ArticleGDPR สำหรับเว็บไซต์ในสหรัฐอเมริกา: ทุกสิ่งที่คุณจำเป็นต้องรู้

เผยแพร่แล้ว: 2022-08-12

พวกเราส่วนใหญ่จำความคลั่งไคล้ GDPR ของปี 2018 ได้ มีโอกาสดีที่คุณจะได้รับข้อมูลเกี่ยวกับสหภาพยุโรป (EU) และกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ฉบับใหม่ ระเบียบการกวาดนี้มีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2018

เมื่อฉันเริ่มค้นคว้าบทความนี้เป็นครั้งแรก ฉันรู้สึกประหลาดใจกับแหล่งที่มาของ "ผู้เชี่ยวชาญ" จำนวนมาก ลิงก์จำนวนมากที่ปรากฏที่ด้านบนสุดของหน้าผลการค้นหาของ Google ดูเหมือนจะเป็นไซต์ "ทางการ"

พวกเขาเป็นเพียงการตลาดไมโครไซต์สำหรับการให้คำปรึกษาเพื่อหารายได้ แม้ว่าสิ่งนี้จะเป็นความจริงสำหรับโฆษณา แต่ก็คำนึงถึงผลลัพธ์ที่เกิดขึ้นเองด้วยเช่นกัน ข้อมูลบางส่วนในเว็บไซต์เหล่านี้ค่อนข้างดี แต่ในเกือบทุกกรณีจะไม่สมบูรณ์และแรงจูงใจของผู้เขียนไม่ชัดเจน

เพื่อหลีกเลี่ยงความสับสนและทิศทางที่ผิดทั้งหมดนั้น ฉันจึงตัดสินใจไปที่แหล่งข้อมูลที่เชื่อถือได้เพียงแห่งเดียว: เว็บไซต์คณะกรรมาธิการยุโรป ข้อเท็จจริงและคำแนะนำของฉันอิงจากข้อความในข้อบังคับ 2016/679 (GDPR) โดยตรง และฉันขออ้างอิงอย่างเสรีตลอดทั้งบทความนี้

นอกจากข้อความในข้อบังคับแล้ว ฉันได้ศึกษาข้อความจากผู้ให้บริการบุคคลที่สาม เช่น Google และ Pardot ในส่วน "ความซับซ้อนของบุคคลที่สาม" ด้านล่าง แต่เฉพาะที่เกี่ยวข้องกับบริการของบริษัทเหล่านั้นที่ลูกค้าจำนวนมากของเราใช้เท่านั้น

กลุ่มเป้าหมายของฉันประกอบด้วยตัวแทนของบริษัทต่างๆ (ภาครัฐและเอกชน) ซึ่งตั้งอยู่ในสหรัฐฯ ซึ่งดำเนินธุรกิจในสหภาพยุโรปในระดับหนึ่ง เป้าหมายของฉันคือการช่วยให้พวกเขาเข้าใจสิ่งที่พวกเขาต้องทำบนเว็บไซต์ของบริษัทเพื่อให้สอดคล้องกับกฎระเบียบใหม่

หากบริษัทของคุณตั้งอยู่นอกสหรัฐอเมริกา บริษัทของคุณเกี่ยวข้องกับข้อมูลที่ละเอียดอ่อน (เช่น เวชระเบียน) รวบรวมข้อมูลเกี่ยวกับเด็ก เป็นหน่วยงานของรัฐหรือผู้ให้บริการสำหรับหน่วยงานของรัฐ ให้หยุดอ่านตอนนี้... ไม่เหมาะสำหรับคุณ

เพื่อความชัดเจน ฉันไม่ใช่ทนายความและไม่ควรตีความสิ่งใดในที่นี้ว่าเป็นคำแนะนำทางกฎหมาย

GDPR คืออะไร?

สิทธิในความเป็นส่วนตัวในประเทศสมาชิกสหภาพยุโรปถือเป็นมาตรฐานที่สูงมาก และภาระในการเก็บรวบรวมข้อมูลเหล่านั้นมีมากกว่าในสหรัฐอเมริกา นี่ไม่ใช่สถานการณ์ใหม่ ก่อน GDPR สหภาพยุโรปมีคำสั่งคุ้มครองข้อมูล (DPD) ซึ่งก่อตั้งขึ้นในปี 1995 และนำเสนอหลักการเดียวกันหลายประการที่เราพบใน GDPR ทั้ง DPD และ GDPR อยู่บนพื้นฐานของกฎบัตรสิทธิขั้นพื้นฐานของสหภาพยุโรป ซึ่งระบุไว้ค่อนข้างง่าย:

ทุกคนมีสิทธิ์ในการปกป้องข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเขาหรือเธอ – กฎบัตรสิทธิขั้นพื้นฐานของสหภาพยุโรป มาตรา 8(1)

จิตวิญญาณพื้นฐานของ GDPR ก็คือ "บุคคลธรรมดา" ทุกคน (เพิ่มเติมเกี่ยวกับคำศัพท์นั้นในภายหลัง) มีสิทธิ์ที่จะรู้ว่าข้อมูลของพวกเขาจะถูกเก็บรวบรวมเมื่อใด และมีสิทธิ์ที่จะปฏิเสธการรวบรวมข้อมูลนั้น หากพวกเขายินยอม ของสะสม พวกเขามีสิทธิ์ในการจัดการวิธีการใช้ข้อมูลนั้น เพิกถอนความยินยอมและแม้กระทั่งเลือกในภายหลังเพื่อลบข้อมูลปัจจุบันและในอดีตทั้งหมด

นอกจากนี้ยังมีความคาดหวังบางประการเกี่ยวกับข้อมูล "ผู้ควบคุม" และ "ผู้ประมวลผล" (เพิ่มเติมเกี่ยวกับข้อกำหนดเหล่านั้นในภายหลังด้วย) เกี่ยวกับการกำกับดูแลและกระบวนการที่มีขึ้นเพื่อปกป้องข้อมูลของผู้ใช้ และสุดท้าย มีบางสิ่งที่ผู้ควบคุมต้องทำในกรณีที่มีการละเมิดข้อมูล

หนึ่งในแหล่งข้อมูลที่ดีที่สุดสำหรับการทำความเข้าใจจิตวิญญาณของ GDPR คือคำนำ มันเขียนด้วยภาษาธรรมดาและตรงไปตรงมาซึ่งทำให้เข้าใจง่ายกว่าเอกสารทางกฎหมายส่วนใหญ่ อย่างไรก็ตาม ภาษาธรรมดานี้ไม่ได้สื่อถึงตัวอักษรที่สมบูรณ์ของกฎหมายอย่างสมบูรณ์ และไม่สามารถใช้แทนกฎระเบียบที่แท้จริงได้

กฎ GDPR ต่างจาก DPD กับทุกประเทศสมาชิก ไม่มีข้อกำหนดสำหรับประเทศสมาชิกในการดำเนินการตามระเบียบก่อนที่จะถือว่ามีผลบังคับใช้ แต่ GDPR ไม่ได้ยกเว้นกฎหมายเพิ่มเติมของประเทศสมาชิกที่อาจไปไกลกว่านั้นในการปกป้องข้อมูลส่วนบุคคลที่ละเอียดอ่อนบางประเภท เช่น เวชระเบียน

GDPR ใช้กับทุกบริษัทที่ทำธุรกิจในสหภาพยุโรปโดยไม่คำนึงถึงสถานที่ตั้ง การให้ผู้ใช้เข้าถึงเว็บไซต์ของคุณจากสหภาพยุโรปไม่ได้แสดงถึงความตั้งใจของคุณที่จะทำธุรกิจในสหภาพยุโรป อย่างไรก็ตาม หากคุณจริงจังกับธุรกิจในสหภาพยุโรป คุณต้องปฏิบัติตาม GDPR

หมายเหตุเพิ่มเติม: GDPR ไม่ได้แทนที่หรือแทนที่กฎหมายคุกกี้ของสหภาพยุโรป ข้อบังคับนั้นยังคงมีผลบังคับอยู่

ใครและอะไรที่ได้รับการคุ้มครอง?

บุคคลธรรมดาที่อาศัยอยู่ในสหภาพยุโรปได้รับการคุ้มครองโดย GDPR กฎระเบียบมีผลบังคับใช้ก่อน Brexit ดังนั้น GDPR จึงรวมสหราชอาณาจักรไว้ด้วยในตอนนี้ บุคคลธรรมดาสามารถคิดได้ว่าเป็นมนุษย์แต่ละคน ในทางกลับกัน นิติบุคคลอาจเป็นแค่นิติบุคคลก็ได้ การคุ้มครองของ GDPR ไม่ครอบคลุมถึงบุคคลภายนอกสหภาพยุโรป

ข้อมูลใด ๆ ที่สามารถเชื่อมโยงกับบุคคลเพียงคนเดียวโดยไม่คำนึงถึงว่าตัวตนของเขาหรือเธอเป็นที่รู้จักในปัจจุบันถือเป็น "ข้อมูลส่วนบุคคล"

'ข้อมูลส่วนบุคคล' หมายถึงข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลธรรมดาที่ระบุหรือระบุตัวตนได้ ('เจ้าของข้อมูล'); บุคคลธรรมดาที่สามารถระบุตัวตนได้คือบุคคลที่สามารถระบุได้โดยตรงหรือโดยอ้อม โดยเฉพาะอย่างยิ่งโดยการอ้างอิงถึงตัวระบุ เช่น ชื่อ หมายเลขประจำตัว ข้อมูลตำแหน่ง ตัวระบุออนไลน์ หรือปัจจัยหนึ่งหรือหลายปัจจัยเฉพาะทางกายภาพ สรีรวิทยา เอกลักษณ์ทางพันธุกรรม จิตใจ เศรษฐกิจ วัฒนธรรม หรือสังคมของบุคคลธรรมดานั้น – GDPR บทความ 4(1)

"ระบุตัวตนได้" เป็นคำที่เราจำเป็นต้องพูดถึง ไม่จำเป็นที่เราต้องรู้ถึงตัวตนของบุคคลในปัจจุบัน การมีวิธีการ (คุกกี้ ที่อยู่ IP และอื่นๆ) ในการเชื่อมโยงข้อมูลกับบุคคลในเวลาต่อมา ทำให้ข้อมูลของเขาหรือเธอได้รับการคุ้มครองภายใต้เกณฑ์ GDPR

กฎระเบียบนี้หลีกเลี่ยงการกล่าวถึงเทคนิคเฉพาะของการรวบรวมข้อมูล (ยกเว้นการใช้ในตัวอย่าง) ดังนั้นจึงเป็นเทคโนโลยีที่ไม่เชื่อเรื่องพระเจ้า ด้วยความเร็วของนวัตกรรมเกี่ยวกับการรวบรวมข้อมูล จึงมีความจำเป็นเพื่อให้ GDPR ยังคงสามารถพิสูจน์ได้ในอนาคต คุกกี้ ที่อยู่ IP โปรไฟล์เบราว์เซอร์ RESTful API ที่มีข้อมูลผู้ใช้ในเส้นทาง และเทคนิคอันชาญฉลาดอื่นๆ ที่อาจจะเกิดขึ้นในอนาคตอยู่ภายใต้ GDPR

ใครเป็นผู้รับผิดชอบในการปฏิบัติตาม?

คุณ . องค์กรของคุณคือ "ผู้ควบคุม" สำหรับเว็บไซต์ของคุณ และท้ายที่สุดต้องรับผิดชอบในการตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลได้รับการจัดการในลักษณะที่สอดคล้องกับ GDPR เมื่อคุณเลือกใช้บริการของบุคคลที่สามบนเว็บไซต์ของคุณที่ไม่เป็นไปตามข้อกำหนด แสดงว่าคุณเป็นผู้ผิด

'ผู้ควบคุม' หมายถึงบุคคลธรรมดาหรือนิติบุคคล หน่วยงานสาธารณะ หน่วยงานหรือหน่วยงานอื่นๆ ซึ่งกำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคลโดยลำพังหรือร่วมกับผู้อื่น – GDPR บทความ 4(7)

บริการใดๆ ที่เพิ่มลงในเว็บไซต์ของคุณ (เช่น Google Analytics, Pardot เป็นต้น) จะต้องสอดคล้องกับ GDPR ด้วย แม้ว่าคุณจะไม่คิดว่าบริการที่คุณกำลังเพิ่มรวบรวมข้อมูลส่วนบุคคล คุณต้องระวัง

บริการฟรีจำนวนมากจะรวมถึงการเก็บข้อมูลบางรูปแบบที่ใช้สำหรับเครือข่ายโฆษณาในภายหลัง ในปี 2011 ฉันทำการทดสอบและพบวิดเจ็ตการแบ่งปันทางสังคม "ฟรี" เช่น ShareThis หรือ AddToAny ส่วนประกอบการติดตามแบบฝังสำหรับเครือข่ายโฆษณาหลายเครือข่าย ในกรณีหนึ่ง วิดเจ็ตแชร์เดียวเปิดใช้งานการติดตามโดยเครือข่ายโฆษณากว่าครึ่งโหล

คุณต้องตรวจสอบทุกแอปพลิเคชันและบริการที่คุณรวมไว้ในเว็บไซต์ของคุณอย่างละเอียดถี่ถ้วน หากบางส่วนของเว็บไซต์ของคุณโฮสต์โดยบุคคลที่สาม (เช่น อาชีพ/ทรัพยากรบุคคล หรือนักลงทุนสัมพันธ์) คุณควรตรวจสอบให้แน่ใจว่าผู้ขายเหล่านั้นและบุคคลที่สามที่พวกเขาใช้นั้นปฏิบัติตาม GDPR

นอกจากนี้ คุณต้องตรวจสอบบุคคลที่สามที่ไม่จำเป็นต้องรวบรวมข้อมูลบนเว็บไซต์ของคุณ แต่ได้รับความไว้วางใจจากข้อมูลที่รวบรวมในทางใดทางหนึ่ง ที่ปรึกษาด้านการวิเคราะห์อาจจัดอยู่ในหมวดหมู่นี้

บุคคลที่สามเหล่านี้เป็น "ผู้ประมวลผล" ข้อมูลผู้ใช้ของคุณ

'ผู้ประมวลผล' หมายถึงบุคคลธรรมดาหรือนิติบุคคล หน่วยงานสาธารณะ หน่วยงานหรือหน่วยงานอื่น ๆ ที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม – GDPR บทความ 4(8)

หากบริษัทของคุณจ้างพนักงานน้อยกว่า 250 คน และคุณไม่ได้รวบรวมข้อมูลส่วนบุคคลที่ละเอียดอ่อนซึ่งอาจส่งผลให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล ก็มีความผ่อนปรนในการบันทึกกิจกรรมการประมวลผลที่ลดภาระของคุณ คุณไม่ได้รับการยกเว้นจากการปฏิบัติตาม GDPR แต่คุณไม่ได้อยู่ภายใต้มาตรฐานเดียวกันกับองค์กรขนาดใหญ่

พื้นฐานทางกฎหมายสำหรับการประมวลผล

เพื่อให้การรวบรวมข้อมูลส่วนบุคคลใด ๆ เป็นที่ยอมรับภายใต้ GDPR นั้นต้องเป็นไปตามเกณฑ์อย่างน้อยหนึ่งในหกข้อ GDPR ระบุไว้ในมาตรา 6(1):

  1. การประมวลผลจะชอบด้วยกฎหมายก็ต่อเมื่อและในขอบเขตที่มีผลบังคับอย่างน้อยหนึ่งข้อต่อไปนี้:

    (a) เจ้าของข้อมูลได้ให้ความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของตนเพื่อวัตถุประสงค์เฉพาะอย่างใดอย่างหนึ่ง

    (b) การประมวลผลจำเป็นสำหรับการปฏิบัติตามสัญญาที่เจ้าของข้อมูลเป็น งานสังสรรค์ หรือเพื่อดำเนินการตามคำร้องขอของเจ้าของข้อมูลก่อนทำสัญญา

    (c) การประมวลผลจำเป็นสำหรับการปฏิบัติตามภาระผูกพันทางกฎหมายที่ผู้ควบคุมอยู่ภายใต้;

    (d) การประมวลผลมีความจำเป็นเพื่อปกป้องผลประโยชน์ที่สำคัญของเจ้าของข้อมูลหรือของบุคคลอื่น

    (จ) การประมวลผลจำเป็นสำหรับการปฏิบัติงานเพื่อสาธารณประโยชน์หรือในการใช้อำนาจหน้าที่ของทางการที่ตกเป็นของผู้ควบคุม

    (f) การประมวลผลจำเป็นสำหรับวัตถุประสงค์ของผลประโยชน์ที่ชอบด้วยกฎหมายที่ดำเนินการโดยผู้ควบคุมหรือโดยบุคคลที่สาม ยกเว้นในกรณีที่ผลประโยชน์ดังกล่าวถูกแทนที่ด้วยผลประโยชน์หรือสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลที่ต้องการการปกป้องข้อมูลส่วนบุคคล โดยเฉพาะ โดยที่เจ้าของข้อมูลเป็นเด็ก

จากหกฐานนี้ ฐานแรกเท่านั้นที่จะนำไปใช้กับเว็บไซต์ส่วนใหญ่ของลูกค้าของเรา สำหรับสายอาชีพและส่วนอีคอมเมิร์ซ หรือบริการใดๆ ที่จำเป็นต้องเข้าสู่ระบบ สามารถใช้เกณฑ์ (B) ได้ เช่นกัน

บัตรประจำตัว

นี่เป็นแนวคิดที่สำคัญมากในการพิจารณาว่าการรวบรวมข้อมูลประเภทใดที่ไม่ต้องการพื้นฐานทางกฎหมายภายใต้ GDPR การระบุตัวตนเข้าใจได้ง่ายในแง่หนึ่ง... เราสามารถเชื่อมโยงข้อมูลนี้กับบุคคลธรรมดาได้หรือไม่? หากเป็นเช่นนั้น แสดงว่าบุคคลนั้นได้รับการคุ้มครองภายใต้ GDPR อย่างชัดเจน

จะเกิดอะไรขึ้นหากเรากำลังติดตามบุคคลนิรนามผ่านการใช้คุกกี้หรือเทคโนโลยีการติดตามอื่น ๆ แม้ว่าบุคคลนั้นจะไม่ระบุชื่อ แต่ก็เป็นไปได้ที่จะระบุตัวเขาในภายหลังผ่านการรวบรวมข้อมูลเพิ่มเติม ดังนั้นบุคคลนั้นจึงได้รับการคุ้มครอง

บุคคลธรรมดาอาจเชื่อมโยงกับตัวระบุออนไลน์ที่จัดเตรียมโดยอุปกรณ์ แอปพลิเคชัน เครื่องมือและโปรโตคอล เช่น ที่อยู่อินเทอร์เน็ตโปรโตคอล ตัวระบุคุกกี้ หรือตัวระบุอื่นๆ เช่น แท็กระบุความถี่วิทยุ ซึ่งอาจทิ้งร่องรอยไว้ โดยเฉพาะอย่างยิ่งเมื่อรวมกับตัวระบุเฉพาะและข้อมูลอื่น ๆ ที่ได้รับจากเซิร์ฟเวอร์ อาจใช้เพื่อสร้างโปรไฟล์ของบุคคลธรรมดาและระบุตัวตนได้ – คำนำ GDPR (30)

เหตุผลก็คือเราไม่ควรรวบรวมข้อมูลของผู้ใช้แต่ละรายโดยไม่ได้รับความยินยอมล่วงหน้า หากเราต้องรวบรวมข้อมูลแล้วเชื่อมโยงกับบุคคลธรรมดาในภายหลัง เราจะละเมิดหลักการนั้น

สิทธิของผู้ใช้

ต้องได้รับความยินยอมก่อนที่จะรวบรวมข้อมูลส่วนบุคคล และข้อมูลทั้งหมดที่เกี่ยวข้องกับการยินยอมดังกล่าวจะต้องถูกจัดเก็บ รวมถึงโดยเฉพาะอย่างยิ่งเมื่อได้รับความยินยอมและรูปแบบการประมวลผลที่ผู้ใช้ตกลงไว้ ในทางกลับกัน หากผู้ใช้เพิกถอนความยินยอมสำหรับการรวบรวมข้อมูลส่วนบุคคลบางส่วนหรือทั้งหมด จะต้องบันทึกการเพิกถอนนั้นด้วย

'ความยินยอม' ของเจ้าของข้อมูล หมายถึง การระบุความต้องการของเจ้าของข้อมูลโดยอิสระ เฉพาะเจาะจง ได้รับแจ้ง และชัดเจน โดยคำแถลงหรือการกระทำที่ยืนยันอย่างชัดเจน แสดงถึงข้อตกลงในการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตัวเขา หรือเธอ; – GDPR บทความ 4(11)

โปรดทราบว่าบุคคลที่สามบางรายอาจมีกลไกในการขอความยินยอม แต่การอนุญาตให้บริการเหล่านั้นแทรกซึมเข้าไปในประสบการณ์ผู้ใช้ของคุณจะทำให้ผู้คนสับสน เว้นแต่คุณจะใช้ผู้ให้บริการบุคคลที่สามรายเดียวในการจัดเก็บข้อมูลเกี่ยวกับผู้ใช้ของคุณ เราขอแนะนำให้คุณสร้างกลไกการยินยอมแบบง่ายเพียงขั้นตอนเดียวที่ชัดเจนและรัดกุม ควรใช้เพื่อจัดการวิธีการต่างๆ ในการรวบรวมข้อมูลบนเว็บไซต์ของคุณ รวมถึงบุคคลที่สาม

'ความยินยอม' ควรได้รับจากการกระทำที่ยืนยันได้อย่างชัดเจน เป็นการบ่งชี้ข้อตกลงของเจ้าของข้อมูลอย่างเสรี เฉพาะเจาะจง แจ้ง และชัดเจนในการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตัวเขาหรือเธอ เช่น โดยคำแถลงเป็นลายลักษณ์อักษร ซึ่งรวมถึงวิธีการทางอิเล็กทรอนิกส์ หรือคำบอกเล่าด้วยวาจา – คำนำ GDPR (32)

ผู้ใช้มีสิทธิ์ในการเข้าถึงข้อมูลของตน แก้ไขข้อมูลของตน และเมื่อไม่มีพื้นฐานทางกฎหมายสำหรับการประมวลผลข้อมูลอีกต่อไป (เช่น ผู้ใช้เพิกถอนความยินยอมหรือไม่ได้เป็นลูกค้าอีกต่อไป) เจ้าของข้อมูลจะมีสิทธิที่จะ ลืม ซึ่งรวมถึงผู้ควบคุมที่แจ้งโปรเซสเซอร์ที่อาจจัดเก็บข้อมูลผู้ใช้ที่รวบรวมไว้

นอกจากนี้ ข้อมูลส่วนบุคคลควรถูกลืมเมื่อไม่จำเป็นสำหรับพื้นฐานทางกฎหมายที่เก็บรวบรวมหรือเพื่อวัตถุประสงค์ในการให้ความยินยอมอีกต่อไป

การปกป้องข้อมูลและการรับรอง

GDPR กำหนดให้ผู้ควบคุมข้อมูล (นั่นคือคุณ) และผู้ประมวลผลดำเนินการตามขั้นตอนที่เหมาะสม (ทั้งทางเทคนิคและองค์กร) เพื่อปกป้องข้อมูลส่วนบุคคล

เพื่อให้สามารถแสดงให้เห็นถึงการปฏิบัติตามกฎระเบียบนี้ ผู้ควบคุมควรใช้นโยบายภายในและดำเนินการตามมาตรการที่เป็นไปตามหลักการของการปกป้องข้อมูลโดยเฉพาะโดยการออกแบบและการปกป้องข้อมูลโดยค่าเริ่มต้น มาตรการดังกล่าวอาจประกอบด้วย อย่างอื่น ได้แก่ การลดการประมวลผลข้อมูลส่วนบุคคล นามแฝงข้อมูลส่วนบุคคลโดยเร็วที่สุด ความโปร่งใสเกี่ยวกับการทำงานและการประมวลผลข้อมูลส่วนบุคคล ทำให้เจ้าของข้อมูลสามารถตรวจสอบการประมวลผลข้อมูลได้ ทำให้ผู้ควบคุมสามารถ สร้างและปรับปรุงคุณลักษณะด้านความปลอดภัย – คำนำ GDPR (78)

มาตรการเหล่านั้นควรรวมถึงการจำกัดการเข้าถึง การเข้ารหัส และแนวทางปฏิบัติที่ดีที่สุดขั้นพื้นฐานอื่นๆ สำหรับการรักษาความปลอดภัยข้อมูล ผู้เขียน GDPR สนับสนุนให้ผู้ควบคุมและผู้ประมวลผลระบุและปฏิบัติตามการรับรองการปกป้องข้อมูล เช่น หลักปฏิบัติ ISO/IEC 27018 สำหรับการปกป้องข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้

เพื่อเพิ่มความโปร่งใสและการปฏิบัติตามกฎระเบียบนี้ ควรส่งเสริมการจัดตั้งกลไกการรับรองและตราประทับและเครื่องหมายคุ้มครองข้อมูล ซึ่งช่วยให้เจ้าของข้อมูลประเมินระดับการปกป้องข้อมูลของผลิตภัณฑ์และบริการที่เกี่ยวข้องได้อย่างรวดเร็ว – คำนำ GDPR (100)

นามแฝง

ในการวิจัยของฉัน ฉันพบว่าการใช้นามแฝงเป็นแนวคิดที่เข้าใจผิดมากที่สุดใน GDPR การใช้นามแฝงไม่ใช่สิ่งเดียวกับการทำให้ไม่เปิดเผยชื่อ มันเป็นเพียงการกระทำของการลบคุณสมบัติออกจากชุดข้อมูลที่ทำให้ผู้ใช้สามารถระบุเร็กคอร์ดและจัดเก็บคุณสมบัติเหล่านั้นในแหล่งข้อมูลแยกต่างหากโดยใช้ตัวระบุเฉพาะบางรูปแบบ ข้อมูลนามแฝงสามารถกระทบยอดกับแหล่งข้อมูลที่แยกต่างหากนั้นเพื่อระบุผู้ใช้แต่ละราย

'นามแฝง' หมายถึงการประมวลผลข้อมูลส่วนบุคคลในลักษณะที่ข้อมูลส่วนบุคคลไม่สามารถนำมาประกอบกับหัวเรื่องข้อมูลเฉพาะอีกต่อไปโดยไม่ต้องใช้ข้อมูลเพิ่มเติมโดยที่ข้อมูลเพิ่มเติมดังกล่าวจะถูกเก็บไว้แยกต่างหากและอยู่ภายใต้มาตรการทางเทคนิคและองค์กร เพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลไม่ได้มาจากบุคคลธรรมดาที่ระบุหรือระบุตัวได้ - GDPR บทความ 4(5)

การนำข้อมูลที่รวบรวมมาโดยใช้นามแฝงไม่ได้สร้างพื้นฐานทางกฎหมายสำหรับการประมวลผลข้อมูลผู้ใช้ อย่างไรก็ตาม เป็นแนวทางปฏิบัติที่ดีที่สุดสำหรับการจัดเก็บข้อมูลผู้ใช้อย่างปลอดภัย โดยเฉพาะอย่างยิ่งเมื่อข้อมูลนั้นถูกจัดเก็บไว้กับโปรเซสเซอร์หรือบุคคลที่สามอื่นๆ ตัวอย่างเช่น คุณสามารถใช้ตัวระบุเฉพาะในชุดข้อมูลของโปรเซสเซอร์ ซึ่งสามารถรวมกับชุดข้อมูลของคุณเองเพื่อระบุผู้ใช้

การเปิดเผยข้อมูลการละเมิด

ในกรณีที่มีการละเมิดข้อมูลส่วนบุคคล ผู้ควบคุมจะต้องแจ้งหน่วยงานกำกับดูแลของตนภายใน 72 ชั่วโมงหลังจากรับทราบ เนื่องจากคุณเป็นส่วนหนึ่งของบริษัทในสหรัฐอเมริกา หน่วยงานกำกับดูแลจะเป็นหน่วยงานของรัฐสมาชิกที่เจ้าของข้อมูลอาศัยอยู่

'การละเมิดข้อมูลส่วนบุคคล' หมายถึงการละเมิดความปลอดภัยที่นำไปสู่การทำลายโดยไม่ได้ตั้งใจหรือไม่ชอบด้วยกฎหมาย การสูญเสีย การเปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลส่วนบุคคลที่ส่ง จัดเก็บ หรือประมวลผล – GDPR บทความ 4(12)

ผู้ควบคุมข้อมูลยังต้องแจ้งเจ้าของข้อมูลที่ได้รับผลกระทบในกรณีที่มีการละเมิด แม้ว่าเส้นเวลาสำหรับการแจ้งเตือนดังกล่าวอาจขึ้นอยู่กับมาตรการที่จำเป็นเพื่อป้องกันการละเมิดข้อมูลอย่างต่อเนื่องหรือที่คล้ายคลึงกัน แนวทางดังกล่าวระบุว่าควรติดต่อเจ้าของข้อมูลโดยไม่ชักช้า

บทลงโทษ

บทลงโทษสำหรับการละเมิด GDPR สามารถแบ่งออกเป็นสองประเภท:

  1. ค่าปรับที่กำหนดโดยหน่วยงานกำกับดูแล
  2. การชดเชยสำหรับเจ้าของข้อมูลที่ถูกละเมิดสิทธิ์

บทความส่วนใหญ่ที่ฉันอ่านมักจะเน้นไปที่ค่าปรับที่หน่วยงานกำกับดูแลสามารถกำหนดได้

และง่ายต่อการดูว่าทำไม

บทลงโทษอาจสูงถึง 20,000,000 ยูโรหรือสูงถึง 4% ของมูลค่าการซื้อขายประจำปีทั่วโลกของปีการเงินก่อนหน้า เป็นตัวเลขที่น่ากลัว

แต่สิ่งสำคัญคือต้องเข้าใจว่าค่าปรับเหล่านี้เป็นค่าปรับสูงสุด ซึ่งสงวนไว้สำหรับสถานการณ์ที่ร้ายแรงและเป็นอันตรายที่สุด มีการพิจารณาปัจจัยหลายประการในการกำหนดจำนวนเงินค่าปรับ

ในการตัดสินใจว่าจะกำหนดค่าปรับทางปกครองหรือไม่ และการพิจารณาจำนวนเงินค่าปรับทางปกครองในแต่ละกรณี ให้คำนึงถึงสิ่งต่อไปนี้

  1. ธรรมชาติ ความโน้มถ่วง และระยะเวลาของการละเมิดโดยคำนึงถึงขอบเขตธรรมชาติหรือวัตถุประสงค์ของการประมวลผลที่เกี่ยวข้อง ตลอดจนจำนวนเจ้าของข้อมูลที่ได้รับผลกระทบและระดับของความเสียหายที่พวกเขาได้รับ
  2. ลักษณะโดยเจตนาหรือประมาทเลินเล่อของการละเมิด;
  3. การดำเนินการใด ๆ ที่ดำเนินการโดยผู้ควบคุมหรือผู้ประมวลผลเพื่อลดความเสียหายที่ได้รับจากเจ้าของข้อมูล
  4. ระดับความรับผิดชอบของผู้ควบคุมหรือผู้ประมวลผลโดยคำนึงถึงมาตรการทางเทคนิคและองค์กรที่ดำเนินการตามมาตรา 25 และ 32
  5. การละเมิดที่เกี่ยวข้องก่อนหน้านี้โดยผู้ควบคุมหรือผู้ประมวลผล
  6. ระดับความร่วมมือกับหน่วยงานกำกับดูแล เพื่อแก้ไขการละเมิดและบรรเทาผลกระทบที่อาจเกิดขึ้นจากการละเมิด
  7. ประเภทของข้อมูลส่วนบุคคลที่ได้รับผลกระทบจากการละเมิด
  8. ลักษณะที่หน่วยงานกำกับดูแลทราบถึงการละเมิด โดยเฉพาะอย่างยิ่งว่าผู้ควบคุมหรือผู้ประมวลผลได้แจ้งการละเมิดหรือไม่และหากเป็นเช่นนั้น
  9. เมื่อมาตรการที่อ้างถึงในมาตรา 58(2) ได้รับคำสั่งก่อนหน้านี้กับผู้ควบคุมหรือผู้ประมวลผลที่เกี่ยวข้องกับเรื่องเดียวกัน ให้ปฏิบัติตามมาตรการเหล่านั้น
  10. การปฏิบัติตามหลักจรรยาบรรณที่ได้รับอนุมัติตามมาตรา 40 หรือกลไกการรับรองที่ได้รับอนุมัติตามมาตรา 42 และ
  11. ปัจจัยที่ทำให้รุนแรงขึ้นหรือบรรเทาทุกข์อื่น ๆ ที่เกี่ยวข้องกับสถานการณ์ของคดีเช่นผลประโยชน์ทางการเงินที่ได้รับหรือการสูญเสียที่หลีกเลี่ยงไม่ว่าโดยตรงหรือโดยอ้อมจากการละเมิด

– GDPR บทความ 83(2)

สิ่งที่ไม่ทราบมากขึ้นคือค่าตอบแทนสำหรับเจ้าของข้อมูลที่ถูกละเมิดสิทธิ์นั้นเป็นอย่างไร ไม่น่าเป็นไปได้ที่การละเมิด GDPR จะส่งผลกระทบต่อบุคคลเพียงคนเดียว ดังนั้นจึงมีเหตุผลที่จะคาดหวังการดำเนินคดีแบบกลุ่มบางรูปแบบ

กฎเกณฑ์ระดับชาติของประเทศสมาชิกสหภาพยุโรปนั้นแตกต่างกันไปตามประเด็นการดำเนินคดีแบบกลุ่ม (การดำเนินคดีแบบกลุ่ม) ดังนั้นการคาดการณ์ผลที่ตามมาก่อนที่กฎระเบียบจะมีผลบังคับใช้จึงเป็นแบบฝึกหัดที่ดีที่สุดสำหรับผู้เชี่ยวชาญด้านกฎหมาย บางทีอาจจะดีกว่านี้ ผู้มีญาณทิพย์มองเข้าไปในลูกบอลคริสตัล

สถานการณ์ทั่วไปบางอย่าง

สิ่งสำคัญที่สุดคือการปฏิบัติตาม GDPR ไม่จำเป็นต้องยากขนาดนั้น แม้ว่าจะมีขั้นตอนพื้นฐานบางอย่างที่คุณต้องดำเนินการ แต่หลักเกณฑ์นั้นมีความชัดเจนและสามารถวัดผลได้ หากคุณเคยทำธุรกิจในสหภาพยุโรปแต่ไม่ได้สนใจ Data Protection Directive คุณก็ยังมีสิ่งที่ต้องทำอีกเล็กน้อย แต่ขอย้ำว่าไม่ได้แย่ขนาดนั้น

มีบางสถานการณ์ทั่วไปที่แชร์กันในธุรกิจเกือบทั้งหมดที่บริการ BrandExtract โดยทั่วไป เราพยายามคัดแยกลูกค้าของเราให้ห่างจากสถานการณ์ที่ต้องรวบรวมความยินยอมหรือจัดการข้อมูลส่วนบุคคล เว้นแต่จำเป็นจริงๆ แต่มีบางสถานการณ์ที่เหมาะสม ต่อไปนี้คือสถานการณ์เฉพาะบางประการพร้อมคำแนะนำ:

Google Analytics

เป็นจุดยืนของ BrandExtract ที่การรวบรวมและจัดเก็บที่อยู่ IP ที่สมบูรณ์ของผู้ใช้ไม่จำเป็นต้องทำการวิเคราะห์คุณภาพ และการทำให้ที่อยู่ IP นั้นไม่ระบุชื่อโดยทิ้งอ็อกเท็ตสุดท้ายของที่อยู่ IPv4 และที่อยู่ IPv6 80 บิตสุดท้ายนั้นเพียงพอแล้วที่จะขจัดความเป็นไปได้ในการระบุตัวตนผู้ใช้ในด้านของ Google

ซึ่งสามารถทำได้ง่ายใน Google Analytics โดยใช้คุณลักษณะการลบข้อมูลระบุที่อยู่ IP ที่สร้างขึ้นในไลบรารีจาวาสคริปต์ของ GA ผู้ใช้ทุกคนสามารถเรียกใช้ได้ง่ายๆ ไม่ว่าพวกเขาจะเข้าถึงไซต์ของคุณจากภายในสหภาพยุโรปหรือไม่ก็ตาม เมื่อใช้การลบข้อมูลระบุที่อยู่ IP จะไม่มีการบันทึกข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้บนเซิร์ฟเวอร์ของ Google

นอกจากนี้ยังสามารถปิดการใช้งานคุกกี้ Google Analytics บนเว็บไซต์ของคุณได้ ซึ่งจะส่งผลให้ข้อมูลการวิเคราะห์บางส่วนสูญหาย (เรากำลังอยู่ระหว่างการทดสอบเพื่อดูว่าข้อมูลใดสูญหาย) แต่ด้วยการลบชื่อที่อยู่ IP และลบคุกกี้ เราไม่จำเป็นต้องรวบรวมคำยินยอมสำหรับ Google Analytics อีกต่อไปเพราะไม่สามารถระบุผู้ใช้ได้อีกต่อไป

ยังคงสามารถใช้ Google Analytics กับคุกกี้ได้ แต่คุณต้องรวบรวมความยินยอมก่อนที่จะดำเนินการดังกล่าว อีกด้วย โปรดทราบว่า Google ได้ให้คำมั่นสัญญาว่าจะใช้เครื่องมือในการลบข้อมูลผู้ใช้แต่ละรายออกจากการวิเคราะห์เพื่อให้เป็นไปตามข้อกำหนด สิ่งเหล่านี้ควรจะเกิดขึ้นภายในวันที่ 25 พฤษภาคม

ไฟล์บันทึกของเว็บเซิร์ฟเวอร์

โดยค่าเริ่มต้น คำขอทั้งหมดไปยังเว็บเซิร์ฟเวอร์ของคุณจะถูกบันทึกไว้ในไฟล์บันทึก แต่ละเร็กคอร์ดจะมีที่อยู่ IP ของผู้ใช้ ซึ่งนับเป็นข้อมูลส่วนบุคคลเพราะสามารถใช้ในภายหลังเพื่อติดตามกิจกรรมของผู้ใช้รายนั้นได้หากเขาหรือเธอถูกระบุในภายหลัง ควรปิดใช้งานการบันทึกที่อยู่ IP หรือที่อยู่ IP ไม่ควรระบุตัวตน

Pardot

เช่นเดียวกับ Google ตำแหน่งของ Pardot คือการที่คุณเป็นผู้ควบคุมและเป็นผู้ประมวลผล ข้อเสนอบริการของ Pardot ขึ้นอยู่กับความสามารถในการระบุตัวผู้ใช้ ดังนั้นหากคุณตั้งใจจะใช้บริการ Pardot บนเว็บไซต์ของคุณ คุณต้องมีพื้นฐานทางกฎหมายในการประมวลผลข้อมูลของผู้ใช้

Pardot ยังไม่มีเครื่องมือในการรวบรวมหรือลบข้อมูลผู้ใช้ และพวกเขาไม่ได้คาดหวังว่าจะมีเครื่องมือเหล่านั้นภายในกำหนดเวลา คำขอข้อมูลและคำขอทั้งหมดที่จะลืมจะต้องดำเนินการผ่านแผนกบริการของ Pardot

Hubspot

ส่วนหนึ่งของข้อเสนอบริการของ Hubspot ได้แก่ แบบฟอร์มการรับและการติดตามผู้ใช้ หากคุณไม่ได้ใช้ผู้ให้บริการบุคคลที่สามรายอื่นในการติดตามผู้ใช้ คุณอาจลองใช้กลไกการรวบรวมคำยินยอมของ Hubspot คุณลักษณะใหม่นี้ควรเริ่มใช้ภายในวันที่ 25 พฤษภาคม

หากคุณกำลังใช้ผู้ให้บริการรายอื่นนอกเหนือจาก Hubspot หรือกำลังจัดเก็บข้อมูลผู้ใช้บนระบบของคุณเอง คุณต้องสร้างกลไกของคุณเองเพื่อรวบรวมความยินยอมสำหรับวิธีการจัดเก็บข้อมูลผู้ใช้ทั้งหมด

การตลาดผ่านอีเมล

หากคุณกำลังใช้ผู้ให้บริการการตลาดผ่านอีเมลหรือมีกลไกของคุณเองในการติดตามการตอบกลับทางอีเมลโดยผู้ใช้ คุณต้องได้รับความยินยอมหรือพื้นฐานทางกฎหมายก่อนที่จะส่งอีเมล สำหรับแคมเปญอีเมล คุณจะต้องมีความสัมพันธ์ที่มั่นคงกับเจ้าของข้อมูลที่มีพื้นฐานทางกฎหมายสำหรับการประมวลผล

แบบอักษรที่โฮสต์และสินทรัพย์อื่นๆ

อันนี้ง่าย... หากคุณกังวลเกี่ยวกับ GDPR อย่าใช้บุคคลที่สามเพื่อโฮสต์ฟอนต์ของเว็บไซต์ของคุณ ไลบรารีจาวาสคริปต์ หรือสินทรัพย์อื่นๆ หากแบบอักษรใดใช้ได้เฉพาะผ่านโฮสต์บุคคลที่สาม ให้ใช้แบบอักษรอื่น

ผู้ให้บริการทุกรายจะมีข้อกำหนดในการให้บริการและระดับการปฏิบัติตามข้อกำหนดของตนเองซึ่งจะต้องมีการตรวจสอบอย่างต่อเนื่องเพื่อให้แน่ใจว่านโยบายของพวกเขาจะไม่เปลี่ยนแปลง พยายามหลีกเลี่ยงความยุ่งยากและความเสี่ยงนั้น

บริการแบ่งปัน (ShareThis, AddToAny ฯลฯ)

น่ากลัว อย่าใช้เลย แม้กระทั่งก่อนการพัฒนา GDPR ที่เป็นข่าว BrandExtract ได้นำลูกค้าของเราให้ห่างจากปรสิตที่ปลอมตัวเป็นบริการเสมอ ผู้ใช้ของคุณไม่ต้องการความสามารถในการแบ่งปันหน้าเว็บของคุณบนเครือข่ายสังคม 47 เครือข่ายที่ไม่มีใครเคยได้ยิน BrandExtract มีโค้ดที่กำหนดเองสำหรับการแชร์บนแพลตฟอร์มหลักทั้งหมดที่มีความสำคัญต่อธุรกิจของคุณจริงๆ

การปรับเปลี่ยนในแบบของคุณ

อันนี้ก็ง่ายเช่นกัน สถานการณ์ส่วนบุคคลอื่น ๆ นอกเหนือจากตำแหน่งทางภูมิศาสตร์แบบกว้าง ๆ ตามทวีปหรือประเทศต้องมีการระบุตัวตนผู้ใช้ และคุณ ต้อง ได้รับความยินยอมจากผู้ใช้ ไม่มีทางเลี่ยงได้เลย

ทรัพยากร

  • เว็บไซต์คณะกรรมาธิการยุโรป
  • ข้อความ GDPR
  • IP Anonymization ใน Analytics
  • ปิดการใช้งานคุกกี้การวิเคราะห์

กฎระเบียบของ GDPR นั้นสามารถครอบงำได้ หวังว่า เราได้ช่วยรวบรวมทุกสิ่งที่คุณจำเป็นต้องรู้ ในขณะที่คุณพิจารณาตรวจสอบไซต์ของคุณ เรายินดีที่จะสนทนา เราได้รับรายละเอียดเพิ่มเติมเกี่ยวกับ GDPR กับทีมผู้เชี่ยวชาญของเราในตอนพ็อดคาสท์ GDPR สำหรับข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับเว็บและการพิจารณาด้านดิจิทัลสำหรับแบรนด์ของคุณ ต่อไปนี้คือเคล็ดลับและแหล่งข้อมูลบางส่วนที่จะช่วยคุณ:

  • เรียนรู้สิ่งที่จะทำให้ไซต์ของคุณสามารถเข้าถึงได้
  • ค้นหากุญแจสำคัญในการรักษาความปลอดภัยเว็บไซต์และวิธีทำให้เว็บไซต์ของคุณปลอดภัย
  • ดูวิธีสร้างเว็บไซต์ธุรกิจที่มีส่วนร่วม (และทำให้เกิด Conversion)