อภิธานศัพท์ GDPR: รายละเอียดสำหรับคนไม่ว่าง

เผยแพร่แล้ว: 2018-02-16
อภิธานศัพท์ GDPR: รายละเอียดสำหรับคนไม่ว่าง

หลักการสำคัญของ GDPR: นำเสนอนโยบายข้อมูลของคุณแก่ผู้ใช้โดยปราศจาก "กฎหมาย"

ทำไมพวกเขาถึงให้เราอ่านศัพท์แสงสมองละลาย 200 หน้าให้เราอ่าน?

การปฏิบัติตามกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคฉบับใหม่มีความสำคัญอย่างยิ่ง

แต่มันก็สนุกเหมือนดูการแข่งขันกอล์ฟที่เล่นแบบสโลว์โมชั่น

ต่อไปนี้คือรายละเอียดความหมายของข้อกำหนดทางกฎหมายเหล่านี้—เขียนเป็นประโยคที่คุณจะไม่หลับกลางทาง

กดปุ่ม CTRL+F เพื่อให้หายปวดหัวได้

คำจำกัดความ

Binding Corporate Rules (BCRs) : มีข้อมูลส่วนบุคคลในสหภาพยุโรปหรือไม่? ต้องการโอนไปยังบุคคลในองค์กรข้ามชาติของคุณ นอกสหภาพยุโรป? BCR เป็นกฎที่คุณต้องปฏิบัติตาม

ข้อมูลไบโอเมตริกซ์ : “ข้อมูลร่างกาย” หากมันสามารถระบุตัวคุณและเกี่ยวข้องกับลักษณะทางกายภาพ สรีรวิทยา หรือพฤติกรรม—นี่คือสิ่งนี้

ยินยอม : นี่เป็นเรื่องใหญ่ การได้รับความยินยอมให้ใช้ข้อมูลส่วนบุคคลของผู้อื่นมีความซับซ้อนในขณะนี้

มันต้อง:

  • ให้อย่างเสรี
  • เฉพาะเจาะจง
  • ยืนยัน
  • ชัดเจน

ดังนั้น...ถ้าคุณจะส่งอีเมลถึงใครซักคน คุณต้องได้รับความยินยอมจากเขาก่อนจึงจะส่งอีเมลได้ จะใช้คุกกี้? คุณต้องได้รับความยินยอมเป็นพิเศษด้วยเช่นกัน

คุณได้ขอความยินยอมจากผู้คนอย่างอิสระ คุณไม่สามารถรวมกล่องกาเครื่องหมายเดียวกับนโยบายความเป็นส่วนตัวของคุณ

และคุณไม่สามารถเลือกช่อง "ฉันยินยอมให้ ____" ล่วงหน้าได้ พวกเขาต้องทำอย่างนั้นเอง

คุณไม่สามารถเขียนคำปฏิเสธความรับผิดแบบเก่าของคุณว่า "ไซต์นี้ใช้คุกกี้ โดยอยู่ที่นี่ คุณก็รู้สึกดีกับสิ่งนั้น" และคาดหวังให้ใช้งานได้

ผู้คนเข้าใจว่าคุณกำลังใช้ข้อมูลของพวกเขาอย่างไร พวกเขาต้องให้สิทธิ์คุณในการใช้งานแบบนั้น

มันเป็นจำนวนมาก.

เราเขียนเพิ่มเติมเกี่ยวกับเรื่องนี้ที่นี่

ข้อมูลที่เกี่ยวข้องกับสุขภาพ : ดูเหมือนอะไร (ขอบคุณพระเจ้า)

ผู้ควบคุมข้อมูล : หากคุณเป็นนักการตลาด ก็คงใช่คุณ มันคือทุกคนที่ขอ รวบรวม และใช้ข้อมูลส่วนบุคคลในทางใดทางหนึ่ง หากคุณประมวลผล หากคุณจัดเก็บ หากคุณกำหนดวิธีที่จะใช้ข้อมูลของผู้คน คุณคือผู้ควบคุมข้อมูล ยินดีด้วย!

การลบข้อมูล: AKA: “สิทธิที่จะถูกลืม” นี่หมายความว่าเจ้าของข้อมูล (มนุษย์) สามารถเลือกที่จะลบข้อมูลใดๆ ที่คุณมีอยู่ พวกเขาพูดคำนั้นออกไป และคุณต้องล้างข้อมูลของพวกเขา หยุดใช้ และหยุดเผยแพร่ (ทั้งหมด) ในทางใดทางหนึ่ง

การพกพาข้อมูล : ถ้ามีคนมาหาคุณและพูดว่า "เฮ้ ฉันต้องการสำเนาข้อมูลทั้งหมดที่คุณมีกับฉัน" คุณต้องพูดว่า "ได้ ไปเลย" และคุณต้องส่งสำเนาข้อมูลนั้นให้พวกเขาในรูปแบบที่พวกเขาสามารถส่งต่อให้คนอื่นได้อย่างง่ายดาย (ข้อมูลเพิ่มเติมเกี่ยวกับชีวิตที่นี่)

ผู้ ประมวลผลข้อมูล : สิ่งที่คุณ (ผู้ควบคุมข้อมูล) ใช้เพื่อรวบรวมและประมวลผลข้อมูล เครื่องมือทางการตลาดจำนวนมากของคุณคือผู้ประมวลผลข้อมูล (เช่น เครื่องมือวิเคราะห์ เครื่องมือทดสอบ A/B ปลั๊กอิน และอื่นๆ)

หน่วยงานคุ้มครองข้อมูล : คนที่น่ากลัวที่จะทำให้แน่ใจว่าคุณทำตามกฎ หน่วยงานเหล่านี้เป็นหน่วยงานระดับชาติที่รับผิดชอบในการปกป้องข้อมูลและความเป็นส่วนตัว และติดตามการบังคับใช้ GDPR ภายในสหภาพยุโรป

เจ้าหน้าที่คุ้มครองข้อมูล : บุคคลที่คุณควรแต่งตั้งให้จัดการกับความบ้าคลั่งของกฎระเบียบทั้งหมดนี้ หากคุณเป็นบริษัทขนาดใหญ่กว่า 250 คน (แต่ตามจริงแล้ว GDPR คิดไม่ออกจริงๆ ว่าตัวเลขนั้นควรเป็นเท่าใด) นี่คือผู้เชี่ยวชาญด้านความเป็นส่วนตัวของข้อมูล ซึ่งจะทำงานร่วมกับคุณอย่างอิสระและดูแลคุณให้สอดคล้องกับ GDPR

เจ้าของ ข้อมูล : มนุษย์—ผู้ที่มีข้อมูล ที่คุณมี ดู หรือใช้

การ กระทำที่ได้รับมอบหมาย : สนุก "กฎหมายโบนัส" ที่เสริมกฎหมายที่มีอยู่เพื่อให้มีความชัดเจนหรือเกณฑ์มากขึ้น คาดว่ากลุ่มประเทศในสหภาพยุโรปที่เป็นอิสระจะก้าวไปข้างหน้า

Derogation : ข้อยกเว้นของกฎหมาย!

คำสั่ง : นี่คือกฎหมายที่กำหนด "เป้าหมาย" ให้กับทุกประเทศในสหภาพยุโรป จากนั้นแต่ละประเทศก็ออกกฎหมายระดับชาติของตนเองเพื่อให้บรรลุเป้าหมายนั้น

ข้อมูลที่เข้ารหัส : มากหรือน้อย: คุณปกป้องข้อมูลส่วนบุคคลด้วยการทำให้สับสน การเข้ารหัสข้อมูลช่วยให้มั่นใจได้ว่าเฉพาะผู้ที่มีสิทธิ์เข้าถึงที่ระบุเท่านั้นที่สามารถเข้าถึงหรืออ่านข้อมูลที่คุณเก็บไว้ได้ เท่าที่มาตรการรักษาความปลอดภัยดำเนินไป ก็เป็นความคิดที่ดีมาก

องค์กร : สิ่งใดก็ตามที่มีส่วนร่วมในกิจกรรมทางเศรษฐกิจ โดยไม่คำนึงถึง "รูปแบบทางกฎหมาย" ดังนั้นผู้คน องค์กร สมาคมต่างๆ ที่คุณตั้งชื่อมัน ใครก็ตามที่ทำหรือยุ่งเกี่ยวกับเงิน

ระบบการจัดเก็บ : GDPR นำไปใช้ในสองแห่ง: กับระบบอัตโนมัติ (จัดเก็บข้อมูลบนคอมพิวเตอร์และในฐานข้อมูล) หรือสำหรับเอกสารใน "ระบบการจัดเก็บที่เกี่ยวข้อง" ระบบการจัดเก็บเอกสารจะ "เกี่ยวข้อง" หากสามารถค้นหาหรือเข้าถึงได้ตามเกณฑ์เฉพาะ เช่น ชื่อ เลขประจำตัวประชาชน หมายเลขโทรศัพท์ ฯลฯ)

ดังนั้น หากคุณทิ้งข้อมูล HR ทั้งหมดของคุณลงในกล่องที่ไม่ได้ทำเครื่องหมายและไม่มีการรวบรวม—คุณอาจไม่ต้องกังวลกับข้อมูลเหล่านั้นสำหรับ GDPR คุณแค่ควรกังวลเกี่ยวกับพวกเขา เพราะคุณรู้ ทุกเหตุผลอื่น ๆ

ข้อมูลทางพันธุกรรม : เว็บไซต์อย่างเป็นทางการของสหภาพยุโรปกำหนดสิ่งนี้ แต่เดี๋ยวก่อน คุณรู้ว่าพันธุกรรมคืออะไร

กลุ่มกิจการ : มีกฎหมายหลายกรณีที่ต้องกลั่นกรองเพื่อทำความเข้าใจว่า “กิจการ” คืออะไร—แต่มีมากหรือน้อยในเรื่องนี้: กิจการคือเมื่อบริษัทหนึ่งมีอำนาจควบคุมบริษัทอื่น และการควบคุมในกรณีนี้หมายถึงความสามารถในการใช้ "อิทธิพลเด็ดขาด"

ตัวอย่าง: บริษัทใหญ่ถือหุ้นใหญ่ในบริษัทย่อย สันนิษฐานว่าพวกเขาสามารถควบคุมได้ นั่นเป็นกิจการ

และกลุ่มของกิจการก็คือกลุ่มของกิจการเหล่านั้น

สถานประกอบการหลัก : สิ่งนี้เกี่ยวข้องกับการกำกับดูแล เป็นสถานที่ภายในสหภาพที่ทำการตัดสินใจเกี่ยวกับการประมวลผลข้อมูล ความหมาย—หากคุณประมวลผลข้อมูลของคุณในเยอรมนี แม้ว่าคุณจะอยู่ที่อื่นก็ตาม "สถานประกอบการหลัก" ของคุณอยู่ในเยอรมนี

ข้อมูลส่วนบุคคล : อีกหนึ่งข้อมูลสำคัญ ข้อมูลส่วนบุคคลคือข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลและสามารถใช้เพื่อระบุตัวตนได้ ซึ่งรวมถึงข้อมูลที่สามารถระบุได้โดยอ้อม หรือระบุได้เมื่อรวมกับข้อมูลขาเข้าอื่นๆ

ซึ่งแตกต่างจาก PII (ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้) และเป็นคำจำกัดความที่เข้มงวดกว่าที่เราเคยเห็นมาก่อน

นี่คือรายละเอียดทั้งหมด:

ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII)
ข้อมูลส่วนบุคคล
  • ชื่อเต็ม (ถ้าไม่ธรรมดา)
  • ที่อยู่
  • ที่อยู่อีเมล
  • หมายเลขประจำตัวประชาชน
  • หมายเลขหนังสือเดินทาง
  • ป้ายทะเบียนรถ
  • หมายเลขใบขับขี่
  • ใบหน้า ลายนิ้วมือ หรือลายมือ
  • หมายเลขบัตรเครดิต
  • ตัวตนดิจิทัล
  • วันเกิด
  • บ้านเกิด
  • ข้อมูลทางพันธุกรรม
  • หมายเลขโทรศัพท์
  • ชื่อล็อกอิน ชื่อหน้าจอ ชื่อเล่น หรือหมายเลขอ้างอิง
  • ชื่อเต็ม (ถ้าไม่ธรรมดา)
  • ที่อยู่
  • ที่อยู่อีเมล
  • หมายเลขประจำตัวประชาชน
  • หมายเลขหนังสือเดินทาง
  • ป้ายทะเบียนรถ
  • หมายเลขใบขับขี่
  • ใบหน้า ลายนิ้วมือ หรือลายมือ
  • หมายเลขบัตรเครดิต
  • ตัวตนดิจิทัล
  • วันเกิด
  • บ้านเกิด
  • ข้อมูลทางพันธุกรรม
  • หมายเลขโทรศัพท์
  • ชื่อล็อกอิน ชื่อหน้าจอ ชื่อเล่น หรือหมายเลขอ้างอิง

+

  • ที่อยู่ IP
  • ตัวระบุที่ไม่ซ้ำ เช่น Device ID, UserID, TransactionID, CookieID
  • ข้อมูลนามแฝง (นั่นคือข้อมูลที่ไม่รู้จัก + คีย์ในจุดอื่นเพื่อให้อ่านได้อีกครั้ง)

การละเมิดข้อมูลส่วนบุคคล : "อ๊ะ" ครั้งใหญ่ นี่คือเวลาใดก็ตามที่อาจมีบางคนเข้าถึง ทำลาย หรือใช้ข้อมูลส่วนตัวที่คุณเก็บไว้โดยไม่ได้ตั้งใจหรือผิดกฎหมาย ภายใต้ GDPR คุณจะต้องแจ้งให้เจ้าของข้อมูลทั้งหมดทราบเกี่ยวกับสิ่งเหล่านี้ภายใน 72 ชั่วโมง

ความเป็นส่วนตัวโดยการออกแบบ : หยุดผัดวันประกันพรุ่ง เมื่อคุณสร้างระบบที่เกี่ยวข้องกับข้อมูล ไม่ว่าจะเป็นอินเทอร์เฟซ เว็บไซต์ หรืออะไรก็ได้ คุณควรคำนึงถึงการปกป้องข้อมูลก่อนที่คุณจะเริ่มต้นด้วยซ้ำ ควรได้รับการออกแบบโดยคำนึงถึงสิทธิ์ของข้อมูล ไม่ควรเป็นฉบับในนาทีสุดท้าย

การประเมินผลกระทบต่อความเป็นส่วนตัว : สิ่งที่คุณ (พร้อมกับเจ้าหน้าที่คุ้มครองข้อมูล) ควรทำ! โดยพื้นฐานแล้ว นี่เป็นเพียงการตรวจสอบความเสี่ยงด้านความเป็นส่วนตัวที่อาจเกิดขึ้น หมายถึงการตรวจสอบข้อมูลส่วนบุคคลของคุณ วิธีการประมวลผล และสิ่งที่คุณกำลังทำเพื่อปกป้องข้อมูลดังกล่าว

การประมวลผล : สิ่งที่คุณทำกับข้อมูลส่วนบุคคล—ด้วยตนเองหรือโดยอัตโนมัติ สะสม บันทึก ใช้งาน ข้อมูลส่วนตัวมากที่สุดเท่าที่จะแวบผ่านหน้าจอของคุณ และมันจะถูกประมวลผล

การ ทำโปรไฟล์ : หากคุณทำให้ข้อมูลส่วนบุคคลเป็นแบบอัตโนมัติ และวิเคราะห์เพื่อคาดการณ์พฤติกรรมของใครบางคน (เฉพาะ) ซึ่งนับเป็นการทำโปรไฟล์

นามแฝง – คุณมีข้อมูลส่วนบุคคล คุณประมวลผลในลักษณะที่คุณไม่สามารถระบุที่มาของข้อมูลดังกล่าวกับเจ้าของข้อมูลได้อีกต่อไป อย่างน้อยก็ไม่มีข้อมูลอื่นที่แยกไว้ต่างหาก ตัวอย่างคลาสสิกคือการแทนที่ข้อมูลที่สามารถระบุตัวตนได้โดยใช้ค่าที่ย้อนกลับได้และสม่ำเสมอ เช่น สตริงของตัวเลขสุ่ม ซึ่งสามารถ "ปลดล็อก" ในภายหลังและกำหนดลักษณะซ้ำได้

ซึ่งแตกต่างจากข้อมูลที่ไม่ระบุตัวตน จริง ๆ ซึ่งข้อมูลที่ระบุตัวได้ถูกทำลายโดยสิ้นเชิง

เทคนิคใดที่ "นับ" เป็นนามแฝงภายใต้ GDPR ยังไม่ได้รับการพิจารณา และยังมีพื้นที่สีเทามากมายเกี่ยวกับประเภทของข้อมูลที่ถูกนับเป็น "มีแนวโน้มที่จะระบุ" หรือ "มีแนวโน้มที่สมเหตุสมผล"

แต่มีแรงจูงใจบางอย่างที่น่าสนใจสำหรับ GDPR สำหรับการปลอมแปลงข้อมูลส่วนบุคคลของคุณ คุณสามารถหาได้จาก Recital 29

ตัวอย่างเช่น เมื่อคุณรวบรวมข้อมูลส่วนบุคคลที่เป็นมาตรฐานและเป็นมาตรฐาน คุณจะใช้ได้เฉพาะด้วยเหตุผลที่ "ถูกต้อง" โดยเจ้าของข้อมูลเท่านั้น แต่ด้วยการใช้นามแฝง คุณจะมีเวลามากขึ้นอีกเล็กน้อยในการประมวลผลข้อมูล แม้ว่าจะใช้เพื่อวัตถุประสงค์ที่ต่างไปจากที่เก็บรวบรวมมาในตอนแรกก็ตาม

ผู้รับ – บุคคลที่เปิดเผยข้อมูลส่วนบุคคลให้

ระเบียบข้อบังคับ – กฎหมายที่มีผลผูกพันและบังคับใช้ทั่วทั้งสหภาพยุโรป

ตัวแทน – หากบุคคลที่มองข้ามการปฏิบัติตาม GDPR จำเป็นต้องเรียกผู้ควบคุมข้อมูล (เช่น บริษัทของคุณ) เพื่อจัดการกับข้อกังวล พวกเขาจะติดต่อกับตัวแทนของคุณ ผู้แทนจะต้องอยู่ในสหภาพและกำหนดไว้อย่างชัดเจนสำหรับงาน

สิทธิ์ที่จะถูกลืม : ดู การลบข้อมูล ด้านบน

สิทธิ์ในการเข้าถึง / สิทธิ์ในการเข้าถึงหัวเรื่อง : หากคุณมีข้อมูลส่วนบุคคลของใครบางคน พวกเขาสามารถขอเข้าถึงได้ คุณต้องสามารถให้กับพวกเขาได้

หน่วยงานกำกับดูแล : ทุกประเทศสมาชิกสหภาพยุโรปจะแต่งตั้งหน่วยงานสาธารณะเพื่อดูแลการปฏิบัติตาม GDPR นั่นคือหน่วยงานกำกับดูแล (แต่คุณอาจรู้จักสิ่งนี้ในฐานะ DPA หรือหน่วยงานคุ้มครองข้อมูล)

Trilogues – หลังจากที่ทุกคนได้อ่านร่างกฎหมายฉบับแรกแล้ว คณะกรรมาธิการยุโรป รัฐสภายุโรป และคณะมนตรีของสหภาพยุโรปจะประชุมกันอย่างไม่เป็นทางการเพื่อเจรจา การประชุมเหล่านี้เรียกว่าไตร่ตรองและจัดขึ้นเพื่อให้สามารถนำข้อความประนีประนอมมาใช้ได้อย่างรวดเร็ว

คำย่อ:

BCRs : กฎข้อบังคับขององค์กรที่มีผลผูกพัน (ดูด้านบน)

CFR : The Charter of Fundamental Rights of the European Union

CJEU : ศาลยุติธรรมแห่งสหภาพยุโรป

DPA : หน่วยงานคุ้มครองข้อมูล (ดู หน่วยงานกำกับดูแล)

อ.ส.ค. : เจ้าหน้าที่คุ้มครองข้อมูล

ECHR : อนุสัญญายุโรปว่าด้วยสิทธิมนุษยชน.

EDPB : European Data Protection Board

DEPS : European Data Protection Supervisor

EEA : เขตเศรษฐกิจยุโรป (28 ประเทศสมาชิกสหภาพยุโรป รวมทั้งไอซ์แลนด์ ลิกเตนสไตน์ และนอร์เวย์)

TFEU ​​: สนธิสัญญาว่าด้วยการทำหน้าที่ของสหภาพยุโรป

WP29 : คณะทำงาน มาตรา 29 เป็นคณะกรรมการที่ปรึกษาระดับสหภาพยุโรป ซึ่งประกอบด้วย DPA ระดับชาติ แต่ EDPB ได้เข้ามาแทนที่ภายใต้ GDPR ไม่มากก็น้อย

รายชื่อผู้ขายความเป็นส่วนตัว
รายชื่อผู้ขายความเป็นส่วนตัว