• โฮมเพจ
  • บทความ
  • การตลาด
  • สิ่งที่แบรนด์สามารถเรียนรู้ได้จากหนึ่งปีของ GDPR ในการเตรียมตัวสำหรับกฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย

สิ่งที่แบรนด์สามารถเรียนรู้ได้จากหนึ่งปีของ GDPR ในการเตรียมตัวสำหรับกฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย

เผยแพร่แล้ว: 2022-05-22

ต่อไปนี้เป็นโพสต์รับเชิญจาก Jack Carvel ที่ปรึกษาทั่วไปของ Qubit

พฤษภาคม 2019 เป็นวันครบรอบหนึ่งปีของการดำเนินการตามกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ซึ่งเป็นการเปลี่ยนแปลงที่สำคัญที่สุดในกฎระเบียบด้านความเป็นส่วนตัวของข้อมูลในรอบหลายทศวรรษ ในขณะที่ GDPR ทำได้ดีมากในการสร้างความตระหนักรู้เกี่ยวกับสิทธิของแต่ละบุคคลในด้านข้อมูล เรื่องราวของการบังคับใช้กลับแตกต่างไปจากเดิมอย่างสิ้นเชิง

การขาดค่าปรับจำนวนมากอย่างน่าประหลาดใจและการใช้ข้อมูลของบุคคลที่สามในทางที่ผิดอย่างต่อเนื่อง ซึ่งหลายคนคิดว่าจะหยุดอยู่ร่วมกันนั้น เห็นได้ชัดเจนในปีที่ผ่านมา อย่างไรก็ตาม สิ่งนี้ยังคงสามารถเปลี่ยนแปลงได้ด้วยการใช้กฎหมายใหม่ เช่น องค์ประกอบ ePrivacy ที่คาดการณ์ไว้ ซึ่งเป็นองค์ประกอบถัดไปของระบอบการปกป้องข้อมูลของสหภาพยุโรปที่คาดว่าจะมีผลบังคับใช้เร็วๆ นี้ และการพัฒนาความเป็นส่วนตัวของข้อมูลที่สำคัญที่จะมาถึงสหรัฐอเมริกาในเดือนมกราคม 2020: พระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแห่งแคลิฟอร์เนีย (CCPA) ในโพสต์นี้ ฉันจะหารือเกี่ยวกับบทเรียนที่เรียนรู้จาก GDPR หลังจากผ่านไปหนึ่งปีและเคล็ดลับในการเตรียมตัวให้พร้อมสำหรับ CCPA และกฎหมายที่เข้มงวดยิ่งขึ้นอื่นๆ ที่คาดการณ์ไว้ในอนาคตอันใกล้นี้

GDPR: "A+" สำหรับการรับรู้ "D" สำหรับการบังคับใช้

อันดับแรก ให้เครดิตเมื่อถึงกำหนด: GDPR ดีมากสำหรับธุรกิจที่เอาจริงเอาจังกับเรื่องนี้ ได้นำไปสู่ฐานข้อมูลลูกค้าที่มีสุขภาพดีขึ้นด้วยความเข้าใจที่ชัดเจนเกี่ยวกับลูกค้าและความเข้าใจที่ดีขึ้นในพฤติกรรมของพวกเขา

ฤดูใบไม้ผลิที่แล้วเป็นเหมือนการใช้ Kondo Method หรือ Spring Cleaning กับข้อมูล เนื่องจากธุรกิจต่างๆ ทั่วโลกกำลังอยู่ในกระบวนการทำความเข้าใจว่าข้อมูลของพวกเขาถูกเก็บไว้ที่ใด และเกิดอะไรขึ้นกับข้อมูลนั้น ทุกคนให้ความสำคัญกับการปกป้องข้อมูลเพียงไม่กี่เดือน ทำให้โลกออนไลน์ปลอดภัยยิ่งขึ้น และการตรวจสอบก็ดีขึ้นอย่างมาก มีค่าปรับเพียงเล็กน้อย และค่าปรับที่สำคัญสำหรับ Google อยู่ที่ 50 ล้านยูโร ในตอนแรก หลายคนในอุตสาหกรรมสันนิษฐานว่าค่าปรับดังกล่าวจะกลายเป็นบรรทัดฐาน แต่เรายังไม่ได้เห็น

ประเด็นที่ GDPR ขาดความดแจ่มใสเป็นพิเศษคือการติดต่อกับนายหน้าข้อมูลบุคคลที่สาม มีแนวปฏิบัติที่ไม่ดีมากมายกับบริษัทที่มีรูปแบบธุรกิจทั้งหมดอาศัยการขายข้อมูลมือสองหรือข้อมูลมือสอง ข้อมูลนี้สามารถคัดลอก เปิดเผย และป้อนให้กับฝ่ายต่างๆ ได้อย่างง่ายดายโดยที่ผู้บริโภคไม่ทราบ และอาจได้รับมาโดยไม่ได้รับความยินยอมหรือเข้าใจว่าข้อมูลใดถูกรวบรวมและเพราะเหตุใด ด้วย GDPR หลายคนคาดว่าจะยุติลง แต่หน่วยงานกำกับดูแลไม่ได้ปฏิบัติตามแนวทางปฏิบัติด้านข้อมูลที่ไม่เหมาะสมเหล่านี้

นอกจากนี้ยังมีบริษัทขนาดเล็กในสหรัฐอเมริกา (และในเขตอำนาจศาลอื่นๆ นอกสหภาพยุโรป) ที่ไม่ปฏิบัติตามมาตรฐาน พวกเขาไม่มีทรัพยากรที่จะปฏิบัติตามระบอบข้อมูลที่แตกต่างกัน และพวกเขาไม่มีที่ปรึกษาภายในเพื่อติดตามการปฏิบัติตาม ดังนั้นพวกเขาจึงยอมรับความเสี่ยง สำหรับบริษัทเหล่านี้ เมื่อมีการละเมิด มีความโปร่งใสน้อยมาก เนื่องจากหน่วยงานกำกับดูแลไม่สามารถตรวจสอบความถูกต้องของข้อความได้ อย่างไรก็ตาม การไม่ปฏิบัติตามถือเป็นกลยุทธ์ที่เสี่ยงมาก ผู้บริโภคเริ่มตระหนักถึงสิทธิ์ในข้อมูลและคุณค่าของข้อมูลมากขึ้น ดังนั้นในขณะที่บริษัทอาจหลีกเลี่ยงค่าปรับ พวกเขากำลังเสี่ยงต่อคุณค่าของตราสินค้าและชื่อเสียงหากพวกเขาประสบกับการละเมิดข้อมูล และอาจเลวร้ายยิ่งกว่าค่าปรับ

การบังคับใช้ที่เข้มงวดอาจเกิดขึ้น

มีข้อกำหนดด้านความเป็นส่วนตัวของข้อมูลที่คาดการณ์ไว้ซึ่งอาจเปลี่ยนแปลงเกมด้วยการบังคับใช้ การพัฒนาที่สำคัญอย่างหนึ่งที่กำลังจะเกิดขึ้นคือ ePrivacy Regulation ซึ่งกำหนดนโยบายเกี่ยวกับคุกกี้ สิ่งที่ต้องการความยินยอม บริษัทใดบ้างที่สามารถส่งอีเมลได้ และด้วยเหตุผลใด ติดตามและอื่นๆ เพิ่มชั้นที่ชัดเจนยิ่งขึ้นให้กับแนวคิดในวงกว้างของข้อมูลส่วนบุคคล สิ่งนี้มีแนวโน้มที่จะกระตุ้นให้มีการบังคับใช้มากขึ้น เนื่องจากหน่วยงานกำกับดูแลจะใช้ทั้งกฎระเบียบ GDPR และ ePrivacy ร่วมกัน แม้ว่าจะยังอยู่ห่างออกไปหลายเดือน

กฎหมายอื่นที่กำลังจะเกิดขึ้นซึ่งจะเปลี่ยนแปลงวิธีการดำเนินธุรกิจคือ CCPA สิ่งสำคัญในที่นี้คือ นี่เป็นกฎหมายประเภทแรกที่มีรากฐานในสหรัฐอเมริกา เราอาจไม่ค่อยเห็นข่าวลือเกี่ยวกับกฎระเบียบที่จะเกิดขึ้นนี้มากนัก อาจเป็นเพราะไม่ใช่กฎหมายของรัฐบาลกลาง แต่บริษัทที่ไม่ได้เตรียมการสำหรับเรื่องนี้อาจ ต้องประหลาดใจอย่างมากกับบทลงโทษ เช่น สูงถึง 7,500 ดอลลาร์ต่อการละเมิด CCPA และ 750 ดอลลาร์ต่อการบันทึกแต่ละรายการที่ถูกบุกรุก ซึ่งสามารถรวมกันได้เป็นจำนวนมากและอาจสร้างความเสียหายให้กับธุรกิจขนาดเล็ก

คำแนะนำสำหรับผู้ค้าปลีก

ผู้ค้าปลีก โดยเฉพาะอย่างยิ่งในสหรัฐอเมริกาที่ไม่ได้ผ่านขั้นตอนการเตรียมการอย่างเข้มงวดสำหรับ GDPR ที่บริษัทระดับโลกมี จะต้องพิจารณาถึงการเตรียมการล่วงหน้าที่สำคัญซึ่งจำเป็นต่อการปฏิบัติตามนโยบายที่จะเกิดขึ้น แคลิฟอร์เนียมีแนวโน้มที่จะเข้มงวดในการปรับค่าปรับการไม่ปฏิบัติตามข้อกำหนดจำนวนมากกว่าที่เราสังเกตเห็นกับ GDPR แบรนด์ระดับโลกขนาดใหญ่อาจเตรียมพร้อมสำหรับ CCPA อยู่แล้ว อันเนื่องมาจากการเตรียมตัวสำหรับ GDPR และการตรวจสอบข้อมูลที่เข้มงวดซึ่งมีอยู่ในยุโรปมาระยะหนึ่งแล้ว อย่างไรก็ตาม ธุรกิจขนาดเล็กอาจถูกดักฟังโดยความเป็นส่วนตัวของข้อมูลและการตรวจสอบการปฏิบัติตามข้อกำหนดที่เข้มงวดที่กำลังจะเกิดขึ้น ต่อไปนี้คือเคล็ดลับที่อาจช่วยบริษัทในสหรัฐอเมริกา และผู้ที่ต้องการทำธุรกิจในแคลิฟอร์เนียต่อไปจะช่วยเตรียมความพร้อมสำหรับการออกกฎหมายที่จะเกิดขึ้น:

  1. แม้ว่าจะไม่ใช่ข้อกำหนดที่แน่ชัดของ CCPA แต่การสร้าง "บันทึกการประมวลผล" ควรเป็นขั้นตอนแรก: ระบุข้อมูลที่คุณรวบรวมและสิ่งที่คุณกำลังทำกับข้อมูลนั้น เมื่อดำเนินการตามขั้นตอนนี้ คุณจะเข้าใจว่าคุณอยู่ในขอบเขตใดภายใน CCPA คุณต้องก้าวเข้าสู่กระบวนการด้วยความเข้าใจอย่างถี่ถ้วนในเรื่องนี้ทั้งหมด
  2. แน่นอนว่าข้อมูลมีค่า แต่ข้อมูลที่มากขึ้นไม่ได้แปลว่ามีคุณค่ามากขึ้นเสมอไป หากคุณไม่รู้ว่าคุณรวบรวมมันมาทำไม ให้กำจัดมันทิ้งไป ข้อมูลที่ไม่เป็นประโยชน์ต่อบริษัทของคุณเป็นเพียงการทำให้คุณเสียเงินในต้นทุนการจัดเก็บ และเพิ่มความเสี่ยงต่อการละเมิดข้อมูล การลบข้อมูลอาจดูน่ากลัว แต่เป็นขั้นตอนที่มีพลังมหาศาลที่ต้องทำ และในที่สุดจะทำให้การตัดสินใจโดยใช้ข้อมูลของคุณมีประสิทธิภาพมากขึ้น หลายบริษัทได้เห็นอัตราการแปลงที่เพิ่มขึ้นและการกำหนดเป้าหมายที่มีประสิทธิภาพมากขึ้นเมื่อใช้ชุดข้อมูลที่สะอาด
  3. ภายใต้ GDPR มีข้อกำหนดสำหรับเจ้าหน้าที่คุ้มครองข้อมูลในบางกรณี นี่เป็นความคิดที่ดีโดยทั่วไป: กำหนดให้มีผู้รับผิดชอบความเป็นส่วนตัวของข้อมูลและเตรียมบริษัทให้ปฏิบัติตามภาระผูกพันภายใต้ระบอบกฎหมายที่บังคับใช้ นอกจากนี้ ตรวจสอบให้แน่ใจว่าบุคคลนี้มีทัศนวิสัยสูง CCPA ไม่จำเป็นต้องให้บุคคลนี้รายงานต่อผู้บริหารระดับสูง เช่นเดียวกับ GDPR อย่างไรก็ตาม ควรตรวจสอบให้แน่ใจว่าผู้บริหารระดับสูงตระหนักดีถึงสิ่งที่ผู้ตรวจสอบภายในพบ
  4. ติดต่อผู้ขายและคู่ค้าของคุณในเชิงรุกเพื่อทำความเข้าใจว่าเกิดอะไรขึ้นในสถานการณ์เฉพาะ พวกเขาจะสามารถช่วยคุณเกี่ยวกับข้อกำหนดภายในกรอบเวลาที่กำหนดได้หรือไม่ พูดคุยเกี่ยวกับกระบวนการ เมื่อคุณเริ่มการสนทนานี้กับฝ่ายอื่นๆ ที่ธุรกิจของคุณทำงานด้วย จะมีความชัดเจนอย่างรวดเร็วว่าพวกเขาจะสามารถช่วยเหลือและปฏิบัติตามได้หรือไม่
  5. ทำความเข้าใจถึงประโยชน์เชิงบวกของกฎหมายความเป็นส่วนตัวของข้อมูลที่มีต่อธุรกิจของคุณ นโยบายเหล่านี้ให้อำนาจบริษัทต่างๆ ในการทำให้ฐานข้อมูลลูกค้าของตนมีสุขภาพที่ดีขึ้นและใช้งานได้มากขึ้น ลดค่าใช้จ่ายที่เกี่ยวข้องกับการจัดเก็บข้อมูล และพัฒนาการสื่อสารส่วนบุคคลมากขึ้นกับบุคคลที่ต้องการรับข้อมูลเหล่านี้
  6. ทำให้มันสนุก ผู้ใช้ปลายทางมีแนวโน้มที่จะเข้าใจและยินยอมต่อแนวทางปฏิบัติในการจัดการข้อมูลของคุณมากขึ้น หากคุณใช้ภาษาที่เข้าใจง่าย และแสดงประโยชน์ต่อพวกเขาในสิ่งที่คุณทำ หากคุณไม่สามารถปรับคอลเล็กชั่นให้เหมาะสมได้ บางทีก็ควรพิจารณาใหม่ว่าคุณต้องการมันจริงๆ หรือไม่!

การพัฒนาและดำเนินการตามกระบวนการอาจไม่ใช่เรื่องง่าย แต่เมื่อเสร็จสิ้น จะทำให้โลกนี้น่าอยู่ขึ้น และสำหรับบริษัทที่มีการเตรียมตัวมาเป็นอย่างดี อาจหมายถึงการส่งเสริมธุรกิจของพวกเขาด้วย