GDPR จะส่งผลต่อแบรนด์สหรัฐอย่างไร

การใช้ข้อมูล (และการใช้ในทางที่ผิด) ถือเป็นความท้าทายที่ไม่เหมือนใครสำหรับผู้ออกกฎหมายและหน่วยงานบังคับใช้กฎหมาย กระแสข้อมูลต่างจากสินค้าและบริการแบบดั้งเดิม กระแสข้อมูลไม่เคารพขอบเขตระหว่างประเทศแบบดั้งเดิม และอัตราการเปลี่ยนแปลงทางเทคโนโลยีหมายความว่ากฎหมายความเป็นส่วนตัวของข้อมูลมักจะกว้างเกินไปหรือล้าสมัยโดยสิ้นเชิง

โดยเฉพาะอย่างยิ่ง หน่วยงานกำกับดูแลได้ต่อสู้ดิ้นรนเพื่อพัฒนาแนวปฏิบัติในการบังคับใช้ที่มีประสิทธิภาพสำหรับบริษัทที่มีผลกระทบอย่างใหญ่หลวงในอาณาเขตของตนแต่มีสถานที่ตั้งทางกายภาพอยู่ที่อื่น

นี่เป็นประเด็นสำคัญของคดีในศาลฎีกาของสหรัฐอเมริกาในปัจจุบัน United States v. Microsoft Corp ซึ่งนำไปสู่การเร่งรัดผ่านพระราชบัญญัติการใช้ข้อมูลในต่างประเทศที่ชัดเจนอย่างถูกกฎหมาย (CLOUD) ซึ่งจะทำให้ทางการสหรัฐฯ สามารถบังคับบริษัทต่างๆ ให้ดำเนินการตามคำขอได้อย่างมีประสิทธิภาพ ข้อมูลที่จัดเก็บบนเซิร์ฟเวอร์ไม่ว่าจะอยู่ในสหรัฐอเมริกาหรือในต่างประเทศ

ในทำนองเดียวกัน หลายคนยังคงสับสนกับเรื่องอื้อฉาวของ Cambridge Analytica/Facebook ซึ่งแสดงให้เห็นว่าการบิดเบือนข้อมูลของบุคคลจากต่างประเทศสามารถแทรกแซงการเมืองภายในประเทศได้อย่างไร

ในบริบทนี้ อาจไม่น่าแปลกใจเลยที่กฎหมายว่าด้วยความเป็นส่วนตัวของข้อมูลสถานที่สำคัญของสหภาพยุโรปที่กำลังเข้ามา กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) พยายามที่จะนำมาตรฐานการปกป้องข้อมูลที่ได้รับการปรับปรุงมาใช้ ไม่เพียงแต่กับบริษัทที่อยู่ในสหภาพยุโรปเท่านั้น แต่ยังรวมถึงบริษัทที่อยู่นอกสหภาพยุโรปอีกหลายแห่งด้วย

ในโพสต์นี้ ฉันจะตรวจสอบว่า GDPR มีความหมายอย่างไรสำหรับแบรนด์ในสหรัฐฯ และขั้นตอนใด (หากมี) พวกเขาควรเตรียมการในตอนนี้:

GDPR คืออะไร และกฎหมายของสหภาพยุโรปสามารถนำไปใช้กับบริษัทในสหรัฐอเมริกาได้อย่างไร

พูดง่ายๆ คือ GDPR เป็นส่วนหนึ่งของกฎหมายของสหภาพยุโรปที่พยายามปกป้องข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรปโดยควบคุมวิธีที่องค์กรรวบรวม จัดเก็บ และประมวลผลข้อมูลนั้น

GDPR ต่างจากคำสั่งคุ้มครองข้อมูลรุ่นก่อน ซึ่งโดยทั่วไปไม่ได้ควบคุมบริษัทที่อยู่นอกสหภาพยุโรป GDPR ใช้กับการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่อยู่ในสหภาพยุโรปซึ่งกิจกรรมการประมวลผลเกี่ยวข้องกับสิ่งใดสิ่งหนึ่ง: การเสนอสินค้า หรือบริการแก่เจ้าของข้อมูลดังกล่าวในสหภาพยุโรป (ไม่ว่าจะต้องชำระเงินสำหรับเจ้าของข้อมูลหรือไม่) หรือการติดตามพฤติกรรมของพวกเขาเท่าที่พฤติกรรมของพวกเขาเกิดขึ้นภายในสหภาพยุโรป

ซึ่งหมายความว่า GDPR ไม่ได้เกี่ยวข้องกับบริษัทข้ามชาติที่อาจมีสำนักงานใหญ่ในสหรัฐอเมริกาเท่านั้น หรือกับบริษัทในสหรัฐอเมริกาที่มีการดำเนินธุรกิจโดยตรงในสหภาพยุโรป แต่ยังรวมถึงบริษัทในสหรัฐอเมริกาจำนวนมากที่ไม่มี ในบริบทออนไลน์ GDPR จะมีความเกี่ยวข้องหาก:

• คุณมีสถานะทางอินเทอร์เน็ตที่แข็งแกร่งในสหภาพยุโรป (แม้ว่าคุณจะไม่ได้ขายตรงไปยังสหภาพยุโรป)
• คุณเป็นบริษัทอีคอมเมิร์ซที่ยอมรับสกุลเงินของสหภาพยุโรป และ/หรือมีส่วนต่อท้ายโดเมนของสหภาพยุโรป (เช่น .co.uk, .fr, .de เป็นต้น)
• คุณมีผู้เข้าชม EU และคุณดำเนินการปรับแต่งเว็บไซต์ของคุณให้เป็นแบบส่วนตัว

ค่าใช้จ่ายในการรับผิดนี้

หากข้อใดข้อหนึ่งข้างต้นมีผลกับองค์กรของคุณ คุณควรตรวจสอบแนวทางปฏิบัติในการจัดการข้อมูลอย่างรอบคอบ และพิจารณาว่า GDPR มีแนวโน้มที่จะนำไปใช้กับกิจกรรมออนไลน์ของคุณหรือไม่ เหตุผลหนึ่งที่สิ่งนี้มีความสำคัญมากก็เนื่องมาจากค่าปรับที่มีนัยสำคัญภายใต้ข้อบังคับใหม่

GDPR มีบทลงโทษที่ร้ายแรงสำหรับบริษัทที่ไม่ปฏิบัติตามกฎใหม่ ค่าปรับสามารถสูงถึง 20 ล้านยูโรหรือ 4% ของมูลค่าการซื้อขายทั่วโลกขององค์กร แล้วแต่จำนวนใดจะสูงกว่า

ยังไม่ชัดเจนว่าหน่วยงานกำกับดูแลของสหภาพยุโรปจะกำหนดบทลงโทษเหล่านี้ให้กับบริษัทในสหรัฐฯ ที่ไม่มีสถานะถาวรในประเทศใด ๆ ในสหภาพยุโรปได้อย่างไร แต่ขนาดของค่าปรับที่อาจเกิดขึ้นควรหมายความว่าแม้แต่บริษัทในสหรัฐอเมริกาเท่านั้นก็ควรปฏิบัติตามกฎใหม่นี้อย่างจริงจัง

การปฏิบัติตามกฎอาจเป็นเรื่องง่าย แต่ไม่ใช่แค่แบบฝึกหัดกล่องกาเครื่องหมาย

ตรงกันข้ามกับความเชื่อที่นิยม การปฏิบัติตาม GDPR สามารถทำได้ง่ายๆ โดยไม่ต้องใช้ทรัพยากรจำนวนมาก อย่างไรก็ตาม นี่ไม่ใช่แบบฝึกหัดติ๊กกล่องที่ตรงไปตรงมา และบางขั้นตอนอาจต้องการข้อมูลจากผู้มีส่วนได้ส่วนเสียหลายรายภายในองค์กรของคุณ

สำหรับคำแนะนำโดยละเอียดเพิ่มเติมเกี่ยวกับข้อกำหนดใหม่ หน่วยงานกำกับดูแลของสหราชอาณาจักรได้เผยแพร่บทสรุปของ GDPR ซึ่งเป็นจุดเริ่มต้นที่ดีหากคุณมาถึงจุดนี้ อย่างไรก็ตาม สำหรับบริษัทที่ไม่คุ้นเคยกับกฎหมายคุ้มครองข้อมูลของสหภาพยุโรป การปฏิบัติตาม GDPR อาจจำเป็นต้องมีการเปลี่ยนแปลงขั้นพื้นฐานในการกำหนดแนวคิดของข้อมูล:

1.) ข้อมูลส่วนบุคคลเทียบกับ PII

คำจำกัดความของ "ข้อมูลส่วนบุคคล" ภายใต้ GDPR นั้นกว้างกว่าแนวคิดของ "ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้" (PII) ของสหรัฐฯ ที่คล้ายคลึงกันมาก

PII ตามที่เข้าใจในสหรัฐอเมริกา โดยทั่วไปแล้วจะจำกัดอยู่เฉพาะตัวระบุ เช่น ชื่อ หมายเลขประกันสังคม วันที่และสถานที่เกิด และบันทึกข้อมูลไบโอเมตริก การแพทย์ การศึกษา การเงิน และการจ้างงาน ในทางตรงกันข้าม ข้อมูลส่วนบุคคลในสหภาพยุโรปหมายถึงข้อมูล ใดๆ ที่เกี่ยวข้องกับบุคคลธรรมดาที่ระบุตัวหรือสามารถระบุตัวได้ หรือ "เจ้าของข้อมูล" ซึ่งรวมถึงตัวระบุที่รวมอยู่ในคำจำกัดความของ PII ของสหรัฐอเมริกา และรวมถึงตัวระบุออนไลน์เพิ่มเติม เช่น ที่อยู่อีเมล, ID คุกกี้, ที่อยู่ IP, นิสัยการท่องเว็บ, ข้อมูลตำแหน่ง และอื่นๆ

ในทางปฏิบัติ คำจำกัดความกว้างๆ ของข้อมูลส่วนบุคคลนี้หมายความว่า GDPR จะจับกิจกรรมต่างๆ เช่น การปรับแต่งเว็บไซต์ให้เป็นส่วนตัว แม้ว่าการปรับเปลี่ยนในแบบของคุณนั้นจะเกี่ยวข้องกับการใช้การวิเคราะห์ขั้นพื้นฐานตาม ID คุกกี้หรือที่อยู่ IP ของผู้ใช้เท่านั้น

2.) หลักการคุ้มครองข้อมูลและความยินยอม

GDPR ตระหนักดีว่าธุรกิจมีส่วนได้ส่วนเสียโดยชอบด้วยกฎหมายในการรวบรวมและใช้ข้อมูลส่วนบุคคล (เช่น เพื่อจุดประสงค์ในการทำความเข้าใจว่าผู้เยี่ยมชมโต้ตอบกับเว็บไซต์ของบริษัทอย่างไร) อย่างไรก็ตาม ในการทำเช่นนั้น บริษัทต่างๆ จำเป็นต้องปฏิบัติตาม "หลักการปกป้องข้อมูล" บางประการ เช่น สร้างความโปร่งใสให้กับเจ้าของข้อมูล

นอกจากนี้ อาจมีบางครั้งที่ต้องได้รับความยินยอมจากผู้เข้าชมก่อนจึงจะสามารถรวบรวมข้อมูลได้ ซึ่งภายใต้ GDPR นั้นต้องการมากกว่าแค่การอ้างถึงคำชี้แจงสิทธิ์ส่วนบุคคลออนไลน์ GDPR เลิกใช้ความยินยอมโดยนัยและช่องทำเครื่องหมายล่วงหน้า และให้ความรับผิดชอบกับบริษัทต่างๆ เพื่อแสดงให้เห็นว่าเจ้าของข้อมูลเข้าใจดีและตกลงในสิ่งที่พวกเขาได้รับการขอให้ยินยอม

3.) กรรมสิทธิ์

ต่างจากในสหรัฐอเมริกาที่ข้อมูลทั้งหมดที่รวบรวมจากเว็บไซต์มักจะถือว่าเป็นของเจ้าของเว็บไซต์นั้น ในสหภาพยุโรป ข้อมูลส่วนบุคคลเป็นของเจ้าของข้อมูลที่เกี่ยวข้อง ดังนั้น บุคคลดังกล่าวจึงมีสิทธิ์ควบคุมวิธีการประมวลผลข้อมูลของตน ซึ่งสะท้อนให้เห็นในสิทธิ์ที่ครอบคลุมสำหรับเจ้าของข้อมูลภายใต้ GDPR ในการเข้าถึง ถ่ายสำเนา และกำหนดให้บริษัทต่างๆ ลบข้อมูลของตน บริษัทต่างๆ จะต้องปฏิบัติตามคำขอดังกล่าวตามกำหนดเวลาที่เข้มงวด หรือต้องเผชิญกับการดำเนินการบังคับใช้อย่างเข้มงวดจากหน่วยงานกำกับดูแลในท้องถิ่น

ในทำนองเดียวกัน ข้อกำหนดที่เข้มงวดยิ่งขึ้นก็ถูกนำมาใช้ในกรณีที่บุคคลที่สามเข้ามาเกี่ยวข้องด้วย โดยเฉพาะอย่างยิ่ง เจ้าของข้อมูลควรได้รับแจ้งว่าข้อมูลของตนถูกแบ่งปันกับบริษัทใด และองค์กรอาจมีส่วนร่วมกับบุคคลที่สามเท่านั้นที่สามารถรับประกันระดับความปลอดภัยของข้อมูลที่เหมาะสม สิ่งนี้จะต้องพิสูจน์โดยเอกสารสัญญาเฉพาะที่ตรงตามข้อกำหนดด้านเนื้อหาของ GDPR การทำความเข้าใจความแตกต่างของแนวคิดเหล่านี้จะเป็นกุญแจสำคัญสำหรับบริษัทที่ต้องการปฏิบัติตาม GDPR

ห่อ

GDPR จะเปลี่ยนวิธีที่บริษัทโต้ตอบกับข้อมูล ไม่ใช่แค่ในสหภาพยุโรปแต่ทั่วโลก แบรนด์ในสหรัฐอเมริกา โดยเฉพาะแบรนด์ที่มีสถานะทางอินเทอร์เน็ตที่แข็งแกร่ง ควรตรวจสอบแนวทางปฏิบัติในการจัดการข้อมูลอย่างรอบคอบ และพิจารณาว่า GDPR มีแนวโน้มที่จะนำไปใช้กับกิจกรรมออนไลน์ของตนหรือไม่ ควรปรึกษาข้อกังวลใดๆ กับที่ปรึกษาล่วงหน้าก่อนวันที่ GDPR มีผลบังคับใช้ เพื่อหลีกเลี่ยงค่าปรับจำนวนมากภายใต้กฎระเบียบใหม่