คุณปฏิบัติตาม GDPR หรือไม่ ค้นหาสิ่งที่คุณต้องรู้!

เผยแพร่แล้ว: 2018-05-22

รายการตรวจสอบการปฏิบัติตามข้อกำหนดของ GDPR

อย่างที่คุณอาจทราบแล้วในตอนนี้ กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ของสหภาพยุโรปจะมีผลบังคับใช้ในวันที่ 25 พฤษภาคม GDPR ที่คุณพูดคืออะไร? กล่าวโดยย่อ GDPR เป็นกรอบทางกฎหมายที่กำหนดแนวทางในการรวบรวมและประมวลผลข้อมูลส่วนบุคคลของบุคคลภายในสหภาพยุโรป (EU) เป็นการเปลี่ยนแปลงความเป็นส่วนตัวของข้อมูลครั้งใหญ่ที่สุดในรอบ 20 ปี และค่อนข้างแน่นอนว่าจะนำไปใช้กับคุณ

ความเข้าใจผิดที่ใหญ่ที่สุดเมื่อตีความข้อบังคับใหม่คือใช้กับบริษัทที่ดำเนินการหรือทำธุรกิจในสหภาพยุโรปเท่านั้น ที่จริงแล้ว ขอบเขตของ GDPR นั้นกว้างกว่ามากและนำไปใช้กับธุรกิจใดๆ ก็ตามที่ติดตามพฤติกรรมของคนในสหภาพยุโรป ดังนั้น แม้ว่าบริษัทของคุณจะตั้งอยู่นอกสหภาพยุโรป แต่คุณประมวลผลข้อมูลของพลเมืองในสหภาพยุโรป GDPR ก็จะมีผลกับคุณ

  • มีเว็บไซต์ที่ทุกคนสามารถเข้าชมได้ (รวมถึงผู้ใช้ในสหภาพยุโรป) หรือไม่?
  • ใช้แบบฟอร์มเพื่อรวบรวมข้อมูลผู้ใช้?
  • ใช้คุกกี้เพื่อติดตามการเยี่ยมชมและข้อมูลการตลาดอื่นๆ (รหัสติดตาม Google Analytics, พิกเซลของ Facebook ฯลฯ)?

หากบริษัทของคุณสามารถตอบ "ใช่" สำหรับคำถามเหล่านี้ได้ คุณอาจถูกพบว่าละเมิดกฎใหม่ และขึ้นอยู่กับประเภทของการละเมิด บริษัทที่จัดการข้อมูลส่วนบุคคลอย่างไม่ถูกต้องหรือละเมิดสิทธิ์ของเจ้าของข้อมูลอาจถูกปรับสูงถึง 20 ล้านยูโรหรือ 4% ของรายได้ต่อปีทั่วโลก (แล้วแต่จำนวนใดจะสูงกว่า) จึงไม่ใช่แค่ตบข้อมือหรืออะไรเบา ๆ

ไม่ว่าคุณจะอยู่ที่จุดใดในกระบวนการวางแผน จะมีคำถามและความสับสนเกี่ยวกับขั้นตอนในการทำให้เว็บไซต์ของคุณเป็นไปตามข้อกำหนด ข่าวดีก็คือคุณไม่ได้อยู่คนเดียว ตลอดการพูดคุยทั้งหมดที่เรามีในช่วงหลายสัปดาห์ที่ผ่านมากับทนายความ ที่ปรึกษา ผู้ขาย และผู้เชี่ยวชาญด้านการปกป้องข้อมูล/ความเป็นส่วนตัว สิ่งเดียวที่ทุกคนรู้แน่ชัดคือกฎระเบียบใหม่กำลังจะมีขึ้นในปลายสัปดาห์หน้าและ มันจะเปลี่ยนวิธีการทำงานของเราในฐานะนักการตลาดดิจิทัล

สำหรับคู่มือนี้ เราจะเน้นไปที่กฎระเบียบใหม่เพียงอย่างเดียว และความเกี่ยวข้องโดยเฉพาะกับเว็บไซต์และแนวทางปฏิบัติด้านการตลาดดิจิทัลของคุณ ซึ่งก็สมเหตุสมผล เพราะเราคือตัวแทนการตลาดดิจิทัล หากคุณกำลังมองหาข้อมูลอื่นๆ เกี่ยวกับระเบียบข้อบังคับ ข่าวดีก็คือว่าไม่มีบทความ บล็อกโพสต์ และเนื้อหาที่เป็นประโยชน์อื่นๆ ขาดหายไป รวมถึงข้อบังคับฉบับสมบูรณ์ในเวอร์ชัน "CliffsNotes" นอกจากนี้ คุณสามารถติดต่อผู้เชี่ยวชาญด้านการตลาดดิจิทัลของเราได้ตลอดเวลาเพื่อนัดหมายพูดคุยเพิ่มเติม

ก่อนที่เราจะเข้าสู่รายการตรวจสอบเกี่ยวกับขั้นตอนที่เราแนะนำให้ทำ สิ่งสำคัญคือต้องทราบว่านี่ไม่ใช่คำแนะนำทางกฎหมาย แต่เป็นเพียงคำแนะนำของเราที่จะช่วยให้เว็บไซต์ของคุณปฏิบัติตามระเบียบข้อบังคับใหม่


การปฏิเสธความรับผิดทางกฎหมาย
 ข้อมูลและข้อมูลทั้งหมดที่มีให้ในโพสต์บล็อกนี้มีวัตถุประสงค์เพื่อให้ข้อมูลเท่านั้น ชั้นบนสุดไม่ได้รับรองความถูกต้อง ความสมบูรณ์ ความทันสมัย ​​ความเหมาะสม หรือความถูกต้องของข้อมูลใด ๆ ที่มีอยู่ในที่นี้ ข้อมูลและคำแนะนำนี้ไม่เหมือนกับคำแนะนำทางกฎหมาย ซึ่งทนายความจะใช้กฎหมายกับสถานการณ์เฉพาะของคุณ เรายืนกรานให้คุณปรึกษาทนายความ หากคุณต้องการคำแนะนำเกี่ยวกับการตีความข้อมูลนี้หรือความถูกต้องของข้อมูล โดยสรุป คุณไม่สามารถพึ่งพาโพสต์บนบล็อกนี้เป็นคำแนะนำทางกฎหมาย หรือเป็นคำแนะนำสำหรับความเข้าใจทางกฎหมายโดยเฉพาะ

รายการตรวจสอบการปฏิบัติตามข้อกำหนดของ GDPR

  • สร้างรายชื่อซอฟต์แวร์การตลาดและการติดตาม แบบฟอร์มเว็บไซต์ หน่วยงานและบริการของบุคคลที่สาม และเครื่องมืออื่นๆ ที่ใช้เพื่อรวบรวมและประมวลผลข้อมูลผู้ใช้ สังเกตว่าข้อมูลใดที่ถูกรวบรวม ใช้งานอย่างไร จัดเก็บที่ใด ใครบ้างที่เข้าถึงข้อมูลได้ และข้อมูลที่ต้องการนานเท่าใด ต่อไปนี้คือรายการสั้นๆ ที่จะช่วยให้คุณเริ่มต้น:
    1. Google Analytics
    2. พิกเซลโซเชียลมีเดียและสคริปต์ติดตาม
    3. ซอฟต์แวร์การตลาดผ่านอีเมล
    4. CRM
    5. RFQ ของเว็บไซต์และแบบฟอร์มการติดต่อ
    6. บริการติดตามการโทร
  • อัปเดตเว็บฟอร์มทั้งหมดเป็น:
    1. รวบรวมเฉพาะข้อมูลที่จำเป็นต่อวัตถุประสงค์ในมือ
    2. ใช้ภาษาที่ชัดเจนและเรียบง่ายเพื่อบอกผู้ใช้ว่าพวกเขายินยอมอย่างไรและคุณจะทำอะไรกับข้อมูล ณ จุดรวบรวม (ในแบบฟอร์มเอง)
    3. ให้รายละเอียดเกี่ยวกับวิธีการเพิกถอนความยินยอม
    4. รวมกลไกให้ผู้ใช้ส่งสัญญาณความยินยอม (ช่องทำเครื่องหมายที่ไม่ได้ตรวจสอบล่วงหน้า)
  • อัปเดต CMS ของเว็บไซต์ของคุณและโมดูลหรือปลั๊กอินของบุคคลที่สามและอัปเดตให้เป็นปัจจุบัน
  • ใช้เครื่องมือความปลอดภัยออนไลน์ เช่น ไฟร์วอลล์ การตรวจสอบความปลอดภัย การเข้ารหัส HTTPS เป็นต้น เพื่อช่วยป้องกันการแฮ็กและการละเมิดข้อมูล
  • สร้างเอกสารแผนเพื่อให้สามารถลบและอนุญาตให้แก้ไขข้อมูลส่วนบุคคล/ข้อมูลที่ละเอียดอ่อน
    1. จัดเตรียมหน้าที่มีคำแนะนำที่มีที่อยู่อีเมลเพื่อให้ผู้ใช้ติดต่อคุณเพื่อลบหรือแก้ไขข้อมูลด้วยตนเอง
    2. หรือให้วิธีการอัตโนมัติสำหรับผู้ใช้ในการแก้ไขหรือลบข้อมูลของตนเอง
    3. หรือกรอกแบบฟอร์มให้ผู้ใช้กรอกแบบฟอร์มเพื่อให้ข้อมูลเพื่อลบข้อมูลของตนได้
  • สร้างเอกสารแผนเพื่อส่งออกและให้ข้อมูลผู้ใช้เมื่อมีการร้องขอภายในระยะเวลา 30 วันและในรูปแบบที่เหมาะสม
  • ตรวจสอบให้แน่ใจว่าเว็บไซต์ไม่ได้ส่งข้อมูลที่ละเอียดอ่อนทางอีเมล หรือหากจำเป็น ข้อมูลนั้นจะถูกเข้ารหัสและสามารถลบออกได้อย่างง่ายดาย ตัวอย่างเช่น ส่งแบบฟอร์มการแจ้งเตือนไปยังผู้รับที่จำเป็นภายในองค์กรของคุณผ่านลิงก์ที่ต้องเข้าสู่ระบบเพื่อดู แทนที่จะส่งข้อมูลส่วนบุคคลในเนื้อหาของอีเมล
  • ดำเนินการตรวจสอบระดับการอนุญาตปัจจุบันของเว็บไซต์ของคุณและผู้ใช้คนใดที่สามารถเข้าถึงข้อมูลใดได้บ้าง ล็อคไซต์และเพื่อให้แน่ใจว่าผู้ใช้ไม่มีทางดูหรือเข้าถึงข้อมูลที่ไม่ได้มีไว้สำหรับพวกเขา
  • สร้างและใช้แบนเนอร์การแจ้งเตือนคุกกี้บนเว็บไซต์ของคุณที่:
    1. อธิบายสั้นๆ ถึงวัตถุประสงค์ของการติดตั้งคุกกี้ที่เว็บไซต์ใช้
    2. มีความเด่นชัดพอที่จะทำให้เป็นที่สังเกตได้
    3. ลิงก์ไปยัง (นโยบายคุกกี้) หรือทำให้รายละเอียดเกี่ยวกับวัตถุประสงค์ของคุกกี้ การใช้งาน และกิจกรรมของบุคคลที่สามที่เกี่ยวข้อง
    4. ป้องกันการรวบรวม/ประมวลผลข้อมูลก่อนที่จะได้รับความยินยอมจากผู้ใช้ (นี่เป็นเรื่องใหญ่ที่อาจมีผลกระทบมากมายหากทำไม่ถูกต้อง)
  • สร้างและใช้นโยบายคุกกี้ที่:
    1. อธิบายรายละเอียดวัตถุประสงค์ในการติดตั้งคุกกี้
    2. หมายถึงบุคคลที่สามทั้งหมดที่ติดตั้งหรือสามารถติดตั้งคุกกี้ได้ โดยมีลิงก์ไปยังนโยบายความเป็นส่วนตัว นโยบายคุกกี้ และแบบฟอร์มยินยอมใดๆ
  • สร้างหรืออัปเดตนโยบายความเป็นส่วนตัวที่สอดคล้องกับข้อบังคับใหม่ทั้งหมด
  • เข้ารหัสข้อมูลที่ละเอียดอ่อนไม่ว่าจะจัดเก็บไว้ที่ใดก็ตาม (เช่น ในฐานข้อมูลของเว็บไซต์ และในการสำรองข้อมูลของไซต์)
  • จัดทำแผนการจัดการการละเมิดข้อมูลที่แจ้งผู้ที่ได้รับผลกระทบและหน่วยงานกำกับดูแลภายใน 72 ชั่วโมงหลังการละเมิด
  • บันทึกสิ่งที่คุณทำเพื่อให้สอดคล้องกับ GDPR และพิสูจน์ได้ในกรณีที่ไม่ปรากฏชัดในตัวเอง
    1. เก็บบันทึกการฝึกอบรม ขั้นตอน ขั้นตอนต่างๆ ของ GDPR ฯลฯ รับข้อตกลงการแชร์ข้อมูลเป็นลายลักษณ์อักษรและระบุความรับผิดชอบอย่างชัดเจนหากแชร์ข้อมูลกับองค์กรต่างๆ
    2. ตรวจสอบให้แน่ใจว่าบริการทั้งหมดที่คุณใช้เป็นไปตาม GDPR และในหน้านโยบายความเป็นส่วนตัวของคุณเอง คุณควรแสดงรายการและเชื่อมโยงไปยังบริการเหล่านั้น

หากยังคงมีคำถามหรือต้องการความช่วยเหลือในการตรวจสอบว่าคุณปฏิบัติตาม GDPR หรือไม่ เรายินดีที่จะสนทนาเพื่อตรวจสอบสถานการณ์ปัจจุบันของคุณและให้ข้อเสนอแนะเกี่ยวกับสิ่งที่คุณต้องปฏิบัติตาม