สองสัปดาห์เข้าสู่ระยะการบังคับใช้ GDPR จะเป็นอย่างไรต่อไป

ในที่สุด ก็ เกิดขึ้น ในที่สุด กฎการคุ้มครองข้อมูลทั่วไปก็เข้าสู่ขั้นตอนการบังคับใช้ในวันที่ 25 พฤษภาคม 2018 รวมถึง มีม และทั้งหมด

แม้จะมีสิ่งที่ผู้โฆษณาหลายคนกลัว แต่โลกยังไม่ถึงจุดจบหลังจากที่ GDPR เข้าสู่ขั้นตอนการบังคับใช้ แต่มันก็เปลี่ยนไป เครดิตภาพประกอบ: สอนความเป็นส่วนตัว

อุตสาหกรรมพร้อมหรือยัง? การอัปเดตนโยบายในนาทีสุดท้าย นั้น เพียงพอหรือไม่ เกิดอะไรขึ้น? ในบล็อกโพสต์นี้ เราจะมาดูกันว่าผู้เล่นหลักเตรียมตัวอย่างไรสำหรับเส้นตาย อะไรจะมาพร้อมกับ GDPR และวิธีที่บริษัทของคุณสามารถดำเนินการเพื่อให้เป็นไปตามข้อกำหนดได้ตั้งแต่บัดนี้เป็นต้นไป

การโจมตีครั้งแรกกับผู้เล่นที่ใหญ่ที่สุด

ไม่นานนักสำหรับบริษัทใหญ่ๆ ที่จะรู้สึกว่าถูกดำเนินคดี เพียง ไม่กี่นาทีหลังจาก GDPR มีผลบังคับใช้ Max Schrems นักเคลื่อนไหวด้านความเป็นส่วนตัวและองค์กรของเขาไม่มีธุรกิจของคุณ โจมตี Google และ Facebook ด้วยคดีความที่อ้างว่า “บังคับยินยอม” คดีฟ้องร้องอ้างว่าไม่ปฏิบัติตามกฎ GDPR ในเรื่องความยินยอมโดยเฉพาะ เนื่องจากบริษัทเหล่านี้ให้ตัวเลือกทั้งหมดหรือไม่มีแก่ผู้ใช้ — ยอมรับเงื่อนไขเหล่านี้เพื่อเข้าถึงบริการนี้ — แทนที่จะอนุญาตให้พวกเขายินยอมตามเงื่อนไขบางอย่างและไม่ใช่เงื่อนไขอื่นๆ

Google และ Facebook ตอบโต้ด้วยการยืนยันว่าพวกเขาได้ดำเนินมาตรการที่เพียงพอเพื่อให้สอดคล้องกับ GDPR

จากนั้นกลุ่มสิทธิดิจิทัลของฝรั่งเศส La Quadrature du Net ได้ปฏิบัติตาม ยื่นเรื่องร้องเรียนเพิ่มเติมกับ Google, Facebook, Apple, Amazon และ LinkedIn การร้องเรียนนั้นคล้ายกับการร้องเรียนของ Schrems และกล่าวหาว่ามีการละเมิดโดยใช้การบังคับยินยอม La Quadrature ยังวางแผนที่จะยื่นเรื่องร้องเรียนอย่างเป็นทางการต่อ Android, WhatsApp, Instagram, Skype และ Outlook แม้ว่าการเขียนนี้ยังไม่ได้ดำเนินการอย่างเป็นทางการ

Apple, Facebook และ Google เตรียมความพร้อมอย่างไร

แม้ว่าจะเป็นเรื่องยากที่จะบอกว่าการร้องเรียนสร้างความประหลาดใจให้กับบริษัทเหล่านี้จริงๆ หรือไม่ แต่บริษัทหลายแห่งได้แจ้งถึงความพร้อมโดยทั่วไปในช่วงก่อนการบังคับใช้

ตัวอย่างเช่น Apple ในปลายเดือนพฤษภาคม 2018 ได้เปิดตัวเว็บไซต์ใหม่ที่ แสดงให้ลูกค้าทราบว่ามีข้อมูลส่วนบุคคลใดบ้าง ลูกค้า Apple ในสหภาพยุโรปสามารถขอดูข้อมูลนี้ได้ตั้งแต่ประวัติการลงชื่อเข้าใช้ไปจนถึงรายชื่อติดต่อ ปฏิทิน บันทึกย่อ รูปภาพ และเอกสาร ลูกค้ายังสามารถแก้ไขข้อมูล ปิดใช้งานบัญชี และลบข้อมูลทั้งหมดได้ (ปัจจุบัน Apple ให้บริการนี้เฉพาะในประเทศในสหภาพยุโรป ไอซ์แลนด์ ลิกเตนสไตน์ นอร์เวย์ และสวิตเซอร์แลนด์ แต่กล่าวว่ามีแผนจะขยายไปยังประเทศอื่นๆ ในปลายปีนี้)

ในเดือนเมษายน 2018 Facebook ได้อัปเดตเว็บไซต์ด้วย เวอร์ชันที่ชัดเจน ของ ข้อกำหนดในการให้บริการ และ นโยบายข้อมูล โดยให้ผู้ใช้มีเวลาเจ็ดวันในการให้ข้อเสนอแนะเกี่ยวกับภาษาใหม่ก่อนที่จะสรุปผลและขอให้ผู้ใช้ยอมรับ Facebook ยังเผยด้วยว่าจะเป็นการ ยกเครื่อง และปรับปรุงการควบคุมของแอพเพื่อให้ค้นหาการตั้งค่าได้ง่ายขึ้น โดยกล่าวว่า "แทนที่จะให้การตั้งค่ากระจายไปตามหน้าจอต่างๆ เกือบ 20 หน้าจอ ตอนนี้พวกเขาสามารถเข้าถึงได้จากที่เดียว"

Google เป็นหนึ่งในนักแสดงกลุ่มแรกๆ ที่พวกเขาทำการ อัปเดตเกี่ยวกับ GDPR และแจ้งเตือนผู้ใช้ในช่วงหกเดือนก่อนถึงกำหนดส่ง GDPR การอัปเดตที่สำคัญที่สุดคือการแก้ไขการประมวลผลข้อมูลและข้อกำหนดด้านความปลอดภัยสำหรับ G Suite และ Google Cloud ซึ่งทำให้เข้าใจได้ง่ายขึ้น เพื่อให้เป็นไปตามข้อกำหนดสำหรับ "การแจ้งที่ชัดเจนและโปร่งใส" เกี่ยวกับวิธีการใช้ข้อมูล การอัปเดตอื่นๆ รวมถึงตัวเลือกและความสามารถใหม่สำหรับการส่งออกข้อมูล

มีอะไรรออยู่ข้างหน้า

ผลกระทบทั้งหมดของ GDPR ยังไม่ถูกกำหนด และส่วนหนึ่งจะขึ้นอยู่กับว่าลูกค้าและกลุ่มนักเคลื่อนไหวใช้สิทธิ์ใหม่ของตนมากเพียงใด ในการสำรวจผู้บริโภคในสหราชอาณาจักรในเดือนสิงหาคม 2017 ของ Forrester 51% ของผู้ตอบแบบสอบถามกล่าวว่าพวกเขามีแนวโน้มที่จะใช้สิทธิ์ใหม่ของตนภายใต้ GDPR อย่างน้อยบ้าง อย่างไรก็ตาม ตัวอย่างที่พบบ่อยที่สุดที่อ้างถึงคือการลบข้อมูล ซึ่งเป็นหนทางไกลจากการฟ้องร้องที่เต็มเปี่ยม

แต่ข้อสำคัญที่สุดของกฎระเบียบใหม่นี้ไม่ใช่ว่าผู้บริโภคจำนวนมากขึ้นกำลังกลั่นกรองบริษัทต่างๆ — แต่มีบริษัทจำนวนมากขึ้นที่กลั่นกรอง บริษัท อื่น เนื่องจาก GDPR กำหนดความรับผิดชอบร่วมกันสำหรับทุกฝ่ายที่สัมผัสข้อมูลส่วนบุคคล บริษัทต่างๆ จึงกลั่นกรองกระบวนการและการดำเนินการของคู่ค้าทางธุรกิจของตนอย่างลึกซึ้งยิ่งขึ้น นั่นคือ อัจฉริยะที่แท้จริงของ GDPR ผู้อำนวยการด้านการปฏิบัติตามข้อกำหนดของข้อมูลของยุโรป Simon McGarr อธิบายใน บทความ Quartz ล่าสุด :

“ยุโรปมีหน่วยงานคุ้มครองข้อมูลมากมาย แต่ไม่เพียงพอต่อการเคาะประตูทุกบาน ดังนั้นพวกเขาจึงมีโครงสร้างการปฏิบัติตามกฎหลายระดับที่สร้างขึ้นในกฎหมาย ซึ่งคุณจะลงเอยด้วยบริษัทขนาดใหญ่ที่บังคับใช้การปฏิบัติตามกับบริษัทขนาดเล็ก และอื่นๆ ต่อไป”

บริษัทต่างๆ ที่เตรียมการน้อยกว่าที่คาดไว้หลังจากวันที่ 25 พฤษภาคมอาจรู้สึกกดดันจากพันธมิตรทางธุรกิจแล้ว และ Elliot Rose ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์คาดการณ์ว่า จะมีองค์กรจำนวนมากที่ยังคงดำเนินการได้หลังจากกำหนดเส้นตาย สำหรับผู้ที่อยู่ในสถานการณ์นี้ สิ่งสำคัญอันดับแรกคือการจัดการกับพื้นที่ที่มีความเสี่ยงสูงที่เกี่ยวข้องกับข้อมูลที่ละเอียดอ่อน บริษัทต่างๆ ควรให้ความสำคัญกับการรักษาความปลอดภัยข้อมูลที่ละเอียดอ่อน การค้นหาว่าข้อมูลถูกจัดเก็บไว้ที่ใด และใครบ้างที่สามารถเข้าถึงข้อมูลได้ สิ่งสำคัญคือต้องมีการวางแผนและดำเนินการให้เร็วที่สุด (และถูกต้อง) มากที่สุด

เตรียมพร้อม

ในท้ายที่สุด GDPR จะช่วยแม้กระทั่งสนามเด็กเล่นในเรื่องความเป็นส่วนตัวและความโปร่งใส และเปิดประตูสู่การสื่อสารในที่ที่คนเคยปิดตัวมาก่อน ในฐานะบริษัท คุณสามารถดำเนินการได้สองสามขั้นตอนเพื่อให้การสนทนาดำเนินต่อไป:

ประเมินว่าข้อมูลได้รับการประมวลผลอย่างถูกกฎหมายอย่างไร

คุณได้รับความยินยอมจากผู้ใช้ปลายทางหรือไม่? มีความเฉพาะเจาะจง ชัดเจน และให้อย่างเสรีหรือไม่? ประสบการณ์ผู้ใช้ปลายทางของคุณชัดเจนหรือไม่? คุณมีผลประโยชน์โดยชอบด้วยกฎหมายในการรวบรวม ประมวลผล และจัดเก็บข้อมูลหรือไม่ หากคุณไม่สามารถตอบคำถามแต่ละข้อด้วย "ใช่" ได้ ก็ถึงเวลาที่ต้องถอยหลัง

อัปเดตประกาศที่จำเป็นทั้งหมด

คุณได้ตรวจสอบนโยบายความเป็นส่วนตัว ประกาศ หรือข้อมูลอื่น ๆ ที่คุณให้กับผู้ใช้ปลายทางหรือไม่? ประกาศสำคัญเหล่านี้อยู่ที่จุดรวบรวมหรือไม่ การตรวจสอบประกาศเกี่ยวกับความเป็นส่วนตัวทั้งหมดอาจมีความจำเป็นเพื่อให้การเก็บรวบรวม ใช้ และจัดเก็บข้อมูลของคุณโปร่งใสต่อผู้ใช้ปลายทาง

ใช้การเข้าถึงข้อมูล สิทธิ์ในการแก้ไข และสิทธิ์ที่จะถูกลืมโปรโตคอล

หลักการเหล่านี้ช่วยให้ผู้ใช้ปลายทางของคุณสามารถแก้ไขข้อมูลส่วนบุคคลที่ล้าสมัยหรือไม่ถูกต้อง และถูกลบออกจากการประมวลผลทั้งหมด นโยบายและขั้นตอนภายในควรได้รับการปฏิบัติและคงไว้เพื่อตอบสนองต่อคำขอดังกล่าวอย่างเหมาะสม

ใช้ข้อมูลนามแฝงหรือไม่ระบุชื่อ

พิจารณาลบหรือจำกัดตัวระบุที่ไม่ซ้ำกันผ่านการทำให้ข้อมูลไม่เปิดเผยตัวตนหรือการใช้นามแฝงของข้อมูล เทคนิคบางอย่างรวมถึงการแฮช การใส่เกลือ การเข้ารหัส และการใช้โทเค็น ซึ่งอาจช่วยลดโอกาสในการระบุผู้ใช้ปลายทางในอนาคต และอาจช่วยลดภาระหน้าที่ในการปฏิบัติตามข้อกำหนดของคุณด้วย

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ TUNE และ GDPR โปรด อ่านหน้าของเราที่ นี่