ការចែករំលែកទិន្នន័យគឺជាសរសៃឈាមរបស់ពាណិជ្ជកម្មសម័យទំនើប។ មិនថាអ្នកកំពុងចាប់ផ្តើមអ្នកផ្តល់សេវា cloud ថ្មី សហការជាមួយភ្នាក់ងារទីផ្សារ ឬការរួមបញ្ចូលប្រព័ន្ធ HR ភាគីទីបីទេ ទិន្នន័យផ្ទាល់ខ្លួនហូររវាងអង្គការនានាឥតឈប់ឈរ។ ប៉ុន្តែនេះជាការពិតដ៏មិនស្រួលមួយ៖ អាជីវកម្មភាគច្រើនមើលស្រាលពីវាលមីនផ្លូវច្បាប់ដែលការចែករំលែកទិន្នន័យតំណាងឱ្យក្រោមបទប្បញ្ញត្តិការពារទិន្នន័យទូទៅ (GDPR)។

ហានិភ័យគឺពិតប្រាកដ។ ការពិន័យអាចឡើងដល់ 20 លានអឺរ៉ូ ឬ 4% នៃចំណូលប្រចាំឆ្នាំសកល — អាស្រ័យលើចំនួនណាដែលខ្ពស់ជាង។ ក្រៅពីការពិន័យផ្នែកហិរញ្ញវត្ថុ អ្នកប្រឈមនឹងការខូចខាតកេរ្តិ៍ឈ្មោះ ការត្រួតពិនិត្យបទប្បញ្ញត្តិ និងការទាមទារសំណងរដ្ឋប្បវេណីពីបុគ្គលដែលរងផលប៉ះពាល់។ អាជ្ញាធរការពារទិន្នន័យហូឡង់ (Autoriteit Persoonsgegevens ឬ AP) បានបញ្ជាក់យ៉ាងច្បាស់ថា៖ ភាពល្ងង់ខ្លៅមិនមែនជាការការពារខ្លួនទេ។

អត្ថបទនេះនឹងណែនាំអ្នកអំពីហានិភ័យសំខាន់ៗចំនួនប្រាំពីររបស់ GDPR ដែលកើតឡើងនៅពេលចែករំលែកទិន្នន័យផ្ទាល់ខ្លួន។ ហានិភ័យនីមួយៗត្រូវបានផ្អែកលើបទប្បញ្ញត្តិជាក់លាក់របស់ GDPR ដែលបង្ហាញជាមួយនឹងផលវិបាកក្នុងពិភពពិត និងរួមផ្សំជាមួយនឹងការណែនាំជាក់ស្តែងដើម្បីជួយអ្នកឱ្យបន្តអនុលោមតាម។ មិនថាអ្នកជាម្ចាស់អាជីវកម្ម មន្ត្រីអនុលោមភាព ឬអ្នកជំនាញផ្នែកច្បាប់ដែលកំពុងប្រតិបត្តិការនៅក្នុងប្រទេសហូឡង់ទេ ការយល់ដឹងអំពីគ្រោះថ្នាក់ទាំងនេះគឺមានសារៈសំខាន់។

១. ការចែករំលែកទិន្នន័យដោយគ្មានមូលដ្ឋានច្បាប់ត្រឹមត្រូវ (មាត្រា ៦ GDPR)

ហានិភ័យ៖ អ្នកមិនអាចចែករំលែកទិន្នន័យផ្ទាល់ខ្លួនដោយសារតែវាងាយស្រួល ឬមានប្រយោជន៍នោះទេ។ រាល់ករណីនៃការចែករំលែកទិន្នន័យតម្រូវឱ្យមានមូលដ្ឋានច្បាប់ដែលមានសុពលភាពក្រោមមាត្រា 6 GDPR។

ហេតុអ្វីបានជាក្រុមហ៊ុនយល់ខុស៖ អង្គការជាច្រើនសន្មតថាការមានហេតុផលពាណិជ្ជកម្មដើម្បីចែករំលែកទិន្នន័យគឺគ្រប់គ្រាន់ហើយ។ វាមិនដូច្នោះទេ។ GDPR ផ្តល់នូវមូលដ្ឋានស្របច្បាប់ចំនួនប្រាំមួយសម្រាប់ដំណើរការ៖ ការយល់ព្រម ភាពចាំបាច់តាមកិច្ចសន្យា កាតព្វកិច្ចផ្លូវច្បាប់ ផលប្រយោជន៍សំខាន់ៗ ភារកិច្ចសាធារណៈ និងផលប្រយោជន៍ស្របច្បាប់។ នីមួយៗមានតម្រូវការ និងដែនកំណត់ជាក់លាក់។

ឧទាហរណ៍ “ផលប្រយោជន៍ស្របច្បាប់” ជារឿយៗត្រូវបានលើកឡើងដើម្បីបង្ហាញអំពីភាពត្រឹមត្រូវនៃការចែករំលែកទិន្នន័យជាមួយដៃគូ ឬអ្នកផ្តល់សេវាកម្ម។ ប៉ុន្តែមូលដ្ឋាននេះតម្រូវឱ្យមានការធ្វើតេស្តតុល្យភាពយ៉ាងប្រុងប្រយ័ត្ន៖ ផលប្រយោជន៍របស់អ្នកមិនត្រូវលើសពីសិទ្ធិ និងសេរីភាពរបស់បុគ្គលដែលអ្នកកំពុងដំណើរការទិន្នន័យរបស់ពួកគេឡើយ។ ហើយអ្នកត្រូវតែកត់ត្រាការវាយតម្លៃនេះ។

មូលដ្ឋានច្បាប់៖ មាត្រា 6 GDPR កំណត់បញ្ជីពេញលេញនៃមូលដ្ឋានស្របច្បាប់។ មាត្រា 5(1)(ក) GDPR តម្រូវឱ្យដំណើរការទាំងអស់ត្រូវស្របច្បាប់ យុត្តិធម៌ និងមានតម្លាភាព។

ផលវិបាកនៃពិភពលោក៖ ទីភ្នាក់ងារសារព័ត៌មាន AP បានចេញការពិន័យដល់អង្គការដែលបានចែករំលែកទិន្នន័យអតិថិជនជាមួយភាគីទីបីសម្រាប់គោលបំណងទីផ្សារដោយគ្មានមូលដ្ឋានច្បាប់ត្រឹមត្រូវ។ ទោះបីជាទិន្នន័យត្រូវបានធ្វើអនាមិក ឬប្រមូលផ្តុំក៏ដោយ ប្រសិនបើការកំណត់អត្តសញ្ញាណឡើងវិញអាចធ្វើទៅបាន វានៅតែជាទិន្នន័យផ្ទាល់ខ្លួន ហើយតម្រូវឱ្យមានមូលដ្ឋានច្បាប់។

ការអនុវត្តជាក់ស្តែង៖ មុននឹងចែករំលែកទិន្នន័យផ្ទាល់ខ្លួនណាមួយ សូមកំណត់អត្តសញ្ញាណ និងកត់ត្រាមូលដ្ឋានច្បាប់ណាដែលត្រូវអនុវត្ត។ ប្រសិនបើពឹងផ្អែកលើផលប្រយោជន៍ស្របច្បាប់ សូមធ្វើការវាយតម្លៃផលប្រយោជន៍ស្របច្បាប់ (LIA) និងកត់ត្រា។ ប្រសិនបើប្រើប្រាស់ការយល់ព្រម សូមធានាថាវាត្រូវបានផ្តល់ឱ្យដោយសេរី ជាក់លាក់ មានព័ត៌មានគ្រប់គ្រាន់ និងមិនមានភាពមិនច្បាស់លាស់។

2. ភាពច្របូកច្របល់លើតួនាទី៖ ឧបករណ៍បញ្ជា ទល់នឹង ឧបករណ៍ដំណើរការ (មាត្រា 4(7)–(8) GDPR)

ហានិភ័យ៖ GDPR បែងចែករវាងអ្នកត្រួតពិនិត្យ (អ្នកដែលកំណត់គោលបំណង និងមធ្យោបាយនៃដំណើរការ) និងអ្នកដំណើរការ (អ្នកដែលដំណើរការទិន្នន័យក្នុងនាមអ្នកត្រួតពិនិត្យ)។ ការកំណត់អត្តសញ្ញាណតួនាទីរបស់អ្នក ឬតួនាទីរបស់ដៃគូរបស់អ្នកខុស បង្កើតគម្លាតអនុលោមភាពធ្ងន់ធ្ងរ។

ហេតុអ្វីបានជាក្រុមហ៊ុនយល់ខុស៖ នៅក្នុងការអនុវត្តជាក់ស្តែង តួនាទីអាចមានភាពមិនច្បាស់លាស់។ ប្រសិនបើអ្នកចែករំលែកទិន្នន័យជាមួយអ្នកផ្តល់សេវា SaaS តើពួកគេជាអ្នកគ្រប់គ្រង ឬជាអ្នកដំណើរការ? ចុះប្រសិនបើពួកគេប្រើទិន្នន័យរបស់អ្នកដើម្បីកែលម្អក្បួនដោះស្រាយរបស់ពួកគេ? អាជីវកម្មជាច្រើនតែងតែហៅអ្នកលក់ទាំងអស់ថាជា "អ្នកដំណើរការ" ដោយមិនបានវិភាគទំនាក់ទំនងឱ្យបានត្រឹមត្រូវ។

ការចាត់ថ្នាក់ខុសគឺមានសារៈសំខាន់ ពីព្រោះអ្នកត្រួតពិនិត្យ និងអ្នកដំណើរការមានកាតព្វកិច្ចខុសៗគ្នា។ អ្នកត្រួតពិនិត្យត្រូវតែធានាថាអ្នកដំណើរការផ្តល់ការធានាគ្រប់គ្រាន់នៃការអនុលោម (មាត្រា 28 GDPR)។ អ្នកត្រួតពិនិត្យរួមគ្នាត្រូវតែយល់ព្រមលើការទទួលខុសត្រូវរៀងៗខ្លួន (មាត្រា 26 GDPR)។ ធ្វើខុស នោះអ្នកអាចនឹងត្រូវទទួលខុសត្រូវចំពោះការរំលោភបំពានដែលអ្នកមិនដឹងថាកំពុងកើតឡើង។

មូលដ្ឋានច្បាប់៖ មាត្រា 4(7) និង (8) GDPR កំណត់និយមន័យនៃ “អ្នកត្រួតពិនិត្យ” និង “អ្នកដំណើរការ”។ មាត្រា 24 GDPR គូសបញ្ជាក់ពីកាតព្វកិច្ចទទួលខុសត្រូវរបស់អ្នកត្រួតពិនិត្យ។

ផលវិបាកនៃពិភពលោក៖ តុលាការយុត្តិធម៌អឺរ៉ុបបានសម្រេចនៅឆ្នាំ លេខសម្គាល់ម៉ូត (C-40/17) ថា សូម្បីតែការកំណត់គោលបំណងដោយផ្នែកក៏អាចធ្វើឱ្យអ្នកក្លាយជាអ្នកគ្រប់គ្រងរួមគ្នាបានដែរ។ នេះមានន័យថា អ្នកអាចត្រូវទទួលខុសត្រូវរួមគ្នាចំពោះការរំលោភលើ GDPR ទោះបីជាភាគីមួយផ្សេងទៀតបានបង្កឱ្យពួកគេកើតឡើងក៏ដោយ។

ការអនុវត្តជាក់ស្តែង៖ កំណត់​លំហូរ​ទិន្នន័យ​ និង​កំណត់​ថា​អ្នកណា​ជា​អ្នក​សម្រេច​ចិត្ត ហេតុអ្វី និង របៀប ទិន្នន័យត្រូវបានដំណើរការ។ សូមកត់ត្រារឿងនេះជាលាយលក្ខណ៍អក្សរ ហើយធានាថាភាគីនីមួយៗយល់ពីតួនាទី និងកាតព្វកិច្ចរបស់ពួកគេ។

៣. កិច្ចព្រមព្រៀងដំណើរការទិន្នន័យដែលបាត់ ឬមិនគ្រប់គ្រាន់ (មាត្រា ២៨ GDPR)

ហានិភ័យ៖ ប្រសិនបើអ្នកជួលអ្នកដំណើរការទិន្នន័យឱ្យដោះស្រាយទិន្នន័យផ្ទាល់ខ្លួនជំនួសអ្នក អ្នកត្រូវបានតម្រូវដោយច្បាប់ឱ្យមានកិច្ចព្រមព្រៀងដំណើរការទិន្នន័យជាលាយលក្ខណ៍អក្សរ (DPA)។ គ្មានករណីលើកលែងឡើយ។

ហេតុអ្វីបានជាក្រុមហ៊ុនយល់ខុស៖ វាជាការល្បួងឱ្យរំលងឯកសារ ជាពិសេសជាមួយដៃគូដែលគួរឱ្យទុកចិត្ត ឬដៃគូយូរអង្វែង។ ប៉ុន្តែបើគ្មាន DPA ដែលអនុលោមតាមទេ អ្នកកំពុងរំលោភលើមាត្រា 28 GDPR តាំងពីថ្ងៃដំបូងមកម្ល៉េះ—ទោះបីជាមិនមានគ្រោះថ្នាក់ជាក់ស្តែងកើតឡើងក៏ដោយ។

DPA ត្រឹមត្រូវត្រូវតែរួមបញ្ចូលប្រការចាំបាច់ជាក់លាក់៖ ប្រធានបទ និងរយៈពេលនៃដំណើរការ លក្ខណៈ និងគោលបំណងនៃដំណើរការ ប្រភេទទិន្នន័យផ្ទាល់ខ្លួន ប្រភេទទិន្នន័យដែលជាប្រធានបទ និងកាតព្វកិច្ច និងសិទ្ធិរបស់អ្នកគ្រប់គ្រង។ វាក៏ត្រូវតែដោះស្រាយការដំណើរការរង សុវត្ថិភាពទិន្នន័យ និងការជូនដំណឹងអំពីការរំលោភបំពានផងដែរ។

មូលដ្ឋានច្បាប់៖ មាត្រា 28(3) GDPR រាយបញ្ជីខ្លឹមសារចាំបាច់នៃ DPA។ មាត្រា 28(4) GDPR តម្រូវឱ្យមានការអនុញ្ញាតជាក់លាក់សម្រាប់អ្នកដំណើរការរង។

ផលវិបាកនៃពិភពលោក៖ ទីភ្នាក់ងារ​ស៊ើបការណ៍​សម្ងាត់​អាមេរិក (AP) បាន​ដាក់ទណ្ឌកម្ម​លើ​អង្គការ​នានា​ចំពោះ​ការ​ជួល​អ្នក​ដំណើរការ​ដោយ​គ្មាន DPA គ្រប់គ្រាន់។ ទោះបីជា​អ្នកដំណើរការ​ខ្លួនឯង​អនុលោម​តាម​ច្បាប់​ក៏ដោយ អ្នក​គ្រប់គ្រង​នៅតែ​អាច​ត្រូវ​ពិន័យ​ដោយសារ​មិន​បាន​ចូល​ក្នុង​កិច្ចព្រមព្រៀង​ត្រឹមត្រូវ។

ការអនុវត្តជាក់ស្តែង៖ ប្រើប្រាស់គំរូ DPA ស្តង់ដារដែលគ្របដណ្តប់លើតម្រូវការទាំងអស់នៃមាត្រា 28(3)។ ពិនិត្យមើលកិច្ចព្រមព្រៀងដែលមានស្រាប់ ដើម្បីធានាថាពួកវាអនុលោមតាម GDPR។ កុំដាក់ឱ្យដំណើរការថ្មីណាមួយដោយគ្មាន DPA ដែលបានចុះហត្ថលេខា។

4. ការផ្ទេរខុសច្បាប់ទៅប្រទេសទីបីនៅខាងក្រៅ EEA (មាត្រា 44-49 GDPR & Schrems II)

ហានិភ័យ៖ ការផ្ទេរទិន្នន័យផ្ទាល់ខ្លួនទៅក្រៅតំបន់សេដ្ឋកិច្ចអឺរ៉ុប (EEA) ត្រូវបានដាក់កម្រិតយ៉ាងខ្លាំង។ អ្នកអាចធ្វើដូច្នេះបានលុះត្រាតែប្រទេសគោលដៅផ្តល់កម្រិតការពារគ្រប់គ្រាន់ ឬប្រសិនបើអ្នកអនុវត្តវិធានការការពារសមស្រប។

ហេតុអ្វីបានជាក្រុមហ៊ុនយល់ខុស៖ អាជីវកម្មជាច្រើនប្រើប្រាស់សេវាកម្ម cloud ឧបករណ៍ដំណើរការទូទាត់ ឬឧបករណ៍វិភាគដែលបង្ហោះនៅសហរដ្ឋអាមេរិក ឬអាស៊ីដោយមិនដឹងថាពួកគេកំពុងបង្កឱ្យមានច្បាប់ផ្ទេរអន្តរជាតិ។ ទោះបីជាកិច្ចសន្យារបស់អ្នកជាមួយអង្គភាព EU ក៏ដោយ ប្រសិនបើទិន្នន័យត្រូវបានរក្សាទុក ឬចូលប្រើនៅខាងក្រៅ EEA ច្បាប់ផ្ទេរត្រូវបានអនុវត្ត។

ចំពោះ Schrems II សាលក្រម (សំណុំរឿង C-311/18) បានធ្វើឱ្យមិនមានសុពលភាពនូវច្បាប់ការពារភាពឯកជនរបស់សហភាពអឺរ៉ុប-សហរដ្ឋអាមេរិក ហើយបានពង្រឹងថា ឃ្លាកិច្ចសន្យាស្តង់ដារ (SCC) តែមួយមុខមិនគ្រប់គ្រាន់ទេ។ អ្នកក៏ត្រូវធ្វើការវាយតម្លៃផលប៉ះពាល់នៃការផ្ទេរ (TIA) ដើម្បីវាយតម្លៃថាតើច្បាប់របស់ប្រទេសគោលដៅធ្វើឱ្យប៉ះពាល់ដល់ការការពារដែលធានាដោយ SCC ដែរឬទេ។

មូលដ្ឋានច្បាប់៖ មាត្រា ៤៤–៤៩ GDPR គ្រប់គ្រងការផ្ទេរប្រាក់អន្តរជាតិ។ ជំពូកទី V GDPR តម្រូវឱ្យមានការសម្រេចចិត្តអំពីភាពគ្រប់គ្រាន់ (មាត្រា ៤៥) ឬវិធានការការពារសមស្រប (មាត្រា ៤៦) ដូចជា SCCs ជាដើម។

ផលវិបាកនៃពិភពលោក៖ ទីភ្នាក់ងារសារព័ត៌មាន AP អាចបញ្ជាឱ្យអ្នកផ្អាក ឬហាមឃាត់ការផ្ទេរទិន្នន័យទៅកាន់ប្រទេសទីបី ប្រសិនបើមិនមានវិធានការការពារគ្រប់គ្រាន់។ ក្រុមហ៊ុននានាបានប្រឈមមុខនឹងសកម្មភាពអនុវត្តច្បាប់ និងការខូចខាតកេរ្តិ៍ឈ្មោះចំពោះការផ្ទេរទិន្នន័យទៅសហរដ្ឋអាមេរិកដោយមិនបានធ្វើការតាមដាន និងវាយតម្លៃផលប៉ះពាល់នៃទិន្នន័យ (TIA) បន្ទាប់ពីការស៊ើបសួរ និងស៊ើបអង្កេត។Schrems II.

ការអនុវត្តជាក់ស្តែង៖ កំណត់ការផ្ទេរទិន្នន័យទាំងអស់ពីប្រទេសទីបី។ ពិនិត្យមើលថាតើមានការសម្រេចចិត្តអំពីភាពគ្រប់គ្រាន់ឬអត់។ បើមិនដូច្នោះទេ សូមអនុវត្ត SCC ហើយធ្វើ TIA។ កត់ត្រាវិធានការបន្ថែមប្រសិនបើចាំបាច់ (ឧទាហរណ៍ ការអ៊ិនគ្រីប ការប្រើប្រាស់ឈ្មោះក្លែងក្លាយ)។

៥. ការខកខានមិនបានធ្វើការវាយតម្លៃផលប៉ះពាល់នៃការការពារទិន្នន័យ (មាត្រា ៣៥ GDPR)

ហានិភ័យ៖ ការវាយតម្លៃផលប៉ះពាល់ការពារទិន្នន័យ (DPIA) គឺជាកាតព្វកិច្ច នៅពេលដែលការចែករំលែកទិន្នន័យទំនងជាបណ្តាលឱ្យមានហានិភ័យខ្ពស់ដល់សិទ្ធិ និងសេរីភាពរបស់បុគ្គល។ នេះរួមបញ្ចូលទាំងដំណើរការទ្រង់ទ្រាយធំនៃប្រភេទទិន្នន័យពិសេស ការត្រួតពិនិត្យជាប្រព័ន្ធ ឬការប្រើប្រាស់បច្ចេកវិទ្យាថ្មីៗ។

ហេតុអ្វីបានជាក្រុមហ៊ុនយល់ខុស៖ អង្គការជាច្រើនចាត់ទុក DPIA ជាជម្រើស ឬពាក់ព័ន្ធសម្រាប់តែគម្រោង "ធំៗ" ប៉ុណ្ណោះ។ តាមពិតទៅ ការចែករំលែកទិន្នន័យសុខភាពជាមួយវេទិកាវិភាគភាគីទីបី ការដាក់ពង្រាយឧបករណ៍វិភាគដែលជំរុញដោយ AI ឬការផ្សំសំណុំទិន្នន័យពីប្រភពច្រើន សុទ្ធតែអាចបង្កឱ្យមានតម្រូវការ DPIA។

DPIA មិនមែនគ្រាន់តែជាលំហាត់សម្រាប់វាយតម្លៃហានិភ័យនោះទេ។ វាគឺជាដំណើរការដែលមានរចនាសម្ព័ន្ធដើម្បីកំណត់ហានិភ័យ វាយតម្លៃភាពធ្ងន់ធ្ងររបស់វា និងកំណត់វិធានការដើម្បីកាត់បន្ថយហានិភ័យទាំងនោះ។ ប្រសិនបើហានិភ័យដែលនៅសេសសល់នៅតែខ្ពស់ អ្នកត្រូវតែពិគ្រោះជាមួយ AP មុនពេលបន្ត។

មូលដ្ឋានច្បាប់៖ មាត្រា 35 GDPR តម្រូវឱ្យ DPIA សម្រាប់ដំណើរការដែលមានហានិភ័យខ្ពស់។ AP បានបោះពុម្ពផ្សាយគោលការណ៍ណែនាំអំពីពេលណាដែលត្រូវការ DPIA។

ផលវិបាកនៃពិភពលោក៖ ការខកខានមិនបានធ្វើ DPIA នៅពេលដែលត្រូវការគឺជាការរំលោភលើ GDPR។ AP បានពិន័យអង្គការនានាចំពោះការបន្តការចែករំលែកទិន្នន័យដែលមានហានិភ័យខ្ពស់ដោយមិនបានបំពេញ DPIA ទោះបីជាមិនមានការរំលោភលើទិន្នន័យជាក់ស្តែងកើតឡើងក៏ដោយ។

ការអនុវត្តជាក់ស្តែង៖ ត្រួតពិនិត្យសកម្មភាពចែករំលែកទិន្នន័យទាំងអស់សម្រាប់កត្តាបង្ក DPIA។ នៅពេលមានការសង្ស័យ សូមធ្វើការមួយ។ ចូលរួមជាមួយមន្ត្រីការពារទិន្នន័យ (DPO) របស់អ្នក ហើយកត់ត្រាដំណើរការវាយតម្លៃឱ្យបានហ្មត់ចត់។

៦. ព័ត៌មានមិនគ្រប់គ្រាន់សម្រាប់ម្ចាស់ទិន្នន័យ (មាត្រា ១៣ និង ១៤ GDPR)

ហានិភ័យ៖ តម្លាភាពគឺជាមូលដ្ឋានគ្រឹះនៃ GDPR។ នៅពេលណាដែលអ្នកប្រមូល ឬចែករំលែកទិន្នន័យផ្ទាល់ខ្លួន អ្នកត្រូវតែជូនដំណឹងដល់ម្ចាស់ទិន្នន័យអំពីអ្នកដែលនឹងទទួលបានទិន្នន័យរបស់ពួកគេ សម្រាប់គោលបំណងអ្វី និងលើមូលដ្ឋានច្បាប់អ្វី។

ហេតុអ្វីបានជាក្រុមហ៊ុនយល់ខុស៖ ការជូនដំណឹងអំពីភាពឯកជនច្រើនតែមិនច្បាស់លាស់ ឬហួសសម័យ។ ឃ្លាដូចជា "យើងអាចចែករំលែកទិន្នន័យរបស់អ្នកជាមួយដៃគូដែលទុកចិត្ត" មិនអាចបំពេញតម្រូវការរបស់អ្នកបានទេ។ អ្នកត្រូវតែបញ្ជាក់ប្រភេទអ្នកទទួល (ឧទាហរណ៍ "អ្នកផ្តល់សេវាបង្ហោះលើពពក" "ភ្នាក់ងារទីផ្សារ") ហើយបើចាំបាច់ សូមដាក់ឈ្មោះពួកគេ។

នៅពេលដែលទិន្នន័យត្រូវបានទទួលដោយប្រយោល — ឧទាហរណ៍ ពីអ្នកសម្របសម្រួលទិន្នន័យ ឬអ្នកត្រួតពិនិត្យផ្សេងទៀត — មាត្រា 14 GDPR ដាក់កាតព្វកិច្ចព័ត៌មានបន្ថែម រួមទាំងប្រភពទិន្នន័យផងដែរ។

មូលដ្ឋានច្បាប់៖ មាត្រា 13 និង 14 GDPR រាយបញ្ជីព័ត៌មានដែលត្រូវតែផ្តល់ជូនម្ចាស់ទិន្នន័យ។ មាត្រា 5(1)(ក) GDPR តម្រូវឱ្យមានតម្លាភាពនៅក្នុងសកម្មភាពដំណើរការទាំងអស់។

ផលវិបាកនៃពិភពលោក៖ ទីភ្នាក់ងារសារព័ត៌មាន AP បានដាក់ទណ្ឌកម្មលើក្រុមហ៊ុននានា ចំពោះការខកខានមិនបានប្រាប់បុគ្គលថាទិន្នន័យរបស់ពួកគេកំពុងត្រូវបានចែករំលែកជាមួយភាគីទីបី។ ទោះបីជាការចែករំលែកខ្លួនឯងគឺស្របច្បាប់ក៏ដោយ ក៏តម្លាភាពមិនគ្រប់គ្រាន់គឺជាការរំលោភដាច់ដោយឡែកមួយ។

ការអនុវត្តជាក់ស្តែង៖ ពិនិត្យ និងធ្វើបច្ចុប្បន្នភាពការជូនដំណឹងអំពីភាពឯកជនរបស់អ្នក ដើម្បីពិពណ៌នាយ៉ាងច្បាស់អំពីការអនុវត្តការចែករំលែកទិន្នន័យ។ ត្រូវប្រាកដថាការជូនដំណឹងអាចចូលមើលបានយ៉ាងងាយស្រួល និងសរសេរជាភាសាសាមញ្ញ។ នៅពេលចែករំលែកទិន្នន័យជាមួយដៃគូថ្មី សូមធ្វើបច្ចុប្បន្នភាពការជូនដំណឹងរបស់អ្នកមុនពេលការចែករំលែកចាប់ផ្តើម។

៧. ការក្លែងបន្លំជាអារម្មណ៍សុវត្ថិភាពមិនពិត

ហានិភ័យ៖ ការក្លែងបន្លំអត្តសញ្ញាណ — ការជំនួសឧបករណ៍កំណត់អត្តសញ្ញាណដោយផ្ទាល់ដោយលេខកូដ ឬថូខឹន — ត្រូវបានលើកទឹកចិត្តក្រោម GDPR ជាវិធានការសុវត្ថិភាព។ ប៉ុន្តែវាមិនធ្វើឱ្យទិន្នន័យមានភាពអនាមិកទេ។ ប្រសិនបើទិន្នន័យនៅតែអាចភ្ជាប់ទៅបុគ្គលម្នាក់វិញ វានៅតែជាទិន្នន័យផ្ទាល់ខ្លួន ហើយស្ថិតនៅក្រោមវិសាលភាពពេញលេញនៃ GDPR។

ហេតុអ្វីបានជាក្រុមហ៊ុនយល់ខុស៖ អាជីវកម្មនានាច្រើនតែសន្មតថាទិន្នន័យដែលមានឈ្មោះក្លែងក្លាយគឺ "មានសុវត្ថិភាព" ក្នុងការចែករំលែកដោយគ្មានការរឹតបន្តឹង។ នៅក្នុងការអនុវត្ត ការប្រើប្រាស់ឈ្មោះក្លែងក្លាយគ្រាន់តែកាត់បន្ថយហានិភ័យប៉ុណ្ណោះ។ វាមិនលុបបំបាត់វាចោលទេ។ ប្រសិនបើអ្នកចែករំលែកទិន្នន័យដែលមានឈ្មោះក្លែងក្លាយជាមួយដៃគូដែលមានសិទ្ធិចូលប្រើកូនសោ ឬសំណុំទិន្នន័យផ្សេងទៀតដែលអាចឱ្យមានការកំណត់អត្តសញ្ញាណឡើងវិញ អ្នកនៅតែកំពុងដំណើរការទិន្នន័យផ្ទាល់ខ្លួន។

មូលដ្ឋានច្បាប់៖ មាត្រា 4(5) GDPR កំណត់និយមន័យនៃការប្រើប្រាស់ឈ្មោះក្លែងក្លាយ។ សេចក្តីសង្ខេប 26 GDPR បញ្ជាក់ថាទិន្នន័យដែលមានឈ្មោះក្លែងក្លាយនៅតែជាទិន្នន័យផ្ទាល់ខ្លួនលុះត្រាតែវាត្រូវបានធ្វើឱ្យអនាមិកយ៉ាងពិតប្រាកដ (ឧ. ការកំណត់អត្តសញ្ញាណឡើងវិញលែងអាចធ្វើទៅបានដោយមធ្យោបាយសមហេតុផលណាមួយទៀតហើយ)។

ផលវិបាកនៃពិភពលោក៖ ទីភ្នាក់ងារសារព័ត៌មាន AP បានបញ្ជាក់នៅក្នុងការណែនាំថា ការប្រើប្រាស់ឈ្មោះក្លែងក្លាយមិនមែនជាកាត "ចេញពីពន្ធនាគារដោយមិនចាំបាច់ជាប់គុក" នោះទេ។ ប្រសិនបើការកំណត់អត្តសញ្ញាណឡើងវិញអាចធ្វើទៅបាន កាតព្វកិច្ច GDPR ទាំងអស់នឹងត្រូវអនុវត្ត រួមទាំងការមានមូលដ្ឋានច្បាប់ ការធ្វើ DPIA និងការធានាសុវត្ថិភាពគ្រប់គ្រាន់។

ការអនុវត្តជាក់ស្តែង៖ សូមចាត់ទុកទិន្នន័យដែលមានឈ្មោះក្លែងក្លាយថាជាទិន្នន័យផ្ទាល់ខ្លួន លុះត្រាតែអ្នកបានឆ្លងកាត់ដំណើរការធ្វើឱ្យអនាមិកយ៉ាងម៉ត់ចត់ដែលត្រូវបានផ្ទៀងផ្ទាត់ដោយអ្នកជំនាញ។ សូមកត់ត្រាវិធានការបច្ចេកទេស និងអង្គការដែលមានជាធរមាន ដើម្បីការពារការកំណត់អត្តសញ្ញាណឡើងវិញ។

សំណួរសួរជាញឹកញាប់​

តើពេលណាទើបអាចអនុញ្ញាតឲ្យចែករំលែកទិន្នន័យក្រោម GDPR?

ការចែករំលែកទិន្នន័យគឺស្របច្បាប់លុះត្រាតែអ្នកមានមូលដ្ឋានច្បាប់ត្រឹមត្រូវក្រោមមាត្រា 6 GDPR។ មូលដ្ឋានច្បាប់ទាំងប្រាំមួយគឺ៖ ការយល់ព្រម ភាពចាំបាច់តាមកិច្ចសន្យា កាតព្វកិច្ចផ្លូវច្បាប់ ផលប្រយោជន៍សំខាន់ៗ ភារកិច្ចសាធារណៈ និងផលប្រយោជន៍ស្របច្បាប់។ អ្នកក៏ត្រូវតែអនុវត្តតាមគោលការណ៍នៃភាពស្របច្បាប់ ភាពយុត្តិធម៌ តម្លាភាព ការកំណត់គោលបំណង ការកាត់បន្ថយទិន្នន័យ ភាពត្រឹមត្រូវ ការកំណត់ការផ្ទុក ភាពសុចរិត និងការសម្ងាត់ (មាត្រា 5 GDPR)។ នៅក្នុងការអនុវត្ត នេះមានន័យថា ការកត់ត្រាយ៉ាងច្បាស់លាស់អំពីមូលហេតុដែលអ្នកកំពុងចែករំលែកទិន្នន័យ ធានាថាគោលបំណងស្របតាមមូលហេតុដែលអ្នកប្រមូលវាដំបូង និងការជូនដំណឹងដល់ម្ចាស់ទិន្នន័យអំពីការចែករំលែក។

តើអ្វីជាភាពខុសគ្នារវាងឧបករណ៍បញ្ជា និងឧបករណ៍ដំណើរការ?

A ឧបករណ៍បញ្ជា កំណត់គោលបំណង និងមធ្យោបាយនៃការដំណើរការទិន្នន័យផ្ទាល់ខ្លួន។ ក ខួរក្បាល ដំណើរការទិន្នន័យក្នុងនាមអ្នកត្រួតពិនិត្យក្រោមការណែនាំជាក់លាក់។ ភាពខុសគ្នានេះមានសារៈសំខាន់ ពីព្រោះអ្នកត្រួតពិនិត្យទទួលខុសត្រូវជាចម្បងចំពោះការអនុលោមតាម GDPR ខណៈពេលដែលអ្នកដំណើរការមានកាតព្វកិច្ចមានកំណត់ជាង (ជាចម្បងធានាសុវត្ថិភាព និងការសម្ងាត់)។ ប្រសិនបើអ្នកកំពុងចែករំលែកទិន្នន័យជាមួយអ្នកផ្គត់ផ្គង់ដែលដំណើរការវាតាមការណែនាំរបស់អ្នក - ឧទាហរណ៍ អ្នកផ្តល់សេវាបើកប្រាក់បៀវត្សរ៍ ឬសេវាកម្មផ្ទុកទិន្នន័យលើពពក - ជាធម្មតាពួកគេគឺជាអ្នកដំណើរការ។ ប្រសិនបើពួកគេក៏សម្រេចចិត្តពីរបៀបប្រើប្រាស់ទិន្នន័យសម្រាប់គោលបំណងផ្ទាល់ខ្លួនរបស់ពួកគេដែរ ពួកគេអាចជាអ្នកត្រួតពិនិត្យ (រួមគ្នា)។ ការកំណត់តួនាទីមិនត្រឹមត្រូវអាចនាំឱ្យមានគម្លាតក្នុងការទទួលខុសត្រូវ និងការទទួលខុសត្រូវរួមគ្នាចំពោះការរំលោភបំពាន។

តើពេលណាជាកាតព្វកិច្ចសម្រាប់កិច្ចព្រមព្រៀងដំណើរការទិន្នន័យ (DPA)?

DPA គឺជាកាតព្វកិច្ចនៅពេលណាដែលអ្នកជួលអ្នកដំណើរការទិន្នន័យផ្ទាល់ខ្លួនឱ្យដោះស្រាយទិន្នន័យផ្ទាល់ខ្លួនជំនួសអ្នក (មាត្រា 28 GDPR)។ នេះអនុវត្តដោយមិនគិតពីទំហំនៃអង្គការរបស់អ្នក ឬបរិមាណទិន្នន័យដែលពាក់ព័ន្ធនោះទេ។ DPA ត្រូវតែជាលាយលក្ខណ៍អក្សរ និងរួមបញ្ចូលឃ្លាចាំបាច់ជាក់លាក់ ដូចជាប្រធានបទ និងរយៈពេលនៃដំណើរការ លក្ខណៈ និងគោលបំណង ប្រភេទទិន្នន័យ និងប្រភេទទិន្នន័យដែលជាប្រធានបទ និងកាតព្វកិច្ចរបស់ភាគីទាំងពីរទាក់ទងនឹងសុវត្ថិភាព ការជូនដំណឹងអំពីការរំលោភបំពាន និងដំណើរការរង។ បើគ្មាន DPA ដែលអនុលោមតាមទេ អ្នកនឹងស្ថិតក្នុងការរំលោភបំពានចាប់ពីពេលដែលអ្នកដំណើរការចាប់ផ្តើមដំណើរការ ទោះបីជាមិនមានគ្រោះថ្នាក់កើតឡើងក៏ដោយ។

តើខ្ញុំអាចចែករំលែកទិន្នន័យអតិថិជនជាមួយភាគីនៅខាងក្រៅសហភាពអឺរ៉ុបបានទេ?

បាទ/ចាស៎ ប៉ុន្តែលុះត្រាតែលក្ខខណ្ឌតឹងរ៉ឹងត្រូវបានបំពេញ។ ក្រោមមាត្រា 44–49 GDPR អ្នកអាចផ្ទេរទិន្នន័យទៅប្រទេសទីបីបាន ប្រសិនបើ៖ (ក) គណៈកម្មការអឺរ៉ុបបានចេញសេចក្តីសម្រេចអំពីភាពគ្រប់គ្រាន់សម្រាប់ប្រទេសនោះ ឬ (ខ) អ្នកបានដាក់ចេញនូវវិធានការការពារសមស្រប ដូចជាប្រការកិច្ចសន្យាស្តង់ដារ (SCCs)។ បន្ទាប់ពី Schrems II លើសពីការវិនិច្ឆ័យ អ្នកក៏ត្រូវធ្វើការវាយតម្លៃផលប៉ះពាល់នៃការផ្ទេរ (TIA) ដើម្បីវាយតម្លៃថាតើច្បាប់របស់ប្រទេសគោលដៅ (ឧទាហរណ៍ ការឃ្លាំមើលរបស់រដ្ឋាភិបាល) ធ្វើឱ្យប៉ះពាល់ដល់ការការពារដែលធានាដោយ SCC ដែរឬទេ។ ប្រសិនបើហានិភ័យនៅតែមាន អ្នកត្រូវតែអនុវត្តវិធានការបន្ថែម ដូចជាការអ៊ិនគ្រីប ឬការបង្រួមអប្បបរមាទិន្នន័យ។ ការផ្ទេរដោយគ្មានការការពារគ្រប់គ្រាន់អាចបណ្តាលឱ្យមានសកម្មភាពអនុវត្តដោយ AP រួមទាំងការផ្អាកការផ្ទេរ។

តើពេលណា DPIA ត្រូវបានទាមទារសម្រាប់ការចែករំលែកទិន្នន័យ?

DPIA គឺជាកាតព្វកិច្ចក្រោមមាត្រា 35 GDPR នៅពេលដែលដំណើរការទំនងជាបណ្តាលឱ្យមានហានិភ័យខ្ពស់ដល់សិទ្ធិ និងសេរីភាពរបស់បុគ្គល។ នេះរួមមាន៖ ដំណើរការទ្រង់ទ្រាយធំនៃប្រភេទទិន្នន័យពិសេស (ឧទាហរណ៍ សុខភាព ជីវមាត្រ ទិន្នន័យហ្សែន) ការត្រួតពិនិត្យជាប្រព័ន្ធនៃតំបន់ដែលអាចចូលដំណើរការបានជាសាធារណៈ ការធ្វើការសម្រេចចិត្តដោយស្វ័យប្រវត្តិជាមួយនឹងផលប៉ះពាល់ផ្នែកច្បាប់ ឬផលប៉ះពាល់ស្រដៀងគ្នា និងការប្រើប្រាស់បច្ចេកវិទ្យាថ្មីៗ។ នៅពេលចែករំលែកទិន្នន័យ DPIA ជារឿយៗត្រូវបានទាមទារ ប្រសិនបើអ្នកកំពុងផ្សំសំណុំទិន្នន័យ ចែករំលែកព័ត៌មានរសើប ឬប្រើប្រាស់ទិន្នន័យសម្រាប់ការវិភាគទម្រង់ ឬការវិភាគដែលជំរុញដោយ AI។ AP បានបោះពុម្ពផ្សាយបញ្ជីប្រតិបត្តិការដំណើរការដែលតម្រូវឱ្យមាន DPIA។ ប្រសិនបើមានការសង្ស័យ សូមអនុវត្តវា - វាជាការប្រសើរជាងក្នុងការមានសុវត្ថិភាពជាជាងការសោកស្តាយ។

តើ​ក្រុមហ៊ុន​នានា​អាច​ប្រឈម​នឹង​ការ​ពិន័យ​អ្វីខ្លះ​ចំពោះ​ការ​រំលោភ​លើ GDPR?

GDPR ចែងអំពីការពិន័យជាប្រាក់ពីរកម្រិត។ កម្រិតទាបបំផុត — រហូតដល់ ១០ លានអឺរ៉ូ ឬ ២% នៃចំណូលប្រចាំឆ្នាំសកល — អនុវត្តចំពោះការរំលោភដូចជាការខកខានមិនអនុវត្តវិធានការសន្តិសុខសមស្រប ឬមិនធ្វើ DPIA នៅពេលដែលត្រូវការ។ កម្រិតខ្ពស់ — រហូតដល់ ២០ លានអឺរ៉ូ ឬ ៤% នៃចំណូលប្រចាំឆ្នាំសកល — អនុវត្តចំពោះការរំលោភធ្ងន់ធ្ងរជាងនេះ រួមទាំងការខ្វះមូលដ្ឋានស្របច្បាប់សម្រាប់ដំណើរការ ការផ្ទេរអន្តរជាតិខុសច្បាប់ ឬការរំលោភសិទ្ធិរបស់ម្ចាស់ទិន្នន័យ។ AP កំណត់ចំនួនទឹកប្រាក់ពិន័យដោយផ្អែកលើកត្តានានា រួមទាំងលក្ខណៈ និងភាពធ្ងន់ធ្ងរនៃការរំលោភបំពាន មិនថាវាជាចេតនា ឬធ្វេសប្រហែស ចំនួនបុគ្គលដែលរងផលប៉ះពាល់ និងសកម្មភាពបន្ធូរបន្ថយណាមួយដែលបានធ្វើឡើង។ ការអនុវត្តថ្មីៗនេះបង្ហាញថា AP មានឆន្ទៈក្នុងការដាក់ពិន័យយ៉ាងច្រើន ជាពិសេសសម្រាប់ការរំលោភជាប្រព័ន្ធ ឬដោយចេតនា។

តើទិន្នន័យដែលមានឈ្មោះក្លែងក្លាយតែងតែមានសុវត្ថិភាពក្នុងការចែករំលែកដែរឬទេ?

ទេ។ ការធ្វើអនាមិក​កាត់បន្ថយហានិភ័យ ប៉ុន្តែមិនលុបបំបាត់វាចោលទេ។ យោងតាមមាត្រា 4(5) GDPR ការធ្វើអនាមិក​មានន័យថា ការជំនួស​ឧបករណ៍កំណត់អត្តសញ្ញាណដោយផ្ទាល់ (ដូចជាឈ្មោះ) ជាមួយលេខកូដ ឬឈ្មោះក្លែងក្លាយ។ ទោះយ៉ាងណាក៏ដោយ ប្រសិនបើទិន្នន័យនៅតែអាចភ្ជាប់ទៅបុគ្គលម្នាក់វិញ — ឧទាហរណ៍ ដោយការប្រើប្រាស់ព័ត៌មានបន្ថែមដែលអ្នក ឬអ្នកទទួលកាន់កាប់ — វានៅតែជាទិន្នន័យផ្ទាល់ខ្លួន ហើយស្ថិតនៅក្រោម GDPR ទាំងស្រុង។ នេះមានន័យថា អ្នកនៅតែត្រូវការមូលដ្ឋានច្បាប់ ត្រូវតែជូនដំណឹងដល់ម្ចាស់ទិន្នន័យ និងត្រូវតែធានាសុវត្ថិភាពគ្រប់គ្រាន់។ មានតែការធ្វើអនាមិកពិតប្រាកដ — ដែលការកំណត់អត្តសញ្ញាណឡើងវិញលែងអាចធ្វើទៅបានដោយមធ្យោបាយសមហេតុផលណាមួយ — ប៉ុណ្ណោះដែលលុបទិន្នន័យចេញពីវិសាលភាពនៃ GDPR។ នៅក្នុងការអនុវត្ត ការសម្រេចបាននូវការធ្វើអនាមិកពិតប្រាកដគឺពិបាក ហើយតម្រូវឱ្យមានការផ្ទៀងផ្ទាត់ពីអ្នកជំនាញ។

តើខ្ញុំគួរធ្វើដូចម្តេចប្រសិនបើអាជីវកម្មរបស់ខ្ញុំមានការលួចចូលទិន្នន័យដោយសារតែការចែករំលែកទិន្នន័យខុសច្បាប់?

ប្រសិនបើអ្នករកឃើញការបំពានទិន្នន័យផ្ទាល់ខ្លួន — រួមទាំងការបំពានដែលបណ្តាលមកពីការចែករំលែកទិន្នន័យខុសច្បាប់ — អ្នកត្រូវ ម៉ោង 72 ដើម្បីជូនដំណឹងដល់ AP ក្រោមមាត្រា 33 GDPR (លុះត្រាតែការរំលោភបំពាននេះទំនងជាមិនបង្កហានិភ័យដល់សិទ្ធិ និងសេរីភាពរបស់បុគ្គល)។ អ្នកក៏ត្រូវតែជូនដំណឹងដល់បុគ្គលដែលរងផលប៉ះពាល់ដោយមិនពន្យារពេលមិនសមរម្យ ប្រសិនបើការរំលោភបំពាននេះទំនងជាបង្កហានិភ័យខ្ពស់ដល់ពួកគេ (មាត្រា 34 GDPR)។ ជំហានភ្លាមៗរួមមាន៖ ការទប់ស្កាត់ការរំលោភបំពាន ការវាយតម្លៃវិសាលភាព និងផលប៉ះពាល់របស់វា ការកត់ត្រាអ្វីដែលបានកើតឡើង និងអ្វីដែលអ្នកកំពុងធ្វើអំពីវា និងការជូនដំណឹងដល់ AP តាមរយៈវិបផតថលអនឡាញរបស់ពួកគេ។ ការខកខានមិនបានជូនដំណឹងអាចបណ្តាលឱ្យមានការពិន័យដាច់ដោយឡែក។ AP នឹងវាយតម្លៃថាតើសកម្មភាពអនុវត្តច្បាប់ត្រូវបានទាមទារដោយផ្អែកលើភាពធ្ងន់ធ្ងរនៃការរំលោភបំពាន និងការឆ្លើយតបរបស់អ្នក។

ការពារអាជីវកម្មរបស់អ្នក—ទទួលបានការណែនាំផ្នែកច្បាប់ពីអ្នកជំនាញ

ការចែករំលែកទិន្នន័យគឺជៀសមិនរួចទេ ប៉ុន្តែការរំលោភលើ GDPR មិនចាំបាច់ដូច្នោះទេ។ ហានិភ័យទាំងប្រាំពីរដែលបានរៀបរាប់ខាងលើមិនមែនជាទ្រឹស្តីទេ - វាត្រូវបានទាញចេញពីករណីអនុវត្តជាក់ស្តែង សាលក្រមរបស់តុលាការ និងការណែនាំបទប្បញ្ញត្តិ។ រាល់ហានិភ័យទាំងអស់អាចបណ្តាលឱ្យមានការពិន័យ ការទាមទារការទទួលខុសត្រូវ និងការខូចខាតកេរ្តិ៍ឈ្មោះ។

ដំណឹងល្អ? ដោយមានក្របខ័ណ្ឌច្បាប់ត្រឹមត្រូវ ឯកសារច្បាស់លាស់ និងវិធានការអនុលោមភាពជាមុន អ្នកអាចចែករំលែកទិន្នន័យដោយទំនុកចិត្ត និងស្របច្បាប់។ ប៉ុន្តែការធ្វើវាឱ្យបានត្រឹមត្រូវតម្រូវឱ្យមានច្រើនជាងដំបូន្មានទូទៅ - វាតម្រូវឱ្យមានការគាំទ្រផ្នែកច្បាប់ដែលសមស្របនឹងអាជីវកម្មរបស់អ្នក លំហូរទិន្នន័យរបស់អ្នក និងហានិភ័យជាក់លាក់ដែលអ្នកប្រឈមមុខ។

កុំរង់ចាំឲ្យ AP គោះទ្វារ។ ប្រសិនបើអ្នកមិនប្រាកដថាការអនុវត្តការចែករំលែកទិន្នន័យរបស់អ្នកអនុលោមតាម GDPR ដែរឬទេ ឬប្រសិនបើអ្នកត្រូវការជំនួយក្នុងការព្រាង DPA ការធ្វើ DPIA ឬការគ្រប់គ្រងការផ្ទេរអន្តរជាតិ សូមទាក់ទងជាមួយមេធាវីឯកទេសផ្នែកឯកជនភាព។ អាជីវកម្មរបស់អ្នក និងអតិថិជនរបស់អ្នកសមនឹងទទួលបានអ្វីតិចជាងនេះ។