ဒေတာမျှဝေခြင်းသည် ခေတ်သစ်ကူးသန်းရောင်းဝယ်ရေး၏ အသက်သွေးကြောဖြစ်သည်။ သင်သည် cloud provider အသစ်တစ်ခုကို ခန့်အပ်နေသည်ဖြစ်စေ၊ စျေးကွက်ရှာဖွေရေးအေဂျင်စီတစ်ခုနှင့် ပူးပေါင်းဆောင်ရွက်နေသည်ဖြစ်စေ၊ ပြင်ပ HR စနစ်ကို ပေါင်းစပ်နေသည်ဖြစ်စေ ကိုယ်ရေးကိုယ်တာဒေတာများသည် အဖွဲ့အစည်းများအကြား အဆက်မပြတ်စီးဆင်းနေပါသည်။ သို့သော် မသက်မသာဖြစ်စေသော အမှန်တရားမှာ- စီးပွားရေးလုပ်ငန်းအများစုသည် အထွေထွေဒေတာကာကွယ်ရေးစည်းမျဉ်း (GDPR) အရ ဒေတာမျှဝေခြင်းသည် ကိုယ်စားပြုသည့် ဥပဒေဆိုင်ရာမိုင်းကွင်းကို လျှော့တွက်ထားကြသည်။

အန္တရာယ်တွေက တကယ်ရှိပါတယ်။ ဒဏ်ကြေးတွေဟာ ယူရို ၂၀ သန်း ဒါမှမဟုတ် ကမ္ဘာလုံးဆိုင်ရာ နှစ်စဉ်ဝင်ငွေရဲ့ ၄% အထိ ရှိနိုင်ပါတယ်—ဘယ်ဟာက ပိုများလဲ။ ငွေကြေးဆိုင်ရာ ဒဏ်ကြေးတွေအပြင်၊ ဂုဏ်သိက္ခာ ထိခိုက်မှု၊ စည်းမျဉ်းစည်းကမ်းဆိုင်ရာ စစ်ဆေးမှုနဲ့ ထိခိုက်ခံရသူတွေဆီကနေ အရပ်ဘက်တာဝန်ယူမှု တောင်းဆိုမှုတွေ ရှိလာနိုင်ပါတယ်။ ဒတ်ချ်ဒေတာကာကွယ်ရေးအာဏာပိုင် (Autoriteit Persoonsgegevens, or AP) က ရှင်းရှင်းလင်းလင်း ပြောကြားခဲ့ပါတယ်- မသိနားမလည်မှုဟာ ခုခံကာကွယ်မှု မဟုတ်ပါဘူး။

ဤဆောင်းပါးသည် ကိုယ်ရေးကိုယ်တာအချက်အလက်များကို မျှဝေသည့်အခါ ပေါ်ပေါက်လာသည့် GDPR အန္တရာယ်ခုနစ်ခုကို လမ်းညွှန်ပေးပါမည်။ အန္တရာယ်တစ်ခုစီကို သီးခြား GDPR ပြဋ္ဌာန်းချက်များပေါ်တွင် အခြေခံထားပြီး လက်တွေ့ကမ္ဘာ၏ အကျိုးဆက်များဖြင့် သရုပ်ဖော်ထားပြီး လိုက်နာမှုရှိစေရန် လက်တွေ့ကျသော လမ်းညွှန်ချက်များနှင့်အတူ တွဲဖက်ထားသည်။ သင်သည် စီးပွားရေးလုပ်ငန်းရှင်၊ လိုက်နာမှုအရာရှိ သို့မဟုတ် နယ်သာလန်တွင် လုပ်ကိုင်နေသော ဥပဒေပညာရှင်တစ်ဦးဖြစ်စေ ဤအန္တရာယ်များကို နားလည်ခြင်းသည် မရှိမဖြစ်လိုအပ်ပါသည်။

၁။ တရားဝင်ဥပဒေအခြေခံမရှိဘဲ ဒေတာမျှဝေခြင်း (GDPR အပိုဒ် ၆)

အန္တရာယ်- ကိုယ်ရေးကိုယ်တာဒေတာကို အဆင်ပြေသည် သို့မဟုတ် အကျိုးရှိသည်ဟူသော အကြောင်းပြချက်ဖြင့် မျှဝေ၍မရပါ။ ဒေတာမျှဝေခြင်းတိုင်းတွင် GDPR အပိုဒ် ၆ အရ တရားဝင်ဥပဒေဆိုင်ရာ အခြေခံတစ်ခု လိုအပ်ပါသည်။

ကုမ္ပဏီများ အဘယ်ကြောင့် မှားယွင်းစွာ ခံယူကြသည်- အဖွဲ့အစည်းအများစုက ဒေတာမျှဝေရန် စီးပွားရေးအကြောင်းပြချက်ရှိခြင်းသည် လုံလောက်သည်ဟု ယူဆကြသည်။ ၎င်းသည် လုံလောက်မှုမရှိပါ။ GDPR သည် စီမံဆောင်ရွက်ရန်အတွက် တရားဝင်အခြေခံခြောက်ခုကို ပေးသည်- သဘောတူညီချက်၊ စာချုပ်ဆိုင်ရာလိုအပ်ချက်၊ တရားဝင်တာဝန်ဝတ္တရား၊ အရေးကြီးသောအကျိုးစီးပွားများ၊ အများပြည်သူဆိုင်ရာတာဝန်နှင့် တရားဝင်အကျိုးစီးပွားများ။ တစ်ခုချင်းစီတွင် သီးခြားလိုအပ်ချက်များနှင့် ကန့်သတ်ချက်များရှိသည်။

ဥပမာအားဖြင့်၊ “တရားဝင်အကျိုးစီးပွားများ” ကို မိတ်ဖက်များ သို့မဟုတ် ဝန်ဆောင်မှုပေးသူများနှင့် ဒေတာမျှဝေခြင်းကို တရားမျှတစေရန် မကြာခဏ ကိုးကားလေ့ရှိသည်။ သို့သော် ဤအခြေခံသည် ဂရုတစိုက် ချိန်ခွင်လျှာညှိသည့် စမ်းသပ်မှုတစ်ခု လိုအပ်သည်- သင့်အကျိုးစီးပွားများသည် သင်စီမံဆောင်ရွက်နေသော ဒေတာပိုင်ရှင်များ၏ အခွင့်အရေးများနှင့် လွတ်လပ်ခွင့်များကို လွှမ်းမိုးခြင်းမရှိစေရ။ ထို့အပြင် ဤအကဲဖြတ်ချက်ကို သင်မှတ်တမ်းတင်ရမည်။

ဥပဒေရေးရာ အခြေခံအကြောင်းပြချက်- အပိုဒ် ၆ GDPR သည် တရားဝင်အခြေခံများ၏ အပြည့်အစုံစာရင်းကို ဖော်ပြထားသည်။ အပိုဒ် 5(1)(a) GDPR သည် လုပ်ဆောင်မှုအားလုံးသည် တရားဝင်၊ တရားမျှတပြီး ပွင့်လင်းမြင်သာမှုရှိရန် အမိန့်ပေးထားသည်။

လက်တွေ့ကမ္ဘာအကျိုးဆက်- AP သည် သင့်လျော်သော ဥပဒေရေးရာအခြေခံမရှိဘဲ စျေးကွက်ရှာဖွေရေးရည်ရွယ်ချက်များအတွက် ဖောက်သည်ဒေတာကို ပြင်ပအဖွဲ့အစည်းများနှင့် မျှဝေသည့် အဖွဲ့အစည်းများအား ဒဏ်ငွေများ ထုတ်ပြန်ခဲ့သည်။ ဒေတာကို အမည်မဖော်ဘဲ ပြုလုပ်ထားခြင်း သို့မဟုတ် စုစည်းထားခြင်း ရှိခဲ့လျှင်ပင် ပြန်လည်ခွဲခြားသတ်မှတ်နိုင်ပါက ၎င်းသည် ကိုယ်ရေးကိုယ်တာဒေတာအဖြစ် ဆက်လက်တည်ရှိနေပြီး ဥပဒေရေးရာအခြေခံ လိုအပ်ပါသည်။

လက်တွေ့သုံးဆောင်ရန်- ကိုယ်ရေးကိုယ်တာဒေတာများကို မျှဝေခြင်းမပြုမီ၊ မည်သည့်ဥပဒေရေးရာအခြေခံနှင့် သက်ဆိုင်သည်ကို ဖော်ထုတ်ပြီး မှတ်တမ်းတင်ပါ။ တရားဝင်အကျိုးစီးပွားများကို အားကိုးပါက တရားဝင်အကျိုးစီးပွားအကဲဖြတ်ခြင်း (LIA) ကို ပြုလုပ်ပြီး မှတ်တမ်းတင်ပါ။ သဘောတူညီချက်ကို အသုံးပြုပါက၊ ၎င်းကို လွတ်လပ်စွာပေးအပ်ထားကြောင်း၊ တိကျကြောင်း၊ သတင်းအချက်အလက်အပြည့်အစုံရရှိပြီး ရှင်းလင်းပြတ်သားမှုမရှိကြောင်း သေချာပါစေ။

၂။ အခန်းကဏ္ဍများနှင့်ပတ်သက်သည့် ရှုပ်ထွေးမှု- ထိန်းချုပ်ကိရိယာ vs. ပရိုဆက်ဆာ (အပိုဒ် 4(7)–(8) GDPR)

အန္တရာယ်- GDPR သည် ထိန်းချုပ်သူများ (လုပ်ဆောင်ခြင်း၏ ရည်ရွယ်ချက်များနှင့် နည်းလမ်းများကို ဆုံးဖြတ်ပေးသူများ) နှင့် ပရိုဆက်ဆာများ (ထိန်းချုပ်သူကိုယ်စား ဒေတာများကို စီမံဆောင်ရွက်သူများ) ကို ခွဲခြားသတ်မှတ်သည်။ သင့်အခန်းကဏ္ဍ သို့မဟုတ် သင့်လုပ်ဖော်ကိုင်ဖက်၏ အခန်းကဏ္ဍကို မှားယွင်းစွာ ခွဲခြားသတ်မှတ်ခြင်းသည် လိုက်နာမှုဆိုင်ရာ ကွာဟချက်များကို ပြင်းထန်စွာ ဖန်တီးပေးသည်။

ကုမ္ပဏီများ အဘယ်ကြောင့် မှားယွင်းစွာ ခံယူကြသည်- လက်တွေ့မှာ အခန်းကဏ္ဍတွေက မရေမရာဖြစ်နိုင်ပါတယ်။ SaaS ပံ့ပိုးပေးသူနဲ့ ဒေတာမျှဝေရင် သူတို့က ထိန်းချုပ်သူလား၊ ပရိုဆက်ဆာလား။ သူတို့က သင့်ရဲ့ဒေတာကို သုံးပြီး algorithm တွေ တိုးတက်အောင်လုပ်ရင်ကော။ စီးပွားရေးလုပ်ငန်းအများစုက ရောင်းချသူတိုင်းကို ဆက်ဆံရေးကို ကောင်းကောင်းမခွဲခြမ်းစိတ်ဖြာဘဲ "ပရိုဆက်ဆာ" လို့ ပုံမှန်ခေါ်ဆိုလေ့ရှိပါတယ်။

ထိန်းချုပ်သူများနှင့် ပရိုဆက်ဆာများတွင် မတူညီသော တာဝန်ဝတ္တရားများ ရှိသောကြောင့် မှားယွင်းစွာ အမျိုးအစားခွဲခြားခြင်းသည် အရေးကြီးပါသည်။ ထိန်းချုပ်သူများသည် ပရိုဆက်ဆာများသည် လိုက်နာမှုဆိုင်ရာ လုံလောက်သော အာမခံချက်များ ပေးစွမ်းနိုင်ကြောင်း သေချာစေရမည် (ပုဒ်မ ၂၈ GDPR)။ ပူးတွဲထိန်းချုပ်သူများသည် ၎င်းတို့၏ သက်ဆိုင်ရာ တာဝန်ဝတ္တရားများကို သဘောတူရမည် (ပုဒ်မ ၂၆ GDPR)။ မှားယွင်းပါက သင်မသိလိုက်ဘဲ ဖြစ်ပျက်နေသည့် ချိုးဖောက်မှုများအတွက် သင်တာဝန်ယူရနိုင်သည်။

ဥပဒေရေးရာ အခြေခံအကြောင်းပြချက်- အပိုဒ် 4(7) နှင့် (8) GDPR တွင် “ထိန်းချုပ်သူ” နှင့် “ပရိုဆက်ဆာ” ကို အဓိပ္ပာယ်ဖွင့်ဆိုထားသည်။ အပိုဒ် 24 GDPR တွင် ထိန်းချုပ်သူ၏ တာဝန်ခံမှုဆိုင်ရာ တာဝန်ဝတ္တရားများကို ဖော်ပြထားသည်။

လက်တွေ့ကမ္ဘာအကျိုးဆက်- ဥရောပတရားရုံးက ඉදිරියටတွင် ဆုံးဖြတ်ခဲ့သည် ဖက်ရှင် ID (C-40/17) ရည်ရွယ်ချက်များကို တစ်စိတ်တစ်ပိုင်းဆုံးဖြတ်ခြင်းသည်ပင် သင့်အား ပူးတွဲထိန်းချုပ်သူဖြစ်စေနိုင်သည်။ ဆိုလိုသည်မှာ အခြားပါတီတစ်ခုက GDPR ချိုးဖောက်မှုများကို ဖြစ်ပေါ်စေခဲ့လျှင်ပင် သင်သည် ပူးတွဲတာဝန်ယူရနိုင်သည်။

လက်တွေ့သုံးဆောင်ရန်- ဒေတာစီးဆင်းမှုများကို မြေပုံဆွဲပြီး မည်သူဆုံးဖြတ်သည်ကို ဆုံးဖြတ်ပါ အဘယ်ကြောင့် နှင့် ဘယ်လို အချက်အလက်များကို စီမံဆောင်ရွက်ပါသည်။ ၎င်းကို ရေးသားမှတ်တမ်းတင်ပြီး နှစ်ဖက်စလုံးသည် ၎င်းတို့၏ အခန်းကဏ္ဍနှင့် တာဝန်ဝတ္တရားများကို နားလည်ကြောင်း သေချာပါစေ။

၃။ ပျောက်ဆုံးနေသော သို့မဟုတ် မလုံလောက်သော ဒေတာစီမံဆောင်ရွက်မှု သဘောတူညီချက် (GDPR အပိုဒ် ၂၈)

အန္တရာယ်- သင့်ကိုယ်စား ကိုယ်ရေးကိုယ်တာအချက်အလက်များကို ကိုင်တွယ်ရန် ပရိုဆက်ဆာတစ်ဦးကို ငှားရမ်းပါက၊ သင်သည် တရားဝင်ရေးသားထားသော အချက်အလက်စီမံဆောင်ရွက်မှု သဘောတူညီချက် (DPA) ရှိရန် လိုအပ်ပါသည်။ ခြွင်းချက်မရှိပါ။

ကုမ္ပဏီများ အဘယ်ကြောင့် မှားယွင်းစွာ ခံယူကြသည်- အထူးသဖြင့် ယုံကြည်စိတ်ချရသော သို့မဟုတ် ရေရှည်လက်တွဲဖော်များနှင့်ဆိုလျှင် စာရွက်စာတမ်းကိစ္စများကို ကျော်သွားရန် သွေးဆောင်မှုရှိပါသည်။ သို့သော် လိုက်နာမှုရှိသော DPA မရှိဘဲ၊ အမှန်တကယ်ထိခိုက်မှုမဖြစ်ပွားသည့်တိုင် ပထမနေ့မှစ၍ GDPR အပိုဒ် ၂၈ ကို သင်ချိုးဖောက်ရာရောက်ပါသည်။

သင့်လျော်သော DPA တွင် သတ်မှတ်ထားသော မဖြစ်မနေလိုက်နာရမည့်အချက်များ ပါဝင်ရမည်- စီမံဆောင်ရွက်မှု၏ အကြောင်းအရာနှင့် ကြာချိန်၊ စီမံဆောင်ရွက်မှု၏ သဘောသဘာဝနှင့် ရည်ရွယ်ချက်၊ ကိုယ်ရေးကိုယ်တာဒေတာအမျိုးအစား၊ ဒေတာပိုင်ရှင်များ၏ အမျိုးအစားများနှင့် ထိန်းချုပ်သူ၏ တာဝန်ဝတ္တရားများနှင့် အခွင့်အရေးများ။ ၎င်းသည် တစ်ဆင့်ခံ စီမံဆောင်ရွက်မှု၊ ဒေတာလုံခြုံရေးနှင့် ချိုးဖောက်မှုအကြောင်းကြားစာကိုလည်း ကိုင်တွယ်ဖြေရှင်းရမည်။

ဥပဒေရေးရာ အခြေခံအကြောင်းပြချက်- အပိုဒ် 28(3) GDPR တွင် DPA ၏ မဖြစ်မနေပါဝင်ရမည့် အကြောင်းအရာကို ဖော်ပြထားသည်။ အပိုဒ် 28(4) GDPR တွင် လက်အောက်ခံ ပရိုဆက်ဆာများအတွက် ရှင်းလင်းသော ခွင့်ပြုချက် လိုအပ်ပါသည်။

လက်တွေ့ကမ္ဘာအကျိုးဆက်- AP သည် လုံလောက်သော DPA များမပါဘဲ ပရိုဆက်ဆာများကို ငှားရမ်းခြင်းအတွက် အဖွဲ့အစည်းများကို ပိတ်ဆို့ထားသည်။ ပရိုဆက်ဆာကိုယ်တိုင်က လိုက်နာမှုရှိသော်လည်း၊ သင့်လျော်သော သဘောတူညီချက်တစ်ခု မပြုလုပ်ပါက ထိန်းချုပ်သူအား ဒဏ်ငွေချမှတ်နိုင်သည်။

လက်တွေ့သုံးဆောင်ရန်- Article 28(3) လိုအပ်ချက်အားလုံးကို လွှမ်းခြုံထားသည့် စံသတ်မှတ်ထားသော DPA template ကို အသုံးပြုပါ။ GDPR နှင့် ကိုက်ညီမှုရှိမရှိ သေချာစေရန် ရှိပြီးသား သဘောတူညီချက်များကို ပြန်လည်သုံးသပ်ပါ။ လက်မှတ်ရေးထိုးထားသော DPA မပါဘဲ မည်သည့် processor အသစ်ကိုမျှ မထည့်သွင်းပါနှင့်။

4. EEA ပြင်ပတတိယနိုင်ငံများသို့ တရားမဝင်လွှဲပြောင်းခြင်း (ပုဒ်မ 44–49 GDPR & Schrems II)

အန္တရာယ်- ဥရောပစီးပွားရေးဇုန် (EEA) ပြင်ပသို့ ကိုယ်ရေးကိုယ်တာအချက်အလက်များ လွှဲပြောင်းခြင်းကို အလွန်အမင်းကန့်သတ်ထားသည်။ ဦးတည်ရာနိုင်ငံက လုံလောက်သောကာကွယ်မှုအဆင့်ကို ပေးစွမ်းနိုင်မှသာ သို့မဟုတ် သင့်လျော်သောကာကွယ်မှုများကို သင်အကောင်အထည်ဖော်နိုင်မည်ဖြစ်သည်။

ကုမ္ပဏီများ အဘယ်ကြောင့် မှားယွင်းစွာ ခံယူကြသည်- စီးပွားရေးလုပ်ငန်းအများစုသည် အမေရိကန် သို့မဟုတ် အာရှတွင် လက်ခံထားရှိသည့် cloud ဝန်ဆောင်မှုများ၊ ငွေပေးချေမှု ပရိုဆက်ဆာများ သို့မဟုတ် ခွဲခြမ်းစိတ်ဖြာရေးကိရိယာများကို အသုံးပြုကြပြီး နိုင်ငံတကာ လွှဲပြောင်းမှုစည်းမျဉ်းများကို စတင်လိုက်သည်ကို မသိရှိကြပါ။ သင့်စာချုပ်သည် EU အဖွဲ့အစည်းတစ်ခုနှင့် ချုပ်ဆိုထားလျှင်ပင်၊ ဒေတာကို EEA ပြင်ပတွင် သိမ်းဆည်းထားလျှင် သို့မဟုတ် ဝင်ရောက်ကြည့်ရှုလျှင် လွှဲပြောင်းမှုစည်းမျဉ်းများ အကျုံးဝင်ပါသည်။

အဆိုပါ Schrems II စီရင်ချက် (အမှုတွဲ C-311/18) သည် EU-US ကိုယ်ရေးကိုယ်တာကာကွယ်ရေးကို ပျက်ပြယ်စေပြီး စံစာချုပ်ဆိုင်ရာအချက်များ (SCC) တစ်ခုတည်းဖြင့် မလုံလောက်ကြောင်း အားဖြည့်ပေးခဲ့သည်။ ဦးတည်ရာနိုင်ငံ၏ ဥပဒေများသည် SCC များမှ အာမခံထားသော ကာကွယ်မှုကို ထိခိုက်စေခြင်း ရှိ၊ မရှိ အကဲဖြတ်ရန်အတွက် လွှဲပြောင်းမှုသက်ရောက်မှု အကဲဖြတ်ခြင်း (TIA) ကိုလည်း သင်ပြုလုပ်ရမည်။

ဥပဒေရေးရာ အခြေခံအကြောင်းပြချက်- ပုဒ်မ ၄၄ မှ ၄၉ အထိ GDPR သည် နိုင်ငံတကာငွေလွှဲပြောင်းမှုများကို အုပ်ချုပ်သည်။ အခန်း ၅ GDPR သည် လုံလောက်မှုဆိုင်ရာ ဆုံးဖြတ်ချက်များ (ပုဒ်မ ၄၅) သို့မဟုတ် SCC ကဲ့သို့သော သင့်လျော်သော ကာကွယ်မှုများ (ပုဒ်မ ၄၆) လိုအပ်သည်။

လက်တွေ့ကမ္ဘာအကျိုးဆက်- လုံလောက်သော ကာကွယ်မှုများ မရှိပါက AP သည် တတိယနိုင်ငံများသို့ ဒေတာလွှဲပြောင်းမှုကို ရပ်ဆိုင်းရန် သို့မဟုတ် ပိတ်ပင်ရန် သင့်အား အမိန့်ပေးနိုင်သည်။ TIA နောက်ဆက်တွဲ စစ်ဆေးခြင်းမရှိဘဲ အမေရိကန်သို့ ဒေတာလွှဲပြောင်းခြင်းအတွက် ကုမ္ပဏီများသည် ပြဋ္ဌာန်းအရေးယူမှုများနှင့် ဂုဏ်သတင်း ထိခိုက်မှုများကို ရင်ဆိုင်ခဲ့ရသည်-Schrems II.

လက်တွေ့သုံးဆောင်ရန်- သင့်ဒေတာစီးဆင်းမှုများတွင် တတိယနိုင်ငံမှ လွှဲပြောင်းမှုအားလုံးကို ဖော်ထုတ်ပါ။ လုံလောက်မှုဆိုင်ရာ ဆုံးဖြတ်ချက်ရှိမရှိ စစ်ဆေးပါ။ မရှိသေးပါက SCC များကို အကောင်အထည်ဖော်ပြီး TIA ပြုလုပ်ပါ။ လိုအပ်ပါက ဖြည့်စွက်အစီအမံများကို မှတ်တမ်းတင်ပါ (ဥပမာ၊ ကုဒ်ဝှက်ခြင်း၊ ကလောင်အမည်ဝှက်ခြင်း)။

၅။ ဒေတာကာကွယ်ရေးသက်ရောက်မှုအကဲဖြတ်ခြင်း (GDPR အပိုဒ် ၃၅) မလုပ်ဆောင်ခြင်း

အန္တရာယ်- ဒေတာမျှဝေခြင်းသည် လူပုဂ္ဂိုလ်များ၏ အခွင့်အရေးနှင့် လွတ်လပ်ခွင့်များအတွက် မြင့်မားသောအန္တရာယ်ဖြစ်စေနိုင်သည့်အခါ ဒေတာကာကွယ်ရေးသက်ရောက်မှုအကဲဖြတ်ခြင်း (DPIA) ကို မဖြစ်မနေလုပ်ဆောင်ရန် လိုအပ်ပါသည်။ ၎င်းတွင် အထူးဒေတာအမျိုးအစားများကို ကြီးမားသော စီမံဆောင်ရွက်ခြင်း၊ စနစ်တကျစောင့်ကြည့်ခြင်း သို့မဟုတ် နည်းပညာအသစ်များကို အသုံးပြုခြင်း ပါဝင်သည်။

ကုမ္ပဏီများ အဘယ်ကြောင့် မှားယွင်းစွာ ခံယူကြသည်- အဖွဲ့အစည်းများစွာသည် DPIA များကို ရွေးချယ်နိုင်သော သို့မဟုတ် “ကြီးမားသော” ပရောဂျက်များအတွက်သာ သက်ဆိုင်သည့်အရာအဖြစ် သဘောထားကြသည်။ အမှန်တကယ်တွင်၊ ပြင်ပခွဲခြမ်းစိတ်ဖြာမှုပလက်ဖောင်းနှင့် ကျန်းမာရေးဒေတာမျှဝေခြင်း၊ AI မောင်းနှင်သော ပရိုဖိုင်ကိရိယာများကို ဖြန့်ကျက်ခြင်း သို့မဟုတ် အရင်းအမြစ်များစွာမှ အချက်အလက်အစုများကို ပေါင်းစပ်ခြင်းတို့သည် DPIA လိုအပ်ချက်ကို ဖြစ်ပေါ်စေနိုင်သည်။

DPIA သည် လေးထောင့်ကွက်များကို အမှန်ခြစ်သည့် လေ့ကျင့်ခန်းတစ်ခုမျှသာ မဟုတ်ပါ။ ၎င်းသည် အန္တရာယ်များကို ဖော်ထုတ်ရန်၊ ၎င်းတို့၏ပြင်းထန်မှုကို အကဲဖြတ်ရန်နှင့် ၎င်းတို့ကို လျော့ပါးစေရန် နည်းလမ်းများ ဆုံးဖြတ်ရန် စနစ်တကျဖွဲ့စည်းထားသော လုပ်ငန်းစဉ်တစ်ခုဖြစ်သည်။ ကျန်ရှိနေသော အန္တရာယ်များ မြင့်မားနေပါက ဆက်လက်လုပ်ဆောင်ခြင်းမပြုမီ AP နှင့် တိုင်ပင်ရမည်။

ဥပဒေရေးရာ အခြေခံအကြောင်းပြချက်- GDPR အပိုဒ် ၃၅ သည် အန္တရာယ်များသော လုပ်ဆောင်မှုများအတွက် DPIA များကို မဖြစ်မနေ ပြုလုပ်ရန် ပြဋ္ဌာန်းထားသည်။ AP သည် DPIA လိုအပ်သည့်အချိန်နှင့်ပတ်သက်၍ လမ်းညွှန်ချက်များကို ထုတ်ပြန်ထားသည်။

လက်တွေ့ကမ္ဘာအကျိုးဆက်- လိုအပ်သည့်အခါ DPIA မလုပ်ဆောင်ခြင်းသည် GDPR ချိုးဖောက်မှုတစ်ခုဖြစ်သည်။ တကယ့်ဒေတာချိုးဖောက်မှုမဖြစ်ပွားခဲ့သည့်တိုင် DPIA ကိုပြီးမြောက်အောင်မလုပ်ဘဲ အန္တရာယ်များသောဒေတာမျှဝေခြင်းလုပ်ငန်းကိုဆက်လက်လုပ်ဆောင်သည့်အဖွဲ့အစည်းများအတွက် AP သည် ဒဏ်ငွေချမှတ်ခဲ့သည်။

လက်တွေ့သုံးဆောင်ရန်- ဒေတာမျှဝေခြင်းလုပ်ဆောင်ချက်အားလုံးကို DPIA အစပျိုးမှုများ ရှိမရှိ စစ်ဆေးပါ။ သံသယရှိပါက တစ်ခုပြုလုပ်ပါ။ သင့်ဒေတာကာကွယ်ရေးအရာရှိ (DPO) ကို ပါဝင်စေပြီး အကဲဖြတ်လုပ်ငန်းစဉ်ကို သေချာစွာ မှတ်တမ်းတင်ပါ။

၆။ ဒေတာပိုင်ရှင်များအတွက် မလုံလောက်သော အချက်အလက်များ (GDPR အပိုဒ် ၁၃ နှင့် ၁၄)

အန္တရာယ်- ပွင့်လင်းမြင်သာမှုသည် GDPR ၏ အခြေခံအုတ်မြစ်တစ်ခုဖြစ်သည်။ ကိုယ်ရေးကိုယ်တာအချက်အလက်များကို သင်စုဆောင်းတိုင်း သို့မဟုတ် မျှဝေတိုင်း ၎င်းတို့၏ဒေတာကို မည်သူလက်ခံရရှိမည်၊ မည်သည့်ရည်ရွယ်ချက်အတွက်နှင့် မည်သည့်ဥပဒေအခြေခံဖြင့် လက်ခံရရှိမည်ကို ဒေတာပိုင်ရှင်များအား အသိပေးရမည်။

ကုမ္ပဏီများ အဘယ်ကြောင့် မှားယွင်းစွာ ခံယူကြသည်- ကိုယ်ရေးကိုယ်တာအချက်အလက်သတိပေးချက်များသည် မကြာခဏ မရှင်းလင်း သို့မဟုတ် ခေတ်နောက်ကျနေပါသည်။ “ကျွန်ုပ်တို့သည် သင့်ဒေတာကို ယုံကြည်စိတ်ချရသော မိတ်ဖက်များနှင့် မျှဝေနိုင်ပါသည်” ကဲ့သို့သော စကားစုများသည် မလုံလောက်ပါ။ သင်သည် လက်ခံသူများ၏ အမျိုးအစားများကို သတ်မှတ်ရမည် (ဥပမာ၊ “cloud hosting provider များ၊” “marketing agencies”) နှင့် သက်ဆိုင်သည့်နေရာတွင် ၎င်းတို့ကို အမည်ပေးရမည်။

ဒေတာကို သွယ်ဝိုက်သောနည်းဖြင့် ရရှိသည့်အခါ—ဥပမာ၊ ဒေတာပွဲစား သို့မဟုတ် အခြားထိန်းချုပ်သူထံမှ—GDPR အပိုဒ် ၁၄ သည် ဒေတာ၏ရင်းမြစ်အပါအဝင် အပိုဆောင်းအချက်အလက်တာဝန်ဝတ္တရားများကို ချမှတ်ထားသည်။

ဥပဒေရေးရာ အခြေခံအကြောင်းပြချက်- အပိုဒ် ၁၃ နှင့် ၁၄ GDPR တွင် ဒေတာပိုင်ရှင်များထံ ပေးအပ်ရမည့် အချက်အလက်များကို ဖော်ပြထားသည်။ အပိုဒ် 5(1)(a) GDPR သည် လုပ်ဆောင်မှုလုပ်ဆောင်ချက်အားလုံးတွင် ပွင့်လင်းမြင်သာမှုကို လိုအပ်သည်။

လက်တွေ့ကမ္ဘာအကျိုးဆက်- ၎င်းတို့၏ဒေတာများကို ပြင်ပအဖွဲ့အစည်းများနှင့် မျှဝေနေကြောင်း လူပုဂ္ဂိုလ်များအား အသိပေးရန် ပျက်ကွက်ခဲ့သည့် ကုမ္ပဏီများကို AP သတင်းဌာနက ပိတ်ဆို့အရေးယူခဲ့သည်။ မျှဝေခြင်းသည် တရားဝင်သော်လည်း၊ ပွင့်လင်းမြင်သာမှု မလုံလောက်ခြင်းသည် သီးခြားချိုးဖောက်မှုတစ်ခုဖြစ်သည်။

လက်တွေ့သုံးဆောင်ရန်- ဒေတာမျှဝေခြင်းဆိုင်ရာ အလေ့အကျင့်များကို ရှင်းရှင်းလင်းလင်းဖော်ပြနိုင်ရန် သင်၏ ကိုယ်ရေးကိုယ်တာ အသိပေးချက်များကို ပြန်လည်သုံးသပ်ပြီး အပ်ဒိတ်လုပ်ပါ။ အသိပေးချက်များကို အလွယ်တကူ ဝင်ရောက်ကြည့်ရှုနိုင်ပြီး ရိုးရှင်းသောဘာသာစကားဖြင့် ရေးသားထားကြောင်း သေချာပါစေ။ မိတ်ဖက်အသစ်များနှင့် ဒေတာမျှဝေသည့်အခါ မျှဝေမှုမစတင်မီ သင်၏ အသိပေးချက်များကို အပ်ဒိတ်လုပ်ပါ။

၇။ လုံခြုံရေးဆိုင်ရာ မှားယွင်းသော ခံစားချက်တစ်ခုအဖြစ် အမည်ဝှက်အသုံးပြုခြင်း

အန္တရာယ်- GDPR အရ လုံခြုံရေးအစီအမံတစ်ခုအနေဖြင့် တိုက်ရိုက်သတ်မှတ်သည့်အရာများကို ကုဒ်များ သို့မဟုတ် တိုကင်များဖြင့် အစားထိုးခြင်း—အမည်ဝှက်ဖြင့် အမည်ပေးခြင်း—ကို အားပေးပါသည်။ သို့သော် ၎င်းသည် ဒေတာများကို အမည်မဖော်လိုသူအဖြစ် မဖြစ်စေပါ။ ဒေတာကို လူပုဂ္ဂိုလ်တစ်ဦးနှင့် ပြန်လည်ချိတ်ဆက်နိုင်သေးပါက ၎င်းသည် ကိုယ်ရေးကိုယ်တာဒေတာအဖြစ် ရှိနေမည်ဖြစ်ပြီး GDPR ၏ အပြည့်အဝအတိုင်းအတာအောက်တွင် ရှိပါသည်။

ကုမ္ပဏီများ အဘယ်ကြောင့် မှားယွင်းစွာ ခံယူကြသည်- စီးပွားရေးလုပ်ငန်းများသည် ကလောင်အမည်ဝှက်ဖြင့် ဒေတာများကို ကန့်သတ်ချက်များမရှိဘဲ မျှဝေရန် "ဘေးကင်းသည်" ဟု မကြာခဏ ယူဆကြသည်။ လက်တွေ့တွင် ကလောင်အမည်ဝှက်ဖြင့် ဒေတာသည် အန္တရာယ်ကို လျှော့ချပေးရုံသာဖြစ်ပြီး ၎င်းကို ဖယ်ရှားပစ်ခြင်းမဟုတ်ပါ။ သော့ သို့မဟုတ် ပြန်လည်ခွဲခြားသတ်မှတ်နိုင်စေသည့် အခြားဒေတာစုများကို ဝင်ရောက်ခွင့်ရှိသော မိတ်ဖက်တစ်ဦးနှင့် ကလောင်အမည်ဝှက်ဖြင့် ဒေတာကို မျှဝေပါက သင်သည် ကိုယ်ရေးကိုယ်တာဒေတာကို ဆက်လက်လုပ်ဆောင်နေဆဲဖြစ်သည်။

ဥပဒေရေးရာ အခြေခံအကြောင်းပြချက်- အပိုဒ် 4(5) GDPR သည် ကလောင်အမည်ဝှက်ခြင်းကို အဓိပ္ပာယ်ဖွင့်ဆိုထားသည်။ Recital 26 GDPR သည် ကလောင်အမည်ဝှက်ထားသောဒေတာသည် အမှန်တကယ်အမည်ဝှက်မထားမချင်း ကိုယ်ရေးကိုယ်တာဒေတာအဖြစ် ဆက်လက်တည်ရှိနေကြောင်း ရှင်းလင်းဖော်ပြထားသည် (ဆိုလိုသည်မှာ ပြန်လည်သတ်မှတ်ခြင်းကို မည်သည့်ကျိုးကြောင်းဆီလျော်သောနည်းလမ်းများဖြင့်မျှ မဖြစ်နိုင်တော့ပါ)။

လက်တွေ့ကမ္ဘာအကျိုးဆက်- AP သတင်းဌာနက ကလောင်အမည်ဝှက်အသုံးပြုခြင်းသည် “ထောင်မှလွတ်မြောက်ရန်” ကတ်မဟုတ်ကြောင်း လမ်းညွှန်ချက်တွင် ရှင်းလင်းပြောကြားခဲ့သည်။ ပြန်လည်မှတ်ပုံတင်ခြင်းသည် ဖြစ်နိုင်ပါက ဥပဒေရေးရာအခြေခံရှိခြင်း၊ DPIA များပြုလုပ်ခြင်းနှင့် လုံလောက်သောလုံခြုံရေးကို သေချာစေခြင်းအပါအဝင် GDPR တာဝန်ဝတ္တရားအားလုံး အကျုံးဝင်ပါသည်။

လက်တွေ့သုံးဆောင်ရန်- ကျွမ်းကျင်သူများမှ အတည်ပြုထားသော တင်းကျပ်သော အမည်မဖော်လိုသည့် လုပ်ငန်းစဉ်ကို သင်ဖြတ်သန်းပြီးပါက ကလောင်အမည်ဝှက်ထားသော အချက်အလက်များကို ကိုယ်ရေးကိုယ်တာအချက်အလက်အဖြစ် သတ်မှတ်ပါ။ ပြန်လည်ခွဲခြားသတ်မှတ်ခြင်းကို ကာကွယ်ရန် ချမှတ်ထားသော နည်းပညာနှင့် အဖွဲ့အစည်းဆိုင်ရာ အစီအမံများကို မှတ်တမ်းတင်ပါ။

ေမးေလ့ရွိသည့္ေမးခြန္းမ်ား

GDPR အရ ဒေတာမျှဝေခြင်းကို မည်သည့်အချိန်တွင် ခွင့်ပြုသနည်း။

GDPR ပုဒ်မ ၆ အရ တရားဝင်သော ဥပဒေရေးရာ အခြေခံရှိမှသာ ဒေတာမျှဝေခြင်းသည် တရားဝင်ပါသည်။ ဥပဒေရေးရာ အခြေခံခြောက်ခုမှာ- သဘောတူညီချက်၊ စာချုပ်ဆိုင်ရာ လိုအပ်ချက်၊ ဥပဒေရေးရာ တာဝန်ဝတ္တရား၊ အရေးကြီးသော အကျိုးစီးပွားများ၊ အများပြည်သူဆိုင်ရာ တာဝန်နှင့် တရားဝင်သော အကျိုးစီးပွားများ ဖြစ်သည်။ သင်သည် ဥပဒေနှင့်အညီဖြစ်မှု၊ တရားမျှတမှု၊ ပွင့်လင်းမြင်သာမှု၊ ရည်ရွယ်ချက် ကန့်သတ်ချက်၊ ဒေတာ အနည်းဆုံးဖြစ်အောင် ပြုလုပ်မှု၊ တိကျမှု၊ သိုလှောင်မှု ကန့်သတ်ချက်၊ သမာဓိနှင့် လျှို့ဝှက်ချက်ဆိုင်ရာ အခြေခံမူများကိုလည်း လိုက်နာရမည် (ပုဒ်မ ၅ GDPR)။ လက်တွေ့တွင်၊ ဆိုလိုသည်မှာ သင်ဒေတာကို မျှဝေရသည့် အကြောင်းရင်းကို ရှင်းရှင်းလင်းလင်း မှတ်တမ်းတင်ခြင်း၊ ရည်ရွယ်ချက်သည် သင် မူလက စုဆောင်းခဲ့သည့် အကြောင်းရင်းနှင့် ကိုက်ညီကြောင်း သေချာစေခြင်းနှင့် ဒေတာပိုင်ရှင်များအား မျှဝေခြင်းအကြောင်း အသိပေးခြင်း ဖြစ်သည်။

Controller နဲ့ Processor ဘာကွာခြားလဲ။

A controller ကို ကိုယ်ရေးကိုယ်တာအချက်အလက်များကို စီမံဆောင်ရွက်ရန် ရည်ရွယ်ချက်များနှင့် နည်းလမ်းများကို ဆုံးဖြတ်ပေးသည်။ A Processor ကို ထိန်းချုပ်သူကိုယ်စား သတ်မှတ်ထားသော ညွှန်ကြားချက်များအောက်တွင် ဒေတာများကို လုပ်ဆောင်သည်။ ဤခွဲခြားချက်သည် အရေးကြီးပါသည်၊ အဘယ်ကြောင့်ဆိုသော် ထိန်းချုပ်သူများသည် GDPR လိုက်နာမှုအတွက် အဓိကတာဝန်ရှိပြီး ပရိုဆက်ဆာများတွင် ပိုမိုကန့်သတ်ထားသော တာဝန်ဝတ္တရားများ (အဓိကအားဖြင့် လုံခြုံရေးနှင့် လျှို့ဝှက်ချက်ကို သေချာစေခြင်း) ရှိသည်။ သင့်ညွှန်ကြားချက်များအရ ၎င်းကို လုပ်ဆောင်သော ပေးသွင်းသူနှင့် ဒေတာကို မျှဝေနေပါက - ဥပမာ၊ လစာပေးသွင်းသူ သို့မဟုတ် cloud storage ဝန်ဆောင်မှု - သည် ၎င်းတို့သည် ပုံမှန်အားဖြင့် ပရိုဆက်ဆာတစ်ဦးဖြစ်သည်။ ၎င်းတို့သည် ၎င်းတို့၏ကိုယ်ပိုင်ရည်ရွယ်ချက်များအတွက် ဒေတာကို မည်သို့အသုံးပြုရမည်ကိုလည်း ဆုံးဖြတ်ပါက၊ ၎င်းတို့သည် (ပူးတွဲ) ထိန်းချုပ်သူ ဖြစ်နိုင်သည်။ အခန်းကဏ္ဍများကို မှားယွင်းစွာ ခွဲခြားသတ်မှတ်ခြင်းသည် တာဝန်ခံမှုတွင် ကွာဟချက်များနှင့် ချိုးဖောက်မှုများအတွက် ပူးတွဲတာဝန်ယူမှုတို့ကို ဖြစ်ပေါ်စေနိုင်သည်။

ဒေတာစီမံဆောင်ရွက်မှု သဘောတူညီချက် (DPA) ကို ဘယ်အချိန်မှာ မဖြစ်မနေ တင်သွင်းရမလဲ။

သင့်ကိုယ်စား ကိုယ်ရေးကိုယ်တာအချက်အလက်များကို ကိုင်တွယ်ရန် ပရိုဆက်ဆာတစ်ဦးကို ငှားရမ်းသည့်အခါတိုင်း DPA သည် မဖြစ်မနေလိုအပ်ပါသည် (ပုဒ်မ ၂၈ GDPR)။ ၎င်းသည် သင့်အဖွဲ့အစည်း၏ အရွယ်အစား သို့မဟုတ် ပါဝင်ပတ်သက်သောဒေတာပမာဏ မည်သို့ပင်ရှိစေကာမူ အကျုံးဝင်ပါသည်။ DPA သည် ရေးသားထားရမည်ဖြစ်ပြီး အကြောင်းအရာနှင့် စီမံဆောင်ရွက်ချိန်၊ သဘောသဘာဝနှင့် ရည်ရွယ်ချက်၊ ဒေတာအမျိုးအစားများနှင့် ဒေတာပိုင်ရှင်များ၏ အမျိုးအစားများ၊ လုံခြုံရေး၊ ချိုးဖောက်မှုအကြောင်းကြားစာနှင့် တစ်ဆင့်စီမံဆောင်ရွက်ချက်နှင့်ပတ်သက်၍ နှစ်ဖက်စလုံး၏ တာဝန်ဝတ္တရားများကဲ့သို့သော သီးခြားမဖြစ်မနေလိုအပ်သော စာပိုဒ်များ ပါဝင်ရမည်။ လိုက်နာမှုရှိသော DPA မရှိပါက၊ ပရိုဆက်ဆာက စီမံဆောင်ရွက်သည့်အချိန်မှစ၍ မည်သည့်ထိခိုက်မှုမျှ မဖြစ်ပွားသည့်တိုင် သင်သည် ချိုးဖောက်မှုတွင် ရှိနေပါသည်။

EU ပြင်ပက အဖွဲ့အစည်းတစ်ခုနဲ့ ဖောက်သည်ဒေတာ မျှဝေလို့ရပါသလား။

ဟုတ်ကဲ့၊ ဒါပေမယ့် တင်းကျပ်တဲ့ စည်းကမ်းချက်တွေနဲ့ ကိုက်ညီမှသာ ဖြစ်ပါတယ်။ GDPR အပိုဒ် ၄၄ မှ ၄၉ အရ၊ အောက်ပါအခြေအနေတွေမှာ တတိယနိုင်ငံကို ဒေတာလွှဲပြောင်းနိုင်ပါတယ်- (က) ဥရောပကော်မရှင်က အဲဒီနိုင်ငံအတွက် လုံလောက်မှုဆိုင်ရာ ဆုံးဖြတ်ချက် ထုတ်ပြန်ထားတယ်ဆိုရင်၊ ဒါမှမဟုတ် (ခ) စံစာချုပ်ဆိုင်ရာ ပြဋ္ဌာန်းချက်တွေ (SCC) လိုမျိုး သင့်လျော်တဲ့ ကာကွယ်မှုတွေကို သင် ချမှတ်ထားတယ်ဆိုရင်ပေါ့။ အောက်ပါအခြေအနေတွေမှာ Schrems II ဆုံးဖြတ်ချက်မချမီ၊ ဦးတည်ရာနိုင်ငံ၏ဥပဒေများ (ဥပမာ အစိုးရစောင့်ကြည့်ခြင်း) သည် SCC မှ အာမခံထားသော ကာကွယ်မှုကို ထိခိုက်စေခြင်း ရှိ၊ မရှိ အကဲဖြတ်ရန်အတွက် လွှဲပြောင်းမှုသက်ရောက်မှုအကဲဖြတ်ခြင်း (TIA) ကိုလည်း သင်ပြုလုပ်ရမည်။ အန္တရာယ်များရှိနေသေးပါက ကုဒ်ဝှက်ခြင်း သို့မဟုတ် အချက်အလက်လျှော့ချခြင်းကဲ့သို့သော ဖြည့်စွက်အစီအမံများကို သင်အကောင်အထည်ဖော်ရမည်။ လုံလောက်သော ကာကွယ်မှုများမပါဘဲ လွှဲပြောင်းမှုများသည် လွှဲပြောင်းမှုကို ရပ်ဆိုင်းခြင်းအပါအဝင် AP မှ ပြဋ္ဌာန်းအရေးယူမှုများကို ဖြစ်ပေါ်စေနိုင်သည်။

ဒေတာမျှဝေခြင်းအတွက် DPIA ကို ဘယ်အချိန်မှာ လိုအပ်သလဲ။

GDPR ပုဒ်မ ၃၅ အရ DPIA ကို လုပ်ဆောင်ခြင်းသည် လူပုဂ္ဂိုလ်များ၏ အခွင့်အရေးနှင့် လွတ်လပ်ခွင့်များအတွက် မြင့်မားသောအန္တရာယ်ဖြစ်စေနိုင်သည့်အခါ မဖြစ်မနေလုပ်ဆောင်ရမည်ဖြစ်သည်။ ၎င်းတွင် အောက်ပါတို့ပါဝင်သည်- အထူးဒေတာအမျိုးအစားများ (ဥပမာ- ကျန်းမာရေး၊ ဇီဝမက်ထရစ်၊ မျိုးရိုးဗီဇဒေတာ) ကို ကြီးမားသော စီမံဆောင်ရွက်မှု၊ အများပြည်သူဝင်ရောက်နိုင်သောနေရာများကို စနစ်တကျစောင့်ကြည့်ခြင်း၊ ဥပဒေရေးရာ သို့မဟုတ် အလားတူသိသာထင်ရှားသော အကျိုးသက်ရောက်မှုများဖြင့် အလိုအလျောက်ဆုံးဖြတ်ချက်ချခြင်းနှင့် နည်းပညာအသစ်များကို အသုံးပြုခြင်းတို့ဖြစ်သည်။ ဒေတာမျှဝေသည့်အခါ၊ သင်သည် ဒေတာအစုများကို ပေါင်းစပ်နေပါက၊ အရေးကြီးသော အချက်အလက်များကို မျှဝေနေပါက သို့မဟုတ် ပရိုဖိုင် သို့မဟုတ် AI-driven ခွဲခြမ်းစိတ်ဖြာမှုအတွက် ဒေတာကို အသုံးပြုနေပါက DPIA ကို မကြာခဏ လိုအပ်ပါသည်။ AP သည် DPIA လိုအပ်သော လုပ်ဆောင်မှုများစာရင်းကို ထုတ်ပြန်ထားသည်။ သံသယရှိပါက လုပ်ဆောင်ပါ - နောင်တရခြင်းထက် ဘေးကင်းလုံခြုံစွာရှိနေခြင်းက ပိုကောင်းပါသည်။

GDPR ကို ချိုးဖောက်ရင် ကုမ္ပဏီတွေ ဘယ်လိုဒဏ်ကြေးတွေ ပေးဆောင်ရနိုင်မလဲ။

GDPR တွင် ဒဏ်ကြေးအဆင့်နှစ်ဆင့် ပါဝင်သည်။ အောက်ဆုံးအဆင့်—ယူရို ၁၀ သန်း သို့မဟုတ် ကမ္ဘာလုံးဆိုင်ရာ နှစ်စဉ်ဝင်ငွေ၏ ၂% အထိ—သည် သင့်လျော်သော လုံခြုံရေးအစီအမံများကို အကောင်အထည်ဖော်ရန် ပျက်ကွက်ခြင်း သို့မဟုတ် လိုအပ်သည့်အခါ DPIA မလုပ်ဆောင်ခြင်းကဲ့သို့သော ချိုးဖောက်မှုများအတွက် အကျုံးဝင်သည်။ အဆင့်မြင့်—ယူရို ၂၀ သန်း သို့မဟုတ် ကမ္ဘာလုံးဆိုင်ရာ နှစ်စဉ်ဝင်ငွေ၏ ၄% အထိ—သည် လုပ်ဆောင်မှုအတွက် တရားဝင်အခြေခံမရှိခြင်း၊ တရားမဝင်နိုင်ငံတကာလွှဲပြောင်းမှုများ သို့မဟုတ် ဒေတာပိုင်ရှင်များ၏ အခွင့်အရေးများကို ချိုးဖောက်ခြင်းအပါအဝင် ပိုမိုပြင်းထန်သော ချိုးဖောက်မှုများအတွက် အကျုံးဝင်သည်။ AP သည် ချိုးဖောက်မှု၏ သဘောသဘာဝနှင့် ပြင်းထန်မှု၊ ရည်ရွယ်ချက်ရှိရှိ သို့မဟုတ် ပေါ့လျော့မှုရှိမရှိ၊ ထိခိုက်ခံရသူအရေအတွက်နှင့် လျော့ပါးသက်သာစေသည့် မည်သည့်အရေးယူမှုများပြုလုပ်ခဲ့သည်ကိုမဆို အခြေခံ၍ ဒဏ်ကြေးပမာဏကို ဆုံးဖြတ်သည်။ မကြာသေးမီက ပြဋ္ဌာန်းချက်များက AP သည် အထူးသဖြင့် စနစ်တကျ သို့မဟုတ် တမင်တကာချိုးဖောက်မှုများအတွက် သိသာထင်ရှားသော ဒဏ်ကြေးများ ချမှတ်ရန် ဆန္ဒရှိကြောင်း ပြသသည်။

ကလောင်အမည်ဝှက်ထားသောဒေတာများသည် မျှဝေရန် အမြဲတမ်းဘေးကင်းပါသလား။

မဟုတ်ပါ။ အမည်ဝှက်အသုံးပြုခြင်းဆိုသည်မှာ အန္တရာယ်ကို လျှော့ချပေးသော်လည်း ၎င်းကို ဖယ်ရှားပစ်ခြင်းမဟုတ်ပါ။ အပိုဒ် 4(5) GDPR အရ အမည်ဝှက်အသုံးပြုခြင်းဆိုသည်မှာ တိုက်ရိုက်ခွဲခြားသတ်မှတ်သူများ (အမည်များကဲ့သို့) ကို ကုဒ်များ သို့မဟုတ် အမည်ဝှက်များဖြင့် အစားထိုးခြင်းကို ဆိုလိုသည်။ သို့သော်၊ ဒေတာကို လူပုဂ္ဂိုလ်တစ်ဦးဦးနှင့် ပြန်လည်ချိတ်ဆက်နိုင်ပါက—ဥပမာ၊ သင် သို့မဟုတ် လက်ခံသူမှ သိမ်းဆည်းထားသော နောက်ထပ်အချက်အလက်များကို အသုံးပြုခြင်းဖြင့်—၎င်းသည် ကိုယ်ရေးကိုယ်တာဒေတာအဖြစ် ဆက်လက်တည်ရှိနေပြီး GDPR နှင့် အပြည့်အဝ သက်ဆိုင်သည်။ ဆိုလိုသည်မှာ သင်သည် ဥပဒေရေးရာအခြေခံတစ်ခု လိုအပ်နေသေးပြီး ဒေတာပိုင်ရှင်များကို အသိပေးရမည်ဖြစ်ပြီး လုံလောက်သော လုံခြုံရေးကို သေချာစေရမည်။ ပြန်လည်ခွဲခြားသတ်မှတ်ခြင်းကို ကျိုးကြောင်းဆီလျော်သော နည်းလမ်းများဖြင့် မဖြစ်နိုင်တော့သည့်နေရာတွင် စစ်မှန်သော အမည်ဝှက်ခြင်းသာလျှင် GDPR ၏ အတိုင်းအတာမှ ဒေတာကို ဖယ်ရှားပေးပါသည်။ လက်တွေ့တွင်၊ စစ်မှန်သော အမည်ဝှက်ခြင်းရရှိရန် ခက်ခဲပြီး ကျွမ်းကျင်သူ၏ အတည်ပြုချက် လိုအပ်ပါသည်။

တရားမဝင်ဒေတာမျှဝေခြင်းကြောင့် ကျွန်ုပ်၏လုပ်ငန်းတွင် ဒေတာခိုးယူခံရပါက ဘာလုပ်သင့်သနည်း။

တရားမဝင်ဒေတာမျှဝေခြင်းကြောင့် ဖြစ်ပေါ်လာသော ကိုယ်ရေးကိုယ်တာဒေတာချိုးဖောက်မှုတစ်ခုကို သင်တွေ့ရှိပါက—သင်သည် 72 နာရီ GDPR ပုဒ်မ ၃၃ အရ AP သို့ အကြောင်းကြားရန် (ချိုးဖောက်မှုသည် လူပုဂ္ဂိုလ်များ၏ အခွင့်အရေးနှင့် လွတ်လပ်ခွင့်များကို အန္တရာယ်ဖြစ်စေနိုင်ခြင်းမရှိပါက)။ ချိုးဖောက်မှုသည် ၎င်းတို့အတွက် အန္တရာယ်များစေနိုင်ပါက ထိခိုက်ခံရသူများကိုလည်း မလိုအပ်ဘဲ နှောင့်နှေးမှုမရှိဘဲ အကြောင်းကြားရမည် (GDPR ပုဒ်မ ၃၄)။ ချက်ချင်းလုပ်ဆောင်ရမည့် အဆင့်များတွင် ချိုးဖောက်မှုကို ထိန်းချုပ်ခြင်း၊ ၎င်း၏အတိုင်းအတာနှင့် သက်ရောက်မှုကို အကဲဖြတ်ခြင်း၊ ဖြစ်ပျက်ခဲ့သည့်အရာနှင့် ၎င်းနှင့်ပတ်သက်၍ သင်လုပ်ဆောင်နေသည့်အရာကို မှတ်တမ်းတင်ခြင်းနှင့် ၎င်းတို့၏ အွန်လိုင်းပေါ်တယ်မှတစ်ဆင့် AP သို့ အကြောင်းကြားခြင်းတို့ ပါဝင်ပါသည်။ အကြောင်းကြားရန် ပျက်ကွက်ခြင်းသည် သီးခြားဒဏ်ကြေးချမှတ်ခံရနိုင်သည်။ AP သည် ချိုးဖောက်မှု၏ ပြင်းထန်မှုနှင့် သင်၏တုံ့ပြန်မှုအပေါ် အခြေခံ၍ အကောင်အထည်ဖော်ရန် အရေးယူရန် လိုအပ်မှုရှိမရှိကို အကဲဖြတ်မည်ဖြစ်သည်။

သင့်လုပ်ငန်းကို ကာကွယ်ပါ—ကျွမ်းကျင်သူ ဥပဒေလမ်းညွှန်မှု ရယူပါ

ဒေတာမျှဝေခြင်းကို ရှောင်လွှဲ၍မရသော်လည်း GDPR ချိုးဖောက်မှုများကတော့ ရှောင်လွှဲ၍မရပါ။ အထက်တွင်ဖော်ပြထားသော အန္တရာယ်ခုနစ်ခုသည် သီအိုရီအရမဟုတ်ဘဲ ၎င်းတို့ကို တကယ့်အရေးယူဆောင်ရွက်ရေးအမှုများ၊ တရားရုံးဆုံးဖြတ်ချက်များနှင့် စည်းမျဉ်းလမ်းညွှန်ချက်များမှ ရယူထားခြင်းဖြစ်သည်။ ၎င်းတို့အားလုံးသည် ဒဏ်ငွေများ၊ တာဝန်ယူမှုတောင်းဆိုမှုများနှင့် ဂုဏ်သတင်းပျက်စီးဆုံးရှုံးမှုများကို ဖြစ်ပေါ်စေနိုင်သည်။

သတင်းကောင်းလား။ မှန်ကန်သော ဥပဒေဘောင်၊ ရှင်းလင်းသော စာရွက်စာတမ်းများနှင့် ကြိုတင်လိုက်နာမှု လုပ်ဆောင်ချက်များဖြင့် သင်သည် ဒေတာများကို ယုံကြည်စိတ်ချစွာနှင့် တရားဝင်စွာ မျှဝေနိုင်ပါသည်။ သို့သော် ၎င်းကို မှန်ကန်စွာ ပြုလုပ်ရန်မှာ ယေဘုယျ အကြံဉာဏ်ထက် ပိုမိုလိုအပ်ပြီး သင့်လုပ်ငန်း၊ သင့်ဒေတာစီးဆင်းမှုနှင့် သင်ရင်ဆိုင်နေရသော သီးခြားအန္တရာယ်များကို နားလည်သည့် စိတ်ကြိုက်ပြင်ဆင်ထားသော ဥပဒေပံ့ပိုးမှု လိုအပ်ပါသည်။

AP တံခါးခေါက်ဖို့ မစောင့်ပါနဲ့။ သင့်ရဲ့ဒေတာမျှဝေမှုလုပ်ဆောင်ချက်တွေက GDPR နဲ့ ကိုက်ညီမှုရှိမရှိ မသေချာဘူးဆိုရင်၊ ဒါမှမဟုတ် DPA တွေ ရေးဆွဲဖို့၊ DPIA တွေ လုပ်ဆောင်ဖို့ ဒါမှမဟုတ် နိုင်ငံတကာလွှဲပြောင်းမှုတွေကို စီမံခန့်ခွဲဖို့ အကူအညီလိုအပ်ရင်၊ လျှို့ဝှက်ရေးဆိုင်ရာ အထူးကျွမ်းကျင်သူ ရှေ့နေတစ်ယောက်နဲ့ ဆက်သွယ်ပါ။ သင့်ရဲ့လုပ်ငန်း—နဲ့ သင့်ရဲ့ဖောက်သည်တွေ—ဟာ ဒီထက်နည်းတဲ့ အရည်အချင်းမရှိပါဘူး။