เพื่อรักษาความปลอดภัยของข้อมูลผู้บริโภค สหภาพยุโรป (EU) ได้บังคับใช้กฎหมายความเป็นส่วนตัวและความปลอดภัยที่เข้มงวดที่เรียกว่า กฎหมายคุ้มครองข้อมูลทั่วไป  (GDPR) GDPR กําหนดและบังคับใช้สิทธิของพลเมืองสหภาพยุโรปเกี่ยวกับ ข้อมูลส่วนบุคคลของตน  โดยจะใช้มาตรฐานสําหรับความรับผิดชอบ ความปลอดภัย และความโปร่งใสในการใช้ข้อมูลดังกล่าว

บริษัทระดับโลกที่ดําเนินงานในสหภาพยุโรปหรือจัดการข้อมูลส่วนบุคคลจากสหภาพยุโรปจําเป็นต้องเข้าใจว่า  GDPR จะส่งผลต่อพวกเขา อย่างไรและวิธีการรักษาการปฏิบัติตามระเบียบข้อบังคับ GDPR

แง่มุมหนึ่งของการปฏิบัติตามกฎระเบียบก็คือการใช้ข้อตกลงการประมวลผล ข้อมูล  (DPA) ข้อตกลงการประมวลผลข้อมูลของ  GDPR  ระบุรายละเอียด กฎ สิทธิ์ และข้อผูกพันที่เกี่ยวข้องกับกิจกรรมการประมวลผลข้อมูล ช่วยให้มั่นใจว่าบริษัทปฏิบัติตามกฎระเบียบ รักษาความปลอดภัยของข้อมูล และดูแลให้ผู้บริโภคได้รับการคุ้มครองและพึงพอใจ

คู่มือนี้จะให้รายละเอียดเพิ่มเติมเกี่ยวกับการทํางานของ DPA  และสิ่งที่ควรรวมไว้ใน DPA

DPA  ภายใต้ GDPR คืออะไร

ข้อตกลงในการประมวลผลข้อมูลคือสัญญาที่ลงนามระหว่างผู้ควบคุมข้อมูลและผู้ ประมวลผลข้อมูล ที่จะจัดการข้อมูลของตน จําเป็นสําหรับการปฏิบัติตามระเบียบข้อบังคับ GDPR อย่างครบถ้วน

DPA จะอธิบายลักษณะ วัตถุประสงค์ และระยะเวลาในการดําเนินการที่จะเกิดขึ้น นอกจากนี้ยังระบุประเภทของข้อมูลส่วนบุคคลที่จะประมวลผลและประเภทของบุคคลที่เป็นเจ้าของข้อมูล โดยจะกําหนดสิทธิและข้อผูกพันที่ผู้ควบคุมพึงมี โดยสามารถระบุการใช้มาตรการรักษาความปลอดภัยทางเทคนิค เช่น การเข้ารหัสบางระดับ ที่ต้องมี

DPA มีผลผูกพันตามกฎหมาย และผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลจะต้องปฏิบัติตามหรือเสี่ยงที่จะได้รับบทลงโทษที่รุนแรง

ประโยชน์หลักของ DPA คือการรับรองคุณสมบัติและความน่าเชื่อถือของผู้ประมวลผลข้อมูล บริษัทจําเป็นต้องทราบว่าข้อมูลของตนอยู่ในมือที่ดีและเป็นส่วนตัวและปลอดภัยจากสายตาที่สอดแนม DPA ช่วยรับประกันเหล่านั้น

GDPR และข้อกําหนด  DPA  มีแนวโน้มที่จะมีผลกระทบที่สําคัญต่อการดําเนินธุรกิจในอนาคต การทําธุรกรรมทางธุรกิจอาจเปลี่ยนแปลงไปเนื่องจากการเก็บรวบรวมข้อมูลส่วนบุคคลมีจํากัดมากขึ้น การสื่อสารเกี่ยวกับการเก็บรวบรวมและการจัดเก็บข้อมูลจึงกลายเป็นเรื่องจําเป็น และความสัมพันธ์กับผู้ขายบุคคลที่สามจําเป็นต้องมีสัญญาที่เข้มงวดมากขึ้นบริษัท และแผนกทรัพยากรบุคคลของแต่ละฝ่ายจะรู้สึกมีผลกระทบอย่างมากในขณะที่พวกเขาปรับกระบวนการของตนให้สอดคล้องกับข้อกําหนดของ GDPR

ข้อดีของข้อกําหนดของ GDPR คือความไว้วางใจอาจเติบโตในธุรกิจเมื่อผู้คนมีความมั่นใจมากขึ้นในความเป็นส่วนตัวและการคุ้มครองข้อมูลของพวกเขา

เมื่อใดที่จําเป็นต้องมีข้อตกลงในการประมวลผลข้อมูล

คุณต้องการข้อตกลงการประมวลผลข้อมูลหรือไม่ คุณสามารถจัดการข้อมูลส่วนบุคคลในหรือจากสหภาพยุโรปได้

ภายใต้ GDPR เอกสาร  DPA  เป็นข้อบังคับเมื่อใดก็ตามที่บุคคลหรือองค์กรให้ข้อมูลส่วนบุคคลแก่ผู้ให้บริการบุคคลที่สามสําหรับบริการร่วม ฝ่ายใดก็ตามที่ทําหน้าที่เป็นผู้ประมวลผลข้อมูลจะต้องลงนามใน DPA กับ ผู้ควบคุมข้อมูล

ตัวอย่างเช่น ในสหภาพยุโรป บริการที่โฮสต์เว็บไซต์ต้องลงนามใน DPA กับบริษัทที่เป็นเว็บไซต์ บริษัทที่ประมวลผลข้อมูลส่วนบุคคลเพื่อทําการตลาดผู้บริโภคตามเป้าหมายจะต้องลงนามใน DPA ด้วย

ด้านล่างนี้คือบริการและสถานการณ์ทางธุรกิจทั่วไปอื่น ๆ ที่ต้องใช้ DPA:

  • การจัดจ้างบุคคลภายนอกเพื่อการจัดการอีเมล
  • โซลูชันการประมวลผลข้อมูลทางเทคนิคสําหรับการทําบัญชีการเงินและบัญชีเงินเดือน
  • บริการสํารองข้อมูล ไม่ว่าจะผ่านเซิร์ฟเวอร์จริงหรือในระบบคลาวด์
  • การเก็บรวบรวมข้อมูลหรือการแปลงข้อมูลให้เป็นดิจิทัลผ่านผู้ให้บริการภายนอก
  • การกําจัดฮาร์ดแวร์เก่าที่มีข้อมูลที่ละเอียดอ่อน

ในบางกรณี GDPR อาจกําหนดให้ DPA  สําหรับบริษัทนอกยุโรป ข้อกําหนดนี้มีผลบังคับใช้เมื่อใดก็ตามที่ข้อมูล EU เข้ามาเกี่ยวข้อง ตัวอย่างเช่น บริษัทที่ตั้งอยู่ในแคนาดาอาจอยู่ภายใต้ข้อกําหนด DPA หากจัดการข้อมูลเกี่ยวกับพลเมืองสหภาพยุโรป

เมื่อใดไม่จําเป็นต้องใช้ DPA

สถานการณ์เฉพาะหลายสถานการณ์ไม่จําเป็นต้องมี DPA มีการป้องกันในตัวที่ทําให้การป้องกัน DPA ไม่จําเป็น พิจารณาสิ่งต่อไปนี้เพื่อให้คุณเข้าใจภาระหน้าที่ของบริษัทคุณในสถานการณ์เหล่านี้ได้ดียิ่งขึ้น:

  1. การเป็นพันธมิตรกับกลุ่มวิชาชีพที่มีข้อกําหนดด้านการรักษาความลับ: ในหลายวิชาชีพ แนวทางปฏิบัติที่ดีที่สุดคือให้ผู้ให้บริการมีข้อตกลงการรักษาความลับเฉพาะอุตสาหกรรมและที่กําหนดเอง ซึ่งครอบคลุมมาตรการรักษาความปลอดภัยและข้อกําหนดความเป็นส่วนตัวทั้งหมดที่ DPA ต้องการ อาชีพสองสามอย่างที่ใช้ข้อตกลงการรักษาความลับเหล่านี้โดยทั่วไป ได้แก่ กฎหมาย การให้คําปรึกษาด้านภาษี และการตรวจสอบทางการเงิน บริการด้านการดูแลสุขภาพจํานวนมากมักจะมาพร้อมกับการรับประกันการรักษาความลับอย่างเข้มงวด
  2. บริการพอร์ทัล: บริการที่เชื่อมต่อบุคคลหรือนิติบุคคลเท่านั้นที่มักจะได้รับการยกเว้นจากข้อกําหนด DPA บริการจับคู่ระดับมืออาชีพเหล่านี้มีความสําคัญอย่างมากจน DPA จะได้รับประโยชน์เพียงเล็กน้อย ตัวอย่างเช่น ผู้สรรหาบุคลากรจัดอยู่ในหมวดหมู่นี้ พวกเขาเพียงแค่เชื่อมโยงผู้คนที่กําลังมองหางานกับบริษัทที่กําลังมองหาสมาชิกใหม่ในทีมที่มีความสามารถ สถานการณ์นี้ทําให้ DPA มีผู้สรรหาบุคลากรที่ไม่จําเป็น
  3. ทํางานร่วมกับหน่วยงานจัดเก็บหนี้: หน่วยงานจัดเก็บหนี้สามารถเข้าถึงข้อมูลทางการเงินและข้อมูลทางการแพทย์ส่วนบุคคลได้ เนื่องจากหน่วยงานเรียกเก็บหนี้แยกจากเจ้าหนี้เดิมและเรียกเก็บหนี้เพื่อผลประโยชน์ของตนเอง พวกเขาจะได้รับการยกเว้นจากข้อกําหนดของ DPA หากพวกเขาทํางานในนามของเจ้าหนี้เดิม หน่วยงานเรียกเก็บหนี้จะต้องลงนามใน DPA
  4. การจัดการข้อมูลร่วมกันจากหลายบริษัท: ในบางกรณี บริษัทต่าง ๆ ทํางานเป็นกลุ่มเพื่อจัดการการเก็บรวบรวมข้อมูล สถานการณ์นี้มักเกิดขึ้นเมื่อบริษัทต่างๆ สามารถเข้าถึงข้อมูลร่วมกันจากซัพพลายเออร์ ผลิตภัณฑ์ หรือลูกค้าเป้าหมาย แม้ว่าบริษัทอาจเป็นคู่แข่ง แต่บริษัทก็ใช้ข้อมูลเดียวกันเพื่อวัตถุประสงค์ทั่วไปเดียวกัน ขนาดของการใช้ข้อมูลนี้โดยทั่วไปหมายถึง DPA ไม่จําเป็น
  5. การวิจัยทางคลินิก: การวิจัยทางคลินิกขนาดใหญ่มักจะไม่ใช้ DPA เนื่องจากผู้มีส่วนร่วมจํานวนมากที่เกี่ยวข้อง แพทย์ ศูนย์วิจัย และผู้สนับสนุนทั้งหมดสามารถเข้าถึงข้อมูลของอาสาสมัครได้ และพวกเขาทั้งหมดจะประมวลผลข้อมูลที่แตกต่างกันตามความต้องการของตน โดยทั่วไป ข้อมูลที่เก็บรวบรวมยังมีวัตถุประสงค์ที่หลากหลายตลอดการศึกษาวิจัยทางคลินิก ภายใต้สถานการณ์เหล่านี้ โดยทั่วไปแล้ว DPA จะไม่มีผลใช้บังคับ

ผู้ควบคุมข้อมูลคือใคร

ข้อตกลง DPA ทุกฉบับจะเกิดขึ้นระหว่างผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล ผู้ควบคุมข้อมูลคือองค์กรหรือบุคคลที่กําหนดวิธีการและเหตุผลในการประมวลผลข้อมูลส่วนบุคคล หากบริษัทของคุณตัดสินใจที่จะส่งข้อมูลไปยังบุคคลที่สามเพื่อสํารองข้อมูลบนเซิร์ฟเวอร์ของบริษัท บริษัทของคุณคือผู้ควบคุมข้อมูล

คุณลักษณะที่กําหนดของผู้ควบคุมข้อมูลคืออํานาจในการตัดสินใจ ผู้ควบคุมข้อมูลจะพิจารณาอย่างละเอียดเกี่ยวกับเหตุผลในการเก็บรวบรวมข้อมูลและวิธีการ ประมวลผลข้อมูลส่วนบุคคล ที่ควรจะเกิดขึ้น

ในสถานการณ์ส่วนใหญ่ บริษัทหรือองค์กรคือผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูลเป็นนิติบุคคลที่แยกต่างหากซึ่งทําสัญญากับบริษัท บุคคล เช่น เจ้าของคนเดียวหรือพนักงานที่ประกอบอาชีพอิสระ อาจเป็นผู้ควบคุมข้อมูลได้เช่นกัน หากบุคคลดังกล่าวตัดสินใจเกี่ยวกับการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลคือใคร

ผู้ประมวลผลข้อมูลคือบุคคลที่สามที่ประมวลผลข้อมูลสําหรับผู้ควบคุมข้อมูล ในสถานการณ์ข้างต้น หากบริษัทของคุณตัดสินใจที่จะส่งข้อมูลของคุณเพื่อสํารองข้อมูล บริษัทที่ให้บริการสํารองข้อมูลจะเป็นผู้ประมวลผลข้อมูล

ผู้ประมวลผลข้อมูลอาจมีหลายรูปแบบ ซึ่งอาจเป็นบริษัท บุคคล หรือหน่วยงานสาธารณะ เกณฑ์ที่เกี่ยวข้องคือ ไม่ว่าบุคคลหรือนิติบุคคลนั้นจะประมวลผลข้อมูลในนามของผู้ควบคุมข้อมูลหรือไม่ก็ตาม

เอกสาร DPA ประกอบด้วยอะไรบ้าง

ข้อบังคับ28-36ของ GDPR ระบุว่าข้อผูกพันตามสัญญาใดที่จําเป็นสําหรับผู้ประมวลผลข้อมูล ภายใต้กฎ  DPA ของ GDPR ด้านล่างนี้คือข้อ  DPA ที่กําหนดบางส่วน:

1. รายละเอียดโดยละเอียดของการจัดการข้อมูล

DPA ควรให้รายละเอียดที่ครอบคลุมเกี่ยวกับวิธีการประมวลผลข้อมูลทุกด้าน DPA ควรรวมข้อมูลที่ชัดเจนเกี่ยวกับหัวข้อต่าง ๆ เช่น:

  • ประเภทของข้อมูลส่วนบุคคลที่จะประมวลผล
  • สาระสําคัญของข้อมูล
  • ประเภทของเจ้าของข้อมูล
  • วัตถุประสงค์และลักษณะของการประมวลผล
  • ระยะเวลาการประมวลผลข้อมูลที่คาดไว้
  • พื้นฐานทางกฎหมายสําหรับการประมวลผลข้อมูลส่วนบุคคล
  • การส่งคืนหรือลบข้อมูลส่วนบุคคลเมื่อสิ้นสุดการประมวลผล

2. สิทธิ์และความรับผิดชอบของผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล

ในการระบุถึงสิทธิและความรับผิดชอบสําหรับทั้งสองฝ่าย DPA จะตรวจสอบให้แน่ใจว่าใครเป็นผู้ควบคุมการจัดการข้อมูล

DPA ควรระบุอย่างชัดเจนว่าผู้ประมวลผลข้อมูลจะต้องดําเนินการประมวลผลตามความต้องการและข้อมูลจําเพาะของผู้ควบคุมข้อมูล ควรระบุว่าตัวควบคุม ไม่ใช่ตัวประมวลผล ยังคงควบคุมข้อมูลได้อย่างสมบูรณ์และเกิดอะไรขึ้นกับข้อมูลนั้น

DPA ควรสั่งให้ผู้ประมวลผลข้อมูลประมวลผลข้อมูลเฉพาะตามคําสั่งโดยตรงของผู้ควบคุมข้อมูลเท่านั้น โดยเบี่ยงเบนจากคําสั่งเหล่านั้นเมื่อกฎหมายของสหภาพยุโรปหรือกฎหมายของรัฐสมาชิกกําหนดให้ดําเนินการดังกล่าว

3. มาตรการการรักษาความลับที่จําเป็นสําหรับผู้ประมวลผลข้อมูล

DPA ควรระบุระเบียบวิธีที่ผู้ประมวลผลข้อมูลควรปฏิบัติตามเพื่อให้มั่นใจในการรักษาความลับของข้อมูลส่วนบุคคล

ตัวอย่างเช่น ผู้ประมวลผลข้อมูลจะต้องกําหนดให้พนักงานประจํา พนักงานชั่วคราว และผู้รับจ้างช่วงลงนามในข้อตกลงการรักษาความลับก่อนที่จะเริ่มประมวลผลข้อมูลส่วนบุคคล เมื่อข้อตกลงการรักษาความลับไม่จําเป็นคือเมื่อข้อผูกพันตามกฎหมายกําหนดให้ผู้ประมวลผลรับรองการรักษาความลับแล้ว

4. ระเบียบวิธีทางเทคนิคและองค์กรที่จําเป็นสําหรับการรักษาความปลอดภัยของข้อมูล

DPA ควรสรุปมาตรการรักษาความปลอดภัยที่ผู้ประมวลผลข้อมูลต้องดําเนินการ รวมถึงมาตรการเหล่านี้ตามความเหมาะสม:

  • การเข้ารหัสข้อมูล
  • การใช้นามแฝงของเจ้าของข้อมูล
  • ระเบียบวิธีสําหรับการรับรองความลับ ความพร้อมใช้งาน ความยืดหยุ่น และความปลอดภัยของระบบการประมวลผลข้อมูลทั้งหมด
  • กระบวนการกู้คืนการเข้าถึงข้อมูลส่วนบุคคลหลังจากการโจมตีหรือการละเมิด
  • โปรแกรมปกติสําหรับการทดสอบและประเมินประสิทธิภาพของมาตรการรักษาความปลอดภัยทั้งหมด

ผู้ประมวลผลหลายรายอาจต้องการรับรองอย่างเป็นทางการหรือร่างหลักจรรยาบรรณอย่างเป็นทางการที่รับรองถึงระเบียบวิธีที่นําไปปฏิบัติแล้ว มาตรการเหล่านี้ช่วยให้มั่นใจได้ว่าการประมวลผลข้อมูลของพวกเขาสอดคล้องกับ GDPR อย่างเต็มที่

5. เงื่อนไขสําหรับสัญญาของผู้รับเหมาช่วง

DPA ควรสรุปข้อกําหนดที่ผู้ประมวลผลข้อมูลต้องกําหนดไว้สําหรับผู้รับจ้างช่วง ตัวอย่างเช่น ผู้ประมวลผลจะต้องปฏิบัติตามกฎและวิธีปฏิบัติที่ดีที่สุดเหล่านี้:

  • การจ้างผู้รับเหมาช่วงเฉพาะเมื่อได้รับความยินยอมอย่างชัดแจ้งและได้รับอนุญาตจากผู้ควบคุมข้อมูลเท่านั้น
  • การร่างและลงนามในสัญญาที่กําหนดข้อกําหนดด้านความปลอดภัยของข้อมูลเดียวกันในผู้รับเหมาช่วงที่ผู้ประมวลผลข้อมูลต้องปฏิบัติตาม
  • การตรวจสอบให้แน่ใจว่าผู้รับเหมาช่วงปฏิบัติตามข้อกําหนดการคุ้มครองข้อมูล
  • แจ้งให้ผู้ควบคุมข้อมูลทราบถึงการเปลี่ยนแปลงใด ๆ ที่เกี่ยวข้องกับผู้รับจ้างช่วงและให้เวลาผู้ควบคุมข้อมูลในการตอบสนอง

6. ข้อผูกพันความร่วมมือสําหรับผู้ประมวลผลข้อมูล

DPA ควรระบุว่าผู้ประมวลผลข้อมูลต้องให้ความร่วมมือกับผู้ควบคุมข้อมูลเมื่อใดและอย่างไร ตัวอย่างเช่น ผู้ประมวลผลข้อมูลจะต้องให้ความร่วมมือเพื่อช่วยแก้ไขคําขอเข้าถึงข้อมูล ผู้ประมวลผลจะต้องให้ความร่วมมือในการปกป้องความเป็นส่วนตัวและสิทธิของเจ้าของข้อมูล โดยเฉพาะอย่างยิ่งโดยการปฏิบัติตามข้อกําหนดเหล่านี้:

  • การรับรองความปลอดภัยของข้อมูลส่วนบุคคล
  • แจ้งให้เจ้าหน้าที่และเจ้าของข้อมูลทราบทันทีเกี่ยวกับการละเมิดข้อมูลส่วนบุคคล
  • ดําเนินการประเมินผลกระทบต่อการปกป้องข้อมูล (DPIA) ตามความจําเป็น
  • ปรึกษาหน่วยงานที่เกี่ยวข้องเมื่อเกิดความเสี่ยงร้ายแรงต่อข้อมูล

ผู้ประมวลผลข้อมูลยังต้องอนุญาตให้ผู้ควบคุมข้อมูลทําการตรวจสอบการปฏิบัติตามกฎระเบียบในระหว่างการประมวลผล ในระหว่างการตรวจสอบ ผู้ประมวลผลจะต้องให้ข้อมูลที่เกี่ยวข้องทั้งหมดแก่ผู้ควบคุมทันทีเพื่อแสดงว่าได้ปฏิบัติตามข้อผูกพันในการปฏิบัติตามภายใต้ข้อบังคับ28ของ GDPR

วิธีปฏิบัติที่เป็นเลิศยังมีไว้สําหรับผู้ประมวลผลในการเก็บบันทึกกิจกรรมการประมวลผลเพื่อแสดงให้เห็นถึงการปฏิบัติตาม GDPR

จะเกิดอะไรขึ้นหลังจากการละเมิดข้อมูลภายใต้ DPA

หากมีการละเมิดข้อมูลเกิดขึ้น บริษัทที่เกี่ยวข้องจะต้องดําเนินการบางอย่างโดยทันที บริษัทของคุณต้องแจ้งให้หน่วยงานกํากับดูแลที่เกี่ยวข้อง ทราบภายใน 72 ชั่วโมง  หากการละเมิดนั้นก่อให้เกิดความเสี่ยงร้ายแรง

หากการละเมิดก่อให้เกิดความเสี่ยงสูงมากต่อบุคคลที่ได้รับผลกระทบ บริษัทของคุณมักจะต้องแจ้งให้บุคคลเหล่านั้นทราบเช่นกัน อย่างไรก็ตาม หากบริษัทของคุณมีระเบียบการลดความเสี่ยงทางเทคนิคและองค์กรที่มีประสิทธิภาพอยู่แล้ว ก็ไม่จําเป็นต้องแจ้งให้ทราบ

ตัวอย่างเช่น ลองนึกภาพว่าบริษัทบัตรเครดิตประสบกับการรั่วไหลของข้อมูลเนื่องจากการโจมตีเซิร์ฟเวอร์ที่บริษัทจัดเก็บข้อมูลของตน ข้อมูลส่วนบุคคลทางการเงินของลูกค้าตกอยู่ในความเสี่ยง ชื่อ ที่อยู่บ้าน ข้อมูลติดต่อเพิ่มเติม รายละเอียดทางการเงิน และรายละเอียดประเภทการชําระเงินที่พวกเขาจ่ายผ่านบัตรเครดิตของพวกเขา ล้วนแล้วแต่เป็นข้อมูลสาธารณะ

บริษัทที่ให้บริการเซิร์ฟเวอร์จะต้องแจ้งให้เจ้าหน้าที่ทราบถึงการละเมิดภายใน 72 ชั่วโมง นอกจากนี้ยังต้องแจ้งให้บริษัทบัตรเครดิตทราบ

บริษัทมีแนวโน้มที่จะต้องแจ้งให้ผู้บริโภคทราบ เนื่องจากการเปิดเผยข้อมูลที่ระบุตัวตนส่วนบุคคลอาจทําให้พวกเขาตกอยู่ในความเสี่ยง การละเมิดยังอาจนําไปสู่การเปิดเผยข้อมูลสุขภาพที่ละเอียดอ่อนและได้รับการคุ้มครองของผู้บริโภค หากพวกเขาทําการชําระเงินทางการแพทย์ผ่านบัตรเครดิตของพวกเขา

บทลงโทษสําหรับการไม่ปฏิบัติตามระเบียบข้อบังคับ GDPR มีอะไรบ้าง 

หากมีการละเมิดข้อมูลเกิดขึ้น บริษัทที่ถูกพบว่าไม่ปฏิบัติตามกฎระเบียบจะถูกดําเนินการทางวินัย การฝ่าฝืนที่อาจเกิดขึ้นจะได้รับเพียงคําเตือนเท่านั้น เหตุการณ์การไม่ปฏิบัติตามกฎระเบียบที่ได้รับการยืนยันอาจอยู่ภายใต้บทลงโทษเหล่านี้ตั้งแต่หนึ่งข้อขึ้นไป:

  1. การตําหนิอย่างเป็นทางการ
  2. การห้ามประมวลผลข้อมูลชั่วคราวหรือถาวร
  3.  ค่าปรับสูงสุด ล้านยูโร20หรือ4เปอร์เซ็นต์ของรายได้ทั่วโลกต่อปีทั้งหมดของบริษัท

ว่าจ้างผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลให้ทีมของคุณร่วมกับGlobalization Partners

เมื่อคุณกําลังสร้างทีมระหว่างประเทศที่มุ่งเน้นไปที่ความปลอดภัยของข้อมูล ให้ทํางานร่วมกับGlobalization Partnersิวัตน์ ทีมผู้เชี่ยวชาญของเราสามารถช่วยคุณทําความเข้าใจกฎระเบียบในข้อตกลงการประมวลผล ข้อมูลที่ มีผลบังคับใช้กับบริษัทของคุณ

การมีเจ้าหน้าที่คุ้มครองข้อมูลและผู้เชี่ยวชาญด้านกฎหมายอื่น ๆ ในทีมของคุณเป็นสิ่งสําคัญสําหรับการยังคงอยู่ในการปฏิบัติตาม  DPA ในฐานะนายจ้างระดับโลกของบันทึก (EOR) Globalization Partnersภิวัฒน์จะช่วยคุณในการว่าจ้างและจ่ายเงินให้กับบุคลากรที่มีความสามารถระหว่างประเทศที่คุณต้องการเพื่อความสําเร็จ เราให้ความสําคัญกับความเป็นส่วนตัวของข้อมูลอย่างจริงจัง และเราสามารถช่วยคุณปฏิบัติตามกฎหมายแรงงานในท้องถิ่นและรักษาความปลอดภัยของข้อมูลที่เป็นความลับของคุณเมื่อคุณขยายบริษัทของคุณไปทั่วโลก

ที่ Globalization Partners เราช่วยคุณเร่งกระบวนการจ้างงานของคุณ ด้วย Global Employment Platformที่มีหลายชั้นของเรา คุณสามารถว่าจ้างและเตรียมความพร้อมให้กับสมาชิกใหม่ในทีมด้วยการคลิกเพียงไม่กี่ครั้ง ประหยัดเวลาและปรับปรุงแนวทางของคุณให้มีความท้าทายในการเติบโตของบริษัทระหว่างประเทศ

ขอข้อเสนอ วันนี้ หรือ ติดต่อเรา เพื่อเรียนรู้เกี่ยวกับการว่าจ้างผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลผ่านแพลตฟอร์มของเรา

 

สนุกกับการอ่านสิ่งนี้หรือไม่
ติดต่อเรา