คู่มือการปฏิบัติตาม RGPD สำหรับธุรกิจในฝรั่งเศส

กฎระเบียบคุ้มครองข้อมูลทั่วไป (GDPR) ที่รู้จักในฝรั่งเศสในชื่อ RGPD มีผลบังคับใช้ตั้งแต่ปี 2018 แต่ธุรกิจจำนวนมากยังไม่สามารถปฏิบัติตามได้อย่างสมบูรณ์ ด้วยค่าปรับสูงถึง 20 ล้านยูโรหรือ 4% ของรายได้ประจำปีทั่วโลก และหน่วยงาน CNIL ของฝรั่งเศสเข้มงวดมากขึ้น การปฏิบัติตามไม่ใช่ทางเลือกอีกต่อไป

คู่มือนี้ครอบคลุมข้อผูกพันสำคัญและการเปลี่ยนแปลงล่าสุด รวมถึงข้อกำหนดความโปร่งใส AI ปี 2025

ทำไมต้องจริงจัง

ประเภทการละเมิด	ค่าปรับสูงสุด
การละเมิดทางเทคนิค	10 ล้านยูโรหรือ 2% ของรายได้
การละเมิดสิทธิ	20 ล้านยูโรหรือ 4% ของรายได้

CNIL ได้ปรับไปแล้วกว่า 400 ล้านยูโรตั้งแต่ RGPD มีผลบังคับใช้ SME ก็ไม่ได้รับการยกเว้น — บทลงโทษ 50,000 ถึง 500,000 ยูโรเกิดขึ้นเป็นประจำกับองค์กรทุกขนาด

7 ข้อผูกพันหลัก

1. ความยินยอมที่ได้รับข้อมูล

ความยินยอมต้อง:

• ให้โดยเสรี — ไม่มีช่องทำเครื่องหมายล่วงหน้า
• เฉพาะเจาะจง — ความยินยอมหนึ่งต่อวัตถุประสงค์หนึ่ง
• ได้รับข้อมูล — อธิบายการใช้ข้อมูลอย่างชัดเจน
• ชัดเจน — ต้องการการกระทำเชิงบวกจากผู้ใช้

2. บันทึกกิจกรรมการประมวลผล

บังคับสำหรับองค์กรที่มีพนักงานเกิน 250 คน แต่แนะนำสำหรับทุกองค์กร ต้องรวมวัตถุประสงค์ หมวดหมู่ข้อมูล ผู้รับ ระยะเวลาเก็บรักษา และมาตรการรักษาความปลอดภัย

3. เจ้าหน้าที่คุ้มครองข้อมูล (DPO)

บังคับสำหรับหน่วยงานสาธารณะ องค์กรที่ประมวลผลข้อมูลขนาดใหญ่ และองค์กรที่จัดการข้อมูลอ่อนไหว แม้ไม่บังคับ การแต่งตั้ง DPO ก็เป็นแนวปฏิบัติที่ดี

4. การประเมินผลกระทบด้านการคุ้มครองข้อมูล (DPIA)

จำเป็นเมื่อการประมวลผลมีแนวโน้มที่จะก่อให้เกิด ความเสี่ยงสูง ต่อสิทธิของบุคคล ตัวอย่าง: กล้องวงจรปิด, การสร้างโปรไฟล์, การประมวลผลข้อมูลสุขภาพ

5. การแจ้งเตือนการละเมิด

เมื่อเกิดการละเมิดข้อมูล:

• 72 ชั่วโมง ในการแจ้ง CNIL
• แจ้งบุคคลที่ได้รับผลกระทบหากมีความเสี่ยงสูง
• บันทึกทุกการละเมิด แม้จะเล็กน้อย

6. สิทธิในการรับข้อมูล

ทุกคนต้องรู้ว่าข้อมูลอะไรที่ถูกเก็บ ทำไม เก็บนานเท่าไร ใครเข้าถึงได้ และวิธีใช้สิทธิ (เข้าถึง, แก้ไข, ลบ, โอนย้าย)

7. ความโปร่งใส AI (ใหม่ 2025)

ตั้งแต่ปี 2025 องค์กรที่ใช้ AI สำหรับการตัดสินใจอัตโนมัติต้องแจ้งบุคคลที่เกี่ยวข้อง อธิบายตรรกะที่ใช้ และอนุญาตให้คัดค้านการตัดสินใจ

วิธีแชร์เอกสารการปฏิบัติตามอย่างปลอดภัย

เอกสารการปฏิบัติตาม RGPD มีข้อมูลอ่อนไหว: บันทึกการประมวลผล, การประเมินผลกระทบ, รายงานการตรวจสอบ, การติดต่อกับหน่วยงานกำกับดูแล

การส่งทางอีเมลปกติสร้างความเสี่ยงเพิ่มเติม LOCK.PUB ช่วยสร้างลิงก์ที่ป้องกันด้วยรหัสผ่านพร้อมหมดอายุอัตโนมัติเพื่อแชร์เอกสารกับ DPO, ทนายความ, หรือ CNIL ส่งลิงก์ทาง LINE — สะดวกและปลอดภัย

เครื่องมือฟรีจาก CNIL

CNIL มีเครื่องมือฟรีหลายตัว:

• PIA: ซอฟต์แวร์ประเมินผลกระทบแบบโอเพนซอร์ส
• เทมเพลตบันทึกการประมวลผล (ดาวน์โหลดจาก cnil.fr)
• คู่มือผู้รับเหมาช่วง (ข้อผูกพันของผู้ประมวลผล)
• กรอบภาคส่วน (สุขภาพ, HR, ลูกค้า)

รายการตรวจสอบการปฏิบัติตาม RGPD

• บันทึกการประมวลผลที่ทันสมัย
• นโยบายความเป็นส่วนตัวที่เผยแพร่แล้ว
• แบนเนอร์คุกกี้ที่สอดคล้อง
• กระบวนการยินยอมที่มีเอกสาร
• แต่งตั้ง DPO (ถ้าจำเป็น)
• ขั้นตอนแจ้งเตือนการละเมิด
• สัญญากับผู้ให้บริการที่มีข้อกำหนด RGPD
• ฝึกอบรมพนักงาน
• DPIA สำหรับการประมวลผลความเสี่ยงสูง
• กระบวนการตอบคำร้องของเจ้าของข้อมูล

ข้อผิดพลาดที่พบบ่อย

1. สับสนระหว่างความยินยอมกับผลประโยชน์ที่ชอบด้วยกฎหมาย — เป็นฐานทางกฎหมายที่แตกต่างกัน
2. เก็บข้อมูลนานเกินไป — เก็บข้อมูลไว้ "เผื่อ" เป็นสิ่งผิดกฎหมาย
3. ลืมผู้ให้บริการ — คุณรับผิดชอบต่อผู้ประมวลผลของคุณ
4. ละเลยความปลอดภัย — RGPD ต้องการมาตรการทางเทคนิคที่เหมาะสม
5. เพิกเฉยต่อสิทธิของเจ้าของข้อมูล — คุณมีเวลา 1 เดือนในการตอบ

สรุป

การปฏิบัติตาม RGPD เป็นกระบวนการต่อเนื่อง ไม่ใช่โปรเจกต์ครั้งเดียว กฎเปลี่ยนแปลง CNIL เข้มงวดมากขึ้น และความคาดหวังด้านความเป็นส่วนตัวของประชาชนยังคงเพิ่มขึ้น

เริ่มจากพื้นฐาน — บันทึก, ความโปร่งใส, ความปลอดภัย — และพัฒนาต่อ เมื่อต้องแชร์เอกสารการปฏิบัติตามที่ละเอียดอ่อน ใช้ LOCK.PUB

---

การคุ้มครองข้อมูลไม่ใช่แค่ข้อผูกพันทางกฎหมาย แต่เป็นคำมั่นสัญญาต่อลูกค้าและพนักงานของคุณ