คำแนะนำเกี่ยวกับ GDPR: ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป

เผยแพร่แล้ว: 2021-03-09

กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ผ่านในเดือนพฤษภาคม 2018 ในความพยายามที่จะปกป้องประชาชนจากการละเมิดข้อมูลอันเนื่องมาจากความประมาทเลินเล่อหรือผู้กระทำความผิด กฎระเบียบของยุโรปเป็นหนึ่งในหลายๆ กฎระเบียบที่พยายามทำให้สภาพแวดล้อมดิจิทัลมีความปลอดภัยมากขึ้นสำหรับผู้บริโภค: CCPA ในแคลิฟอร์เนีย, LGPD ในบราซิล, PIPL ในประเทศจีน, PIPEDA ในแคนาดา

GDPR เป็นการตอบสนองต่อความกังวลของสาธารณชนที่เพิ่มขึ้นในยุโรปเกี่ยวกับความเป็นส่วนตัวของข้อมูล สหภาพยุโรปได้ใช้กฎระเบียบเพื่อปกป้องข้อมูลในสหภาพยุโรปและเขตเศรษฐกิจยุโรปด้วยการบังคับใช้กฎระเบียบที่เข้มงวด อำนาจการสอบสวน และค่าปรับจำนวนมากสำหรับการไม่ปฏิบัติตามหรือในกรณีของการละเมิดข้อมูล

GDPR ให้การปกป้องข้อมูลแก่ผู้บริโภค รวมถึง:

  1. สิทธิที่จะได้รับแจ้ง
  2. สิทธิ์ในการเข้าถึง
  3. สิทธิในการแก้ไข
  4. สิทธิในการลบล้าง
  5. สิทธิ์ในการจำกัดการประมวลผล
  6. สิทธิในการพกพาข้อมูล
  7. สิทธิในการคัดค้าน
  8. สิทธิ์ที่เกี่ยวข้องกับการตัดสินใจอัตโนมัติและการทำโปรไฟล์

ใครบ้างที่ต้องดูแลเกี่ยวกับการปฏิบัติตาม GDPR

เป็นไปโดยไม่ได้บอกว่าหากคุณเป็นบริษัทในยุโรป หรือบริษัทที่ทำธุรกิจใดๆ ในยุโรป คุณต้องตระหนักถึงข้อกำหนดของ GDPR

ธุรกิจในสหรัฐอเมริกาควรให้ความสนใจกับ GDPR ด้วย เพราะถึงแม้กฎระเบียบจะเป็นข้อบังคับเฉพาะของยุโรป แต่ก็ส่งผลกระทบต่อธุรกิจนอกสหภาพยุโรปและ EEA ที่จัดการข้อมูลของผู้บริโภคชาวยุโรปด้วยเช่นกัน เศรษฐกิจโลกไม่ได้ถูกโดดเดี่ยวและมีการลุกลามเป็นจำนวนมาก คุณควรตรวจสอบผู้ขายที่คุณทำงานด้วยเพื่อให้แน่ใจว่าพวกเขาปฏิบัติตามข้อกำหนดเพื่อหลีกเลี่ยงความรับผิดใดๆ

หากคุณเป็นบริษัทอีคอมเมิร์ซ คุณในฐานะผู้ค้าคือผู้ควบคุมข้อมูลที่รับผิดชอบข้อมูลผู้บริโภคของคุณ การเลือกคู่ค้าที่เหมาะสมเพื่อร่วมงานด้วยจะเป็นส่วนหนึ่งของการปฏิบัติตามข้อกำหนดอย่างสมบูรณ์ ตัวอย่างเช่น Shopify มีแหล่งข้อมูลที่เกี่ยวข้องกับ GDPR มากมายเพื่อช่วยให้คุณเข้าใจภาระผูกพันและเพื่อแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนดของพวกเขาเอง

ผู้บริโภคชาวอเมริกันควรมีความสนใจใน GDPR ด้วย เนื่องจากอาจเป็นประโยชน์ต่อพวกเขาโดยที่พวกเขาไม่รู้ตัว GDPR รับประกันการคุ้มครองไม่เพียงแต่สำหรับพลเมืองยุโรปเท่านั้น แต่ยังรวมถึงผู้บริโภคที่มีข้อมูลถูกค้าในยุโรป เช่น ผู้ที่มาพักผ่อนหรือทำธุรกิจ นอกจากนี้ยังควรเป็นเครื่องเตือนใจว่าข้อมูลประเภทใดที่ได้รับการคุ้มครองและไม่ได้รับการคุ้มครองในสหรัฐอเมริกา

ทัศนคติของผู้บริโภคที่มีต่อการปกป้องข้อมูล

รายงานความเป็นส่วนตัวและความปลอดภัยของข้อมูล RSA ได้สำรวจผู้บริโภคมากกว่า 7,500 รายทั่วฝรั่งเศส เยอรมนี อิตาลี สหราชอาณาจักร และสหรัฐอเมริกาเกี่ยวกับ “ผลกระทบต่อความเป็นส่วนตัว ข้อมูล และข้อบังคับที่มีต่อความสัมพันธ์กับธุรกิจ”

มันแสดงให้เห็นถึงความไม่ไว้วางใจของนักการตลาดออนไลน์และความกลัวของแฮ็กเกอร์เนื่องจาก "ผู้ตอบแบบสอบถามมากกว่า 40% ยอมรับในการปลอมแปลงข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลเมื่อสมัครใช้ผลิตภัณฑ์และบริการออนไลน์" เพื่อหลีกเลี่ยงการทำการตลาดหรือสูญเสียข้อมูลที่ละเอียดอ่อน

80% ของผู้ตอบแบบสอบถามระบุว่าข้อมูลทางการเงินและการธนาคารเป็นข้อกังวลสำหรับการเปิดเผยข้อมูลในการละเมิดข้อมูล ตลอดจนกังวลเกี่ยวกับรหัสผ่าน (76%) และข้อมูลระบุตัวตน เช่น หนังสือเดินทางและใบขับขี่ (72%)

ข้อมูลประชากรที่น่าสนใจอื่นๆ ได้แก่ 51% ของผู้ตอบแบบสอบถามชาวเยอรมันปกป้องข้อมูลทางพันธุกรรมของพวกเขา และ 51% ของคนรุ่นมิลเลนเนียล (อายุ 18-24 ปี) มีความกังวลเกี่ยวกับข้อมูลส่วนบุคคลที่ใช้สำหรับการแบล็กเมล์

มีความจำเป็นต้องสร้างพื้นที่ออนไลน์ที่ผู้บริโภคสามารถไว้วางใจ แต่ก็มีแรงจูงใจสำหรับธุรกิจในการปรับปรุงแนวทางปฏิบัติด้านความปลอดภัยของข้อมูล: 82% ของผู้ตอบแบบสอบถามในสหราชอาณาจักรอ้างว่าพวกเขาจะคว่ำบาตร บริษัท ที่แสดงให้เห็นอย่างต่อเนื่องว่าพวกเขาไม่สนใจ การปกป้องข้อมูลลูกค้า

แม้ว่าการคว่ำบาตรอาจไม่เพียงพอสำหรับบริษัทต่างๆ ในการควบคุมตนเอง แต่ประเทศในยุโรปได้พัฒนากรอบการกำกับดูแลที่เป็นรูปธรรมและก้าวหน้าขึ้น ซึ่งบังคับให้บริษัทต่างๆ ให้ความสำคัญกับประเด็นเรื่องความปลอดภัยของข้อมูลอย่างจริงจัง และพวกเขาไม่กลัวการเรียกเก็บภาษี ค่าปรับจำนวนมากเพื่อแสดงให้เห็นถึงความร้ายแรงของปัญหา

ข้อมูลส่วนบุคคลประเภทใดที่ได้รับการคุ้มครองโดย GDPR

ตามข้อบังคับของ GDPR บริษัทต่างๆ จะต้องปกป้องข้อมูลของผู้บริโภค ซึ่งรวมถึง:

  • ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) เช่น ชื่อ ที่อยู่ และหมายเลขประจำตัวประชาชน
  • ข้อมูลเว็บ เช่น ที่อยู่ IP ข้อมูลคุกกี้ และแท็ก RFID
  • ข้อมูลด้านสุขภาพและพันธุกรรม
  • ความคิดเห็นทางการเมือง
  • รสนิยมทางเพศ

ประโยชน์ของ GDPR

GDPR นั้นละเอียดและก้าวหน้า ค่าปรับที่สูงอาจทำให้ Google ขุ่นเคือง แต่ก็เป็นหนทางไปสู่จุดจบ ซึ่งเป็นจุดสิ้นสุดที่ปลอดภัยกว่าและมีสภาพแวดล้อมทางดิจิทัลที่ปลอดภัยกว่าซึ่งปกป้องผู้บริโภคและให้บริษัทรับผิดชอบต่อการออกแบบระบบที่ดีขึ้น Tim Cook CEO ของ Apple กล่าวว่า "ควรเป็นกฎหมายทั่วโลก" และรัฐบาลควรยืนหยัดเพื่อความเป็นส่วนตัวของข้อมูลผู้บริโภค

แม้ว่า GDPR อาจไม่มีผลกับบริษัทในอเมริกาเหนือทั้งหมด แต่การที่นำแนวทางปฏิบัติด้านความปลอดภัยของข้อมูลมาใช้ตั้งแต่เนิ่นๆ จะเป็นประโยชน์ต่อธุรกิจของคุณ Michael Fimin เขียนในนิตยสาร Forbes ตระหนักถึงประโยชน์ห้าประการของการปฏิบัติตาม GDPR

1. ยกระดับความปลอดภัยทางไซเบอร์

GDPR “ต้องการให้องค์กรระบุกลยุทธ์การรักษาความปลอดภัย และใช้มาตรการทางการบริหารและทางเทคนิคที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป” การนำแนวทางปฏิบัติเหล่านี้ไปใช้จะช่วยปกป้องข้อมูลของคุณและปรับปรุงความปลอดภัยทางไซเบอร์ของคุณ

2. ปรับปรุงการจัดการข้อมูล

เมื่อตรวจสอบการรวบรวมและจัดเก็บข้อมูลของคุณ ให้ "กำจัดไฟล์ที่ซ้ำซ้อน ล้าสมัยและไม่สำคัญ (ROT) ที่องค์กรของคุณเก็บไว้" และทำให้ข้อมูลของคุณสามารถค้นหาได้ พนักงานของคุณจะมีประสิทธิภาพมากขึ้นหากระบบของคุณเป็นแบบลีน จัดทำดัชนีได้ และค้นหาได้

3. เพิ่ม ROI ด้วยโอกาสในการขายที่ผ่านการรับรองมากขึ้น

เมื่อคุณเปลี่ยนนโยบายคุกกี้เป็นแบบที่ผู้ใช้ต้องเลือกใช้ คุณอาจมีกลุ่มข้อมูลที่เล็กกว่า แต่เนื่องจากทุกคนในพูลนั้นจะต้องตัดสินใจอย่างจริงจังเพื่อให้คุณสามารถใช้ข้อมูลของพวกเขาได้ พวกเขาจึงควร ถือว่ามีคุณสมบัติมากขึ้น

4. ความเชื่อถือของผู้บริโภค

ผู้บริโภคมีความกังวลเกี่ยวกับวิธีที่ข้อมูลของพวกเขาถูกรวบรวม ใช้ และเปิดเผยความเสี่ยงทางออนไลน์ การดำเนินการให้เหนือกว่าข้อกำหนดของอเมริกาในการรักษาความปลอดภัยข้อมูลลูกค้าของคุณให้เป็นมาตรฐานของ GDPR เน้นให้เห็นว่าคุณให้ความสำคัญกับข้อมูลส่วนบุคคลของพวกเขามากเพียงใด และคุณรับมือกับภัยคุกคามจากการละเมิดข้อมูลได้อย่างจริงจังเพียงใด

5. ความแตกต่างของตลาด

การเป็นผู้เริ่มต้นใช้งานมีประโยชน์มากมาย คุณสามารถปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยของข้อมูลซ้ำๆ เพื่อทำให้ระบบของคุณสมบูรณ์แบบก่อนที่ผู้ใช้รายใดรายหนึ่งจะเข้ามาในพื้นที่นั้น คุณคาดหวังข้อกำหนดของระเบียบข้อบังคับใดๆ ในอนาคต และสามารถบรรลุการปฏิบัติตามก่อนที่จะบังคับหรือบังคับใช้ได้ และจะทำให้คุณมีความแตกต่างของตลาดในทะเล ของคู่แข่งที่ยังไม่ได้ดำเนินการด้านความปลอดภัยของข้อมูล ตามที่ Fimin กล่าวไว้ การปฏิบัติตาม GDPR เป็นโอกาสของคุณในการ "นำวัฒนธรรมธุรกิจใหม่ที่ให้ความสำคัญกับความเป็นส่วนตัวของมนุษย์ GDPR คือโอกาสของคุณที่จะก้าวไปสู่ความเป็นเลิศ”

ข้อเสียของ GDPR

ข้อกังวลสำหรับกฎระเบียบที่เข้มงวดดังกล่าวคือค่าใช้จ่ายในการปฏิบัติตามข้อกำหนดอาจเป็นอุปสรรคต่อการเข้ามาของบริษัทใหม่ๆ ในพื้นที่ดิจิทัล ซึ่งถูกมองว่าเป็นสภาพแวดล้อมที่ให้ผลตอบแทนแก่ความเสี่ยง นวัตกรรม และการหยุดชะงักจากบริษัทใหม่ บริษัทที่ปรับขนาดได้รวดเร็วอาจแข่งขันได้น้อยกว่าคู่แข่งรายใหญ่ที่มีอยู่แล้วในตลาด

สำหรับบริษัทขนาดใหญ่หรือบริษัทที่เกี่ยวข้องกับข้อมูลส่วนบุคคลจำนวนมาก มีค่าใช้จ่ายที่เกี่ยวข้องกับการว่าจ้างหรือส่งเสริมเจ้าหน้าที่คุ้มครองข้อมูลที่รับผิดชอบการรักษาความปลอดภัยข้อมูลและการปฏิบัติตามหน่วยงานของยุโรป ค่าปรับอาจจะหนักและห้ามปราม แต่ค่าใช้จ่ายที่เกี่ยวข้องกับการปฏิบัติตามกฎระเบียบก็เช่นกัน ค่าใช้จ่ายเพิ่มเติมอาจเป็นความตายสำหรับ SMB

การปฏิบัติตามข้อกำหนดเป็นสิ่งที่ต้องได้รับการจัดการอย่างจริงจัง บริษัทขนาดเล็กอาจไม่สามารถปฏิบัติตามข้อกำหนดในระดับเดียวกับบริษัทขนาดใหญ่ได้ เพื่อรักษาความได้เปรียบทางการแข่งขันที่บริษัทใหญ่ๆ เหล่านี้มีอยู่แล้ว

ข้อจำกัดเกี่ยวกับวิธีที่บริษัทสามารถรวบรวม จัดเก็บ และใช้ข้อมูลจะส่งผลกระทบต่อด้านเทคนิคของการโฆษณาที่ SMB จำนวนมากต้องพึ่งพา หากปราศจากข้อมูลเชิงลึกของข้อมูลคุณภาพเพื่อวัตถุประสงค์ทางการตลาด บริษัทประสบปัญหาในการเข้าถึงกลุ่มเป้าหมาย และผู้บริโภคอาจได้รับโฆษณาที่มีความเกี่ยวข้องน้อยกว่า การโฆษณาที่ยอดเยี่ยมเป็นประโยชน์ต่อทั้งผู้บริโภคและผู้โฆษณาเมื่อผลิตภัณฑ์ที่เหมาะสมปรากฏต่อสายตาที่ใช่

คำวิจารณ์อีกประการหนึ่งของ GDPR คือมันไปไกลเกินไป และกฎระเบียบที่มากเกินไปจะนำไปสู่สถานะที่คงที่ของผู้บริโภคที่ถูกขอความยินยอมทางออนไลน์ ผู้ใช้ทั้งสองจะพบกับแบนเนอร์คุกกี้คงที่ หรือบริษัทต่างๆ จะไม่รวบรวมข้อมูลที่ละเอียดอ่อนตั้งแต่แรก แทนที่จะใช้การวิเคราะห์ข้อมูลทางเลือกเพื่อให้เป็นไปตามข้อกำหนดโดยไม่ต้องมีคำขอเลือกเข้าร่วมใดๆ ต่อผู้เยี่ยมชมเว็บไซต์

วิธีปฏิบัติตามข้อกำหนด GDPR

ความเป็นส่วนตัวของข้อมูลเป็นปัญหาระดับโลก และ GDPR ส่งผลกระทบต่อบริษัทใดๆ ที่จัดการข้อมูลถิ่นที่อยู่ในสหภาพยุโรป หากเว็บไซต์ของคุณรวบรวมข้อมูลผู้ใช้ด้วยซอฟต์แวร์การวิเคราะห์ ข้อบังคับนี้จะส่งผลต่อคุณ และคุณจะต้องเปลี่ยนจากการไม่เข้าร่วมเป็นการรวบรวมข้อมูล

ตรวจสอบข้อมูลที่คุณกำลังรวบรวม

ทำความเข้าใจว่าข้อมูลประเภทใดที่คุณดำเนินการ ข้อมูลดังกล่าวถูกจัดเก็บอย่างไร และใครในองค์กรของคุณมีสิทธิ์เข้าถึงข้อมูลดังกล่าว ตรวจสอบผู้ขายของคุณที่รวบรวมข้อมูลจากเว็บไซต์ของคุณ และตรวจสอบคำชี้แจงเกี่ยวกับการปฏิบัติตาม GDPR

เน้นความเป็นส่วนตัวในทุกระดับ

อย่าเพียงแค่ใส่ใจกับวิธีการออกแบบระบบหรือวิธีการจัดเก็บข้อมูล แต่ยังรวมถึงผู้ที่มีสิทธิ์เข้าถึงบัญชีในพื้นที่ด้วย

ใช้วิธีการตามความเสี่ยง

การปฏิบัติตามข้อกำหนดด้านความปลอดภัยของข้อมูลจำเป็นต้องมีการทำงานร่วมกัน รวบรวมข้อมูลเชิงลึกและข้อมูลจากทุกคนในองค์กรของคุณ โดยการรวมตัวกันเพื่อระบุความเสี่ยงที่ใหญ่ที่สุดของคุณและจัดลำดับความสำคัญของการแก้ไข คุณสามารถรับรู้ความเสี่ยงของคุณได้อย่างมีประสิทธิภาพและปฏิบัติตามข้อกำหนด

การควบคุมข้อมูล

ขณะนี้ผู้บริโภคชาวยุโรปได้ขยายสิทธิ์เกี่ยวกับวิธีการรวบรวมข้อมูลส่วนบุคคลและวิธีการใช้งาน แต่พวกเขายังมีสิทธิ์ใน 'การเคลื่อนย้ายข้อมูล' ซึ่งหมายความว่าพวกเขาสามารถขอสำเนาข้อมูลส่วนบุคคลที่เก็บไว้เกี่ยวกับพวกเขาหรือร้องขอได้ จะแก้ไขหรือลบ

ธุรกิจที่ลงทุนอย่างหนักในด้านพื้นที่ดิจิทัลและการรับส่งข้อมูลส่วนบุคคลในทุกระดับ จะต้องพัฒนาแนวทางปฏิบัติและเทคโนโลยีที่ทำให้พวกเขาปฏิบัติตามกฎระเบียบได้อย่างง่ายดาย

  • ตรวจสอบและรักษาความปลอดภัยสินทรัพย์ดิจิทัลอย่างต่อเนื่อง
  • วางการควบคุมที่เหมาะสมเพื่อปกป้องข้อมูลจากการละเมิด
  • ทำให้ข้อมูลพร้อมใช้งานสำหรับเจ้าของข้อมูลภายใน 'เวลาที่เหมาะสม'

จะเกิดอะไรขึ้นถ้าคุณไม่ปฏิบัติตาม: บทลงโทษของ GDPR

บทลงโทษระดับสูงสำหรับ GDPR นั้นมีมากมาย ในปีแรกของกฎใหม่ Google ถูกปรับเป็นเงิน 50 ล้านยูโร Intersoft Consulting เขียนถึงค่าปรับของ GDPR ว่าค่าปรับเหล่านี้ถูกออกแบบมาให้ “มีประสิทธิภาพ ได้สัดส่วน และห้ามปรามในแต่ละกรณี”

ระเบียบนี้เขียนขึ้นโดยมีโครงสร้างที่ดีสองชั้นสำหรับการลงโทษบริษัท:

การละเมิดเล็กน้อย “ขึ้นอยู่กับค่าปรับทางปกครองสูงสุด 10 ล้านยูโร หรือในกรณีของการดำเนินการ มากถึง 2% ของมูลค่าการซื้อขายประจำปีทั่วโลกของปีการเงินก่อนหน้า แล้วแต่จำนวนใดจะสูงกว่า”

การ ละเมิดที่ร้ายแรง “ขึ้นอยู่กับค่าปรับทางปกครองสูงสุด 20 ล้านยูโร หรือในกรณีของการดำเนินการ มากถึง 4 เปอร์เซ็นต์ของมูลค่าการซื้อขายประจำปีทั่วโลกของปีการเงินก่อนหน้า แล้วแต่จำนวนใดจะสูงกว่า”

บทลงโทษอาจตัดสินได้โดยคำนึงถึง:

  • ธรรมชาติ ความโน้มถ่วง และระยะเวลาของการละเมิดโดยคำนึงถึงขอบเขตธรรมชาติหรือวัตถุประสงค์ของการประมวลผลที่เกี่ยวข้อง ตลอดจนจำนวนเจ้าของข้อมูลที่ได้รับผลกระทบและระดับความเสียหายที่พวกเขาได้รับ
  • ลักษณะโดยเจตนาหรือประมาทเลินเล่อของการละเมิด
  • การดำเนินการใด ๆ ที่ดำเนินการโดยผู้ควบคุมหรือผู้ประมวลผลเพื่อลดความเสียหายที่ได้รับจากเจ้าของข้อมูล
  • ระดับความรับผิดชอบของผู้ควบคุมหรือผู้ประมวลผลโดยคำนึงถึงมาตรการทางเทคนิคและองค์กรที่นำไปใช้
  • การละเมิดที่เกี่ยวข้องก่อนหน้านี้โดยผู้ควบคุมหรือผู้ประมวลผล
  • ระดับความร่วมมือกับหน่วยงานกำกับดูแล เพื่อแก้ไขการละเมิดและบรรเทาผลกระทบที่อาจเกิดขึ้นจากการละเมิด
  • ประเภทของข้อมูลส่วนบุคคลที่ได้รับผลกระทบจากการละเมิด
  • ลักษณะที่หน่วยงานกำกับดูแลทราบถึงการละเมิด โดยเฉพาะอย่างยิ่งว่าผู้ควบคุมหรือผู้ประมวลผลได้แจ้งการละเมิดหรือไม่และหากเป็นเช่นนั้น
  • เมื่อมาตรการที่อ้างถึงในมาตรา 58(2) ได้รับคำสั่งก่อนหน้านี้กับผู้ควบคุมหรือผู้ประมวลผลที่เกี่ยวข้องกับเรื่องเดียวกัน ให้ปฏิบัติตามมาตรการเหล่านั้น
  • การปฏิบัติตามจรรยาบรรณที่ได้รับอนุมัติตามมาตรา 40 หรือกลไกการรับรองที่ได้รับอนุมัติตามมาตรา 42
  • ปัจจัยที่ทำให้รุนแรงขึ้นหรือบรรเทาทุกข์อื่น ๆ ที่เกี่ยวข้องกับสถานการณ์ของคดีเช่นผลประโยชน์ทางการเงินที่ได้รับหรือการสูญเสียที่หลีกเลี่ยงไม่ว่าโดยตรงหรือโดยอ้อมจากการละเมิด

ค่าปรับโดยเฉลี่ยสำหรับการละเมิด GDPR คืออะไร?

GDPR กลายเป็นกฎหมายในเดือนพฤษภาคมปี 2018 และในช่วงเวลาที่เหลือของปีนั้นเพียงปีเดียว มีการปรับ 91 ค่าปรับรวมเป็นเงิน 55,955,871 ยูโร โดยส่วนใหญ่ เป็นค่าปรับจำนวนมากที่มีชื่อเสียงซึ่งได้รับความสนใจมากที่สุด แต่ค่าปรับของ GDPR ไม่ได้ถูกเผยแพร่หรือพาดหัวข่าวทั้งหมด เมื่อคุณลบค่าปรับ 50 ล้านยูโรที่ส่งมอบให้กับ Google ออกจากข้อมูล ค่าปรับ GDPR เฉลี่ยที่บริษัทต้องเผชิญคือประมาณ 66,000 ยูโร

หน่วยงานคุ้มครองข้อมูลของเนเธอร์แลนด์ (DPA) ได้เผยแพร่แนวทางปฏิบัติสำหรับการลงโทษการละเมิดในเดือนมีนาคม 2019 พวกเขาได้พัฒนาระบบการลงโทษแบบฉัตรซึ่งมีสี่ประเภทขึ้นอยู่กับความรุนแรงของการละเมิด

หมวดที่ 1 ใช้ในกรณีของการละเมิดทั่วไปหรือทางธุรการ เช่น “การไม่เปิดเผยรายละเอียดการติดต่อของเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ของบริษัท หรือการบันทึกความรับผิดชอบของผู้ประมวลผลหรือผู้ควบคุมร่วมอย่างเพียงพอ” ช่วงปรับ €0 – €200,000; ค่าปรับมาตรฐาน 100,000 ยูโร

หมวดหมู่ II จะใช้เมื่อบริษัทไม่ปฏิบัติตามภาระผูกพันและข้อกำหนดเฉพาะของ GDPR ช่วงปรับ 120,000 – 500,000 ยูโร; ค่าปรับมาตรฐาน 310,000 ยูโร

หมวดหมู่ III ใช้เมื่อบริษัทปฏิเสธที่จะโปร่งใสกับผู้ใช้ของตนหรือกับหน่วยงานคุ้มครองข้อมูลของเนเธอร์แลนด์ (DPA) ปฏิเสธที่จะแจ้ง DPA เกี่ยวกับการละเมิด หรือปฏิเสธที่จะร่วมมือกับ DPA ช่วงปรับ 300,000 ยูโร – 750,000 ยูโร; ค่าปรับมาตรฐาน €525,000

หมวดหมู่ IV ใช้เมื่อบริษัทมีส่วนร่วมในการประมวลผลข้อมูลที่ละเอียดอ่อนอย่างผิดกฎหมาย การทำโปรไฟล์ที่ผิดกฎหมาย หรือการปฏิเสธที่จะปฏิบัติตามคำสั่งเฉพาะจาก DPA ของเนเธอร์แลนด์ ช่วงปรับ 450,000 ยูโร – 1,000,000 ยูโร; ค่าปรับมาตรฐาน €725,000*
*เฉพาะในกรณีที่มีการซื้อขาย 20,000,000 ยูโร / 4% ต่อปี

ตัวอย่างที่โดดเด่นของการบังคับใช้ GDPR

ในฤดูใบไม้ร่วงปี 2020 แมริออทและบริติชแอร์เวย์ส ทั้งคู่ถูกปรับจำนวนมากหลังจากการละเมิดข้อมูลในปี 2561 ซึ่งส่งผลกระทบในทางลบต่อผู้บริโภค

บริติชแอร์เวย์ | $25.85 ล้าน | สหราชอาณาจักร 2020

บริติชแอร์เวย์ถูกปรับ 25.85 ล้านดอลลาร์และข้อมูลของลูกค้า 400,000 รายถูกบุกรุกจากการละเมิดข้อมูล สำนักงานกรรมาธิการข้อมูล (ICO) ที่ปรับให้กับพวกเขาคือจุดอ่อนด้านความปลอดภัยของข้อมูลหลังจากการสอบสวนพบว่าพวกเขากำลังประมวลผล "ข้อมูลส่วนบุคคลจำนวนมากโดยไม่มีมาตรการรักษาความปลอดภัยที่เพียงพอ"

แม้ว่าค่าปรับจะเป็นค่าปรับที่ใหญ่ที่สุดที่ ICO ได้มอบให้ แต่เดิมพวกเขาได้เสนอค่าปรับจำนวน 229 ล้านดอลลาร์ก่อนที่จะคำนึงถึงผลกระทบทางเศรษฐกิจที่ Covid-19 มีต่ออุตสาหกรรมการบิน ICO ยังให้เครดิตกับ BA สำหรับ "การปรับปรุงความปลอดภัยด้านไอทีของมันอย่างมาก" หลังจากการโจมตีและสำหรับการปฏิบัติตามผู้ตรวจสอบ ซึ่งทั้งสองอย่างนี้ช่วยลดค่าปรับเดิม

แมริออท อินเตอร์เนชั่นแนล | 23.8 ล้านเหรียญ | สหราชอาณาจักร 2020

ในปี 2020 โรงแรมในเครือแมริออท ได้รับค่าปรับ 23.8 ล้านดอลลาร์จากการละเมิดข้อมูลที่เปิดเผยข้อมูลแขก 339 ล้านคน ส่งผลกระทบต่อผู้ใช้ 30 ล้านคนทั่วสหภาพยุโรป สิ่งที่น่าสนใจเกี่ยวกับคดีของ Marriott คือการละเมิดเดิมมีขึ้นในปี 2014 แต่ไม่พบจนถึงปี 2018 และ “บทลงโทษครอบคลุมเฉพาะส่วนของการละเมิดที่ลงวันที่ 25 พฤษภาคม 2018 — เมื่อ GDPR มีผลบังคับใช้ .”.

เช่นเดียวกับค่าปรับของ British Airways ซึ่งให้ไว้เมื่อไม่กี่สัปดาห์ก่อนค่าปรับของ Marriott รัฐบาลสหราชอาณาจักรได้ลดจำนวนเงินค่าปรับทั้งหมดลงจาก 123 ล้านดอลลาร์ เนื่องจากผลกระทบทางเศรษฐกิจของ Covid-19 รวมถึงความพยายามในการบรรเทาผลกระทบและการปฏิบัติตามข้อกำหนดของบริษัท

Google | 57 ล้านเหรียญสหรัฐ | ฝรั่งเศส ปี 2018

ตั้งแต่เริ่มก่อตั้ง GDPR Google ได้สร้างความไม่พอใจให้กับหน่วยงานกำกับดูแลข้อมูลของฝรั่งเศส ในปี 2018 บริษัทถูกปรับเป็นเงิน 50 ล้านยูโร เนื่องจาก "ขาดความโปร่งใส ข้อมูลไม่เพียงพอ และขาดความยินยอมที่ถูกต้องเกี่ยวกับการปรับเปลี่ยนโฆษณาในแบบของคุณ"

Google | 121 ล้านดอลลาร์ | ฝรั่งเศส ปี 2020

ในช่วงปลายปี 2020 หน่วยงานกำกับดูแลของฝรั่งเศสสั่งปรับ Google อีกครั้งเป็นเงิน 100 ล้านยูโร แม้ว่า Google กำลังต่อสู้กับจำนวนเงินในศาล ค่าปรับเป็นเพราะเมื่อผู้ใช้เข้าชม google.fr “คุกกี้เจ็ดตัวถูกวางบนอุปกรณ์ปลายทาง ก่อนดำเนินการใดๆ ในส่วนของพวกเขา”

อเมซอน | 42 ล้านเหรียญสหรัฐ | ฝรั่งเศส ปี 2020

อเมซอนยังถูกปรับ 35 ล้านยูโรโดยหน่วยงานกำกับดูแลของฝรั่งเศสสำหรับการละเมิดคุกกี้เดียวกัน เจ้าหน้าที่ของฝรั่งเศสระบุว่าทั้ง Google และ Amazon ไม่ปฏิบัติตาม "ข้อกำหนดของข้อมูลก่อนหน้าที่ชัดเจนและครบถ้วนสำหรับผู้ใช้ หรือข้อกำหนดในการได้รับความยินยอมจากพวกเขา และกลไกในการต่อต้านคุกกี้เหล่านี้มีข้อบกพร่องเพียงบางส่วน"

H&M | 41.3 ล้านเหรียญสหรัฐ | ประเทศเยอรมนี ปี 2020

ในขณะที่การบังคับใช้ GDPR ที่มีรายละเอียดสูงอื่นๆ เกิดจากผู้บริโภคที่ได้รับผลกระทบจากการละเมิดข้อมูลและแนวทางปฏิบัติของบริษัท ค่าปรับของ H&M นั้นเกิดจากการสอดส่องพนักงานของตนอย่างผิดกฎหมายในเยอรมนี

หน่วยงานคุ้มครองข้อมูลแห่งฮัมบูร์ก (HmbBfDI) ออกคำสั่งลงโทษ ซึ่งถือเป็นค่าปรับที่ใหญ่ที่สุดในเยอรมนีนับตั้งแต่มีการนำ GDPR ไปใช้ หลังจากที่บริษัทพบว่ามีการตรวจสอบชีวิตส่วนตัวของพนักงานมากเกินไป ตั้งแต่ปี 2014 เป็นอย่างน้อย พนักงานบางคนต้อง “บันทึกรายละเอียดเกี่ยวกับชีวิตส่วนตัวของพวกเขาอย่างละเอียด”

“หลังจากขาดงาน เช่น ลาพักร้อนและลาป่วย หัวหน้าทีมที่กำกับดูแลได้ดำเนินการที่เรียกว่า Welcome Back Talks กับพนักงานของพวกเขา หลังจากการเจรจาเหล่านี้ ในหลายกรณี ไม่เพียงแต่บันทึกประสบการณ์วันหยุดที่เป็นรูปธรรมของพนักงานเท่านั้น แต่ยังบันทึกอาการเจ็บป่วยและการวินิจฉัยด้วย” HmbBfDI กล่าว “นอกจากนี้ ผู้บังคับบัญชาบางคนได้รับความรู้อย่างกว้างขวางเกี่ยวกับชีวิตส่วนตัวของพนักงานผ่านการพูดคุยส่วนตัวและในชั้น ตั้งแต่รายละเอียดที่ค่อนข้างไม่เป็นอันตรายไปจนถึงปัญหาครอบครัวและความเชื่อทางศาสนา”

แนวทางปฏิบัติในการรวบรวมข้อมูลถูกเปิดเผยในเดือนตุลาคม 2019 หลังจากข้อผิดพลาดภายในทำให้ข้อมูลสามารถเข้าถึงได้เป็นเวลาหลายชั่วโมง ศ.ดร.โยฮันเนส แคสเปอร์ กรรมาธิการด้านการคุ้มครองข้อมูลและเสรีภาพของข้อมูลฮัมบูร์ก กล่าวถึงค่าปรับดังกล่าวว่า “จำนวนเงินค่าปรับจึงเพียงพอและมีประสิทธิภาพในการยับยั้งบริษัทต่างๆ ไม่ให้ละเมิดความเป็นส่วนตัวของพนักงาน”

ความคิดของเราเกี่ยวกับ GDPR

GDPR เป็นการกระทำที่ก้าวหน้าและครอบคลุมซึ่งกำหนดมาตรฐานสำหรับการปกป้องข้อมูลที่ปกป้องผู้บริโภค และนั่นเป็นสิ่งที่ดีสำหรับบุคคล บทลงโทษดังกล่าวได้รับการออกแบบมาให้ได้สัดส่วนและมีประสิทธิภาพ เพื่อบังคับให้บริษัทต่างๆ เห็นว่าประเด็นเรื่องการปกป้องข้อมูลนั้นร้ายแรงเพียงใด และเพื่อยับยั้งการไม่ปฏิบัติตามข้อกำหนด

ฉันเป็นคนยุโรป ดังนั้นฉันอาจจะลำเอียง GDPR สอดคล้องกับความรู้สึกอ่อนไหวในยุโรปของฉัน แต่สิ่งสำคัญอันดับแรกของฉันคือบริษัทที่ฉันให้ความสำคัญ และฉันเชื่อว่าแนวทางปฏิบัติด้านความปลอดภัยข้อมูลที่ปรับปรุงแล้วนั้นอยู่ในความสนใจสูงสุดของพวกเขาเช่นกัน

ใช่ การเปลี่ยนแปลงนี้อาจสร้างความเจ็บปวดให้กับบริษัทที่ไม่สามารถปฏิบัติตามได้เร็วพอ หรือต้องจ่ายค่าจ้างผู้เชี่ยวชาญด้านการปฏิบัติตามกฎระเบียบเพื่อจัดการความเสี่ยงที่เฉพาะเจาะจง ถึงกระนั้น ค่าปรับก็แพงพอที่จะพิจารณาลงทุนในผู้เชี่ยวชาญด้านการปฏิบัติตามกฎระเบียบหรืออย่างน้อยก็ตรวจสอบความเสี่ยงที่มีอยู่ของคุณ

ช่วยให้หน่วยงานบังคับใช้ข้อมูลของยุโรปทำงานร่วมกับผู้ควบคุมข้อมูลเพื่อลดผลกระทบจากการละเมิดใด ๆ หรือที่อาจเกิดขึ้น ไม่ใช่แค่การแจกบทลงโทษเท่านั้น พวกเขาต้องการให้สภาพแวดล้อมดิจิทัลปลอดภัยขึ้น ฉลาดขึ้น และปรับปรุงให้ดีขึ้นอย่างกระตือรือร้น เพื่อฟื้นฟูความเชื่อมั่นของผู้บริโภคในพื้นที่ดิจิทัล และเพื่อให้ผู้ใช้มีสิทธิและการคุ้มครองข้อมูลส่วนบุคคลของพวกเขา

ด้วยวิธีการเลือกรับรีมาร์เก็ตติ้งสำหรับผู้เยี่ยมชมเว็บไซต์ของคุณ รีมาร์เก็ตติ้งอาจลดลงได้ คุณสามารถมั่นใจได้ว่าผู้ใช้ในรายการของคุณตัดสินใจเลือกเข้าร่วมอย่างมีสติ การมีระบบในการจัดระเบียบและตรวจสอบข้อมูลของคุณเองยังช่วยขจัดสัญญาณรบกวนในข้อมูลจำนวนมาก การลบข้อมูลที่ซ้ำซ้อน ล้าสมัยและไม่สำคัญ (ROT) ข้อมูลของคุณจะเป็นทองคำ คุณต้องการปกป้องมัน และทีมของคุณจะยิ่งมีประสิทธิภาพมากขึ้น

เราไม่ใช่นักกฎหมาย เราไม่สามารถช่วยคุณตรวจสอบและปฏิบัติตามข้อกำหนดในการรักษาความปลอดภัยทางไซเบอร์ได้ แต่เราสามารถสร้างเว็บไซต์ที่ตรงตามข้อกำหนดของ GDPR และเราสามารถทำงานร่วมกับทีมจัดการข้อมูลของคุณเพื่อสร้างสภาพแวดล้อมดิจิทัลที่จะสร้างความเชื่อมั่นของผู้บริโภคในแบรนด์ของคุณและตอบสนอง เป้าหมายธุรกิจของคุณ