วิธีทำให้แอพมือถือของคุณเป็นไปตาม GDPR

GDPR คืออะไร?

GDPR ย่อมาจาก General Data Protection Regulation
GDPR จะมีผลบังคับใช้ตั้งแต่วันที่ 25 พฤษภาคม 2018 ซึ่งได้รับการออกแบบมาเพื่อปกป้องการจัดเก็บและการใช้งานข้อมูลของผู้ใช้ และเพื่อให้แน่ใจว่าผู้ใช้จะควบคุมข้อมูลของตนได้ มากกว่าบริษัทที่ดูแลข้อมูลผู้ใช้

คำจำกัดความของ GDPR ที่สำคัญ

เพื่อช่วยให้คุณเข้าใจ GDPR สำหรับแอป มีคำจำกัดความสำคัญสองสามข้อที่เราจะกล่าวถึงในบทความนี้
ผู้ควบคุมข้อมูล: ผู้ควบคุมข้อมูลคือหน่วยงานที่กำหนดวัตถุประสงค์และวิธีการในการรวบรวมและประมวลผลข้อมูลส่วนบุคคล หากคุณเป็นเจ้าของเว็บไซต์หรือแอพมือถือ และคุณกำลังตัดสินใจว่าจะรวบรวมสิ่งใด รวบรวมอย่างไร และเพื่อวัตถุประสงค์ใด คุณเป็นผู้ควบคุมข้อมูล
ผู้ ประมวลผลข้อมูล: ผู้ประมวลผลข้อมูลเป็นองค์กรที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุมข้อมูล ตัวอย่างเช่น บริการของบุคคลที่สามที่เชื่อมต่อกับเว็บไซต์หรือแอปของคุณ เช่น Analytics (Google Analytics, KISSMetrics), Cloud Services (AWS) ที่เข้าถึงหรือโฮสต์ข้อมูลลูกค้าของคุณ
หัวเรื่องข้อมูล: บุคคลธรรมดาที่มีการประมวลผลข้อมูล ตัวอย่างเช่น ผู้ใช้แอปหรือผู้เยี่ยมชมเว็บไซต์
สำหรับรายการคำจำกัดความของ GDPR ทั้งหมด คุณสามารถอ่าน มาตรา 4 ของระเบียบข้อบังคับได้

GDPR มีผลกระทบต่อฉันหรือไม่

เป็นไปได้มากว่าใช่!
GDPR ใช้กับทุกธุรกิจที่มีลูกค้า หรือผู้เยี่ยมชมเว็บไซต์/แอพมือถือที่มาจากสหภาพยุโรป (EU) ซึ่งหมายความว่าองค์กรใดๆ ในโลกที่ทำงานกับข้อมูลส่วนบุคคลของผู้อยู่อาศัยในสหภาพยุโรปในลักษณะใดก็ตามมีภาระหน้าที่ในการปกป้องข้อมูลของผู้ใช้และปฏิบัติตาม GDPR

“ข้อมูลส่วนบุคคล” หมายถึงอะไรภายใต้ GDPR

“ ข้อมูลส่วนบุคคล ” ภายใต้ GDPR รวมถึงข้อมูลใดๆ ที่เกี่ยวข้องกับบุคคลที่สามารถระบุตัวตนได้ ซึ่งสามารถระบุได้โดยตรงหรือโดยอ้อมโดยเฉพาะโดยการอ้างอิงถึงตัวระบุ
ขอบเขตนี้กว้างและรวมถึงทุกอย่างตั้งแต่ข้อมูลส่วนบุคคลไปจนถึงคุกกี้ที่วางอยู่บนเบราว์เซอร์ของใครบางคนโดยเครื่องมือติดตามการวิเคราะห์ที่คุณอาจใช้เพื่อติดตามการใช้งานเว็บไซต์ของคุณ
สำหรับเว็บไซต์หรือแอปของคุณ นี่หมายความว่าคุณจะต้องพิจารณาถึงวิธีการรวบรวมและจัดเก็บรายละเอียดการระบุตัวตนส่วนบุคคล เช่น ชื่อและที่อยู่อีเมล แต่ยังพิจารณาสิ่งต่างๆ เช่น ที่อยู่ IP ของผู้ใช้และรหัสอุปกรณ์ (ID เฉพาะที่อุปกรณ์แชร์กับ SDK ภายนอก) สำหรับโฆษณาและการวิเคราะห์)

GDPR มีความหมายอย่างไรกับแอปบนอุปกรณ์เคลื่อนที่ของคุณ

ค่าปรับสำหรับการไม่ปฏิบัติตาม GDPR นั้นสูง - 4% ของมูลค่าการซื้อขายทั่วโลกต่อปีหรือ 20 ล้านยูโร (แล้วแต่จำนวนใดจะสูงกว่า! )
เนื่องจากการปฏิบัติตาม GDPR กลายเป็นข้อกำหนดสำหรับทุกธุรกิจที่มีทั้งลูกค้าหรือผู้เข้าชมเว็บไซต์ หรือผู้ใช้แอปในสหภาพยุโรป คุณจึงอาจกังวลว่าแอปบนอุปกรณ์เคลื่อนที่ของคุณจะปฏิบัติตาม GDPR หรือไม่
ในฐานะผู้เผยแพร่แอปบนอุปกรณ์เคลื่อนที่ คุณจะต้องเข้าใจวิธีที่คุณได้รับ โอน จัดเก็บ และจัดการข้อมูลผู้ใช้ของคุณ คุณควรใช้เวลาสักครู่เพื่อทำความเข้าใจว่าปัจจุบันคุณรับรองความปลอดภัยของข้อมูลสำหรับผู้ใช้ของคุณอย่างไร และคุณสามารถทำอะไรได้บ้างเพื่อปรับปรุงสิ่งนี้เพื่อให้มีแอปบนอุปกรณ์เคลื่อนที่ที่สอดคล้องกับ GDPR
Cennydd Bowles สรุปว่าเหตุใดคุณจึงควรปฏิบัติตาม แม้ว่ามันอาจจะเป็นงานจำนวนมากในตอนแรก: “คุณอาจลงเอยด้วยข้อมูลเชิงลึกของลูกค้าที่ร่ำรวยน้อยกว่าที่เคยมีมา KPI บางส่วนอาจตกต่ำ แต่สำหรับบริษัทที่มีความสัมพันธ์กับลูกค้าโดยตรง ทั้งหมดนี้สามารถจัดการได้ และนอกจากนั้นคุณไม่เพียงลดความเสี่ยงในการปฏิบัติตามกฎระเบียบ แต่ยังได้รับประโยชน์จากความไว้วางใจที่เพิ่มขึ้นที่ลูกค้าของคุณจะแสดงให้เห็นในตัวคุณและโลกออนไลน์โดยทั่วไป”
มีไฮไลท์สำคัญที่เกี่ยวข้องกับแอปบนอุปกรณ์เคลื่อนที่และธุรกิจของคุณโดยทั่วไป ซึ่งจะช่วยให้คุณมั่นใจได้ว่าจะปฏิบัติตาม GDPR
เลื่อนลงเพื่อค้นหา 9 สิ่งที่คุณควรพิจารณาเพื่อให้มีแอปบนอุปกรณ์เคลื่อนที่ที่สอดคล้องกับ GDPR

1. ความเป็นส่วนตัวโดยการออกแบบ

ความเป็นส่วนตัวโดยการออกแบบตอนนี้เป็นข้อกำหนดทางกฎหมายภายใต้ GDPR ตั้งแต่วินาทีที่คุณเริ่มสร้างแอปบนอุปกรณ์เคลื่อนที่ คุณควร คำนึงถึงความเป็นส่วนตัวของผู้ใช้ด้วย
ตาม GDPR Article 23 แอปของคุณจะต้องเก็บและประมวลผลข้อมูลผู้ใช้ที่จำเป็นอย่างยิ่งเท่านั้น
ซึ่งหมายความว่าเมื่อคุณกำลังพัฒนาแอพมือถือของคุณ หรือให้บุคคลที่สามพัฒนามัน คุณต้องพิจารณาถึงการปกป้องข้อมูลและความเป็นส่วนตัวของผู้ใช้
ความเป็นส่วนตัวโดยการออกแบบไม่ใช่แนวคิดใหม่และเกี่ยวข้องกับการคำนึงถึงความเป็นส่วนตัวของข้อมูลผู้ใช้ในแอป เว็บไซต์ หรือซอฟต์แวร์ของคุณตั้งแต่เริ่มต้น แทนที่จะปล่อยให้มันเป็นความคิดภายหลัง แนวคิดเรื่องความเป็นส่วนตัวโดยการออกแบบนั้นรวมถึงการตัดสินใจว่าคุณต้องการข้อมูลใดและข้อมูลใดที่คุณไม่ต้องการ ในภาพรวมของ Brian Pagan เกี่ยวกับการออกแบบแอปโดยคำนึงถึงความเป็นส่วนตัว เขาถามว่าคุณต้องการชื่อผู้ใช้และวันเกิดจริงๆ หรือไม่ ในหลายกรณี ฟิลด์เหล่านี้เพียงฟิลด์เดียวก็เพียงพอแล้ว เขาเขียนว่า: "ความเสี่ยงของการมีคนเปิดบัตรเครดิตในชื่อของฉันนั้นมีค่ามากกว่าประโยชน์ของการได้รับ "สุขสันต์วันเกิด" สแปม อีเมลการตลาดจากบริษัทของคุณ”
การพิจารณาตัวเลือกทั้งหมดนั้นคุ้มค่าเมื่อออกแบบและสร้างแอพมือถือของคุณ
นอกจากจะเป็นข้อกำหนดทางกฎหมายแล้ว ผู้ใช้แอปของคุณจะประทับใจกับการพิจารณาความเป็นส่วนตัวเพิ่มเติมที่คุณมีเพื่อประโยชน์ของพวกเขา!

คำแนะนำของเรา:

คิดเกี่ยวกับข้อมูลผู้ใช้ของคุณตั้งแต่เริ่มต้น และอย่าปล่อยให้เป็นความคิดภายหลัง
หากมีการโหลดหน้าจากเว็บไซต์ของคุณภายในแอพมือถือของคุณ (เช่น แบบฟอร์มการติดต่อ) ให้พิจารณาการรวบรวมข้อมูลที่เกิดขึ้นบนเว็บไซต์เมื่อตรวจสอบแอพของคุณ
คุณควรนึกถึง Privacy By Design เมื่อคุณสร้างคุณลักษณะใหม่ หรือสร้างหน้าใหม่ในแอปของคุณเพื่อให้สอดคล้องกับ GDPR
นอกจากนี้ คุณควรเข้ารหัสข้อมูลส่วนบุคคลด้วยอัลกอริธึมการเข้ารหัสที่รัดกุม ซึ่งจะช่วยให้คุณลดผลกระทบจากการละเมิดข้อมูลให้เหลือน้อยที่สุด

2. ขอความยินยอมอย่างชัดแจ้ง

ภายใต้ GDPR ธุรกิจต้องขอและได้รับความยินยอมจากผู้ใช้เพื่อรวบรวม ใช้ และย้ายข้อมูลส่วนบุคคล
ซึ่งรวมถึงข้อมูลที่รวบรวมเพื่อการโฆษณา การวิเคราะห์ บันทึกข้อขัดข้องหรืออย่างอื่น การเลือกเข้าร่วมจะต้องเข้าใจได้ชัดเจน คุณจะไม่สามารถหลีกหนีจากข้อตกลงและเงื่อนไขที่สับสนซึ่งไม่มีใครอ่านหรือเข้าใจอย่างถ่องแท้
สามารถให้ความยินยอมอย่างชัดแจ้งได้อย่างง่ายดายผ่านหน้าจอการเลือกรับ เมื่อแอปของคุณเปิดตัว ผู้ใช้แอปของคุณเลือกที่จะดาวน์โหลดแอปของคุณตั้งแต่แรก ดังนั้น เป็นไปได้มากที่คนส่วนใหญ่ยินดีที่จะให้ความยินยอมเพื่อใช้แอปของคุณและได้รับการสื่อสารเพิ่มเติมจากธุรกิจของคุณ โดยที่ผู้รับสามารถเห็นประโยชน์ได้
ผู้ใช้ของคุณต้องสามารถเพิกถอนความยินยอมได้อย่างง่ายดายเท่าที่จะสามารถทำได้ คุณอาจต้องอัปเดตนโยบายความเป็นส่วนตัวเพื่อแก้ไขปัญหานี้ และเพิ่มหน้าอื่นในเว็บไซต์ของคุณที่ผู้ใช้สามารถเลือกไม่รับได้

คำแนะนำของเรา:

เมื่อมีคนลงทะเบียนในแอพมือถือของคุณ พวกเขาควรถูกขอให้เลือกรับข้อมูลของพวกเขาหรือรับการสื่อสาร เช่น อีเมลหรือการแจ้งเตือนแบบพุช เราขอแนะนำอย่างยิ่งให้แสดงหน้าจอยินยอมในการเปิดใช้แอป เนื่องจากนี่เป็นวิธีเดียวที่จะปฏิบัติตาม GDPR ได้อย่างสมบูรณ์ คุณควรแจ้งผู้ใช้บนหน้าจอเหล่านี้ว่าข้อมูลของพวกเขาจะถูกนำไปใช้ที่ใด ตัวอย่างเช่น พวกเขาจะถูกติดตามใน Google Analytics หรือมีข้อมูลที่ส่งไปยัง Google Admob เพื่อแสดงโฆษณาที่เกี่ยวข้องหรือไม่ ผู้ใช้ของคุณต้องรู้ และเป็นหน้าที่ของคุณที่จะต้องแจ้งให้พวกเขาทราบทันทีที่พวกเขาเริ่มใช้แอพมือถือที่สอดคล้องกับ GDPR ของคุณ!
นอกจากนี้ แอ ป มือถือที่สอดคล้องกับ GDPR ของคุณควรมี หน้าเฉพาะที่ผู้ใช้สามารถเลือกไม่รับการสื่อสารจากคุณ หรือขอให้ลบข้อมูลของพวกเขาออกจากพวกเขา
MobiLoud จัดเตรียมหน้าการตั้งค่าการแจ้งเตือนแบบพุชให้แอปมือถือ ซึ่งช่วยอย่างน้อยสำหรับสิ่งที่เกี่ยวข้องกับการแจ้งเตือนของแอปของคุณ

3. ให้ทัศนวิสัยและความโปร่งใส

แง่มุมที่สำคัญที่สุดประการหนึ่งของ GDPR คือวิธีการใช้ข้อมูลที่คุณรวบรวมจริง หากคุณเป็นผู้ควบคุมข้อมูล คุณจะต้องทราบว่าผู้ใช้ของคุณ สามารถจัดการและปกป้องข้อมูลผู้ใช้ของตนได้อย่างมีประสิทธิภาพอย่างไร
การพิสูจน์การมองเห็นและความโปร่งใสผ่านนโยบายความเป็นส่วนตัวที่ชัดเจนและเข้าใจได้ ไม่เพียงแต่จะเป็นประโยชน์ต่อผู้ใช้แอพมือถือของคุณเท่านั้น แต่ยังเป็นข้อกำหนดจาก App Stores Google จะลบแอปของคุณหากไม่พบนโยบายความเป็นส่วนตัวในหน้าโปรไฟล์ของ Play Store และเข้าถึงได้ภายในแอปของคุณ
คุณควรให้ข้อมูลแก่ผู้ใช้ของคุณซึ่งบุคคลที่สามที่คุณใช้เพื่อรวบรวมหรือประมวลผลข้อมูลผู้ใช้
ตัวอย่างเช่น หากแอปของคุณเชื่อมต่อกับบริการภายนอก เช่น โซลูชันการวิเคราะห์ผู้ใช้ (เช่น Google Analytics, Fabric) ผู้ให้บริการโฆษณา (เช่น Admob, MoPub) หรือผู้ให้บริการการแจ้งเตือนแบบพุช (เช่น Firebase, OneSignal) คุณควรเปิดเผยข้อมูลนี้ให้ผู้ใช้ทราบอย่างชัดเจน ในนโยบายความเป็นส่วนตัวของคุณ
คุณควรตรวจสอบให้แน่ใจด้วยว่าผู้ให้บริการบุคคลที่สามทั้งหมดที่รวบรวมข้อมูลผู้ใช้เป็นไปตาม GDPR พวกเขาจะเป็น "ผู้ประมวลผลข้อมูล" ในขณะที่คุณยังคงเป็น "ผู้ควบคุมข้อมูล" ดังนั้น คุณควรมีข้อตกลงเป็นลายลักษณ์อักษรซึ่งเป็นไปตามระดับการรับประกันในแง่ของการปกป้องข้อมูลและความปลอดภัยที่ GDPR ต้องการ สำหรับบางคน คุณจะสามารถลงนามในข้อตกลงการประมวลผลข้อมูล ซึ่งเพิ่มถ้อยคำที่จำเป็นลงในข้อกำหนดที่มีอยู่ของข้อตกลงของคุณ

คำแนะนำของเรา:

สร้างหรืออัปเดตหน้านโยบายความเป็นส่วนตัวของแอปสำหรับแอปมือถือของคุณ คุณอาจเลือกให้มีแถบด้านข้างหรือรายการเมนูที่เชื่อมโยงกับข้อกำหนดทางกฎหมายของแอปบนอุปกรณ์เคลื่อนที่ของคุณ ซึ่งจะทำให้ผู้ใช้สามารถค้นหา อ่าน และทำความเข้าใจว่าแอปบนอุปกรณ์เคลื่อนที่ของคุณใช้ข้อมูลของตนอย่างไร
หากคุณสร้างแอปโดยอิงตามเนื้อหาของเว็บไซต์และกำลังใช้ MobiLoud วิธีนี้ทำได้ง่ายมากและสามารถทำได้โดยการเพิ่มลิงก์ไปยังเมนูของแอปจากแท็บการกำหนดค่าเมนูในการตั้งค่าแอปของคุณ

4 . ตอบสนองต่อคำขอของผู้ใช้

หากมีคนถามว่าคุณใช้ข้อมูลของพวกเขาอย่างไร ภายใต้ GDPR คุณจะต้องตอบกลับพวกเขาตามกฎหมาย สิ่งนี้เรียกว่าคำขอเข้าถึงหัวเรื่อง
คำขอเข้าถึงหัวเรื่องอาจทำได้ทั้งทางร่างกายหรือทางดิจิทัล เมื่อผู้ใช้ขอข้อมูลเกี่ยวกับข้อมูลของพวกเขาหรือสำเนาข้อมูลที่ใช้ในแอพมือถือของคุณ คุณมีเวลาหนึ่งเดือนในการตอบกลับ สำหรับคำขอที่ซับซ้อน คุณจะมีเวลาสูงสุดสามเดือนในการตอบกลับ
นี้อาจดูเหมือนคุณจะต้องลงทุนเวลาและความพยายามมากขึ้นในการบริการลูกค้า แต่ถ้าธุรกิจของคุณได้รับการตั้งค่าให้มีกระบวนการที่สอดคล้องกับ GDPR ก็ไม่ควรใช้เวลามากเกินไป ท้ายที่สุดแล้ว การให้บริการลูกค้าคุณภาพสูงแก่ลูกค้าและผู้ใช้แอพมือถือของคุณนั้นเป็นสิ่งที่ดี!
ในขั้นต้น คุณสามารถตอบสนองต่อเฉพาะกิจเหล่านี้ได้ แต่ในที่สุด คุณจะต้องมีกระบวนการภายในเพื่อสร้างการตอบกลับสำหรับคำขอประเภทนี้

คำแนะนำของเรา:

สร้างเพจทั้งบนเว็บไซต์และแอพมือถือของคุณที่มีข้อมูลติดต่อธุรกิจของคุณ ซึ่งจะทำให้ผู้ใช้สามารถติดต่อคุณได้อย่างง่ายดายและให้ความโปร่งใสจากฝั่งของคุณ พยายามตอบสนองอย่างรวดเร็วและชัดเจนต่อคำขอเข้าถึงหัวเรื่องทั้งหมด

5. สิทธิที่จะถูกลืม

มาตรา 17 ของ GDPR เน้นย้ำถึงสิทธิ์ในการลบออก หรือ “สิทธิ์ที่จะถูกลืม” ซึ่งหมายความว่าเมื่อผู้ใช้ขอให้คุณลบข้อมูลที่ได้รับผ่านเว็บไซต์หรือแอพมือถือของคุณ คุณต้องลบรายละเอียดส่วนบุคคลทั้งหมดที่คุณมีเกี่ยวกับพวกเขาในทุกระบบ ไม่ว่าคุณจะควบคุมข้อมูลของพวกเขาโดยตรงหรือผ่านเครื่องมือหรือ SaaS ที่คุณใช้ ในแอปของคุณ (เช่น Google Analytics)
หากคุณต้องการให้แอปบนอุปกรณ์เคลื่อนที่ของคุณเป็นไปตาม GDPR คุณสามารถเลือกที่จะให้โซลูชัน เช่น การลบข้อมูลผู้ใช้ออกจากฐานข้อมูลของคุณเองโดยตรงจากแอป หรือมีแบบฟอร์มติดต่อธรรมดาหรือหน้าเฉพาะที่ผู้ใช้สามารถขอให้ลบข้อมูลของตนได้ .

คำแนะนำของเรา :

มีความโปร่งใสและอนุญาตให้ผู้ใช้ติดต่อคุณเกี่ยวกับการลบข้อมูลได้อย่างง่ายดาย เมื่อมีคนขอให้ลบข้อมูล ให้ดำเนินการตามคำขออย่างจริงจังและปฏิบัติตามคำขอของทุกระบบที่คุณควบคุม
คุณมีหน้าที่ต้องแจ้งผู้ประมวลผลข้อมูลบุคคลที่สามด้วยว่าข้อมูลนั้นจะต้องถูกลบออกจากเซิร์ฟเวอร์ของพวกเขาด้วย ซึ่งสามารถทำได้ผ่านการเรียก API ของพวกเขาที่อนุญาตให้ลบข้อมูลส่วนบุคคล (หากให้บริการโดยผู้ให้บริการ)

6. ตรวจสอบบริการและ SDK ที่คุณใช้

หากแอปของคุณส่งข้อมูลส่วนบุคคลไปยังบริการภายนอกสำหรับการประมวลผล (เช่น เพื่อวิเคราะห์การใช้งานแอป) คุณต้องมีความชัดเจนและโปร่งใสว่าสิ่งนี้อยู่ที่ไหน และใครจะเป็นผู้ควบคุมข้อมูลที่ถ่ายโอน
จากนั้น คุณควรลงนามใน ข้อตกลงการประมวลผลข้อมูล (DPA) กับผู้ประมวลผลข้อมูลของคุณ สัญญาที่เป็นลายลักษณ์อักษรระหว่างธุรกิจของคุณและผู้ประมวลผลข้อมูลจะเป็นข้อกำหนดทั่วไปภายใต้ GDPR ยิ่งคุณทำสิ่งนี้ได้เร็วเท่าไหร่ก็ยิ่งดีเท่านั้น!
อย่าทึกทักเอาเองว่าบุคคลที่สามและ SDK ทั้งหมดที่เชื่อมต่อกับแอปของคุณเป็นไปตาม GDPR หากมีการละเมิดข้อมูลในบุคคลที่สามรายใดรายหนึ่งของคุณซึ่งทำให้ข้อมูลผู้ใช้ของคุณถูกเปิดเผย คุณต้องรับผิดชอบ
เป็นความรับผิดชอบของผู้ควบคุมข้อมูล ในกรณีนี้ คุณซึ่งเป็นผู้เผยแพร่แอป ต้องแน่ใจว่ากระบวนการข้อมูลของบุคคลที่สามทั้งหมดเป็นไปตาม GDPR และมีมาตรการรักษาความปลอดภัยข้อมูลที่เหมาะสม เพื่อให้แน่ใจว่าสิ่งนี้ คุณควรพูดคุยกับพันธมิตรบุคคลที่สามของคุณโดยตรง ถามพวกเขาเกี่ยวกับนโยบายความเป็นส่วนตัวและข้อกำหนดล่าสุดของพวกเขา และสิ่งที่พวกเขาทำเพื่อให้สอดคล้องกับ GDPR
คุณควรวิเคราะห์ผู้ขายที่ประมวลผลข้อมูลของคุณอย่างละเอียด และใช้เวลาในการทำความเข้าใจว่าสอดคล้องกับ GDPR หรือไม่ หากพวกเขาตั้งอยู่ในสหรัฐอเมริกา พวกเขาจดทะเบียนภายใต้กรอบโครงสร้างการคุ้มครองความเป็นส่วนตัวระหว่างสหภาพยุโรปและสหรัฐอเมริกาหรือไม่ ธุรกิจใดๆ สามารถรับรองตนเองได้ภายใต้สิ่งนี้ และต้องมีการรับรองนี้เพื่อให้ผู้ขายรายนั้นปฏิบัติตาม GDPR
คุ้มค่ากับเวลาที่ต้องใช้ -
Marcus Turner, CTO ของ Enola Labs กล่าวว่า " ในที่สุด การรักษาความปลอดภัยทางไซเบอร์ในระดับที่สูงขึ้นเป็นการลงทุนที่จำเป็นและคุ้มค่าสำหรับเจ้าของธุรกิจที่ใส่ใจในการปกป้องลูกค้าและปกป้องธุรกิจของตน ฉันมักจะบอกธุรกิจต่างๆ ว่าพวกเขาสามารถจ่ายค่าใช้จ่ายล่วงหน้าในตอนนี้เพื่อปกป้องข้อมูลของพวกเขา หรือรอจนกว่าจะมีการโจมตีความปลอดภัยทางไซเบอร์และจ่ายราคาที่มากกว่าเดิมในภายหลังเพื่อขจัดความยุ่งเหยิง การ รออาจทำให้คุณต้องเสียค่าใช้จ่ายอย่างมาก ”
ดังนั้น ตรวจสอบให้แน่ใจว่าคุณใช้เวลาในการตรวจสอบซัพพลายเออร์เทคโนโลยีของคุณและลงทุนในซัพพลายเออร์ที่จำเป็นซึ่งจะช่วยปกป้องธุรกิจของคุณจากการฝ่าฝืน GDPR

คำแนะนำของเรา:

คุณควรมีสัญญากับผู้ให้บริการที่สามารถให้ 'การรับประกันที่เพียงพอว่าจะเป็นไปตามข้อกำหนดของ GDPR และข้อมูลของผู้ใช้ของคุณได้รับการปกป้องอย่างเพียงพอ
ผู้ขายหลายรายจะมีหน้า GDPR บนเว็บไซต์ของพวกเขา หรือได้อัปเดตนโยบายความเป็นส่วนตัวหรือข้อกำหนดและเงื่อนไขเพื่อให้แน่ใจว่าเป็นไปตาม GDPR คุณควรทำความคุ้นเคยกับสิ่งนี้ หรือพูดคุยกับใครบางคนจากฝ่ายสนับสนุนหรือทีมกฎหมายของพวกเขาเพื่อทำความเข้าใจว่าพวกเขาปฏิบัติตาม GDPR หรือไม่

7. การแจ้งเตือนการละเมิดข้อมูล

เพื่อเพิ่มความไว้วางใจระหว่างลูกค้าและธุรกิจ และจากการละเมิดข้อมูลที่โดดเด่นจากบริษัทต่างๆ เช่น Yahoo!, Uber, Equifax และอื่นๆ GDPR ได้บังคับใช้กำหนดเวลาที่เข้มงวดยิ่งขึ้นสำหรับธุรกิจต่างๆ เพื่อแจ้งหน่วยงานกำกับดูแลระดับประเทศและผู้ใช้ของพวกเขา การเปิดเผยข้อมูลจะต้องเกิดขึ้นภายใน 72 ชั่วโมง
เพื่อให้แน่ใจว่าสิ่งนี้เป็นไปได้สำหรับธุรกิจของคุณ คุณอาจต้องลงทุนในเทคโนโลยีเพื่อให้แน่ใจว่ามีการเฝ้าระวังข้อมูลของคุณอย่างต่อเนื่อง และเพื่อแจ้งให้คุณทราบเมื่อมีความเสี่ยง คุณควรกำหนดขั้นตอนที่ชัดเจนเกี่ยวกับวิธีที่คุณจะตอบสนองต่อการละเมิดข้อมูล รวมถึงวิธีที่คุณจะแจ้งให้ผู้ใช้ทราบ และคุณจะปกป้องข้อมูลของพวกเขาอย่างไร

คำแนะนำของเรา:

สร้างกระบวนการทีละขั้นตอนที่ชัดเจนซึ่งคุณสามารถใช้ในกรณีที่มีการละเมิดข้อมูล ซึ่งรวมถึงวิธีที่คุณจะแจ้งให้ผู้ใช้และหน่วยงานกำกับดูแลระดับประเทศทราบถึงการละเมิด

8. การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล

บริษัทของคุณอาจต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) เพื่อให้สอดคล้องกับ GDPR สิ่งนี้ใช้ได้กับคุณหาก:

• คุณเป็นหน่วยงานสาธารณะ (ยกเว้นศาลที่ทำหน้าที่ในการพิจารณาคดี)
• กิจกรรมหลักของคุณจำเป็นต้องมีการตรวจสอบบุคคลในวงกว้าง สม่ำเสมอ และเป็นระบบ (เช่น การติดตามพฤติกรรมออนไลน์) หรือ
• กิจกรรมหลักของคุณประกอบด้วยการประมวลผลขนาดใหญ่ของข้อมูลหมวดหมู่พิเศษหรือข้อมูลที่เกี่ยวข้องกับการตัดสินลงโทษทางอาญาและความผิดทางอาญา

แม้ว่าสิ่งนี้อาจใช้ไม่ได้กับผู้อ่านทุกคน แต่หากเว็บไซต์หรือแอพมือถือของคุณประมวลผลข้อมูลส่วนบุคคลจำนวนมาก คุณควรพิจารณาว่าคุณต้องการเจ้าหน้าที่คุ้มครองข้อมูลเพื่อช่วยคุณตรวจสอบการปฏิบัติตามภายใน แจ้งและให้คำแนะนำเกี่ยวกับภาระหน้าที่ในการปกป้องข้อมูลธุรกิจของคุณหรือไม่ และทำหน้าที่เป็นจุดติดต่อสำหรับเจ้าของข้อมูล (เช่น ผู้ใช้ของคุณ) และหน่วยงานกำกับดูแล

คำแนะนำของเรา:

ประเมินว่าธุรกิจของคุณจำเป็นต้องมี DPO เพื่อให้เป็นไปตามข้อกำหนดหรือไม่ หากเป็นเช่นนั้น คุณควรแต่งตั้งและแจ้งให้ผู้ใช้เว็บไซต์หรือแอปบนอุปกรณ์เคลื่อนที่ของคุณทราบว่าจะติดต่อ อ.ส.ค. ของคุณได้อย่างไร

9. การเข้ารหัสและการจัดเก็บข้อมูล

แอปพลิเคชันมือถือของคุณควรใช้ SSL หรือ HTTPS สำหรับการสื่อสารภายนอก เมื่อสื่อสารข้อมูลส่วนบุคคลใด ๆ ข้อมูลนั้นจะต้องได้รับการเข้ารหัส การไม่เข้ารหัสข้อมูลหมายความว่าข้อมูลที่ส่งจะเป็นข้อความที่ชัดเจนและจะถูกเปิดเผยทางอินเทอร์เน็ต
หากคุณสร้างแอปที่เชื่อมต่อกับเว็บไซต์หรือเว็บเซิร์ฟเวอร์ของคุณและส่งข้อมูลที่สำคัญ (เช่น ชื่อผู้ใช้/รหัสผ่าน) คุณควรตรวจสอบว่าคุณกำลังใช้ SSL สำหรับการเชื่อมต่อทั้งหมดจากแอปของคุณ
การเข้ารหัสไม่เพียงเกี่ยวข้องกับการสื่อสารภายนอกเท่านั้น ข้อมูลทั้งหมดที่แอพมือถือของคุณรวบรวมควรเก็บไว้ในที่ปลอดภัย และการสำรองข้อมูลของคุณควรได้รับการเข้ารหัสด้วย ผู้ใช้ควรทราบด้วยว่าข้อมูลของพวกเขาจะถูกเก็บไว้นานแค่ไหน

คำแนะนำของเรา:

ตรวจสอบให้แน่ใจว่าแอปของคุณใช้การสื่อสารที่ปลอดภัยผ่าน SSL และ HTTP และตรวจสอบว่าใบรับรอง SSL ของคุณได้รับการปรับใช้อย่างเหมาะสม
ข้อมูลทั้งหมดที่จัดเก็บควรใช้การเข้ารหัส และคุณควรให้ความโปร่งใสแก่เจ้าของข้อมูลตลอดระยะเวลาที่คุณเก็บข้อมูลนี้ไว้

10. บันทึกและปรับการรวบรวมข้อมูลของคุณ

มาตรา 30 ของ GDPR ระบุว่าผู้ควบคุมข้อมูลแต่ละราย หรือตัวแทนของผู้ควบคุม "จะต้องเก็บบันทึกการดำเนินการกิจกรรมภายใต้ความรับผิดชอบของตน"
ซึ่งหมายความว่าเพื่อให้มั่นใจว่าคุณปฏิบัติตาม GDPR คุณควรเริ่มบันทึกข้อมูลทั้งหมดที่คุณรวบรวม (ไม่ว่าจะเป็นตัวคุณเองหรือผ่านบุคคลที่สาม)
คุณควรสร้างบันทึกกิจกรรมการรวบรวมข้อมูลที่ปลอดภัยและครอบคลุม
สำหรับตัวอย่างที่ดีเกี่ยวกับวิธีการทำเช่นนี้ เราขอแนะนำให้อ่าน ขั้นตอนที่ 1 ของคู่มือ Startup Resources เกี่ยวกับการปฏิบัติ ตาม GDPR
บันทึกนี้ควรรวมถึงข้อมูลส่วนบุคคลทุกประเภทที่คุณกำลังรวบรวมจากผู้เยี่ยมชมเว็บไซต์และผู้ใช้ ตั้งแต่ชื่อบุคคล (หากรวบรวม) ไปจนถึงที่อยู่ IP ไปจนถึงประเทศที่พวกเขาอาศัยอยู่
จากนั้น คุณควรให้เหตุผล ว่าทำไม คุณจึงรวบรวมข้อมูลนี้ คุณต้องระบุ ตำแหน่งที่ คุณจัดเก็บข้อมูล ระยะเวลาที่จัดเก็บ การ รวบรวมข้อมูลจะได้รับการพิสูจน์ และอื่นๆ อีกมาก

คำแนะนำของเรา:

ตรวจสอบให้แน่ใจว่าคุณได้รับทราบข้อมูลผู้ใช้ทุกประเภทที่คุณกำลังรวบรวมอย่างครบถ้วน และให้แน่ใจว่าคุณสามารถให้เหตุผลในการเก็บรวบรวมได้
เอกสารที่สมบูรณ์และชัดเจนที่คุณสามารถอ้างอิงกลับไปได้ ไม่เพียงแต่จะช่วยคุณเมื่อลูกค้าหรือผู้ใช้ถามเกี่ยวกับนโยบาย GDPR ของคุณ แต่ยังช่วยให้มั่นใจว่ามีการปฏิบัติตามกฎระเบียบและปกป้องทั้งธุรกิจและแอปบนอุปกรณ์เคลื่อนที่ของคุณ

ห่อ

GDPR เป็นข้อกำหนดทางกฎหมาย และหลีกเลี่ยงไม่ได้สำหรับธุรกิจใดๆ ที่มีปฏิสัมพันธ์ในทางใดๆ กับผู้คนและลูกค้าในสหภาพยุโรป
ใครก็ตามที่มีการประมวลผลข้อมูลจะต้องสามารถใช้สิทธิ์ของตนเหนือข้อมูลของตนได้ แม้ว่าจะอยู่ในการควบคุมของคุณก็ตาม
คุณจะต้องมีแอปบนอุปกรณ์เคลื่อนที่ที่สอดคล้องกับ GDPR หากไม่ปฏิบัติตาม คุณจะเสี่ยงต่อการถูกปรับจำนวนมากและสูญเสียความไว้วางใจที่ลูกค้ามีในธุรกิจของคุณ! ด้วยเหตุนี้ การสร้างกระบวนการเพื่อให้แน่ใจว่าสอดคล้องกับธุรกิจและแอพมือถือของคุณจึงควรมีความสำคัญสำหรับคุณ
เราเชื่อว่าคุณไม่ควรมองว่า GDPR เป็นเรื่องที่น่าปวดหัว แม้ว่าจะมีกฎเกณฑ์ที่เข้มงวดก็ตาม การให้แอปมือถือที่สอดคล้องกับ GDPR แก่ผู้ใช้ของคุณจะทำให้พวกเขารู้ว่าคุณให้ความสำคัญกับพวกเขา และมุ่งมั่นที่จะรักษาความปลอดภัยข้อมูลของพวกเขา สำหรับธุรกิจจำนวนมาก การปฏิบัติตามข้อกำหนดจะเพิ่มมูลค่าและทำให้ผู้ใช้ของคุณไว้วางใจแอปบนอุปกรณ์เคลื่อนที่ของคุณ ดังนั้นคุณควรยอมรับมัน!
หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ GDPR เราได้รวมลิงก์ไปยังแหล่งข้อมูลต่างๆ ด้านล่างนี้:

• อ่านระเบียบการคุ้มครองข้อมูลทั่วไปทั้งหมดที่เผยแพร่โดยรัฐสภายุโรปเพื่อทำความคุ้นเคย
• อ่านคู่มือที่ยอดเยี่ยมของ Kyvio ในการทำความเข้าใจ GDPR บทความนี้จาก SafeDK และคู่มือ GDPR เชิงปฏิบัติสำหรับนักพัฒนา
• อ่านคู่มือฉบับย่อและสกปรกของแหล่งข้อมูลการเริ่มต้นเพื่อให้เป็นไปตามข้อกำหนดสำหรับสตาร์ทอัพและธุรกิจขนาดเล็ก
• รับรองธุรกิจของคุณด้วยตนเองภายใต้กรอบโครงสร้างการคุ้มครองความเป็นส่วนตัวในสหภาพยุโรปและสหรัฐอเมริกา สิ่งนี้ทำให้บริษัททั้งสองฝั่งของมหาสมุทรแอตแลนติกมีกลไกในการปฏิบัติตามข้อกำหนดการปกป้องข้อมูลของสหภาพยุโรปเมื่อถ่ายโอนข้อมูลส่วนบุคคลจากสหภาพยุโรปไปยังสหรัฐอเมริกา

หากเว็บไซต์ของคุณเป็นไปตาม GDPR และคุณต้องการสร้างแอปบนอุปกรณ์เคลื่อนที่ที่สอดคล้องกับ GDPR MobiLoud ขอเสนอโซลูชันที่สอดคล้องกับ GDPR และมอบแพลตฟอร์มใหม่สำหรับการมีส่วนร่วมของผู้ใช้และการเข้าถึงแก่ธุรกิจของคุณ