ไซต์นี้ใช้คุ้กกี้เพื่อปรับปรุงคุณสมบัติและฟังก์ชั่นการทำงาน การใช้ไซต์นี้จะถือว่าคุณให้ความยินยอมตามนี้ เราให้ความสำคัญกับความเป็นส่วนตัวของคุณและการรักษาความปลอดภัยของข้อมูล กรุณาศึกษานโยบายเกี่ยวกับคุ้กกี้ และ นโยบายความเป็นส่วนตัว ของเราฉบับอัพเดตล่าสุด

EU General Data Protection Regulation (EU GDPR)

วันที่บังคับใช้: 25 พ.ค. 2018 - เมื่อถึงกำหนดเวลาหน่วยงานที่ไม่ปฏิบัติตามจะถูกเรียกค่าปรับในอัตราสูง

องค์ประกอบเล็ก ๆ ของ GDPR ที่มีความสำคัญมาก: รองรับการทำงานกับ USB แบบเข้ารหัสของ Kingston: กราฟิกข้อมูล GDPR สำหรับ USB เข้ารหัส - PDF

Keep Compliant with Kingston

จัดการภัยคุกคามและช่วยลดความเสี่ยงต่าง ๆ

มีหลากหลายรุ่นตามความต้องการทั้งสำรองใช้งานส่วนตัว สำหรับองค์กรหรือภาครัฐ

  • สื่อบันทึกข้อมูล USB แบบเข้ารหัสที่ได้มาตรฐาน 100%
  • ใช้งานง่าย ไม่ยุ่งยาก ไม่ต้องติดตั้งซอฟต์แวร์หรือไดร์เวอร์
  • ออกแบบมาให้ใช้งานได้อย่างรวดเร็วและมีประสิทธิภาพ

Compliance logos

EU GDPR: ข้อสำคัญ 5 ประการที่ควรทราบ:
  1. การเข้ารหัส - มาตรฐานความปลอดภัยในการประมวลผลข้อมูล (Article 32, Security of processing)
  2. แต่งตั้งหัวหน้าผู้ดูแลด้านการปกป้องข้อมูล (DPO)
  3. กำหนดแผนงานด้านความปลอดภัยของระบบคอมพิวเตอร์
  4. เอกสารบันทึกการดำเนินการที่ตรวจสอบได้
  5. เข้าใจประเด็นด้านการให้ความยินยอม

EU GDPR: Top 5 main areas to make sure you’re compliant:

มีโทษใดบ้างหากไม่ปฏิบัติตาม

Are there any penalties for non-compliance?

  • ภายใต้ GDPR การละเมิดหลักเกณฑ์ GDPR อาจถูกเรียกค่าปรับสูงสุด 4% ของรายได้ทั่วโลกต่อปีหรือประมาณ $21,952 ล้านเหรียญสหรัฐฯ (€20 ล้าน - พิจารณาตามกรณีที่สูงกว่า)
  • บริษัทอาจถูกเรียกค่าปรับถึง 2% เนื่องจากไม่มีระเบียนข้อมูล (มาตรา 28) ไม่แจ้งหน่วยงานกำกับดูแลและผู้เกี่ยวข้องกับข้อมูลกรณีการละเมิดหรือไม่ประเมินผลกระทบที่อาจเกิดขึ้น
  • หลักเกณฑ์เหล่านี้มีผลทั้งกับผู้กำกับดูแลและผู้ประมวลผลข้อมูล ซึ่งหมายถึงระบบ ‘Cloud’ จะไม่ได้รับการยกเว้นจากเงื่อนไขของ GDPR
ฉันต้องทราบอะไรบ้าง
จะส่งผลต่อธุรกิจของฉันอย่างไรบ้าง
  • บริษัทที่ทำงานกับข้อมูลที่เกี่ยวกับประชากรของ EU จะต้องปฏิบัติตาม
  • หลักเกณฑ์เหล่านี้มีผลทั้งกับผู้กำกับดูแลและผู้ประมวลผลข้อมูล ซึ่งหมายถึงระบบ ‘Cloud’ จะไม่ได้รับการยกเว้นจากเงื่อนไขของ GDPR
  • มีผลกับหน่วยงานทัง้หมด ไม่ว่าจะของ EU หรือไม่ก็ตามที่มีการประมวลผลข้อมูลประชากรของ EU
  • กำหนดให้หน่วยงานต่าง ๆ ที่ประมวลผลหรือเก็บรักษาข้อมูลระบุตัวบุคคลจะต้องกำหนดมาตรการด้านความปลอดภัยที่เหมาะสมเพื่อป้องกันข้อมูลส่วนบุคคลสูญหาย

จะส่งผลต่อธุรกิจของฉันอย่างไรบ้าง

ธุรกิจของฉันจะต้องทำอย่างไรเพื่อให้เป็นไปตามเงื่อนไข
  • ประเมินตนเอง
    จะต้องมีการกำหนดหัวหน้าฝ่ายการปกป้องข้อมูลสำหรับบริษัทที่มีพนักงาน 250 คนขึ้นไป หน่วยงานต่าง ๆ จะต้องมีการพิจารณาทบทวนมาตรการการจัดการข้อมูลระบุตัวบุคคลภายในองค์กรสำหรับพนักงานและลูกค้าของตน
  • จัดทำแผนผังโครงสร้างผลิตภัณฑ์/อุปกรณ์ทั้งภายในและภายนอกที่ใช้เพื่อจัดเก็บข้อมูล
    บันทึกประวัติและกำหนดให้มีการใช้อุปกรณ์ของบริษัทภายใต้นโยบายดูแลความปลอดภัยข้อมูลของคุณ รวมทั้งใช้การเข้ารหัสข้อมูลร่วมด้วย ส่วนประกอบต่าง ๆ เช่น ฮาร์ดไดร์ฟ SSD แฟลชไดร์ฟ USB คอมพิวเตอร์และอุปกรณ์พกพา
  • การวิเคราะห์รายการคงคลัง
    ประเมินปริมาณข้อมูลส่วนบุคคลโดยรวม
  • ล้างข้อมูล
    ทำลายข้อมูลจัดเก็บแยกที่ไม่จำเป็นที่สามารถระบุตัวบุคคล (PII)
  • ผู้กำกับดูแลข้อมูล
    พิจารณาทบทวนปัจจัยเสี่ยงด้านความเป็นส่วนตัวและประเมินผลกระทบ
  • สัญญาข้อตกลง
    ปกป้องธุรกิจของคุณในอนาคตโดยการปรับใช้นโยบายภาคบังคับต่าง ๆ หลังวันบังคับใช้เดือนพฤษภาคม 2018
  • การละเมิดข้อมูล
    ข้อบังคับกำหนดให้มีการแจ้งเหตุภายใน 72 ชั่วโมง

แนวทางแก้ไข - กำหนดมาตรการป้องกันที่เหมาะสม มาตรฐานด้านเทคนิคและนโยบายต่าง ๆ เช่น การเข้ารหัสข้อมูลส่วนบุคคล/ข้อมูลระบุตัวบุคคล (PII) เพื่อลดโอกาสเสี่ยงในการละเมิดมาตรฐาน

(รายละเอียดเพิ่มเติม - แนวทางที่เหมาะสมเกี่ยวกับมาตรฐาน USB แบบเข้ารหัส)

การเข้ารหัสข้อมูล
  • ไดร์ฟ USB เข้ารหัส Kingston และ IronKey เป็นหนึ่งในผลิตภัณฑ์ที่ใช้เพื่อกำหนดมาตรฐานในการเข้ารหัสข้อมูล
  • เลือกใช้ “มาตรการด้านเทคนิคและโครงสร้างที่เหมาะสมเพื่อให้แน่ใจว่าระดับความปลอดภัยสอดคล้องกับความเสี่ยง รวมทั้ง...มีการเข้ารหัสข้อมูลส่วนบุคคลต่าง ๆ อย่างครบถ้วน" (Article 32, Security of processing)
  • การติดต่อเสนอให้หน่วยงานต่าง ๆ เข้ารหัสข้อมูลที่อ่อนไหวทั้งระหว่างนำส่งและพักเก็บไว้
  • กำหนดให้หน่วยงานต่าง ๆ ที่ประมวลผลหรือเก็บรักษาข้อมูลระบุตัวบุคคลของผู้พำนักใน EU จะต้องกำหนดมาตรการด้านความปลอดภัยที่เหมาะสมเพื่อป้องกันข้อมูลส่วนบุคคลสูญหาย
  • หน่วยงานต่าง ๆ จะต้องกำหนดมาตรฐานการประมวลผลข้อมูลที่ดีขึ้นในสัญญาข้อตกลงกับผู้ให้บริการจากภายนอก

การเข้ารหัสข้อมูล

เพิ่มขอบเขตพื้นที่ (มีผลภายนอกประเทศ)

ถือได้ว่าเป็นการเปลี่ยนแปลงข้อบังคับด้านความเป็นส่วนตัวของข้อมูลครั้งใหญ่ที่สุด

  • เพิ่มพื้นที่บังคับใช้ GDPR กับบริษัททุกแห่งที่ประมวลผลข้อมูลส่วนบุคคลของผู้ที่อาศัยในสหภาพยุโรปไม่ว่าจะอยู่ในประเทศใดก็ตาม

เพิ่มขอบเขตพื้นที่ (มีผลภายนอกประเทศ)

การแจ้งกรณีละเมิด

การแจ้งกรณีละเมิดข้อมูลจะต้องมีขึ้นภายใน 72 ชั่วโมงหลังจากทราบเหตุละเมิดหากสามารถทำได้ ทั้งนี้ไม่ได้กำหนดว่าจะต้องแจ้งกับ DPA หากไม่คาดว่าอาจกระทบสิทธิ์หรือเสรีภาพของบุคคลใด ๆ

สิทธิ์ใหม่ของผู้บริโภค
ข้อดีสำหรับผู้บริโภค
  • GDPR ให้การป้องกันที่เหนือกว่า โดยผู้เกี่ยวข้องสามารถไม่เปิดเผยตัวตนได้
  • ให้สิทธิ์แก่ผู้บริโภคในการเลือกไม่เปิดเผยข้อมูลใด ๆ
  • สิทธิ์ที่เพิ่มเติมสำหรับผู้บริโภค เช่น - สิทธิ์ในการถูกลืม’ - สิทธิ์ในการเคลื่อนย้ายข้อมูล’ โดยกำหนดเงื่อนไขสำหรับบริษัทในการใช้ข้อมูลของตน
  • บริษัทต่าง ๆ ที่ไม่เคารพสิทธิ์ของผู้บริโภคนี้จะถูกดำเนินคดีโดยผู้บริโภคหรือโดยหน่วยงานทางกฎหมาย

ข้อดีสำหรับผู้บริโภค

การให้ความยินยอม

เพิ่มความเข้มข้นของเงื่อนไขการให้ความยินยอม โดยบริษัทต่าง ๆ จะไม่สามารถใช้ข้อกำหนดและเงื่อนไขที่เข้าใจได้ยากหรือเป็นภาษากฎหมายที่ซับซ้อน โดยการขอความยินยอมจะต้องแจ้งในรูปแบบที่เข้าถึงและเข้าใจได้ง่าย พร้อมแจ้งวัตถุประสงค์ในการประมวลผลข้อมูลร่วมกับการขอความยินยอมดังกล่าว

  • การขอความยินยอมจะต้องมีความชัดเจนและแยกเฉพาะจากประเด็นอื่น ๆ และจัดทำในรูปแบบที่เข้าถึงและเข้าใจได้ง่าย ใช้ภาษาที่ชัดเจนไม่กำกวม จะต้องสามารถถอนความยินยอมในภายหลังได้โดยง่าย
สิทธิ์ที่จะถูกลืม

หรือสิทธิ์ในการลบข้อมูล สิทธิ์ที่จะถูกลืมเป็นของเจ้าของข้อมูลเพื่อแจ้งผู้กำกับดูแลข้อมูลให้ลบข้อมูลส่วนบุคคลของตน หยุดการเผยแพร่ข้อมูล และให้บุคคลภายนอกใด ๆ หยุดการประมวลผลข้อมูลดังกล่าว เงื่อนไขในการลบข้อมูลตามที่ระบุใน (มาตรา 17) ครอบคลุมข้อมูลที่ไม่อยู่ในวัตถุประสงค์การประมวลผลเดิมอีกต่อไป หรือข้อมูลที่ผู้ให้ข้อมูลเพิกถอนความยินยอม

สิทธิ์นี้กำหนดให้ผู้กำกับดูแลจะต้องเปรียบเทียบสิทธิ์ของเจ้าของข้อมูลกับ “ผลประโยชน์ต่อสาธารณะในการจัดหาข้อมูลดังกล่าว” เมื่อมีการพิจารณาการร้องขอข้อมูลดังกล่าว

ข้อมูลระบุตัวบุคคล (PII) คืออะไร

ข้อมูลระบุตัวบุคคล (PII) หมายถึงข้อมูลที่ถูกจัดเก็บเกี่ยวกับประชากรของ EU ที่หากเปิดเผยแล้วอาจทำให้เกิดความเสียหายต่อผู้ที่ถูกละเมิดข้อมูลของตน PII อาจได้แก่ประวัติการแพทย์ ข้อมูลทางขีววิทยา หมายเลขหนังสือเดินทางและข้อมูลทางการเงินที่ระบุตัวตนได้ (PIFI) เช่น หมายเลขประกันสังคมหรือบัตรเครดิต ข้อมูลที่อาจไม่ถือเป็น PII ได้แก่ ชื่อและนามสกุลอาจถือเป็น PII หากเชื่อมโยงกับข้อมูลอื่น ๆ

  • ทรัพยากรข้อมูลของหน่วยงานใด ๆ จะต้องอยู่ภายใต้มาตรการประเมินความเสี่ยง รวมทั้งการประเมินแนวทางการจัดเก็บและสืบค้นข้อมูล ระดับความเสี่ยงที่มีและการพิจารณาว่าฐานข้อมูลมี PII อยู่หรือไม่ ทรัพยากรข้อมูลอาจถูกจัดเก็บในฐานะข้อมูลแอพพลิเคชั่น ระบบไฟล์เซิร์ฟเวอร์หรืออุปกรณ์ของผู้ใช้ทั่วไป

What is Personal Identifiable Information (PII)?

เนื้อหาที่นำเสนอ
  • หลักเกณฑ์เดียวที่มีผลกับ EU ทั้งหมด - กฎหมายเดียวกันด้านการปกป้องข้อมูลของ EU ที่คาดว่าจะช่วยลดค่าใช้จ่ายได้ถึง €2,300 ล้านต่อปี
  • หัวหน้าผู้ดูแลด้านการปกป้องข้อมูลมีหน้าที่ปกป้องข้อมูล และเป็นผู้ได้รับมอบหมายโดยหน่วยงานกำกับดูแลและภาคธุรกิจที่ดูแลด้านการประมวลผลข้อมูลในภาพรวมในการดูแลความปลอดภัยของข้อมูลเหล่านี้
  • ศูนย์รวมในการจัดการทุกด้าน - ธุรกิจต่าง ๆ ติดต่อกับหน่วยงานกำกับดูแลเพียงหน่วยงานเดียว (ในประเทศแถบ EU ที่เปิดดำเนินการเป็นหลัก)
  • หลักเกณฑ์ของ EU สำหรับบริษัทที่ไม่อยู่ใน EU - บริษัทภายนอก EU จะต้องปรับใช้หลักเกณฑ์เดียวกันเมื่อมีการนเสนอบริการหรือผลิตภัณฑ์ หรือติดตามพฤติกรรมผู้บริโภคใน EU
  • หลักเกณฑ์ที่ส่งเสริมด้านนวัตกรรม - รับประกันระบบการปกป้องข้อมูลภายในผลิตภัณฑ์และบริการตั้งแต่เริ่มต้นการพัฒนา (การออกแบบที่เตรียมพร้อมมาด้านการปกป้องข้อมูล)
  • เทคนิคที่ให้ความสำคัญด้านความเป็นส่วนตัว เช่น การปิดบังข้อมูลเชื่อมโยงบุคคล (ขณะระบุฟิลด์ในระเบียนข้อมูลที่แทนที่โดยรหัสบ่งชี้เทียมหนึ่งรายการขึ้นไป) และการเข้ารหัส (เข้ารหัสข้อมูลเพื่อให้บุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถอ่านได้)
  • การประเมินผลกระทบ - ธุรกิจต่าง ๆ จะต้องทำการประเมินผลกระทบเมื่อมีการประมวลผลข้อมูลที่อาจมีความเสี่ยงสูงกระทบต่อสิทธิ์และเสรีภาพของบุคคล
  • การเก็บรักษาระเบียนข้อมูล - SME ไม่มีข้อกำหนดให้ต้องเก็บระเบียนข้อมูลการประมวลผลต่าง ๆ ยกเว้นเป็นการประมวลผลที่เกิดขึ้นเป็นประจำหรืออาจเกิดความเสี่ยงต่อการกระทบสิทธิ์และเสรีภาพของบุคคลที่ข้อมูลของตนถูกประมวลผล

เพิ่มเติม

กำหนดเวลาที่สำคัญภายใต้ General Data Protection Regulation (GDPR)
  • 31 มกราคม 2018 PCI-DSS v3.2
    เงื่อนไขการตรวจรับรองแบบปลายปัจจัย (8.3.1) - มีผลกับหน่วยงานระดับข้ามชาติ
  • 30 มิถุนายน 2018 PCI-DSS v3.2
    Requirements on upgrading SSL Encryption (2.2.3, 2.3, 4.1) - เงื่อนไขในการอัพเกรดการเข้ารหัส SSL (2.2.3, 2.3, 4.1) - มีผลกับหน่วยงานระดับข้ามชาติ
  • เมษายน 2018 PSD2 – หลักเกณฑ์เกี่ยวกับบริการด้านการชำระเงิน (Payment Services Directive 2) - มีผลกับธุรกิจในยุโรป
  • พฤษภาคม 2018 GDPR – หลักเกณฑ์ทั่วไปด้านการปกป้องข้อมูล - มีผลกับหน่วยงานระดับข้ามชาติ

ข้อมูลนี้จัดไว้ให้เพื่อเป็นข้อมูลอ้างอิงเบื้องต้นเท่านั้น Kingston ไม่ได้ให้คำปรึกษาหรือคำแนะนำทางกฎหมายใด ๆ เกี่ยวกับการปฏิบัติตาม EU GDPR ตรวจสอบรายละเอียดเพิ่มเติมเกี่ยวกับ EU GDPR ได้จากเว็บไซต์ของหน่วยงานที่: https://www.eugdpr.org

        Back To Top