Compliance is a Shared Responsibility

Epicor is committed to data security and privacy—for both itself and its customers and will comply with the General Data Protection Regulation (GDPR) as it comes into effect. While Epicor GDPR compliance will contribute to its customers GDPR compliance status, compliance is a shared responsibility.

Epicor is committed to assisting its customers in complying with the GDPR requirements and continues to work on enhancements to help support its own compliance and that of its customers.

GDPR คืออะไร

การทำความเข้าใจถึงพื้นฐานของ GDPR

ข้อบังคับการคุ้มครองข้อมูลส่วนบุคคลทั่วไป (GDPR) เป็นกรอบของกฎหมายใหม่ที่นำมาบังคับใช้แทนระเบียบการคุ้มครองข้อมูลของสหภาพยุโรป โดยเริ่มมีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2018จุดประสงค์ของ GDPR คือการเพิ่มความคุ้มครองสิทธิ์ความเป็นส่วนตัวของบุคคลในสหภาพยุโรปด้วยการควบคุมวิธีการที่องค์กรจัดการและคุ้มครองข้อมูลส่วนตัวที่เป็นของบุคคลในสหภาพยุโรป ไม่ว่าข้อมูลส่วนตัวนั้นจะได้รับการรวบรวม ถ่ายโอน จัดเก็บ หรือประมวลผลมาจากที่ใดก็ตาม

GDPR มีการเปลี่ยนแปลงมากมายจากกฎหมายที่มีอยู่ ซึ่งมีผลกับแนวทางการจัดการข้อมูลส่วนตัวของสหภาพยุโรป และอาจส่งผลต่อธุรกิจมากมายทั่วโลกทุกแผนกโดยมีการคาดหมายว่าจะมีผลกับทุกองค์กรที่ประมวลผลข้อมูลส่วนตัวในสหภาพยุโรปให้กับตัวเองหรือในนามขององค์กรอื่น รวมไปถึงซัพพลายเออร์และบุคคลที่สามอื่นๆ ที่อาจประมวลผลข้อมูลส่วนตัวในสหภาพยุโรปให้กับองค์กรต่างๆ

GDPR ให้อะไรบ้าง

GDPR ให้บุคคลมีมาตรการควบคุมและสิทธิ์เฉพาะกับข้อมูลส่วนตัวGDPR ยังต้องการความโปร่งใสเกี่ยวกับการใช้งานข้อมูลส่วนตัวขององค์กร และสร้างความปลอดภัยและมาตรการควบคุมอื่นๆ เกี่ยวกับวิธีการคุ้มครองข้อมูลส่วนตัว

GDPR ส่งผลต่อใครบ้าง

ข้อกำหนดของ GDPR อาจปรับใช้กับทุกองค์กรที่ประมวลผลข้อมูลส่วนตัวในสหภาพยุโรปข้อกำหนดเหล่านี้อาจนำไปปรับใช้กับบุคคลภายนอกและซัพพลายเออร์รายอื่นที่องค์กรอาจนำไปใช้เพื่อประมวลผลข้อมูล

GDPR ส่งผลต่อองค์กรที่อยู่ภายนอกสหภาพยุโรปหรือไม่

GDPR มีผลภายนอกอาณาเขตของสหภาพยุโรปซึ่งมีแนวโน้มที่จะส่งผลกระทบต่อทุกองค์กร ไม่ว่าจะตั้งอยู่ที่ใดก็ตาม หากองค์กรนั้นทำการรวบรวม รับ ประมวลผล หรือจัดเก็บข้อมูลส่วนตัวในสหภาพยุโรปข้อบังคับนี้อาจมีการปรับใช้กับทุกองค์กรที่อยู่ภายนอกสหภาพยุโรป ที่ทำการรวบรวมหรือรับข้อมูลส่วนตัวในสหภาพยุโรป

หลักการสำคัญของ GDPR คืออะไร

จุดประสงค์ของ GDPR คือการเพิ่มสิทธิส่วนตัวที่อยู่อยู่ เพิ่มสิทธิ์ใหม่ และให้บุคคลในสหภาพยุโรปทำการควบคุมข้อมูลส่วนตัวของตนได้มากขึ้นหลักการพื้นฐานของ GDPR คือการ:

  • กำหนดให้มีความโปร่งใสในการจัดการและการใช้งานข้อมูลส่วนตัว
  • จำกัดการประมวลผลข้อมูลส่วนตัวเพื่อจุดประสงค์ทางกฎหมายที่เฉพาะเจาะจง
  • จำกัดการรวบรวมข้อมูลส่วนตัว และจัดเก็บไว้เพื่อจุดประสงค์ที่ต้องการ
  • ช่วยให้บุคคลร้องขอในสถานการณ์เฉพาะให้เข้าใช้งาน แก้ไข ลบ (สิทธิที่จะถูกลืม) ถ่ายโอนข้อมูลส่วนตัวของตนไปยังบุคคลที่สาม จำกัด หรือปฏิเสธการประมวลผลข้อมูลส่วนตัวของตน
  • ทำให้แน่ใจว่ามีการคุ้มครองข้อมูลส่วนตัวโดยใช้มาตรการรักษาความปลอดภัยที่เหมาะสม
  • จำกัดการจัดเก็บข้อมูลส่วนตัวไว้นานเท่าที่จำเป็นต้องใช้เพื่อจุดประสงค์ที่ต้องการเท่านั้น

หลักการของ GDPR มีความหมายอย่างไรต่อธุรกิจของฉัน

บุคคลในสหภาพยุโรปอาจมีสิทธิ์ที่จะทราบว่ามีการประมวลผล ใช้งาน แชร์ และจัดเก็บข้อมูลส่วนตัวของตนหรือไม่ และอย่างไรและบุคคลอาจมีสิทธิส่วนตัวอื่นๆ มากมาย เช่น การให้สิทธิ์การเข้าใช้งานข้อมูลส่วนตัวของตนในการตอบสนองต่อคำขอดังกล่าว ต้องมีการให้ข้อมูลดังกล่าวกับบุคคลนั้นๆ ในรูปแบบที่มีความชัดเจนและเข้าใจได้

บุคคลอาจมีสิทธิ์ในการขอให้แก้ไขหรือลบข้อมูลส่วนตัวได้ด้วยหากมีบุคคลที่ไม่ต้องการให้ประมวลผลข้อมูลส่วนตัวของตนแล้ว และองค์กรไม่มีหลักกฎหมายอื่นในการจัดเก็บ ข้อมูลนั้นจะต้องถูกลบออก

GDPR ยังให้บุคคลในสหภาพยุโรปมีสิทธิ์ทราบว่ามีการรั่วไหลของข้อมูลส่วนตัวGDPR บังคับให้องค์กรต้องแจ้งบุคคลถึงความเสี่ยงสูงที่ข้อมูลจะรั่วไหล นอกเหนือไปจากการแจ้งเตือนถึงหน่วยงานคุ้มครองข้อมูลที่เกี่ยวข้อง

คำจำกัดความของ GDPR

GDPR ใช้คำศัพท์มากมายทั้งที่อาจไม่คุ้นเคยหรือชัดเจนเป็นอย่างยิ่งเราได้พยายามทำให้เข้าใจง่ายขึ้น

ข้อมูลส่วนตัว:ข้อมูลส่วนตัวเป็นส่วนสำคัญของ GDPR และคำจำกัดความของข้อมูลส่วนตัวนั้นก็กว้างมากตัวอย่างของข้อมูลส่วนตัวประกอบด้วย ชื่อ, ที่อยู่อีเมล, หมายเลขโทรศัพท์, ที่อยู่กายภาพ, ข้อมูลระบุอุปกรณ์ เช่น ที่อยู่ IP, ข้อมูลตำแหน่งที่ตั้งทางภูมิศาสตร์, ข้อมูลสุขภาพ, ข้อมูลทางการเงิน, อายุ, วันเกิด ฯลฯ แม้ว่าข้อมูลดังกล่าวอย่างที่อยู่อีเมลและชื่อของบุคคลอาจเป็นข้อมูลที่สามารถหาได้ผ่านการค้นหาทางสาธารณะหรือเอกสารราชการอื่นๆ ก็ถือว่าเป็นข้อมูลส่วนตัวที่ต้องได้รับความคุ้มครองภายใต้ GDPRองค์กรที่มีข้อสงสัยว่าข้อมูลที่เกี่ยวข้องกับบุคคลหรืออุปกรณ์ของบุคคลเป็นข้อมูลส่วนตัวหรือไม่ โดยทั่วไปแล้วจะให้ถือว่าเป็นข้อมูลส่วนตัว

ผู้ควบคุม:ผู้ควบคุมเป็นองค์กรที่พิจารณาถึงวิธีการและจุดประสงค์ในการรวบรวม ใช้ ประมวลผล เปิดเผย และเก็บรักษาข้อมูลส่วนตัวเช่น เมื่อบริษัทรวบรวมข้อมูลส่วนตัวจากบุคคลโดยตรง หรือรับข้อมูลส่วนตัวจากบุคคลที่สามที่ทำการรวบรวมข้อมูลนั้นในนามของบริษัท โดยทั่วไปแล้ว จะถือว่าบริษัทดังกล่าวเป็นผู้ควบคุม

การประมวลผล:การประมวลผลเป็นการดำเนินการที่ทำกับข้อมูลส่วนตัว ไม่ว่าจะด้วยวิธีการที่เป็นอัตโนมัติหรือไม่ก็ตามซึ่งรวมไปถึงการรวบรวม การบันทึก การจัดระเบียบ การจัดโครงสร้าง การจัดเก็บ การดัดแปลงหรือเปลี่ยนแปลงแก้ไข การค้นคืน การปรึกษาหารือ การใช้งาน การเปิดเผยด้วยการส่งผ่าน แจกจ่าย หรือวิธีการอื่นที่ทำให้ใช้งานได้ การจัดแนวหรือรวมเข้ากัน การจำกัด การลบ หรือการทำลายข้อมูลส่วนตัวการดำเนินการแทบทุกอย่างที่ทำกับข้อมูลส่วนตัวอาจถือได้ว่าเป็นการประมวลผล

ผู้ประมวลผล:ผู้ประมวลผลเป็นองค์กรที่ประมวลผล (เช่น รวบรวม จัดเก็บ ใช้งาน หรือเปิดเผย) ข้อมูลส่วนตัวในนามของผู้ควบคุมแต่เพียงผู้เดียว รวมทั้งตามคำแนะนำของผู้ควบคุม

สิ่งใดบ้างที่ฉันจำเป็นต้องคิดถึงเกี่ยวกับ GDPR

ซอฟต์แวร์และระบบของคุณเป็นส่วนสำคัญที่ต้องพิจารณาถึง หากต้องการปฏิบัติตามข้อกำหนดของ GDPR และควรเป็นส่วนหนึ่งของการปรับใช้แนวทางทั่วทั้งองค์กรอย่างเข้มแข็งต่อการปฏิบัติตาม GDPRสิ่งที่จำเป็นสำหรับการปฏิบัติตามข้อกำหนดของ GDPR ส่วนใหญ่แล้วเกี่ยวข้องกับการประมวลผล และองค์กรควรพิจารณาถึงสิ่งต่อไปนี้

  • ระบุข้อมูลส่วนตัวที่คุณมี และระบุว่าข้อมูลนั้นอยู่ที่ใด
  • บังคับใช้แนวทางที่เข้มแข็งกับการเข้าถึงและใช้งานข้อมูลส่วนตัว
  • สร้างมาตรการควบคุมด้านการรักษาความปลอดภัยที่เหมาะสมเพื่อป้องกัน ตรวจหา และตอบสนองต่อความเสี่ยงและการรั่วไหลของข้อมูล
  • ตอบสนองต่อคำขอของบุคคลในการยืนยันสิทธิในการได้รับความคุ้มครองข้อมูลของตน (เช่น คำขอให้บุคคลมอบสำเนาของข้อมูลส่วนตัวของตนให้)
  • เก็บรักษาเอกสารประกอบเรื่องการปฏิบัติตามกฎระเบียบ รวมไปถึงบันทึกกิจกรรมด้านการประมวลผล และการตอบสนองต่อคำขอจากบุคคล
  • รายงานทุกการรั่วไหลของข้อมูลอย่างทันท่วงที ตามที่กฎหมายกำหนด

ฉันจะได้รับสิ่งใดจาก Epicor เพื่อช่วยให้บริษัทของฉันปฏิบัติตามข้อกำหนด GDPR ได้

Epicor ให้ความสำคัญกับความเป็นส่วนตัวและการรักษาความปลอดภัยของข้อมูล ทั้งกับตัวบริษัทและตัวลูกค้าทั่วโลกEpicor ทำหน้าที่ในฐานะผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลอย่างจริงจัง ซึ่งคล้ายคลึงกับข้อกำหนดตามระเบียบข้อบังคับและข้อกำหนดตามกฎหมายอื่นๆ ที่มีอยู่

การปฏิบัติตาม GDPR ถือเป็นความรับผิดชอบร่วมกันระหว่าง Epicor และลูกค้าของเราบริการและผลิตภัณฑ์ของ Epicor สามารถมีผลกับการปฏิบัติตาม GDPR ของคุณได้ หากทำการประมวลผลข้อมูลส่วนตัวเช่น บริการและผลิตภัณฑ์ของเรามีฟังก์การใช้งานที่ช่วยในการทำตามคำขอด้านสิทธิส่วนตัวผลิตภัณฑ์และบริการต่างๆ รวมไปถึงโซลูชันที่ Epicor จัดไว้ให้ จะมีมาตรการรักษาความปลอดภัยและมาตรการควบคุมการเข้าใช้งานองค์กรต่างๆ สามารถรวมขั้นตอนและฟังก์ชันการทำงานไว้ในบริการและผลิตภัณฑ์ของ Epicor เพื่อช่วยให้องค์กรเหล่านั้นทำตามหน้าที่ในการปฏิบัติตาม GDPR ของตนได้

Epicor ยังให้ความสำคัญกับการช่วยเหลือลูกค้าของเราในการปฏิบัติตามข้อกำหนดมากมายที่บังคับใช้กับธุรกิจของลูกค้า ซึ่งรวมไปถึง GDPR ด้วยEpicor จึงมีการติดตามหลักปฏิบัติที่ดีที่สุดและกฎหมายที่มีการเปลี่ยนแปลงอย่างต่อเนื่องเพื่อช่วยในการปรับปรุงผลิตภัณฑ์ สัญญา และเอกสารประกอบให้ดียิ่งขึ้น เพื่อช่วยในการสนับสนุนด้านการปฏิบัติตามหน้าที่ตามกฎหมายของลูกค้าของเรา ซึ่งรวมไปถึง GDPR ด้วย