การมาถึงของระเบียบการคุ้มครองข้อมูลทั่วไป

GDPR คืออะไรและมีความหมายอย่างไรในการปกป้องข้อมูลส่วนบุคคลสำหรับเว็บไซต์และเว็บไซต์อีคอมเมิร์ซ

วัตถุประสงค์ของข้อบังคับการคุ้มครองข้อมูลทั่วไป

เพื่อให้เข้าใจประโยชน์ของกฎหมายนี้ที่ออกโดยสหภาพยุโรปได้ดียิ่งขึ้น จำเป็นต้องระบุวัตถุประสงค์ของ GDPR ด้วยกฎระเบียบใหม่นี้ ก่อนอื่นผู้ใช้จะต้องตระหนักถึงชะตากรรมของข้อมูลส่วนบุคคลของตนให้มากขึ้น และก่อนอื่นต้องให้ความยินยอมอย่างชัดแจ้ง จากนั้นจะต้องใช้ข้อมูลเดียวกันอย่างเข้มงวด ตั้งกฎที่เข้มงวดเพื่อให้ประมวลผลได้นอกประชาคมยุโรป และสุดท้ายต้องมีบทลงโทษขั้นรุนแรงสำหรับผู้ที่ละเมิดข้อกำหนดของกฎหมายคุ้มครองข้อมูลทั่วไป สิ่งเหล่านี้คือประเด็นที่กฎระเบียบความเป็นส่วนตัวใหม่นี้อิงตาม แต่หลังจากเผยแพร่ได้ไม่นาน ระเบียบการคุ้มครองข้อมูลทั่วไปก็แสดงข้อบกพร่องบางอย่างแล้ว

"อัตราส่วน" ของรัฐสมาชิกและหล่มอิตาลี

ระเบียบการคุ้มครองข้อมูลทั่วไปได้นำเสนอตัวเองว่าเป็นระบบของกฎที่รับประกันการปราบปรามที่สำคัญในนามของความเป็นส่วนตัว อย่างไรก็ตาม ในช่วงเวลาของการออกกฎหมาย สหภาพยุโรปปล่อยให้รัฐสมาชิกมีความเป็นไปได้ที่จะสามารถ "ตีความ" ข้อบังคับที่มีอยู่ในเอกสารฉบับใหม่นี้ได้ ซึ่งหมายความว่าความเข้มงวดตามที่สัญญาไว้จะหมดไปก่อนที่จะเริ่มด้วยซ้ำ และตัวอย่างเช่น ผู้ใช้ภาษาฝรั่งเศสและสเปนอาจเห็นว่าข้อมูลส่วนบุคคลของตนได้รับการปฏิบัติแตกต่างจากผู้ใช้ชาวโปรตุเกสหรือเยอรมัน กรณีของอิตาลีนั้นแปลกยิ่งกว่านั้น: จนถึงวันนี้ รัฐบาลของเรายังไม่ได้ออกกฤษฎีกากฎหมายที่เกี่ยวข้องกับระเบียบการคุ้มครองข้อมูลทั่วไป ดังนั้นระเบียบข้อบังคับของยุโรปจึงยังคงมีผลบังคับใช้ในประเทศของเรา ในตัวมันเองอาจมีแง่บวกเช่นกัน หากไม่ใช่เพราะไม่มีกฎหมายบัญญัติ จะไม่สามารถดำเนินคดีและลงโทษผู้ที่ละเมิดบทบัญญัติของเอกสารใหม่นี้เกี่ยวกับความเป็นส่วนตัวได้

“ข้อมูลส่วนบุคคล” หมายถึงอะไร

คำว่า "ข้อมูลส่วนบุคคล" ถูกใช้ (และใช้ในทางที่ผิด) ในด้านต่างๆ ของชีวิตประจำวัน แต่เป็นแนวคิดที่ทำให้เข้าใจผิดสำหรับผู้ที่ไม่ใช่ผู้เชี่ยวชาญทั้งหมด ในเวลาเดียวกันเนื่องจากเรากำลังพูดถึงการปกป้องข้อมูลที่ละเอียดอ่อนและกฎต่อต้านการละเมิดความเป็นส่วนตัวจึงจำเป็นต้องมีแนวคิดที่ชัดเจนเกี่ยวกับ "ข้อมูลส่วนบุคคล" ข้อมูลทั้งหมดที่ช่วยให้สามารถระบุบุคคลได้อย่างไม่คลุมเครือจากผู้อื่นคือสิ่งที่เรียกว่า "ข้อมูลส่วนบุคคล" ดังนั้นชื่อ นามสกุล รหัสภาษี วันเกิด ที่อยู่ หมายเลขโทรศัพท์ และอื่นๆ อีกมากมายจึงจัดอยู่ในหมวดหมู่นี้ อย่างไรก็ตาม เมื่อเราพูดถึงความเป็นส่วนตัวบนเว็บพอร์ทัล มีองค์ประกอบอื่น ๆ ที่ระบุหัวข้อเฉพาะ แม้ว่าองค์ประกอบเหล่านั้นจะเกี่ยวข้องกับอุปกรณ์ที่ใช้สิ่งเดียวกันมากกว่า: ที่อยู่ IP, ที่อยู่อีเมล, คุกกี้และอื่น ๆ ก็ถือเป็นข้อมูลส่วนบุคคลเช่นกัน

ในแง่ของคำจำกัดความนี้ คำถามเกิดขึ้น: แต่เมื่อใดที่ผู้ใช้ตัดสินใจมอบข้อมูลที่ละเอียดอ่อนของตนให้กับเว็บไซต์ ในกรณีส่วนใหญ่ การดำเนินการนี้เกิดขึ้นระหว่างขั้นตอนการลงทะเบียนบนพอร์ทัล ไม่ว่าจะมีวัตถุประสงค์เพื่อสร้างพื้นที่สงวนหรือแม้แต่เพียงเพื่อสมัครรับจดหมายข่าว โดยเฉพาะหลายๆ ไซต์อีคอมเมิร์ซ พวกเขายังสามารถเข้าถึงข้อมูลประเภทอื่นๆ ที่สามารถกำหนดให้เป็น "ละเอียดอ่อน" ได้ ประการแรก ข้อมูลทางการเงิน (รหัสธนาคาร, IBAN และภูมิลำเนาภาษี) ซึ่งจำเป็นอย่างยิ่งสำหรับการทำธุรกรรมออนไลน์ การพิจารณาน้อยลงแต่ยังคงเป็นผลมาจากหมวดหมู่ของข้อมูลส่วนบุคคลคือพฤติกรรมการบริโภค: คุณใช้โซเชียลเน็ตเวิร์กใด คุณชอบดื่มอะไร รายการล่าสุดที่คุณซื้อออนไลน์คืออะไร? คำถามที่ดูเหมือนเล็กน้อยเหล่านี้มีแนวโน้มที่จะสร้างโปรไฟล์ผู้บริโภค เพื่อให้ผู้ใช้ได้รับเฉพาะสินค้าและบริการที่สามารถกระตุ้นความอยากรู้อยากเห็นได้อย่างแท้จริง การใช้ข้อมูลนี้เพื่อวัตถุประสงค์ทางการค้าจะต้องอธิบายให้ผู้ใช้เข้าใจอย่างชัดเจนตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลทั่วไปเสมอ

จะทำอย่างไรกับกฎระเบียบการคุ้มครองข้อมูลทั่วไปใหม่

เจาะลึกแง่มุมทางทฤษฎีที่อยู่เบื้องหลัง การปกป้องข้อมูลส่วนบุคคล เป็นสิ่งสำคัญ แต่ทุกคนที่จัดการพอร์ทัลเว็บและไซต์อีคอมเมิร์ซโดยพื้นฐานแล้วต้องการทำความเข้าใจว่าการดำเนินการใหม่ที่ต้องทำเกี่ยวกับกฎหมายความเป็นส่วนตัวฉบับใหม่นี้คืออะไร

แบบฟอร์มการติดต่อรวมกับนโยบายความเป็นส่วนตัว

ตามที่เราเขียนไว้ก่อนหน้านี้ ผู้ใช้ต้องตระหนักว่าข้อมูลส่วนบุคคลของพวกเขาสามารถถูกรวบรวมและประมวลผลเพื่อวัตถุประสงค์บางอย่างได้ ดังนั้นจึงจำเป็นอย่างยิ่งที่ผู้ใช้จะต้องแสดงความยินยอมโดยชัดแจ้งเมื่อทำการลงทะเบียนบนเว็บไซต์อีคอมเมิร์ซหรือเยี่ยมชมพอร์ทัลอินเทอร์เน็ต ด้วยเหตุผลนี้เองที่กฎระเบียบให้ความคุ้มครองข้อมูลทั่วไปบังคับทั้งหมด เว็บไซต์อินเทอร์เน็ต ที่จะมีหนึ่ง นโยบายความเป็นส่วนตัวหรือเอกสารประกอบที่อธิบายผู้ใช้ว่าข้อมูลประเภทใดถูกรวบรวม ใครเป็นผู้รวบรวมและเหตุใดจึงทำเช่นนี้ แต่เหนือสิ่งอื่นใดต้องชี้แจงว่าข้อมูลเหล่านี้ถูกถ่ายโอนไปยังบุคคลที่สามหรือไม่ และเก็บไว้ในฐานข้อมูลพอร์ทัลนานเท่าใด เนื่องจากเอกสารดังกล่าวมักมีความยาวและน่าเบื่อเป็นพิเศษ และผู้ใช้เว็บ (แม้ว่าจะมีความปลอดภัยส่วนบุคคล) มักจะหลีกเลี่ยงเว็บไซต์อินเทอร์เน็ตที่มีข้อความยาว ๆ ให้อ่าน นโยบายความเป็นส่วนตัวจะต้องรวมกับแบบฟอร์มที่ผู้ใช้ป้อนข้อมูลส่วนตัวของตน ด้วยเหตุผลนี้ ตัวอย่างเช่น เมื่อสมัครรับจดหมายข่าวของเว็บไซต์ นอกเหนือจากการป้อนชื่อ นามสกุล และที่อยู่อีเมลแล้ว ผู้ใช้จะต้อง "ทำเครื่องหมาย" ในช่องที่เกี่ยวข้องกับการอนุญาตการประมวลผลข้อมูลส่วนบุคคล

การบันทึกข้อมูลและ Google Analytics

กฎหมายใหม่นี้นอกเหนือไปจากการควบคุมการคุ้มครองข้อมูลส่วนบุคคลแล้ว ยังบังคับให้ผู้จัดการของไซต์อีคอมเมิร์ซและเว็บพอร์ทัลต้องลงทะเบียนและเก็บข้อมูลอ้างอิงของผู้ใช้ที่ละเอียดอ่อน ไม่เพียงเท่านั้น แม้แต่วันที่ผู้ใช้ยินยอมให้ประมวลผลข้อมูลส่วนบุคคลของเขาก็จะต้องตรวจสอบได้ง่ายเช่นกัน ดังนั้นความจำเป็นที่เว็บไซต์ต้องมีฐานข้อมูลจริงเพื่อใช้ได้ตลอดเวลา ซึ่งต้องรวมกับเครื่องมือบันทึกข้อมูล ส่วนหลังเป็นซอฟต์แวร์ที่บันทึกที่อยู่ IP ของอุปกรณ์ที่ผู้ใช้เข้าถึงพอร์ทัล และด้วยวิธีนี้ทำให้สามารถตรวจสอบแหล่งที่มา วันที่และเวลาของการยินยอมที่ให้ไว้ได้ตลอดเวลา

ตัวอย่างเช่น พอร์ทัลทั้งหมดที่ผู้ใช้มี "พื้นที่สงวน" ของตนเองต้องใช้เครื่องมือบันทึกข้อมูล ซึ่งไม่เพียงแต่ตรวจสอบข้อมูลที่ละเอียดอ่อนได้ตลอดเวลา แต่ยังสามารถแก้ไขและ/หรือลบข้อมูลเหล่านั้นได้หากจำเป็น หนึ่งในเครื่องมือบันทึกข้อมูลที่มีชื่อเสียงที่สุดในโลกคือ Google Analytics ซึ่งเป็นซอฟต์แวร์จากบริษัท Mountain View ที่มีชื่อเดียวกันซึ่งผู้ใช้ใช้ในการตรวจสอบประสิทธิภาพของเว็บไซต์ Google Analytics จะบันทึกที่อยู่ IP ของผู้ใช้แต่ละราย หน้าที่เข้าชม เวลาที่ใช้ และข้อมูลอื่นๆ อีกมากมาย ผู้จัดการเว็บไซต์ที่ใช้ซอฟต์แวร์นี้ต้องปฏิบัติตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลทั่วไปเสมอ ต้องใช้โปรแกรมอย่างเช่น Google Analytics ภายในพอร์ทัลอย่างชัดเจน

เจ้าหน้าที่คุ้มครองข้อมูลมาที่นี่

กฎใหม่สำหรับ ความปลอดภัยของข้อมูลส่วนบุคคล จัดให้มีบุคคลมืออาชีพเฉพาะที่ต้องรับผิดชอบในการจัดการและปกป้องสิ่งที่ผู้ใช้มอบความไว้วางใจให้กับเว็บพอร์ทัล ตัวเลขนี้เป็นที่รู้จักกันในชื่อของ Data Protection Officer หรือ ข้อมูลเจ้าหน้าที่คุ้มครอง (อักษรย่อ อ.ส.พ.). ประการแรก Data Protection Manager จะต้องมีความรู้อย่างลึกซึ้ง ไม่เพียงแต่เกี่ยวกับกฎระเบียบการคุ้มครองข้อมูลทั่วไปเท่านั้น แต่ยังรวมถึงกฎระเบียบอื่นๆ ทั้งหมดที่บังคับใช้เกี่ยวกับความเป็นส่วนตัวด้วย ไม่ว่าจะเป็นในอดีต ปัจจุบัน หรืออนาคต จากนั้นเขาจะต้องเป็นบุคคลที่มีความเป็นอิสระอย่างแท้จริงเกี่ยวกับการเป็นเจ้าของเว็บไซต์ ซึ่งไม่ได้รับคำสั่งจากใครก็ตาม และต้องพูดคุยโดยตรงกับผู้บริหารระดับสูงของแผนผังองค์กรของบริษัท ในเวลาเดียวกัน ในท้ายที่สุด จะต้องสามารถดึงทรัพยากรทางการเงินและทรัพยากรมนุษย์ที่อนุญาตให้ดำเนินการตามที่กำหนดโดยกฎระเบียบใหม่สำหรับการรักษาความปลอดภัยข้อมูลส่วนบุคคลด้วยวิธีที่ดีที่สุด ในความเป็นจริงแม้เบื้องหลังร่างของ อ.ส.ค. มีข้อบกพร่องและแง่มุมหลายประการที่ต้องชี้แจง เหนือสิ่งอื่นใดเกี่ยวข้องกับทักษะของเจ้าหน้าที่คุ้มครองข้อมูล: ในความเป็นจริงตัวเลขนี้ไม่เพียง แต่มีทักษะที่ถูกต้องเกี่ยวกับกฎระเบียบด้านความเป็นส่วนตัวเท่านั้น แต่ควรมีความสามารถในประเด็นที่ครอบคลุมโดยเว็บพอร์ทัล โดยเฉพาะอย่างยิ่งหากมีความสำคัญบางอย่าง (นึกถึงพอร์ทัลที่เกี่ยวข้องกับหัวข้อทางการแพทย์-วิทยาศาสตร์) ไม่ต้องบอกว่าการค้นหาทักษะทั้งหมดเหล่านี้ในตัวเลขเดียวนั้นมักจะยากที่สุด หรือไม่ก็เป็นไปไม่ได้

ความเสี่ยงของการละเมิดกฎระเบียบการคุ้มครองข้อมูลทั่วไปคืออะไร?

ดังที่เราได้กล่าวไว้ข้างต้น กรอบการลงโทษที่เกี่ยวข้องกับกฎหมายว่าด้วยความเป็นส่วนตัวฉบับใหม่นี้ยังไม่สมบูรณ์ โดยเฉพาะอย่างยิ่งในอิตาลีที่การไม่มีคำสั่งทางกฎหมายเฉพาะทำให้ผู้กระทำความผิดอย่างน้อยก็บนกระดาษไม่ต้องรับผิดต่อการฟ้องร้อง อย่างไรก็ตาม หากต้องการสรุปโดยย่อเกี่ยวกับบทลงโทษที่เกิดขึ้นจากผู้ที่ไม่ให้ความสำคัญกับความปลอดภัยของข้อมูลส่วนตัวของผู้ใช้เป็นอันดับแรก เราสามารถแบ่งประเด็นเหล่านี้ออกเป็นสองประเด็นใหญ่: