กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR): ทุกสิ่งที่คุณต้องการทราบ

วัตถุประสงค์หลักของกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ฉบับใหม่คือการเสริมสร้างและรวมการจัดการข้อมูลส่วนบุคคลจากประเทศสมาชิกต่างๆ และปรับให้เข้ากับกฎระเบียบของสหภาพยุโรป (EU)

ปัจจุบัน 28 ประเทศสมาชิกของสหภาพยุโรปต่างก็มีระเบียบข้อบังคับในการปกป้องข้อมูลของตนเองและนำกฎหมายเหล่านั้นไปใช้กับการค้าระหว่างประเทศ ซึ่งทำให้การใช้สิทธิ์ในการปกป้องข้อมูลส่วนบุคคลค่อนข้างยาก

GDPR ใหม่มาพร้อมกับกฎเกณฑ์ต่างๆ มากมายที่ส่งผลกระทบต่อบริษัททุกแห่ง โดยไม่คำนึงถึงขนาดหรือภาคส่วน และมักจะต้องเตรียมพร้อมเพื่อมุ่งเน้นไปที่ส่วนต่างๆ ของธุรกิจของตน

กฎระเบียบใหม่เกี่ยวกับการคุ้มครองบุคคลธรรมดาที่เกี่ยวกับการประมวลผลและการหมุนเวียนข้อมูลส่วนบุคคลโดยเสรีจะมีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2018 สองปีหลังจากกฎระเบียบ 2016/679 ผ่านทั้งรัฐสภายุโรปและคณะมนตรี ในบทความนี้ เราต้องการช่วยให้คุณเข้าใจสิ่งที่คุณสามารถทำได้และไม่สามารถทำได้เพื่อให้เป็นไปตามข้อกำหนดของระเบียบข้อบังคับใหม่นี้ และสร้างความมั่นใจให้กับคุณว่า Benchmark ซึ่งเป็นเครื่องมือทางการตลาดผ่านอีเมลของคุณก็เป็นไปตามข้อกำหนดของกฎระเบียบใหม่นี้เช่นกัน

GDPR ใหม่ไม่ได้ขจัดประเทศสมาชิกแต่ละประเทศที่เป็นเจ้าของกฎหมายคุ้มครองข้อมูลที่มีอยู่ในปัจจุบัน แต่จะช่วยในการซิงค์ประเทศสมาชิกทั้งหมดของสหภาพยุโรป การตัดสินใจบางอย่างจะยังคงทำในระดับชาติสำหรับแต่ละประเทศสมาชิก แต่โปรดทราบว่าขณะนี้ฝ่ายที่รับผิดชอบจะต้องอ้างอิง GDPR เป็นบรรทัดฐาน ไม่ใช่กฎข้อบังคับด้านการคุ้มครองข้อมูลของประเทศของตน

หากปัจจุบันคุณปฏิบัติตามข้อกำหนดสำหรับการปกป้องข้อมูลสำหรับประเทศของคุณ แสดงว่าคุณมีพื้นฐานที่ดีอยู่แล้ว อย่างไรก็ตาม คุณยังต้องแก้ไขและเปลี่ยนแปลงบางแง่มุมเพื่อให้สอดคล้องกับระเบียบข้อบังคับใหม่

มีประเด็นหลักสามประการที่คุณต้องคำนึงถึงในกลยุทธ์การตลาดผ่านอีเมล ได้แก่ ความยินยอม การเข้าถึง และการรวบรวมข้อมูล

ยินยอม

ตามมาตรา 4 (11) 'ความยินยอม' ของเจ้าของข้อมูล ของเจ้าของข้อมูลที่ ตามที่ระบุไว้ในคำจำกัดความ ความยินยอมของผู้ใช้จะต้องชัดเจนและชัดเจนด้วย คำสองคำนี้ช่วยขจัดความสงสัยหรือความคลุมเครือ

(32) ควรให้ความยินยอมโดยการกระทำที่ยืนยันอย่างชัดเจนโดยกำหนดข้อตกลงของเจ้าของข้อมูลโดยเสรี เฉพาะเจาะจง แจ้ง และไม่คลุมเครือเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตัวเขาหรือเธอ เช่น โดยคำแถลงเป็นลายลักษณ์อักษร รวมถึงทางอิเล็กทรอนิกส์ หมายถึงหรือคำพูดด้วยวาจา ซึ่งอาจรวมถึงการทำเครื่องหมายที่ช่องเมื่อเข้าชมเว็บไซต์อินเทอร์เน็ต การเลือกการตั้งค่าทางเทคนิคสำหรับบริการสังคมข้อมูล หรือคำชี้แจงหรือการดำเนินการอื่นที่ระบุอย่างชัดเจนในบริบทนี้ถึงการยอมรับของเจ้าของข้อมูลในการประมวลผลข้อมูลส่วนบุคคลของตนที่เสนอ ความเงียบ การเลือกช่องทำเครื่องหมายไว้ล่วงหน้าหรือการไม่มีการใช้งานจึงไม่ควรถือเป็นการยินยอม ความยินยอมควรครอบคลุมกิจกรรมการประมวลผลทั้งหมดที่ดำเนินการเพื่อวัตถุประสงค์หรือวัตถุประสงค์เดียวกัน เมื่อการประมวลผลมีวัตถุประสงค์หลายประการ ควรให้ความยินยอมสำหรับวัตถุประสงค์ทั้งหมด หากได้รับความยินยอมจากเจ้าของข้อมูลตามคำขอด้วยวิธีการทางอิเล็กทรอนิกส์ คำขอต้องชัดเจน รัดกุม และไม่รบกวนการใช้บริการที่จัดให้โดยไม่จำเป็น

ตัวอย่าง:

ฉันเพิ่งเข้าร่วมงานแสดงสินค้าและตลอดทั้งวันฉันได้สะสมนามบัตรไว้สองสามใบ ซึ่งฉันจะใช้เพื่อสร้างฐานข้อมูลที่ฉันจะอัปโหลดไปยังบัญชีเกณฑ์มาตรฐานของฉันโดยมีเป้าหมายในการส่งจดหมายข่าว

ด้วยข้อบังคับใหม่ กฎหมายนี้ถูกกฎหมายหรือไม่?

ไม่ได้ เครือข่ายที่เกิดขึ้นระหว่างคุณและบุคคลที่งานแสดงสินค้าไม่ได้ให้สิทธิ์คุณในการใช้ข้อมูลส่วนบุคคลของพวกเขา แม้จะได้รับการยืนยันด้วยวาจาจากบุคคลก็ตาม ปัจจุบัน GDPR กำหนดให้ต้องมีหลักฐานของข้อตกลงนี้ระหว่างทั้งสองฝ่าย

GDPR ระบุว่าต้องได้รับความยินยอมอย่างชัดแจ้งและชัดเจนจากบุคคลที่สามารถสำรองพร้อมหลักฐานในกรณีของการตรวจสอบได้ จำเป็นต้องมีหลักฐานว่าบุคคลนั้นยินยอมให้ใช้ข้อมูลส่วนบุคคลของตน

คำแนะนำ:

• ตรวจสอบวิธีการของคุณสำหรับการรวบรวมข้อมูลและขจัดความคลุมเครือที่อาจเกิดขึ้น
• วิเคราะห์ฐานข้อมูลของคุณและเฉพาะข้อมูลที่คุณสามารถแสดงหลักฐานว่าบุคคลนั้นได้รับความยินยอม

เข้าไป

ฝ่ายที่รับผิดชอบในการจัดการข้อมูลส่วนบุคคลต้องให้ผู้ใช้แต่ละคนเข้าถึงได้ง่ายและตรงไปตรงมาเพื่อแก้ไขรายละเอียดส่วนบุคคลของตนเอง ฝ่ายที่รับผิดชอบจะต้องจัดให้มีช่องทางที่บุคคลสามารถยืนยันได้ว่าตนให้ความยินยอมผ่านวิธีการทางอิเล็กทรอนิกส์ ไม่ว่าจะเป็นผ่านเว็บไซต์ของตนเอง แบบฟอร์มลงทะเบียน หรือการยืนยันทางอีเมล

ฝ่ายที่รับผิดชอบจะมีเวลาหนึ่งเดือนในการให้คำตอบแก่ลูกค้า โดยมีความเป็นไปได้ที่จะขยายเวลาเป็นสองเดือนในกรณีที่เป็นคำขอที่ซับซ้อน ซึ่งจะมีการดำเนินการตามขั้นตอนที่จำเป็นเพื่อดำเนินการตามคำขอส่วนบุคคลให้เสร็จสมบูรณ์

ในกรณีของเครื่องมือ Email Marketing ของเรา ตัวเลือก Manage Subscriptions ช่วยให้บุคคลสามารถเข้าถึงข้อมูลส่วนบุคคลของตนและแก้ไขข้อมูลได้หากจำเป็น หรือยกเลิกการสมัครรับข้อมูลทันที

ภายในจุดนี้มีสิทธิใหม่ คือ สิทธิในการลบ (มาตรา 17) ผู้ใช้สามารถใช้ “สิทธิ์ที่จะถูกลืม” และลบข้อมูลส่วนบุคคลออกจากฐานข้อมูลอย่างถาวร เราได้เลือกเหตุผลสองประการจากหกประการที่รวมอยู่ในประเด็นย่อย 1 ซึ่งทำให้บุคคลสามารถใช้สิทธิของตนได้:

ก) ข้อมูลส่วนบุคคลไม่จำเป็นอีกต่อไปเกี่ยวกับวัตถุประสงค์ในการรวบรวมหรือประมวลผล

ง) ข้อมูลส่วนบุคคลได้รับการประมวลผลอย่างผิดกฎหมาย

การรวบรวม:

GDPR สนับสนุนความเรียบง่ายในการเก็บรวบรวมข้อมูลส่วนบุคคล ในฐานะนักการตลาด เรามักจะขอรายละเอียดมากกว่าที่จำเป็นเมื่อสิ่งที่เราทำคือส่งจดหมายข่าวรายสัปดาห์ ด้วยเหตุผลดังกล่าว กฎระเบียบใหม่เหล่านี้จึงสนับสนุนให้มีการรวบรวมและรวบรวมข้อมูลส่วนบุคคลขั้นต่ำสำหรับกลยุทธ์ปัจจุบันของเรา ไม่ใช่การรวบรวมข้อมูลเพิ่มเติมที่คุณคิดว่าอาจเป็นประโยชน์ในอนาคต

หากเป้าหมายของคุณคือการแจ้งฐานข้อมูลเกี่ยวกับโปรโมชั่นที่กำลังจะมีขึ้น การรวบรวมชื่อและที่อยู่อีเมลของบุคคลนั้นมากเกินพอที่จะบรรลุเป้าหมายของคุณ

Brexit

สหราชอาณาจักรจะออกเดินทางอย่างเป็นทางการและจะไม่เป็นส่วนหนึ่งของสหภาพยุโรปอีกต่อไปในปี 2019 ด้วยการออกนี้ กฎระเบียบจะไม่มีผลบังคับใช้กับพวกเขา ขณะนี้เราไม่ทราบว่าสหราชอาณาจักรหรือบริษัทต่างๆ ในสหราชอาณาจักรจะจัดการกับการปกป้องข้อมูลอย่างไร แต่เราเชื่อว่าพวกเขาจะผ่านกฎระเบียบที่คล้ายคลึงกันซึ่งจะเทียบได้กับสหภาพยุโรป

จะเกิดอะไรขึ้นหากฉันไม่ปฏิบัติตามข้อกำหนดใหม่ของ GDPR

กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (General Data Protection Regulation) กำหนดชุดเครื่องมือเพื่อให้สอดคล้องกับระเบียบข้อบังคับใหม่ ซึ่งรวมถึงบทลงโทษและค่าปรับ ปัจจัยหลายประการจะถูกนำมาพิจารณาและประเมินอย่างรอบคอบเมื่อมีการเรียกเก็บค่าปรับเนื่องจากการไม่ปฏิบัติตาม GDPR ใหม่ เช่น:

• แรงโน้มถ่วง/ระยะเวลาของการละเมิด;
• จำนวนเจ้าของข้อมูลได้รับผลกระทบและระดับความเสียหายที่พวกเขาได้รับ
• ลักษณะโดยเจตนาของการละเมิด
• การดำเนินการใด ๆ เพื่อลดความเสียหาย
• ระดับความร่วมมือกับหน่วยงานกำกับดูแล

กฎระเบียบกำหนดเพดานค่าปรับสองค่าหากไม่ปฏิบัติตามกฎ เพดานแรกกำหนดค่าปรับสูงสุด 10 ล้านยูโร หรือในกรณีของการดำเนินการ มากถึง 2% ของมูลค่าการซื้อขายประจำปีทั่วโลก ค่าปรับประเภทแรกนี้จะถูกนำไปใช้เช่น หากผู้ควบคุมไม่ทำการประเมินผลกระทบตามที่ระเบียบกำหนด เพดานค่าปรับที่สูงขึ้นถึงสูงสุด 20 ล้านยูโรหรือ 4% ของมูลค่าการซื้อขายประจำปีทั่วโลก ตัวอย่างจะเป็นการละเมิดสิทธิ์ของเจ้าของข้อมูลภายใต้ระเบียบ ค่าปรับจะถูกปรับตามสถานการณ์ของแต่ละกรณี

คุณจะต้องคำนึงถึงประเด็นหลักข้างต้น (คำยินยอม การเข้าถึง และการรวบรวม) เมื่อถึงเวลาวางแผนกลยุทธ์การตลาดทางอีเมลของคุณ

เกณฑ์มาตรฐาน

ที่เกณฑ์มาตรฐาน เรากำลังดำเนินการปรับปรุงนโยบายความเป็นส่วนตัวเพื่อให้เป็นไปตามข้อกำหนดของระเบียบข้อบังคับ ในกรณีของ GDPR ไม่มีการรับรองที่ระบุว่าเราปฏิบัติตามกฎระเบียบใหม่เช่นเดียวกับกรอบโครงสร้างการคุ้มครองความเป็นส่วนตัว

พวกเราที่เกณฑ์มาตรฐานต้องการสร้างความมั่นใจให้กับคุณว่าข้อมูลส่วนบุคคลของคุณได้รับการจัดการตาม GDPR ใหม่

เป็นครั้งแรกที่สหภาพยุโรปแสดงความเป็นผู้นำและความสามัคคีในวิธีที่ข้อมูลส่วนบุคคลจำเป็นต้องได้รับการปฏิบัติและบังคับให้ส่วนที่เหลือของโลกโดยไม่มีข้อยกเว้นสำหรับประเทศใด ๆ ให้ปฏิบัติตามกฎระเบียบเหล่านี้หากต้องการจัดการกับข้อมูลส่วนบุคคลในยุโรป

อย่าลืมแบ่งปันบทความนี้กับผู้ชมของคุณและแสดงความคิดเห็นของคุณ ขอบคุณที่อ่าน!

ชมการสัมมนาผ่านเว็บของเรา