7 ขั้นตอนที่นำไปสู่การปฏิบัติตามข้อกำหนดของ GDPR

หากปฏิบัติตามกฎทั้ง 7 ข้อนี้แล้ว องค์กรของคุณก็พร้อมที่จะปฏิบัติตามข้อกำหนดGDPR

ระเบียบที่ว่าด้วยการป้องกันข้อมูลทั่วไปหรือGDPR(General Data Protection Regulation)ได้ถูกนำมาใช้เป็นที่เรียบร้อยแล้ว และนั่นก็เป็นสิ่งที่ทำให้ธุรกิจไม่ว่าจะเป็นขนาดเล็กหรือขนาดใหญ่ต้องพบกับความกังวลที่ว่า สิ่งที่พวกเขาปฏิบัติจะไม่เป็นไปตามกฎระเบียบข้อบังคับ และหนึ่งในคำชี้แจงที่พูดถึงความกังวลดังกล่าวจากหลายๆ กรณี นั่นก็คือ ค่าปรับจำนวนมากที่เป็นผลมาจากปัญหาการละเมิดข้อมูล หรือเหตุการณ์ที่มีการรั่วไหลของข้อมูล (Data Breach) ที่อาจเป็นเหตุให้ธุรกิจส่วนใหญ่ต้องปิดตัวลง

การปฏิบัติตามกฎหมายใหม่ไม่ใช่งานใหญ่ที่ถูกกำหนดขึ้นมาว่าควรจะต้องทำหรือไม่ควรทำ สำหรับบริษัทต่างๆ ที่ได้มีการเตรียมการมาเป็นอย่างดีและปฏิบัติตามกฎการป้องกันข้อมูล (Data Protection Rules) ที่มีอยู่แล้ว เพราะอย่างไรก็ตาม ยังมีจุดจุดหนึ่งที่องค์กรของคุณจะต้องแสดงให้สำนักงานคณะกรรมาธิการด้านข้อมูลข่าวสาร หรือ The Information Commissioner’s Office (ICO) ของ UKนั้นเห็นว่า พวกคุณกำลังทำตามขั้นตอนที่เหมาะสมสำหรับการปฏิบัติตามกฎระเบียบ ซึ่งจะเป็นสิ่งที่จะช่วยพิสูจน์ว่าคุณให้ความสำคัญกับมันเป็นพิเศษ หากคุณจะต้องประสบปัญหาที่เกี่ยวกับการรั่วไหลของข้อมูล (Data Breach)

กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ GDPR (General Data Protection Regulation) ถูกนำไปใช้เป็นมาตรฐานกฎการคุ้มครองข้อมูลใน28 ประเทศที่เป็นสมาชิกของสหภาพยุโรป และมีผลบังคับใช้แล้วเมื่อวันที่ 25 พฤษภาคม ในปี 2018ซึ่งในเวลานั้นก็ได้มีการถกเถียงกันว่า เพราะเหตุใดสหราชอาณาจักร (UK) จึงจะต้องใช้กฎใหม่เหล่านี้ ในเมื่อพวกเขามีกำหนดที่จะถอนตัวออกจากสหภาพยุโรปอย่างเป็นทางการในเดือนมีนาคมปี 2019 อย่างไรก็ตาม GDPRจะไม่ได้ถูกนำไปใช้กับเฉพาะบริษัทที่อยู่ในสหภาพยุโรปเท่านั้น แต่กฎหมายฉบับนี้จะมีผลกับทุกองค์กรที่ได้ทำการรวบรวม (Collect),ประมวลผล (Process),จัดการ (Manage)และจัดเก็บข้อมูลส่วนบุคคลของผู้ที่มีสถานะเป็นพลเมืองของสหภาพยุโรป (EU Citizen) เป็นหลัก

ผลที่ตามมาก็คือ สหราชอาณาจักรตัดสินใจที่จะปฏิบัติตามและปรับปรุงกฎหมายคุ้มครองข้อมูลของตัวเองให้สอดคล้องกับGDPR โดยเริ่มต้นด้วยการนำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Data Protection Act: DPA) ปี 2018 มาใช้ ซึ่งจะมีผลบังคับใช้แทนพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลที่มีมาก่อนหน้านี้ ตั้งแต่ปี1988

เนื่องจาก GDPRมีหลายส่วน (ซึ่งในที่นี้ก็หมายรวมถึง DPA 2018 ด้วยเช่นกัน) ดังนั้น มันจึงมีโอกาสที่จะสร้างความสับสนให้กับธุรกิจต่างๆ ซึ่งก็ไม่สำคัญว่ามันจะเป็นธุรกิจที่มีขนาดเล็กหรือขนาดใหญ่ หรือไม่ว่าคุณจะทำการตรวจสอบการใช้ข้อมูลของคุณหรือไม่ก็ตาม โดยใจความหลักๆ ของกฎหมายฉบับนี้ก็คือ การให้สิทธิ์แก่บุคคลที่เป็นเจ้าของข้อมูลในการเรียกดูข้อมูลส่วนตัวของพวกเขาและยังสามารถร้องขอให้มีการลบข้อมูลของพวกเขาได้ในทันที หากพวกเขาไม่พอใจกับมัน นอกจากนี้ยังมีแนวทางสำหรับหน่วยงานหรือผู้ที่ทำหน้าที่เก็บข้อมูลส่วนบุคคล (Data Controller) และผู้ที่ทำหน้าที่ในการประมวลผลข้อมูล (Data Processor) ที่มีหน้าที่รับผิดชอบในการรวบรวมและประมวลผลข้อมูลภายในองค์กร ซึ่งในบางกรณีอาจจะเป็นบุคคลที่สาม (Third Party) ที่รับทำหน้าที่นี้

ในสหราชอาณาจักรเองนั้น การปฏิบัติตามกฎระเบียบจะต้องอยู่ภายใต้การควบคุมของสำนักงานคณะกรรมาธิการด้านข้อมูลข่าวสาร (ICO) ซึ่งจะทำให้มั่นใจได้ว่ามีการปฏิบัติตามแนวทางดังกล่าว และยังมีบทลงโทษสำหรับธุรกิจที่ไม่ปฏิบัติตามกฎระเบียบด้วยเช่นกัน

หากคุณยังไม่ได้ปฏิบัติตามGDPR มันเป็นเวลาที่คุณจะต้องลงมือทำทันที ในขณะที่ทาง ICO ก็ยังมีแนวโน้มที่จะเร่งตรวจสอบการปฏิบัติที่เป็นไปตามข้อกำหนด (Compliance) โดยมุ่งเน้นไปที่บริษัทที่ประสบปัญหาการรั่วไหลของข้อมูล และถ้าหากคุณยังไม่ได้มีการปฏิบัติที่สอดคล้องกับ GDPR การละเมิดเหล่านั้นอาจมีแนวโน้มที่จะเกิดขึ้นมากกว่า และแน่นอนว่าค่าปรับก็จะต้องมีมูลค่าที่สูงขึ้นตามไปด้วยสำหรับบริษัทที่มีการละเมิดข้อกำหนด เพราะนั่นเป็นการแสดงให้เห็นว่าพวกเขาใช้ความพยายามที่น้อยเกินไปในการปฏิบัติตามกฎหมาย

ต่อไปนี้เป็น 7 ขั้นตอนที่จะนำคุณไปสู่การปฏิบัติที่เป็นไปตามข้อกำหนด (Compliance) รวมถึงข้อมูลเพิ่มเติมเล็กน้อยที่เกี่ยวกับสิ่งที่ GDPRส่งผลกระทบ และที่สำคัญGDPR คืออะไร?

กฎหมายใหม่ที่ว่าด้วยเรื่องของการคุ้มครองข้อมูลส่วนบุคคลของประชาชนในประเทศที่เป็นสมาชิกภาพของสหภาพยุโรป (General Data Protection Regulation) หรือ GDPR เป็นการออกกฎหมายทดแทนสำหรับคำสั่งคุ้มครองข้อมูล (Data Protection Directive) ของสหภาพยุโรป ที่เกิดขึ้นและมีการนำมาใช้ในปี 1995ซึ่งในปัจจุบันก็ได้มีการกำหนดมาตรฐานขั้นต่ำ (Minimum Standards) สำหรับการประมวลผลข้อมูล (Data Processing) ในสหภาพยุโรปด้วยเช่นกัน

แน่นอนว่ากฎระเบียบใหม่ดังกล่าวจะต้องส่งผลกระทบต่อทุกๆ บริษัท แต่จะส่งผลกระทบอย่างหนักโดยเฉพาะอย่างยิ่งกับผู้ที่ทำหน้าที่เก็บและประมวลผลข้อมูลส่วนบุคคลของผู้อยู่ที่อาศัยในสหภาพยุโรปจำนวนมาก เช่น บริษัทที่เกี่ยวข้องด้านการตลาด (Marketing), เว็บไซต์ประเภทสื่อสังคมออนไลน์ (Social Media) และบริษัทที่เป็นนายหน้าขายข้อมูล (Data Broker) ที่มีส่วนเกี่ยวข้องกับพวกเขา บุคคลที่อาศัยอยู่ในสหภาพยุโรป

โดยจะมีผลกระทบอย่างมากต่อบริษัทขนาดใหญ่ที่มีรูปแบบของธุรกิจที่ขึ้นอยู่กับการรับและประมวลผลข้อมูลของผู้บริโภค ซึ่งตราบใดก็ตามที่การดำเนินธุรกิจของพวกเขาจะต้องขึ้นอยู่กับความยินยอมจากลูกค้าในการประมวลผลข้อมูลส่วนบุคคล ผู้ที่เป็นเจ้าของข้อมูลจะต้องแสดงความยินยอมอย่างชัดเจน (Explicit)รวมถึงต้องมีการแจ้งและต่ออายุหากวิธีการนำข้อมูลของลูกค้าไปใช้มีการเปลี่ยนแปลงหลังจากที่ได้มีการเก็บรวบรวมต้นฉบับเดิมของมัน (Original Collection)

ความครอบคลุมของGDPR นั้นยังช่วยให้ผู้บริโภคหรือผู้ที่เป็นเจ้าของข้อมูลมีอำนาจมากขึ้น ในการเรียกร้องให้บริษัทเปิดเผยหรือลบข้อมูลบางส่วนที่พวกเขาเก็บไว้ โดย "ข้อมูลส่วนตัว" ดังกล่าวนั้นยังครอบคลุมในทุกๆ เรื่อง ไม่ว่าจะเป็นรูปถ่าย, เอกสาร หรือแม้แต่ข้อมูลที่เราระบุไว้ตามโซเชียลเน็ตเวิร์ค เช่น ประวัติของเรา สถานที่ทำงาน และข้อมูลอื่นๆ ที่สามารถทำให้ระบบคอมพิวเตอร์สามารถระบุตัวตนของเราได้ โดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (DPA) ฉบับเก่านั้น อนุญาตให้ผู้บริโภคค้นหาข้อมูลต่างๆ เกี่ยวกับพวกเขาซึ่งเป็นข้อมูลที่บริษัททำการจัดเก็บเอาไว้ แต่ในครั้งนั้นยังมีการอนุญาตให้บริษัทเรียกเก็บค่าธรรมเนียมจากการให้ข้อมูลแก่ผู้ที่เป็นเจ้าของข้อมูลด้วยเช่นกัน ซึ่งภายหลังค่าธรรมเนียมดังกล่าวได้ถูกยกเลิกไปภายใต้ GDPRใหม่ โดยมีข้อบังคับว่าองค์กรจะต้องสามารถแบ่งปันข้อมูลดังกล่าวได้อย่างรวดเร็ว รวมถึงสามารถลบ, แก้ไขหรือส่งข้อมูลดังกล่าวไปยังบริษัทอื่นๆ ซึ่งจะต้องเป็นไปตามความยินยอมของแต่ละบุคคล

ขณะนี้หน่วยงานที่กำกับดูแลมีอำนาจที่ในการทำงานร่วมกันทั่วทั้งสหภาพยุโรป (EU) เป็นครั้งแรก แทนที่จะต้องมีการดำเนินการแยกต่างหากในแต่ละเขตอำนาจ (Jurisdiction)นอกจากนี้ ตามข้อกำหนดของ GDPR ยังมีการกำหนดโทษปรับต่อบริษัทผู้กระทำผิดหรือฝ่าฝืนด้วยค่าปรับสูงสุดถึง20 ล้านยูโร (หรือคิดเป็นเงินไทยก็ประมาณ740 ล้านบาท) หรือ 4% ของรายได้ของปีก่อนหน้านั้น ทั้งนี้ก็ขึ้นอยู่กับว่ายอดใดมีตัวเลขสูงสุด

สำหรับการเจรจาต่อรองที่สลับซับซ้อนเรื่องการแยกตัวของสหราชอาณาจักรออกจากสหภาพยุโรป หรือ Brexit นั้น ยังคงดำเนินต่อไป โดยสามารถติดตามได้จากภาพรวมของสำนักงานคณะกรรมาธิการด้านข้อมูลข่าวสารหรือThe Information Commissioner's Office (ICO) ของ UK เพื่อรับแจ้งข้อมูลที่ทันสมัยที่สุด

ในขณะเดียวกัน เราก็ยังมี 7 ขั้นตอน ที่จะช่วยคุณหลีกเลี่ยงการกระทำที่จะนำไปสู่การทำผิดต่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลโดยมีขั้นตอนดังนี้

ขั้นตอนแรก: มุ่งเน้นไปที่การปกป้องข้อมูล โดยเริ่มตั้งแต่ขั้นตอนการออกแบบ

ทำให้การปกป้องข้อมูลมีอยู่ในทุกสิ่งหรือทุกขั้นตอนที่คุณออกแบบ ไม่ว่าจะเป็นกระบวนการต่างๆ (Process), ผลิตภัณฑ์ (Product)หรือแม้แต่เว็บไซต์ (Website)ด้วยวิธีนี้ธุรกิจของคุณก็ไม่จำเป็นที่จะต้องมีมาตรการป้องกันข้อมูลเพิ่มเติม แต่อย่าได้ด่วนสรุปว่า การถ่ายโอนข้อมูลของคุณไปยังบุคคลที่สามจะเป็นอีกหนึ่งวิธีที่จะแก้ไขเกี่ยวกับข้อกำหนดนี้ นั่นเป็นเพราะว่ามันเป็นความรับผิดชอบของคุณ เพื่อให้แน่ใจว่ามันจะยังคงเป็นการปฏิบัติที่เป็นไปตามข้อกำหนด

นั่นหมายความว่า การวางมาตรการทางเทคนิคและองค์กรที่เหมาะสม จะช่วยทำให้แน่ได้ว่าการปกป้องข้อมูลนั้นจะถูกนำไปใช้ในการออกแบบผลิตภัณฑ์และบริการอย่างแท้จริง ทั้งนี้ก็เพื่อให้มั่นใจได้ว่าการปกป้องข้อมูลของผู้บริโภคนั้นเป็นหนึ่งในหน้าที่หลักของทุกสิ่งที่องค์กรของคุณจะต้องทำ ไม่ว่าจะเป็นในส่วนของภายในหรือภายนอกองค์กรก็ตาม เพราะการผลักภาระไปยังบุคคลที่สาม จะเป็นการหลีกเลี่ยงการกำกับดูแลด้านความปลอดภัยที่อาจจะนำไปสู่ข้อผิดพลาดและการรั่วไหลของข้อมูล ซึ่งทางรัฐบาลเองก็พยายามที่จะหลีกเลี่ยงในเรื่องนี้ โดยมีข้อเสนอสำหรับบริษัทผู้ผลิตที่เกี่ยวกับ Internet of Things (IoT) เช่นกัน

สิ่งที่กล่าวมาข้างต้นนั้นคือสิ่งที่เราเคยเรียกกันว่า "Privacy by Design" โดยมีหลักการว่า ฝ่ายผู้ควบคุมดูแลข้อมูลจะต้องคำนึงถึงสิทธิความเป็นส่วนตัวของเจ้าของข้อมูล ตั้งแต่ขั้นตอนในการออกแบบบริการหรือผลิตภัณฑ์ ที่จะต้องคำนึงถึงการป้องกันข้อมูลตั้งแต่แรก ไม่ใช่ออกแบบมาแล้วค่อยมาเพิ่มในเรื่องของการป้องกันข้อมูลในภายหลัง ซึ่งหลักการดังกล่าวก็ไม่เคยมีการบัญญัติไว้เป็นกฎหมายที่แน่ชัดมาก่อน จนกระทั่ง GDPRทำให้มันเป็นข้อเรียกร้องทางกฎหมาย (Legal Requirement) และมีผลบังคับใช้

ขั้นตอนที่สอง: ตรวจสอบให้แน่ใจว่าคุณยังคงมีความรับผิดชอบในการปฏิบัติตามGDPR

การเลือกใช้กระบวนการทางธุรกิจที่เน้นการให้ความสำคัญกับความเป็นส่วนตัว (Privacy-Centric) นั้น เป็นสิ่งสำคัญแต่ก็ยังไม่เพียงพอ เพราะคุณจะต้องสามารถพิสูจน์ได้ว่าคุณได้ทำเช่นนั้นแล้วจริงๆ เมื่อถูกตรวจสอบ นั่นหมายถึงคุณจะต้องมีการจัดเก็บเอกสารที่เกี่ยวกับการประชุมและกระบวนการต่างๆ ที่สนับสนุนการดำเนินงาน (Implementation) ครั้งสุดท้ายของคุณ และนี่ก็เป็นการป้องกันสำหรับตัวคุณเอง เพราะมันเป็นวิธีการที่จะช่วยสร้างความมั่นใจให้กับลูกค้าของคุณ เนื่องจากมันแสดงให้ว่ามาตรการการป้องกันที่มีอยู่นั้นได้รับการพิจารณาและรวมอยู่ในธุรกิจของคุณ

และที่มากไปกว่านั้นก็คือ บุคลากรที่มีส่วนร่วมในการจัดการข้อมูลส่วนบุคคลจะต้องได้รับการฝึกอบรมอย่างเพียงพอ โดยคุณจำเป็นที่จะต้องมีการวางแผนและดำเนินการตามนโยบายการป้องกันข้อมูล (Data Protection Policy) ภายในองค์กรอย่างมีประสิทธิภาพ ซึ่งก็ต้องให้สอดคล้องกับทุกแง่มุมของ GDPR

หากคุณมีพนักงานมากกว่า250 คน ยังมีข้อกำหนดเพิ่มเติมบางประการ นั่นก็คือ คุณจะต้องเก็บรักษาบันทึกภายในเป็นลายลักษณ์อักษร ในส่วนที่เป็นกิจกรรมการประมวลผลข้อมูล (Data Processing) ทั้งหมด, คำอธิบายเกี่ยวกับมาตรการด้านเทคนิคและความปลอดภัยขององค์กร (Organisational Security) รวมถึงหนังสืออ้างอิงเกี่ยวกับมาตรการป้องกันต่างๆ ที่บังคับใช้ในส่วนที่เกี่ยวข้องกับกลไกในการถ่ายโอนข้อมูล เป็นต้น เนื่องจากสิ่งเหล่านี้อาจถูกร้องขอโดยหน่วยงานที่กำกับดูแล (ในสหราชอาณาจักร หน่วยงานที่กำกับดูแลก็คือ สำนักงานคณะกรรมาธิการด้านข้อมูลข่าวสาร หรือ ICO)เพื่อตรวจสอบการปฏิบัติตามกฎระเบียบของคุณ ดังนั้นยิ่งคุณมีการบันทึกที่รายละเอียดและครอบคลุมมากเท่าไหร่ ก็จะยิ่งเป็นผลดีต่อองค์กรของคุณ

การดำเนินการประเมินผลกระทบต่อข้อมูลส่วนบุคคลหรือDPIA (Data Protection Impact Assessment) จะช่วยให้คุณสามารถรวบรวมเอกสารอ้างอิงเหล่านี้ และยังช่วยให้คุณมองเห็นจุดอ่อนที่อาจเกิดขึ้นในมาตรการป้องกันข้อมูลของคุณ นอกจากนี้ทางสำนักงานคณะกรรมาธิการด้านข้อมูลข่าวสารของสหราชอาณาจักร (ICO)ยังกำหนดให้องค์กรต้องทำการประเมินผลกระทบต่อข้อมูลส่วนบุคคล (DPIA) ทุกครั้ง สำหรับกรณีที่มีการใช้งานข้อมูลส่วนบุคคลในลักษณะที่มีความเสี่ยงสูง (High Risk Data Processing)

อย่างไรก็ตามในการประเมินผลกระทบต่อข้อมูลส่วนบุคคล (DPIA) นั้น ควรรวมถึงการประเมินความเสี่ยงต่อบุคคล, ความจำเป็น (Necessity)ของการประมวลผลและการเก็บรักษาข้อมูล ตลอดจนมาตรการต่างๆ ที่คุณใช้เพื่อลดความเสี่ยง และคำอธิบายที่เกี่ยวกับการดำเนินการของคุณและความต้องการของพวกเขา

ขั้นตอนที่สาม: กำหนดหลักการเบื้องต้นทางกฎหมายในการจัดเก็บและการประมวลผลข้อมูลส่วนบุคคล

มีเรื่องที่เข้าใจผิดเกี่ยวกับ GDPR ว่า "การยินยอม" นั้น เป็นสิ่งที่ต้องคำนึงถึงเป็นอันดับแรก และแน่นอนว่ามันย่อมส่งผลกระทบต่อความพึงพอใจของบริษัทการตลาดและผู้ค้าปลีกจำนวนมาก ซึ่งการดำเนินงานของบริษัทเหล่านี้บางส่วนก็ต้องขึ้นอยู่กับคนที่เลือกรับจดหมายข่าว (Newsletter) หรืออีเมลส่งเสริมการขาย แต่ความจริงแล้วสิ่งที่คุณจะต้องทำภายใต้ระเบียบของ GDPR นั่นก็คือการกำหนดหลักการเบื้องต้นทางกฎหมาย (Lawful Basis) ในการเก็บรวบรวมและแบ่งปันข้อมูลกับลูกค้าของคุณ

หลักการเบื้องต้นทางกฎหมายที่ว่านี้ก็คือ: หากคุณได้รับความยินยอมจากลูกค้าอย่างชัดเจน (ซึ่งคุณจะต้องขอความยินยอมจากลูกค้าอีกครั้ง ในกรณีที่เหตุผลของการรวบรวมข้อมูลของคุณมีการเปลี่ยนแปลง) ไม่ว่าจะเพื่อเป็นการปฏิบัติตามสัญญาที่คุณมีให้กับบุคคลนั้นๆ หรือเพื่อปฏิบัติตามข้อกำหนดทางกฎหมาย (หรือที่เรียกว่า "ภาระผูกพันทางกฎหมาย") ถ้ามันเกี่ยวข้องกับผลประโยชน์ที่มีความสำคัญสูงสุด (Vital Interest) สำหรับใครบางคน นั่นหมายถึงการปกป้องชีวิตของพวกเขา หากการประมวลผลข้อมูลของพวกจัดอยู่ในผลประโยชน์ต่อส่วนรวม (Public Interest) ซึ่งก็ต้องมีการคำนึงถึงผลประโยชน์ส่วนตัวด้วยเช่นกัน หรือหากการทำเช่นนั้นเป็นการกระทำเพื่อผลประโยชน์ที่ชอบด้วยกฎหมาย (Legitimate Interest) ก็จะต้องคำนึงถึงผลประโยชน์ส่วนตัวด้วย เช่นกัน

คุณจะต้องระบุหลักการเบื้องต้นทางกฎหมาย(Lawful Basis)สำหรับการเก็บรวบรวมเนื้อหาของข้อมูลในแต่ละครั้ง จากนั้นคุณต้องทำให้แน่ใจว่าคุณได้แจ้งกับลูกค้าของคุณให้ทราบว่า หลักการเบื้องต้นที่คุณใช้อยู่นั้นถูกต้องตามกฎหมาย ซึ่งหลักการดังกล่าวจะถูกรวมไว้ในประกาศความเป็นส่วนตัว (Privacy Notice) ของคุณ นอกจากนี้คุณจะต้องแจ้งให้พวกเขาทราบถึงสาเหตุที่ทำให้คุณต้องรวบรวมข้อมูลเหล่านั้น ด้วยเช่นกัน

เนื่องจากเจ้าของข้อมูลสามารถเพิกถอน (Withdraw) คำยินยอมของพวกเขาได้ตลอดเวลา มันจึงไม่ใช่บรรทัดฐานที่น่าเชื่อถือที่สุดในการรวบรวมข้อมูลของผู้คน ดังนั้น หลักการเบื้องต้นที่ถูกต้องตามกฎหมายอื่นๆ อาจพิสูจน์ได้ว่ามันมีความเหมาะสมกว่า แต่ในกรณีที่คุณเลือกใช้ความยินยอม (Consent) ต้องให้แน่ใจว่าได้มีการอธิบายอย่างชัดเจนถึงสิ่งที่ผู้ใช้กำลังเลือกและวิธีที่ข้อมูลจะถูกนำไปใช้ ทั้งยังต้องตรวจสอบให้แน่ใจว่าการเลือกที่จะเข้าร่วมนั้นมีผลมากกว่าการเลือกที่จะไม่มีส่วนร่วม (Passive) เนื่องจาก GDPR ไม่อนุญาตให้คุณใช้กล่องที่ถูกทำเครื่องหมายไว้ล่วงหน้าหรือทึกทักเองว่าการละเลยในการปฏิเสธที่จะเข้าร่วมนั้นแสดงถึงความยินยอม นอกจากนี้เงื่อนไขต่างๆ จะต้องมีรายละเอียดแยกต่างหากจากข้อกำหนดและเงื่อนไขปกติ เพื่อให้พวกเขาสามารถมองเห็นได้ชัดเจนยิ่งขึ้น

ขั้นตอนที่สี่: แจ้งให้ผู้ใช้ทราบ

ภายใต้ระเบียบของGDPR ประชาชนทุกคนและลูกค้ามีสิทธิ์ให้ความยินยอม (Contest) ในการที่คุณใช้ข้อมูลของพวกเขา หรือเพิกถอนการยินยอม (Revoke)ของพวกเขาได้ ในกรณีที่คุณยังไม่ได้ดำเนินการเกี่ยวกับเรื่องนี้ คุณจะต้องทำการแต่งตั้ง (Nominate) หรือจ้างหน่วยงานที่ทำหน้าที่จัดเก็บข้อมูลบุคคล (Data Controller) และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือDPO (Data Protection Officer) เพื่อจัดการกับการมีปฏิสัมพันธ์ระหว่างบุคคลเหล่านี้ และทำให้รายละเอียดการติดต่อของพวกเขาอยู่ในรูปแบบสาธารณะ

รายละเอียดเหล่านี้ ยังต้องมีหน่วยงานที่กำกับดูแลของแต่ละประเทศที่เป็นสมาชิก ซึ่งให้การดูแลร่วมกันโดยคณะกรรมการคุ้มครองข้อมูลของยุโรปหรือ EDPB (European Data Protection Board) และนี่ก็เป็นองค์กรอิสระที่จะทำหน้าที่สอบสวนข้อร้องเรียนในนามของพลเมืองยุโรป (European Citizens) ที่จะประสานงานกับหน่วยงานต่างๆ ที่กำกับดูแลในประเทศสมาชิกอื่นๆ

นอกเหนือจากข้อมูลการติดต่อของคุณแล้ว คุณจะต้องให้คำอธิบายภาษาที่ชัดเจน อย่างตรงไปตรงมาไม่ต้องอ้อมค้อม (Plain Language) เกี่ยวกับวิธีการใช้ข้อมูลลูกค้า ตลอดจนจุดประสงค์ (Purpose) ในการเก็บรวบรวมข้อมูล, ผลประโยชน์ใดๆ ที่ผู้ควบคุม ผู้รวบรวมหรือผู้ประมวลผลภายนอกซึ่งเป็นบุคคลที่ 3(Third-Party Processors) อาจจะได้รับ รวมถึงผู้ที่จะได้รับข้อมูล ไม่ว่ามันจะถูกถ่ายโอนไปยังตัวแทนภายนอกและอื่นๆ อีกมากมายหรือไม่ก็ตาม ซึ่งรายการเต็มรูปแบบของการแจ้งเตือนสามารถพบได้บนเว็บไซต์ของ ICO

ในส่วนของภาระผูกพันเพิ่มเติมบางอย่างที่มีผลบังคับใช้ในกรณีที่คุณไม่ได้รับข้อมูลโดยตรงจากเจ้าของข้อมูลส่วนบุคคล (Data Subject) ยกตัวอย่างเช่น กรณีที่คุณซื้อกลุ่มรายชื่อผู้รับอีเมล์ (Mailing List) ซึ่งในกรณีเหล่านี้ คุณจะต้องทำการแจ้งผู้ที่เป็นเจ้าของข้อมูลเกี่ยวกับหมวดหมู่ (Categories)ของข้อมูลส่วนบุคคลที่คุณกำลังรวบรวม ตลอดจนวิธีการที่ทำให้คุณได้มาซึ่งข้อมูลของพวกเขา

ขั้นตอนที่ห้า: เตรียมพร้อมเพื่อลบข้อมูลของคุณ

GDPR ทำให้ "สิทธิในการลบข้อมูลส่วนบุคคล (Right to Erasure)" เป็นรูปเป็นร่างขึ้นมาได้ ซึ่งหมายความว่าในบางสถานการณ์เจ้าของข้อมูลส่วนบุคคลมีสิทธิ์ร้องขอให้คุณลบรายละเอียดทั้งหมดของพวกออกจากเขาฐานข้อมูลของคุณ

เรื่องนี้อาจเกิดขึ้นได้ หากลูกค้าเพิกถอนความยินยอมของพวกเขาในการประมวลผลข้อมูลเพิ่มเติม นอกจากนี้ยังรวมถึงกรณีที่มีการรับหรือประมวลผลข้อมูลอย่างผิดกฎหมาย หรือในกรณีที่มันถูกรวบรวมเพื่อใช้งานมาแต่เดิม และไม่ได้ถูกนำไปใช้อีกต่อไป

นั่นคือขอบเขตที่กำหนดไว้เกี่ยวกับการปฏิเสธคำขอดังกล่าว โดยเหตุผลเหล่านี้ยังครอบคลุมถึง วัตถุประสงค์ด้านสาธารณสุขหรือการจัดเก็บเอกสารสำคัญ ซึ่งทั้งสองอย่างนี้จะต้องถูกจัดอยู่ในผลประโยชน์สาธารณะ (Public Interest) นอกจากนี้คุณยังสามารถเก็บรักษาข้อมูลส่วนบุคคลไว้เพื่อป้องกันการเรียกร้องทางกฎหมาย, เพื่อเป็นการปฏิบัติตามภาระผูกพันในการเก็บรักษาตามกฎหมาย หรือเพื่อดำเนินการตามความต้องการของเจ้าหน้าที่ที่มีอำนาจรับผิดชอบในเรื่องนี้

อย่างไรก็ตาม จะเห็นได้ชัดว่าส่วนใหญ่แล้วคุณจะต้องปฏิบัติตามคำร้องขอเพื่อลบข้อมูล เพื่อให้แน่ใจว่าว่าระบบของคุณจะช่วยให้คุณสามารถระบุ (Identify)และลบข้อมูลของของแต่ละบุคคลได้อย่างง่ายดาย ในกรณีที่คุณได้มีการเปิดเผยข้อมูลให้แก่บุคคลที่สามซึ่งอยู่ในความรับผิดชอบของคุณ ดังนั้น คุณจะต้องมั่นใจได้ว่าพวกเขาจะปฏิบัติตามคำขอลบข้อมูล (Erasure Request) ด้วยเช่นกัน ที่สำคัญคุณมีเวลาหนึ่งเดือนในการปฏิบัติตามสิทธิ์ในการลบข้อมูลตามคำขอ และควรที่จะต้องปฏิบัติตามอย่างไม่รีรอ ซึ่งทาง ICO ก็ได้แนะนำให้มีการกำหนดเส้นตายไว้ที่28 วัน สำหรับการลบข้อมูล (Deleting Data)

ขั้นตอนที่หก: ควรระมัดระวังเมื่อมีการใช้งานอัลกอริทึม

ในขณะนี้ พบว่าการตกลงใจ (Decisions) จำนวนมากนั้น โดยเฉพาะอย่างยิ่งที่เป็นการตกลงใจ (หรือตอบตกลง) ทางออนไลน์ ส่วนใหญ่จะเป็นไปโดยอัตโนมัติ ซึ่งทาง GDPR ก็ได้มีข้อกำหนดว่า การตัดสินใจที่มีผลทางกฎหมายหรือในลักษณะที่คล้ายคลึงกันนั้น จะต้องไม่ขึ้นอยู่กับการประมวลผลอัตโนมัติ (Automated Processing) เว้นแต่ว่าการประมวลผลนั้นเป็นสิ่งจำเป็นอย่างยิ่ง (Absolutely Necessary) และถูกต้องตามกฎหมาย โดยที่ลูกค้าจะต้องแสดงความยินยอมอย่างชัดเจน

เรื่องนี้เห็นได้ชัดว่ามีผลกระทบต่อธุรกิจที่ขายผลิตภัณฑ์ทางออนไลน์ แต่สิ่งเหล่านี้ก็ไม่ใช่เรื่องเดียวที่คุณจะต้องนึกถึง เพราะกิจกรรมที่มีการรวบรวมข้อมูลที่เป็นประโยชน์ (Profiling Activity) ทุกประเภท จะต้องอยู่ภายใต้ขอบเขตของ GDPR ดังนั้นถ้ามันถูกใช้เพื่อวิเคราะห์ความเคลื่อนไหว (ซึ่งอาจจะมีการนำไปใช้กับบริการข้อมูลแผนที่หรือเครือข่ายสังคมออนไลน์), ประสิทธิภาพในการทำงาน, สุขภาพ (ที่อาจรวมถึงสโมสรกีฬา), ความชอบส่วนตัว (Personal Preferences) และอื่น ๆ

สรุปสั้นๆ ก็คือ เมื่อใดก็ตามที่คุณต้องการใช้อัลกอริทึมในการวิเคราะห์ข้อมูลที่เกี่ยวข้องกับบุคคล ควรตระหนักว่าคุณไม่สามารถใช้ข้อมูลนั้นๆ ในการตัดสินใจที่มีผลทางกฎหมาย นอกเสียจากว่าบุคคลนั้นได้ให้สิทธิ์แก่คุณเป็นการเฉพาะในการทำเช่นนั้น

ขั้นตอนที่เจ็ด: ตรวจสอบข้อมูลของคุณ

มีความจำเป็นอย่างยิ่งที่จะต้องทำการตรวจสอบการเก็บรวบรวมข้อมูลและกิจกรรมการประมวลผลของคุณ รวมทั้งจะต้องมีการอัพเดตในกรณีที่จำเป็น โดยเฉพาะอย่างยิ่งควรจะต้องตรวจสอบด้วยว่าผู้ให้บริการบุคคลที่สามที่คุณเชื่อถือนั้นตั้งอยู่นอกสหภาพยุโรป (European Union) หรือไม่ เนื่องจาก GDPR มีการจำกัดการถ่ายโอนข้อมูลที่เกินขอบเขตของกลุ่ม นอกเสียจากประเทศปลายทางจะต้องมีระดับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เทียบเท่ากับสหภาพยุโรป เพราะโดยพื้นฐานแล้วที่สหภาพยุโรปจะมีระดับมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลที่แข็งแกร่งเพียงพอที่จะถ่ายโอนข้อมูลไปได้ทั่วทั้งทวีปยุโรป(European)

โปรดระลึกไว้ว่า เมื่อใดก็ตามที่สหราชอาณาจักรถอนตัวออกจากสหภาพยุโรปเป็นที่เรียบร้อยแล้ว พวกเขาก็จะไม่ได้อยู่ในกลุ่มสหภาพยุโรปอีกต่อไป ซึ่งก็หวังว่าคณะกรรมาธิการยุโรป (European Commission) จะให้การยอมรับว่าสหราชอาณาจักรสามารถทำให้กลุ่มสหภาพยุโรปมั่นใจในระดับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอของพวกเขา เพื่ออนุญาตให้ประเทศสมาชิกสหภาพยุโรปถ่ายโอนข้อมูลส่วนบุคคลไปยังบริษัทต่างๆ ที่อยู่ในประเทศอังกฤษ อย่างไรก็ตามหากไม่เป็นไปตามนั้นก็ถือว่าเป็นข่าวร้ายเลยทีเดียวสำหรับธุรกิจต่างๆ ที่ให้บริการบนแผ่นดินใหญ่ของสหภาพยุโรป ซึ่งตัวเลือกเพียงอย่างเดียวหลังจากนั้นก็อาจจะเป็นการหาวิธีในการตั้งร้านค้าของพวกเขาเองภายในสหภาพยุโรป การติดตามดูสถานการณ์ทางกฎหมายอย่างถี่ถ้วนในขณะนี้ก็นับว่าเป็นสิ่งจำเป็นอย่างยิ่ง โดยเฉพาะที่หน้าของ GDPR ในเว็บไซต์ของ ICO ก็จะได้กลับมาเป็นบุ๊คมาร์คที่สำคัญอีกครั้ง