง พร้อมรายละเอียดเพิ่มเติมใน GDPR

ความปลอดภัยของข้อมูล
 ภาระผูกพันของผู้ควบคุม:ใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องความปลอดภัยของข้อมูล

  • การเข้ารหัส การใช้นามแฝงของข้อมูลตามความเหมาะสม
  • ความสามารถในการรับรองความลับ ความสมบูรณ์ และความยืดหยุ่นของข้อมูล
  • ขั้นตอนการทดสอบ ประเมิน และประเมินความปลอดภัยเป็นประจำ
  • บันทึกความพยายามของคุณ

ภาระผูกพันของโปรเซสเซอร์:ใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องความปลอดภัยของข้อมูล

  • การเข้ารหัส การใช้นามแฝงของข้อมูลตามความเหมาะสม
  • ความสามารถในการรับรองความลับ ความสมบูรณ์ และความยืดหยุ่นของข้อมูล
  • ขั้นตอนการทดสอบ ประเมิน และประเมินความปลอดภัยเป็นประจำ
  • บันทึกความพยายามของคุณ

บทความ GDPR:ศิลปะ. 32 ความปลอดภัยของการประมวลผล

การแจ้งเตือนการละเมิด
 ภาระผูกพันของผู้ควบคุม:

  • แจ้งหน่วยงานกำกับดูแลภายใน 72 ชั่วโมงหลังการละเมิด หากมีความเสี่ยงสูงต่อเจ้าของข้อมูล
  • ประกาศเรื่องข้อมูล หากเหมาะสม

ภาระผูกพันของโปรเซสเซอร์:

  • แจ้งผู้ควบคุมโดยไม่ชักช้าเมื่อทราบการละเมิด

บทความ GDPR:ศิลปะ. 33 การแจ้งการละเมิดข้อมูล
ศิลปะ. 34 การสื่อสารการละเมิดข้อมูลกับเจ้าของข้อมูล

หลักการประมวลผลข้อมูล
 ภาระผูกพันของผู้ควบคุม:

  • ตรวจสอบให้แน่ใจว่าข้อมูลได้รับการประมวลผลอย่างถูกต้องตามกฎหมายและโปร่งใสต่อเจ้าของข้อมูล
  • ตรวจสอบให้แน่ใจว่าข้อมูลที่รวบรวมและประมวลผลเพื่อวัตถุประสงค์เฉพาะ และไม่ในลักษณะที่ไม่สอดคล้องกับวัตถุประสงค์ดั้งเดิม
  • ตรวจสอบให้แน่ใจว่าข้อมูลที่รวบรวมนั้นถูกต้องและเป็นปัจจุบัน
  • ให้แน่ใจว่าคุณสามารถแสดงให้เห็นถึงการปฏิบัติตาม

บทความ GDPR:ศิลปะ. 5 หลักการที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
ศิลปะ. 6 ความถูกต้องตามกฎหมายของการประมวลผล

แจ้งให้ทราบความเป็นส่วนตัว
 ภาระผูกพันของผู้ควบคุม:

  • จะต้องใช้ได้กับเจ้าของข้อมูล
  • อธิบายว่าข้อมูลใดจะถูกเก็บรวบรวมและเพื่อวัตถุประสงค์ใด
  • ให้รายละเอียดผู้รับที่จะรับข้อมูล ซึ่งรวมถึงถ้าจะถูกโอนออกนอก EEA และข้อมูลจะได้รับการปกป้องด้วยการโอนต่อไปอย่างไร
  • หากมีผลประโยชน์ที่ชอบด้วยกฎหมายในการรวบรวมและ/หรือการประมวลผลข้อมูล
  • อธิบายการเก็บรักษาข้อมูลและ/หรือระยะเวลาการจัดเก็บข้อมูล หรือเกณฑ์ที่ใช้ในการกำหนดระยะเวลาเก็บรักษา
  • อธิบายสิทธิ์ของเจ้าของข้อมูล และวิธีที่เจ้าของข้อมูลสามารถใช้สิทธิ์ของตนได้
  • รายละเอียดเกี่ยวกับการใช้การตัดสินใจอัตโนมัติ

บทความ GDPR:ศิลปะ. 12 ข้อมูล การสื่อสาร และรูปแบบที่โปร่งใสสำหรับการใช้สิทธิ์ของเจ้าของข้อมูล
ศิลปะ. 13 ข้อมูลที่จะให้เมื่อมีการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูล
ศิลปะ. 14 ข้อมูลที่จะให้ในกรณีที่ไม่ได้รับข้อมูลส่วนบุคคลจากเจ้าของข้อมูล

ข้อกำหนดตามสัญญากับโปรเซสเซอร์
 ภาระผูกพันของผู้ควบคุม:

  • จ้างเฉพาะผู้ประมวลผลที่ตรงตามข้อกำหนดของ GDPR เท่านั้น
  • ใช้เฉพาะโปรเซสเซอร์ที่สามารถปกป้องข้อมูลของเจ้าของข้อมูลได้อย่างเหมาะสม
  • อธิบายเรื่อง ระยะเวลา และลักษณะของกิจกรรมการประมวลผล
  • อธิบายลักษณะและวัตถุประสงค์ของการประมวลผล
  • อธิบายประเภทของข้อมูลส่วนบุคคลที่กำลังประมวลผล
  • อธิบายหมวดหมู่ของเจ้าของข้อมูลที่กำลังประมวลผล

ภาระผูกพันของโปรเซสเซอร์:

  • ประมวลผลข้อมูลตามคำแนะนำที่เป็นเอกสารจากคอนโทรลเลอร์เท่านั้น
  • ตรวจสอบให้แน่ใจว่าบุคคลทั้งหมดที่ได้รับอนุญาตให้ประมวลผลข้อมูลมีความมุ่งมั่นในข้อตกลงการรักษาความลับ
  • ช่วยเหลือผู้ควบคุมในการจัดการคำขอสิทธิ์การเข้าถึงของเจ้าของข้อมูล
  • ช่วยเหลือผู้ควบคุมด้วยภาระหน้าที่เกี่ยวกับการรักษาความปลอดภัยและคำขอจากหน่วยงานกำกับดูแล
  • พร้อมใช้งานและสามารถช่วยเหลือผู้ควบคุมด้วยภาระผูกพันในการปฏิบัติตาม
  • ลบหรือส่งคืนข้อมูลทั้งหมดตามคำขอหรือข้อกำหนดของผู้ควบคุม
  • ร่างการถ่ายโอนข้อมูลนอก EEA และอธิบายการป้องกันซึ่งจะปกป้องข้อมูล
  • มีส่วนร่วมในการตรวจสอบที่ดำเนินการโดยผู้ควบคุมหรือหน่วยงานอื่นที่จำเป็น
  • ตรวจสอบให้แน่ใจว่าการมีส่วนร่วมของผู้ประมวลผลย่อยเป็นไปตามภาระหน้าที่เดียวกันกับที่ผู้ควบคุมกำหนด
  • ว่าจ้างเฉพาะผู้ประมวลผลย่อยเมื่อได้รับอนุมัติจากผู้ควบคุมเท่านั้น

บทความ GDPR:ศิลปะ. 24 ความรับผิดชอบของผู้ควบคุม
ศิลปะ. 28 โปรเซสเซอร์
ศิลปะ. 29 การประมวลผลภายใต้อำนาจของผู้ควบคุมหรือผู้ประมวลผล

นำแนวทางปฏิบัติในการปกป้องข้อมูลมาใช้
 ภาระผูกพันของผู้ควบคุม:

  • สามารถแสดงให้เห็นถึงหลักการของการลดขนาดข้อมูลและการปกป้องข้อมูลโดยการออกแบบและ/หรือค่าเริ่มต้นจะถูกนำมาใช้ตามความเหมาะสม
  • ดำเนินการประเมินผลกระทบต่อความเป็นส่วนตัวในกิจกรรมการประมวลผลใด ๆ ที่อาจก่อให้เกิดความเสี่ยงต่อเจ้าของข้อมูล

บทความ GDPR:ศิลปะ. 5 หลักการที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
ศิลปะ. 25 การปกป้องข้อมูลตามการออกแบบและค่าเริ่มต้น
ศิลปะ. 35 การประเมินผลกระทบของการปกป้องข้อมูล

เก็บบันทึกกิจกรรมการประมวลผล
 ภาระผูกพันของผู้ควบคุม:

  • ชื่อ/ข้อมูลติดต่อของผู้ควบคุมข้อมูลและ DPO หรือตัวแทนของสหภาพยุโรป
  • จัดทำเอกสารหมวดหมู่ของเจ้าของข้อมูล หมวดหมู่ข้อมูลส่วนบุคคล และผู้รับข้อมูล
  • จัดทำเอกสารพื้นฐานที่ถูกต้องตามกฎหมายสำหรับการถ่ายโอนข้อมูลภายนอก EEA และอธิบายการป้องกันซึ่งจะปกป้องข้อมูล
  • กรอบเวลาการเก็บรักษาข้อมูล
  • จัดทำเอกสารพื้นฐานที่ถูกต้องตามกฎหมายสำหรับกิจกรรมการประมวลผลข้อมูล

ภาระผูกพันของโปรเซสเซอร์:

  • ชื่อ/ข้อมูลติดต่อของผู้ควบคุมข้อมูลและอ.ส.ค
  • หมวดหมู่ของการประมวลผลที่ดำเนินการสำหรับผู้ควบคุม

บทความ GDPR:ศิลปะ. 30 บันทึกกิจกรรมการประมวลผล

นี่เป็นสิ่งที่ต้องทำและอาจดูเหมือนเป็นงานมาก แต่ในระยะยาวก็จะทำให้คุณและคู่ของคุณในการปฏิบัติตามกฎหมายยุโรปและให้สิทธิวิชาข้อมูลของคุณได้รับการคุ้มครอง กำลังมองหาข้อมูลเชิงลึกเกี่ยวกับ GDPR เพิ่มเติมหรือไม่ คุณสามารถหาข้อมูลเพิ่มเติมได้ในหมวดหมู่ GDPR ในบล็อกของเรา และในการสัมมนาผ่านเว็บแบบออนดีมานด์ของเรา: เส้นทางสู่ GDPR