วิธีทำให้เว็บไซต์ของคุณเป็นไปตาม GDPR

ข้อกำหนดของ GDPR ยังคงมีผลบังคับใช้ในช่วงระยะเวลาการถอนตัวของ Brexit ของสหราชอาณาจักร และสำหรับธุรกิจทั้งหมดที่ซื้อขายกับสหภาพยุโรป ต่อไปนี้คือการเปลี่ยนแปลง 10 ประการที่คุณควรทำบนเว็บไซต์ของคุณเพื่อให้ถูกต้องตามกฎหมาย และเพื่อให้ลูกค้าของคุณมีความสุข

ในโพสต์นี้ ฉันต้องการครอบคลุมเฉพาะส่วนแคบ ๆ ของ วิธีการทำให้เว็บไซต์ของคุณสอดคล้องกับ GDPR และให้คำแนะนำสำหรับการเปลี่ยนแปลงเฉพาะที่คุณจะต้องทำ

แล้ว Brexit และ 2020... GDPR ยังคงเป็นข้อกำหนดหรือไม่

กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) มีผลบังคับใช้กับทุกบริษัทที่อยู่ในสหภาพยุโรปและบริษัทที่มีพลเมืองในสหภาพยุโรปเป็นลูกค้า สำหรับธุรกิจในสหราชอาณาจักร ข้อตกลงการถอนตัวของ Brexit จะไม่ทำการเปลี่ยนแปลงใดๆ ต่อความจำเป็นในการปฏิบัติตามในช่วงระยะเวลาการเปลี่ยนแปลง และข้อกำหนดจะไม่เปลี่ยนแปลงสำหรับธุรกิจที่ค้าขายภายในสหภาพยุโรป

นอกจากนี้ สหราชอาณาจักรยังมุ่งมั่นที่จะรักษามาตรฐานระดับสูงของ GDPR (และรัฐบาลมีแผนที่จะรวมไว้ในกฎหมายของสหราชอาณาจักรหลัง Brexit)

ข้อบังคับ GDPR ฉบับปัจจุบันมีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2018

การพิจารณาบังคับใช้ข้อบังคับ GDPR เป็นเรื่องที่น่าสนใจ และเว็บไซต์ GDPR Enforcement Tracker ให้รายการ sa และภาพรวมของค่าปรับและบทลงโทษที่หน่วยงานคุ้มครองข้อมูลภายในสหภาพยุโรปกำหนดภายใต้ GDPR

ก่อนอื่น ฉันต้องบอกว่าฉันไม่ใช่มืออาชีพด้านกฎหมาย และอย่างที่สอง นี่คือการวิเคราะห์คร่าวๆ ในขณะที่เขียนฐานข้อมูลประกอบด้วย

• 16 คดีของค่าปรับและบทลงโทษที่บทสรุปมีคำว่า "เว็บ" รวมถึงคดีในเดือนธันวาคม 2019 เกี่ยวกับผู้ดำเนินการเว็บไซต์สำหรับข่าวทางกฎหมายมีคำชี้แจงสิทธิ์ส่วนบุคคลเป็นภาษาอังกฤษเท่านั้น แม้ว่าจะถูกส่งไปยังผู้ที่พูดภาษาดัตช์และภาษาฝรั่งเศสด้วย ผู้ชม.
• 5 กรณีที่สรุปมีคำว่า "อีเมล" รวมถึงกรณีที่ในปี 2019 ที่ Vodaphone ส่งอีเมลการตลาดไปยังผู้รับจำนวนมาก (ลูกค้า) โดยไม่ต้องใช้คุณสมบัติสำเนาลับ ค่าปรับเริ่มต้น 60.000 ยูโรลดลงเป็น 36.000 ยูโร

ในอีกด้านหนึ่ง การดำเนินคดีนี้ไม่ใช่การดำเนินคดีจำนวนมากสำหรับการไม่ปฏิบัติตาม แต่รวมความเสี่ยงนี้เข้ากับความละเอียดอ่อนที่เพิ่มขึ้นของการประมวลผลข้อมูลส่วนบุคคลและความตระหนักในเรื่องนี้ว่าเป็นปัญหา และการปฏิบัติตาม GDPR ไม่ได้เป็นเพียงข้อกำหนดทางกฎหมายเท่านั้น แต่ยังรวมถึง ความรู้สึกทางธุรกิจที่ดี

GDPR ส่งผลกระทบต่อแผนและการทำงานของเว็บไซต์ของฉันอย่างไร

GDPR มีผลกระทบอย่างมากต่อข้อกำหนดของเว็บไซต์ ซึ่งจะส่งผลต่อวิธีที่เว็บไซต์ของคุณรวมเข้ากับกิจกรรมดิจิทัลอื่นๆ ของคุณ เช่น การตลาดผ่านอีเมล โซเชียลมีเดีย และกิจกรรมอีคอมเมิร์ซ

ด้ายสีทองที่เชื่อมโยงคำแนะนำเหล่านี้ทั้งหมดเข้าด้วยกันคือภายใต้ GDPR แนวความคิดของ การให้ ความยินยอม ที่ได้รับ ความยินยอม อย่างเสรี เฉพาะเจาะจง และแจ้งได้รับ การเสริมสร้างความเข้มแข็งด้วยกฎเกณฑ์ใหม่ ซึ่งหมายความว่าธุรกิจเช่นเราต้องให้ความโปร่งใสมากขึ้น

ต่อไปนี้คือ 10 ขั้นตอนที่คุณจะต้องตรวจสอบเว็บไซต์ของคุณ และหารือเกี่ยวกับการเปลี่ยนแปลงที่จำเป็นกับทีมพัฒนาเว็บของคุณ คำถามใดๆโปรดติดต่อกับฉัน

เริ่มจากการเปลี่ยนแปลงตรงไปตรงมาที่คุณต้องทำ จากนั้นไปยังส่วนที่ซับซ้อนมากขึ้น

1. แบบฟอร์ม: ใช้งาน opt-in

แบบฟอร์มที่เชิญผู้ใช้ให้สมัครรับจดหมายข่าวหรือระบุการตั้งค่าการติดต่อต้องมีค่าเริ่มต้นเป็น "ไม่" หรือเว้นว่างไว้ คุณจะต้องตรวจสอบแบบฟอร์มเพื่อให้แน่ใจว่าเป็นกรณีนี้

ตัวอย่างเช่น แบบฟอร์มการลงทะเบียน Boots ในปัจจุบันที่ปฏิบัติตามข้อกำหนดก่อน GDPR ได้ทำเครื่องหมายในช่องการเลือกเข้าร่วม ซึ่งบังคับให้ผู้ใช้เลือกที่จะไม่เข้าร่วมอย่างจริงจัง ซนมาก ประสบการณ์ผู้ใช้แย่มาก และต้องเปลี่ยนภายในเดือนพฤษภาคม

ในปี 2020 ระบบยกเลิกการเลือกแบบฟอร์มนั้นตามข้อกำหนดของ GDPR แล้ว

ในทางกลับกัน ฉันจะเถียงว่า Sainsbury's ไม่ได้ให้ประสบการณ์ที่ดีกับฉันโดยสมมติว่าเลือกเข้าร่วมและบังคับให้ฉันทำเครื่องหมายที่ช่องเพื่อยกเลิก ฉันจะเถียงว่าพวกเขาอาจจะแล่นเรือไปใกล้ลมบนนั้นและไม่ได้ทำให้ฉันพอใจในฐานะลูกค้าที่มีศักยภาพ:

2. การเลือกเข้าร่วมที่ไม่ได้รวมกลุ่ม

ความยินยอมที่คุณขอควรกำหนดไว้ต่างหากสำหรับการยอมรับข้อกำหนดและเงื่อนไข และการยอมรับความยินยอมสำหรับวิธีอื่นๆ ในการใช้ข้อมูล

ในตัวอย่างนี้ Sainsbury ได้กำหนดการยอมรับข้อกำหนดและเงื่อนไขไว้อย่างชัดเจน และแยกการตั้งค่าการอนุญาตสำหรับการติดต่อของพวกเขา

น่าเสียดายที่ Sainsbury's ไม่ได้รับตัวเลือกที่ละเอียดยิ่งขึ้นในแง่ของการตั้งค่าการเลือกรับการสื่อสาร (อีเมล, SMS, โพสต์)

3. การเลือกรับแบบละเอียด

ผู้ใช้ควรสามารถให้ความยินยอมแยกต่างหากสำหรับการประมวลผลประเภทต่างๆ

ในตัวอย่างนี้ ABC Awards กำลังขออนุญาตเฉพาะสำหรับการประมวลผลแต่ละประเภท (โพสต์ อีเมล โทรศัพท์) และยังขออนุญาตให้รายละเอียดในอดีตไปยังบุคคลที่สาม

4. ง่ายต่อการถอนการอนุญาตหรือยกเลิก or

การลบความยินยอมจะต้องง่ายพอๆ กับการอนุญาต และบุคคลจำเป็นต้องรู้ว่าตนมีสิทธิ์ที่จะเพิกถอนความยินยอมเสมอ

ในแง่ของประสบการณ์ผู้ใช้เว็บ หมายความว่าการยกเลิกการสมัครอาจประกอบด้วยการเลือกเพิกถอนความยินยอมต่อกระแสการสื่อสารที่เฉพาะเจาะจง:

หรือเปลี่ยนความถี่ในการสื่อสารได้ง่ายๆ หรือหยุดการสื่อสารทั้งหมดโดยสิ้นเชิง:

5. บุคคลที่ระบุชื่อ

แบบฟอร์มบนเว็บของคุณต้องระบุแต่ละฝ่ายที่ได้รับความยินยอมอย่างชัดเจน ไม่เพียงพอที่จะบอกว่าหมวดหมู่ที่กำหนดไว้โดยเฉพาะขององค์กรบุคคลที่สาม พวกเขาจำเป็นต้องได้รับการตั้งชื่อ

ในตัวอย่างนี้ คุณจะเห็นว่า John Lewis เข้าใจส่วนสำคัญที่เราจำเป็นต้องให้การอนุญาตที่มีชื่อสำหรับการอัปเดตแต่ละรายการจาก Waitrose, John Lewis และ John Lewis Financial Services

ก่อนหน้านี้ แบบฟอร์มขอให้ผู้ใช้ เลือกไม่ใช้ แทนที่จะ เลือกเข้าร่วม:

6. ประกาศความเป็นส่วนตัวและข้อกำหนดและเงื่อนไข

สำนักงานคณะกรรมการข้อมูล (ICO) ได้ให้ตัวอย่างประกาศเกี่ยวกับความเป็นส่วนตัวซึ่งคุณสามารถใช้บนเว็บไซต์ของคุณได้ มีความกระชับ โปร่งใส และเข้าถึงได้ง่าย

คุณจะต้องอัปเดตข้อกำหนดและเงื่อนไขบนเว็บไซต์ของคุณเพื่ออ้างอิงคำศัพท์ GDPR โดยเฉพาะอย่างยิ่ง คุณจะต้องทำให้โปร่งใสว่าจะทำอะไรกับข้อมูลเมื่อได้รับแล้ว และระยะเวลาที่คุณจะเก็บข้อมูลนี้ทั้งบนเว็บไซต์ของคุณและโดยระบบสำนักงานของคุณ

คุณจะต้องสื่อสารวิธีการและเหตุผลที่คุณกำลังรวบรวมข้อมูล นโยบายความเป็นส่วนตัวของคุณจะต้องมีรายละเอียดแอปพลิเคชันที่คุณใช้เพื่อติดตามการโต้ตอบของผู้ใช้

7. การชำระเงินออนไลน์

หากคุณเป็นธุรกิจอีคอมเมิร์ซ คุณมักจะใช้เกตเวย์การชำระเงินสำหรับธุรกรรมทางการเงิน เว็บไซต์ของคุณเองอาจรวบรวมข้อมูลส่วนบุคคลก่อนที่จะส่งรายละเอียดไปยังเกตเวย์การชำระเงิน

หากเป็นกรณีนี้ และเว็บไซต์ของคุณจัดเก็บรายละเอียดส่วนบุคคลเหล่านี้หลังจากที่ข้อมูลถูกส่งผ่านไปแล้ว คุณจะต้อง แก้ไขกระบวนการบนเว็บของคุณเพื่อลบข้อมูลส่วนบุคคลใดๆ หลังจากช่วงเวลาที่เหมาะสม เช่น 60 วัน กฎหมาย GDPR ไม่ได้ระบุอย่างชัดเจนเกี่ยวกับจำนวนวัน แต่เป็นการตัดสินของคุณเองว่าอะไรที่สามารถป้องกันได้ตามสมควรและจำเป็น

8. ซอฟต์แวร์ติดตามบุคคลที่สาม

ตอนนี้สิ่งต่าง ๆ เริ่มยุ่งยากเมื่อพูดถึงซอฟต์แวร์ติดตามของบุคคลที่สาม

เว็บไซต์หลายแห่งใช้โซลูชันซอฟต์แวร์การตลาดอัตโนมัติของบริษัทอื่นบนเว็บไซต์ สิ่งเหล่านี้อาจเป็นแอปพลิเคชันติดตามลูกค้าเป้าหมาย เช่น Lead Forensics, Leadfeeder หรือ CANDDI หรืออาจเป็นแอปพลิเคชันติดตามการโทร เช่น Infinity Call Tracking หรือ Ruler Analytics

การใช้แอปพลิเคชันติดตามเหล่านี้ทำให้เกิดคำถามที่น่าสนใจมากในแง่ของการปฏิบัติตาม GDPR และในความคิดของฉัน เรื่องนี้ยังคงเป็นสีเทา เมื่อมองแวบแรก แอปพลิเคชันเหล่านี้จะติดตามผู้ใช้ในลักษณะที่พวกเขาไม่คาดหวังและ ไม่ได้รับความยินยอม ตัวอย่างเช่น มันติดตามพฤติกรรมของฉันทุกครั้งที่ฉันกลับมาที่เว็บไซต์ของคุณ หรือดูหน้าเฉพาะบนเว็บไซต์ของคุณ

อย่างไรก็ตาม ซัพพลายเออร์ของแอปพลิเคชันเหล่านี้รับรองกับเราว่าพวกเขาปฏิบัติตาม GDPR

ประการแรก ซัพพลายเออร์อย่าง CANNDI กำลังแนะนำให้แบนเนอร์ระบุอย่างชัดเจนและชัดเจนว่ามีการใช้คุกกี้

และซัพพลายเออร์ซอฟต์แวร์โต้แย้งว่าการใช้เทคโนโลยีการติดตามคุกกี้เป็น ประโยชน์โดยชอบด้วยกฎหมาย ของธุรกิจของคุณในฐานะผู้ควบคุมข้อมูล และโดยเฉพาะ Recital 47 ที่อนุญาตให้ "ประมวลผลเพื่อวัตถุประสงค์ทางการตลาดโดยตรงหรือป้องกันการฉ้อโกง"

CANNDI ให้คำแนะนำ:

ดอกเบี้ยที่ถูกต้องตามกฎหมาย - หากใช้หลักผลประโยชน์ที่ชอบด้วยกฎหมายภายในการติดตามเว็บไซต์ของคุณ ขอแนะนำให้บันทึกไว้ในระหว่างการเตรียม GDPR ว่าเป็นกรณีนี้ ซึ่งควรรวมถึงเหตุผลที่คุณใช้สิ่งนี้

ฉันอยากจะขอบคุณ CANNDI สำหรับการแบ่งปันมุมมองของ GDPR และขอแนะนำให้คุณอ่าน (PDF)

ผู้ให้บริการเครื่องมือเหล่านี้มั่นใจว่าเป็นไปตามข้อกำหนดของ GDPR แต่ถ้าซอฟต์แวร์กำลังทำสิ่งผิดกฎหมาย ถือเป็นความรับผิดชอบของธุรกิจของคุณในฐานะผู้ควบคุมข้อมูล คำถามที่แท้จริงคือการระบุความเสี่ยงในการปฏิบัติตาม GDPR ในการใช้ซอฟต์แวร์ประเภทนี้ และเพื่อลดความเสี่ยงของคุณในฐานะเจ้าของธุรกิจ ดังนั้น คุณต้องทบทวนสัญญาของคุณกับผู้ให้บริการซอฟต์แวร์เหล่านี้อย่างรอบคอบ

9. แล้ว Google Analytics และ Google Tag Manager ล่ะ

หากคุณสนใจในความมุ่งมั่นของ Google ต่อ GDPR จุดเริ่มต้นที่ดีคือเว็บไซต์นี้: Google ปฏิบัติตามกฎหมายคุ้มครองข้อมูลอย่างไร

เว็บไซต์จำนวนมากได้รับการกำหนดค่าให้ใช้ Google Analytics เพื่อติดตามพฤติกรรมของผู้ใช้ Google Analytics เป็นระบบติดตามที่ไม่ระบุตัวตนมาโดยตลอด ไม่มีการรวบรวม "ข้อมูลส่วนบุคคล" ดังนั้นฉันจึงเชื่อว่า GDPR จะไม่ส่งผลกระทบต่อการใช้งาน

เกี่ยวกับ Google Tag Manager; เป็นเครื่องมือที่มีประสิทธิภาพที่ช่วยให้เว็บไซต์ของคุณส่งข้อมูลไปยังแอปพลิเคชันของบุคคลที่สามได้โดยการใส่โค้ดจำนวนเล็กน้อย คุณสามารถผสานรวมที่เก็บข้อมูลภายใน เช่นเดียวกับระบบรีมาร์เก็ตติ้งและการกำหนดเป้าหมายใหม่ภายนอก และโฮสต์ของบริการอื่นๆ ปัญหาสำหรับธุรกิจเกี่ยวกับเครื่องจัดการแท็กคือการตรวจสอบให้แน่ใจว่าคุณมีสัญญากับบุคคลที่มีสิทธิ์เข้าถึงเครื่องจัดการแท็กของคุณ (ซึ่งอาจเป็นนักออกแบบเว็บไซต์หรือเอเจนซีการตลาดดิจิทัล) เพื่อให้แน่ใจว่าพวกเขาเข้าใจความรับผิดชอบทางกฎหมายของตน ผู้ประมวลผลข้อมูลในนามของคุณในฐานะผู้ควบคุมข้อมูล

ดังนั้น ปัญหาพื้นฐานของ GDPR ใหม่คือการระบุและทำสัญญากับผู้ประมวลผลข้อมูลบุคคลที่สามเพื่อปกป้องผลประโยชน์ของคุณทั้งสอง

10. และสุดท้าย… ไม่ใช่แค่เว็บไซต์ของคุณที่ต้องปฏิบัติตาม GDPR

การเปลี่ยนแปลงที่นำมาใช้กับ GDPR จะแทรกซึมทั่วทั้งธุรกิจของคุณ และในบทความชุดนี้ เรามุ่งเน้นที่การตลาดดิจิทัลของคุณเท่านั้น

เมื่อคุณเริ่มวางแผนรายละเอียดเว็บไซต์ของคุณ คุณจะค้นพบถ้ำของปัญหาที่คุณจะต้องพิจารณา Information Commissioner ได้จัดเตรียมชุดแหล่งข้อมูลที่ดีเยี่ยมสำหรับการอ้างอิงของคุณ แต่ต่อไปนี้คือคำถามสำคัญสองสามข้อที่ควรพิจารณาในขณะนี้เมื่อเราเข้าใกล้เส้นตายในเดือนพฤษภาคม:

• คุณอาจมีข้อมูลส่วนบุคคลจำนวนมากที่จัดเก็บไว้ในที่ต่างๆ ของธุรกิจ คุณมีความเข้าใจที่ดีและบันทึกข้อมูลที่คุณมีไว้หรือไม่?
• คุณต้องการรับหรือรีเฟรชความยินยอมสำหรับข้อมูลที่คุณถืออยู่หรือไม่?
• คุณมีนโยบายที่กำหนดไว้สำหรับระยะเวลาที่คุณเก็บข้อมูลส่วนบุคคลไว้หรือไม่ ดังนั้นคุณจึงไม่เก็บรักษาไว้โดยไม่จำเป็น และตรวจสอบให้แน่ใจว่าข้อมูลนั้นเป็นปัจจุบัน
• ข้อมูลของคุณถูกเก็บไว้อย่างปลอดภัย โดยคำนึงถึงทั้งเทคโนโลยีและปัจจัยมนุษย์ในการรักษาความปลอดภัยข้อมูลหรือไม่?
• ไม่ว่าคุณจะเป็นผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล (หรือทั้งสองอย่าง) คุณมีการจัดการทางกฎหมายที่ถูกต้องหรือไม่?

หากคุณต้องการความช่วยเหลือเกี่ยวกับการออกแบบเว็บและความคิดสร้างสรรค์ อย่าลังเลที่จะติดต่อเรา