GDPR หมายถึงอะไรสำหรับธุรกิจของคุณ

วันนี้เป็นวันที่ดีในการเรียนรู้เพิ่มเติมเกี่ยวกับความหมายของ GDPR สำหรับธุรกิจของคุณ

ระเบียบการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรปหรือ GDPR มีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2018 และแม้ว่าจะเหลือเวลาอีกเกือบหนึ่งปี แต่ในเชิงปฏิบัติแล้ว ยังมีอีกหลายสิ่งที่คุณต้องทำเพื่อให้เป็นไปตามข้อกำหนด (ใช่ “เมตริกก้นโหลด” เป็นคำศัพท์ทางเทคนิค)

ในตอนนี้ของ Rethink Podcast เราได้พูดคุยกับ David Fowler ซึ่งเป็นหัวหน้าฝ่ายความเป็นส่วนตัว การปฏิบัติตามข้อกำหนด และการส่งมอบของ Act-On ดังที่ David กล่าว GDPR ถือเป็นการเปลี่ยนแปลงครั้งใหญ่ที่สุดในกฎหมายคุ้มครองข้อมูลของสหภาพยุโรปในชั่วอายุคน และมีผลบังคับใช้กับพลเมือง 510 ล้านคนของสหภาพยุโรป ตลอดจนธุรกิจใดๆ ที่ทำธุรกิจกับพวกเขา โดยไม่คำนึงว่าพวกเขาจะตั้งถิ่นฐานอยู่ที่ใด

เพลิดเพลินกับการสนทนา และเราหวังว่าคุณจะได้รับข้อคิดเห็นที่มีประโยชน์ 1-2 ข้อซึ่งคุณสามารถนำไปใช้กับธุรกิจของคุณได้

Nathan Isaacs : เดวิด คุณช่วยบอกฉันเพิ่มเติมเกี่ยวกับสิ่งที่คุณทำที่ Act-On ได้ไหม

เดวิด ฟาวเลอร์ : ผมช่วยลูกค้าของเรานำทางแผนงานดิจิทัลในแง่ของภาระหน้าที่ภายใต้กฎหมายท้องถิ่น รัฐ รัฐบาลกลาง และกฎหมายระหว่างประเทศที่เกี่ยวข้องกับการตลาดดิจิทัล ฉันยังมั่นใจว่าเมื่อลูกค้าของเรากดปุ่ม "ส่ง" สำหรับอีเมลของพวกเขา ข้อความจะมีโอกาสเข้าสู่กล่องจดหมายได้ทุกครั้ง การปฏิบัติตามข้อกำหนดทางดิจิทัลในปี 2560 เป็นสาขาที่ลึกและกว้างมาก ตัวอย่างเช่น หากคุณเป็นนักการตลาดในสหรัฐอเมริกาที่ส่งไปรษณีย์ไปยังสหภาพยุโรป ภาระหน้าที่ของคุณจะแตกต่างจากกรณีที่คุณเป็นนักการตลาดในสหรัฐอเมริกาที่ส่งไปรษณีย์ไปยังแคนาดา เป็นหน้าที่ของเราที่จะต้องแจ้งให้ลูกค้าทราบถึงภาระหน้าที่ของตนภายใต้แผนงานทางกฎหมายเฉพาะเหล่านั้น

นาธาน : สิ่งหนึ่งที่เรากำลังพูดถึงในวันนี้คือ General Data Protection Regulation หรือ GDPR คุณบอกฉันได้ไหมว่ามันคืออะไรและมันเกี่ยวกับอะไร?

เดวิด : GDPR เป็นกฎหมายที่จะมีผลบังคับใช้ในยุโรปในปี 2018 ในวันที่ 25 พฤษภาคม และที่สำคัญคือการเขียนคำสั่งข้อมูลของสหภาพยุโรปปี 1995 ใหม่ทั้งหมด และสำหรับผู้ที่ฟังพอดแคสต์ ยุโรปไม่มีกฎหมายสากลในเรื่องการปฏิบัติตามข้อกำหนดทางดิจิทัล มีการตีความคำสั่งด้านข้อมูลและแต่ละประเทศสามารถกำหนดได้ว่าการตีความกฎหมายนั้นเป็นอย่างไร อย่างที่คุณเห็น ผลกระทบในตัวมันเองทำให้เกิดความสับสนอย่างมาก

GDPR เป็นกฎหมายสากลที่จะบังคับใช้กับทุกบริษัทที่มีพลเมืองยุโรปอยู่ในฐานข้อมูล ซึ่งจะครอบคลุมทุกประเทศในสหภาพยุโรป เป็นกฎหมายฉบับเดียวสำหรับ 500 ล้านคน

Nathan : สำหรับธุรกิจที่ตั้งอยู่ในสหรัฐอเมริกาหรือที่อื่น ๆ ในโลกที่ทำธุรกิจกับบุคคลในยุโรป สิ่งนี้ใช้กับพวกเขา นั่นถูกต้องใช่ไหม?

เดวิด : ถูกต้อง และมีค่าปรับจำนวนมากหากคุณไม่ปฏิบัติตาม - สูงถึง 4 เปอร์เซ็นต์ของรายได้ทั้งหมดของบริษัท ตัวอย่างเช่น หากคุณเป็น Google คิดเป็น 4 เปอร์เซ็นต์ของล้านล้านดอลลาร์

ความรับผิดชอบของคุณภายใต้ GDPR

นาธาน : กฎหมายใหม่บังคับใช้กับการทำธุรกิจกับบุคคลทั่วไป ฉันต้องทำอย่างไรในฐานะธุรกิจเพื่อให้เป็นไปตามข้อกำหนด

เดวิด : สิ่งสำคัญคือต้องเข้าใจความรับผิดชอบภายใต้ GDPR และในยุโรปคุณมีสองรสชาติ คุณมีตัวควบคุมและตัวประมวลผลข้อมูล ตัวอย่างเช่น คุณเป็นลูกค้าของ Act-On คุณจะเป็นผู้ควบคุมภายใต้แผนงานของ GDPR และเรา [Act-On] จะเป็นผู้ประมวลผลข้อมูลของคุณ ภาระผูกพันของเราภายใต้ GDPR คือ A ปฏิบัติตามกฎหมายอย่างชัดเจน แต่ยังรวมถึง B สร้างผลิตภัณฑ์และบริการของเราที่ให้คุณปฏิบัติตามภาระผูกพันของคุณภายใต้ GDPR

ไม่ใช่ความรับผิดชอบของเราที่จะต้องแน่ใจว่าคุณปฏิบัติตาม แต่เป็นความรับผิดชอบของเราที่จะต้องแสดงให้เห็นว่าผลิตภัณฑ์ของเรา อนุญาตให้ คุณปฏิบัติตาม ซึ่งหมายถึงสิ่งต่างๆ เช่น การให้กลไกการยินยอม การสำรองข้อมูลความยินยอม การเข้าร่วมสองครั้ง สิ่งเหล่านี้ทั้งหมดที่เราถือว่าได้รับอนุญาตในแง่ของการอนุญาต ผลิตภัณฑ์ของเราควรเป็น ถึงจุดที่พวกเขาทำเช่นนั้น

การใช้แพลตฟอร์มการตลาดอัตโนมัติภายในขอบเขตของ GDPR เป็นสิ่งที่คุณในฐานะผู้ควบคุมข้อมูลของคุณ และข้อมูลของลูกค้าไม่เพียงแต่ต้องปฏิบัติตามเท่านั้น แต่ยังต้องเข้าใจว่าคุณใช้เทคโนโลยีอย่างไรในการดำเนินการนั้นด้วย ตอนนี้ สิทธิมนุษยชน ในแง่ของข้อมูลและข้อมูลส่วนบุคคล และเรื่องประเภทนั้น มีปัญหาอีกมากมายที่อยู่ภายใต้ GDPR หากคุณเป็นผู้รับความสัมพันธ์ทางดิจิทัลของลูกค้า ในการดำเนินงาน มีหลายสิ่งที่คุณต้องคิดเกี่ยวกับการเตรียมตัวให้พร้อมสำหรับสิ่งนั้น แต่ท้ายที่สุด เมื่อยางบรรจบกันบนถนน หากคุณมีลูกค้าที่คุณไม่สามารถพิสูจน์ได้ว่าพวกเขาเข้ามาอยู่ในรายการของคุณได้อย่างไร หรือคุณไม่สามารถพิสูจน์ได้ว่าพวกเขามาจากไหน หรือคุณไม่สามารถพิสูจน์กลไกการยินยอมที่เคยมีมา ใช้เพื่อเริ่มทำการตลาดกับพวกเขา โดยพื้นฐานแล้ว คุณจะถือว่าไม่ปฏิบัติตาม GDPR

ผลกระทบจากการดำเนินงานของ GDPR

นาธาน : GDPR มีผลกระทบอย่างไร?

เดวิด : คำถามที่ดี มี 10 ประเด็นที่คุณต้องพิจารณาจากมุมมองของบริษัทของคุณในแง่ของการเตรียมพร้อมสำหรับด้านการปฏิบัติงานของ GDPR หมายเลขหนึ่งคือความปลอดภัยของข้อมูลและการแจ้งเตือนการละเมิด

ดังนั้น หากคุณมีการละเมิดข้อมูล ภาระหน้าที่ของคุณคือต้องแจ้ง DPA - หน่วยงานคุ้มครองข้อมูล - ภายในกรอบเวลา 72 ชั่วโมงของการละเมิดนั้นเกิดขึ้นจริง หรือเมื่อคุณทราบว่ากำลังเกิดขึ้น DPO ที่บังคับใช้หรือเจ้าหน้าที่คุ้มครองข้อมูลเป็นสิ่งที่ดำเนินการภายใต้ GDPR ซึ่งหมายความว่าหากคุณเป็นบริษัทขนาดหนึ่ง คุณต้องมีพนักงานแทนพนักงานที่ดูแลความพยายามในการปกป้องข้อมูลของคุณ

ความยินยอมของเจ้าของข้อมูลเป็นปัญหาใหญ่ — วิธีการขอความยินยอมจากเจ้าของข้อมูล ภายใต้ GDPR เจ้าของข้อมูลคือบุคคลจริงและไม่ใช่สิ่งผิดปกติ การถ่ายโอนข้อมูลข้ามพรมแดนเป็นเรื่องใหญ่ หากคุณกำลังย้ายข้อมูลไปทั่วยุโรปหรือจากยุโรปกลับไปยังสหรัฐอเมริกาหรือไม่ว่าจะไปที่ใดก็ตาม นั่นเป็นเรื่องที่ควรคำนึงถึง ในแง่ของวิธีการดำเนินการจากมุมมองที่เพียงพอ ภายใต้สภาพแวดล้อมปัจจุบัน กลไกการถ่ายโอนข้อมูลข้ามพรมแดนระหว่างยุโรปและสหรัฐอเมริกาอยู่ภายใต้โปรแกรมที่เรียกว่าการคุ้มครองความเป็นส่วนตัว และเราได้รับการรับรองการคุ้มครองความเป็นส่วนตัวในฐานะบริษัท แต่จะมีหน่วยงานอื่นเข้ามาช่วยด้วย

การทำโปรไฟล์และสิทธิ์ในการปฏิเสธจะเป็นประเด็นใหญ่ในแง่ของวิธีที่บุคคลได้รับการทำโปรไฟล์และวิธีที่พวกเขามีสิทธิ์ที่จะคัดค้านเกี่ยวกับการทำโปรไฟล์ หมายความว่า ถ้าฉันรู้ว่าวันนี้คุณใส่เสื้อเชิ้ตสีขาว ฉันจะทำโปรไฟล์แบบเสื้อของคุณ และอาจจะส่งกางเกงสีขาวไปให้คุณด้วย ในฐานะปัจเจกบุคคล ปัญหาคือวิธีที่คุณสามารถจัดการสิ่งนั้นในแง่ของการเลือกไม่ใช้การทำโปรไฟล์นั้นในอนาคต

สิ่งสำคัญอีกอย่างคือสิทธิ์ในการพกพาข้อมูลและสิทธิ์ที่จะถูกลืม ภายใต้ GDPR แนวคิดคือคุณในฐานะปัจเจกบุคคลมีสิทธิ์รับข้อมูลของคุณจากบริษัท A และย้ายไปยังบริษัท B ในรูปแบบการอ่านด้วยเครื่องที่ยอมรับได้ และคุณมีสิทธิ์ได้รับข้อเท็จจริงที่คุณเคยมี ลืมความสัมพันธ์ทางดิจิทัลกับแบรนด์นั้นๆ นั่นเป็นปัญหาใหญ่ในแง่ของวิธีที่บริษัทต่างๆ จะสามารถปฏิบัติตามและปรับใช้กลยุทธ์ประเภทเหล่านั้นตามแนวคิดเหล่านั้นจริงๆ เรายังคงได้รับแขนของเราเกี่ยวกับสิ่งนั้น

ส่วนที่เจ็ดคือหน้าที่และความรับผิดชอบของผู้ควบคุมและผู้ประมวลผล อะไรคือความรับผิดชอบของคุณภายใต้ GDPR ในฐานะผู้ประมวลผล ซึ่งก็คือ Act-On และความรับผิดชอบของคุณภายใต้ GDPR ในฐานะผู้ควบคุม ซึ่งเป็นลูกค้าของ Act-On คืออะไร และพวกเขาเป็นสองประเด็นที่แตกต่างกันในแง่ของบางสิ่งที่มาพร้อมกับสิ่งนั้น

อีกประเด็นที่ต้องพิจารณาคือการใช้นามแฝงของข้อมูลส่วนบุคคล - ฉันจะนำข้อมูลของคุณไปใช้และสร้างโปรไฟล์ที่ใหญ่ขึ้นโดยอ้างอิงจากหน่วยงานประเภทบุคคลที่สามอื่น ๆ ที่สามารถรวมข้อมูลนั้นเข้ากับแผนการทำงานของคุณได้อย่างไร หลักจรรยาบรรณ อย่างไรและทำไมคุณต้องปฏิบัติในลักษณะใดวิธีหนึ่ง และสุดท้าย ค่าปรับและขั้นตอนก็เป็นเรื่องใหญ่ คุณอาจถูกปรับ 4 เปอร์เซ็นต์ของรายได้ทั่วโลกของบริษัทของคุณ หากคุณไม่ปฏิบัติตามข้อกำหนด

ดังนั้นจึงมีหลายสิ่งหลายอย่างจากมุมมองของการปฏิบัติงาน และฉันรับรองกับคุณว่า ถ้าคุณมีบุคคลที่รักษาความเป็นส่วนตัว ถ้าคุณมีบุคคลที่ปฏิบัติตามกฎระเบียบ และคนเหล่านั้นไม่ได้พูดคุยกับฝ่ายเทคโนโลยีหรือฝ่ายวิศวกรรมของคุณ คุณต้องเริ่มคิดถึงการดึงคนเหล่านั้นมารวมกัน เพราะมันจะทำให้ ใช้หมู่บ้านเพื่อทำสิ่งนี้ให้สำเร็จจากมุมมองขององค์กร

สิทธิส่วนบุคคลภายใต้ GDPR

นาธาน : สิทธิส่วนบุคคลในเรื่องทั้งหมดนี้คืออะไร?

เดวิด : ใช่ นั่นเป็นคำถามที่ดี เนื่องจากภายใต้ GDPR บุคคลมีสิทธิที่จะได้รับการบอกกล่าว 'ฉันได้ข้อมูลของคุณจากที่นี่ และนี่คือสิ่งที่ฉันจะทำกับมัน และนี่คือสิ่งที่ฉันจะไม่ทำ กับมัน' สิทธิ์ในการเข้าถึง ดังนั้นคุณในฐานะปัจเจกบุคคลสามารถจับเราและพูดว่า 'เฮ้ ข้อมูลของฉันไม่ถูกต้อง ไม่ถูกต้อง ไม่ถูกต้อง และฉันต้องการให้คุณเปลี่ยนตามโปรไฟล์ที่คุณมีเกี่ยวกับฉัน .' สิทธิ์ในการรับรองซ้ำ ซึ่งมีความหมายเหมือนกันคือ คุณสามารถเปลี่ยนแปลงหรือปรับเปลี่ยนตามสิ่งที่คุณทราบได้ สิทธิ์ในการลบ: 'นี่ Act-On ได้โปรดลบข้อมูลเกี่ยวกับฉันทั้งหมด' หรือ 'คุณนาย และ Mrs. Customer โปรดลบข้อมูลเกี่ยวกับฉันทั้งหมดนี้' แล้วคุณจะทำอย่างไร?

คุณมีสิทธิ์ที่จะจำกัดการประมวลผล ซึ่งหมายถึง 'เฮ้ ฉันอยากได้อีเมลจากคุณ แต่ฉันไม่ต้องการรับ SMS' หรือ 'ฉันต้องการรับอีเมล แต่ฉันไม่ต้องการรับข้อความ' … หรืออะไรก็ตามที่เป็นกรณีนี้ จากนั้นสิทธิ์ในการจำกัดการพกพาข้อมูล หมายความว่าฉันไปเอาข้อมูลของฉันจากบริษัท A และย้ายไปยังบริษัท B ตามทฤษฎีแล้ว คุณสามารถให้ลูกค้าที่ออกไปในวันศุกร์เวลา 17.00 น. แล้วไปที่บริษัทอื่นในวันจันทร์เวลา 08.00 น. และในทางเทคนิคแล้ว พวกเขาควรจะทำงานภายในสภาพแวดล้อมนั้น

และสุดท้ายสิทธิในการคัดค้าน: 'สิ่งนี้ถูก สิ่งนี้ผิด สิ่งนี้ไม่แยแส' และสิทธิ์ที่เกี่ยวข้องกับการตัดสินใจโดยอัตโนมัติและการสร้างโปรไฟล์ หมายความว่าในขณะที่เราอยู่ในช่องทางดิจิทัลที่มีสิ่งต่าง ๆ เช่น ปัญญาประดิษฐ์ ที่คุณสามารถเริ่มสร้างโปรไฟล์เกี่ยวกับผู้คนและเรื่องต่าง ๆ โดยไม่คำนึงว่าพวกเขาจะรู้เรื่องนั้นหรือไม่ คุณต้องเป็นคนแถวหน้าในแง่ของวิธีการเปิดเผยข้อมูลนั้นและวิธีที่คุณสร้างโปรไฟล์เหล่านั้น

สิ่งที่ฉันคิดว่าบริษัทต่างๆ จะชดเชยมากเกินไปสำหรับความยินยอม คุณลองนึกถึงวิธีที่คุณมีส่วนร่วมในความสัมพันธ์ทางดิจิทัลในปัจจุบัน การเปิดเผย การยินยอม และสิ่งเหล่านี้ทั้งหมดที่เรามองข้ามไป แต่ประเด็นก็คือ ฉันคิดว่าคุณจะเห็นหน้าโปรไฟล์และหน้าเริ่มต้นใช้งานจำนวนมาก ซึ่งคุณจะไม่มีช่องทำเครื่องหมายไว้ล่วงหน้า แต่คุณจะอนุญาตให้ผู้อื่นสามารถพูดว่า 'ฉันต้องการ เลือกสิ่งนี้หรือยกเลิกการเลือกนั้น' ช่องทำเครื่องหมายล่วงหน้าใน GDPR เป็นช่อง ที่ไม่มีไม่มี มันผิดกฎหมายโดยสิ้นเชิง

และสิ่งที่ผมจะทำตอนนี้ในฐานะนักการตลาดก็คือ ในความพยายามของคุณในการเตรียมตัว เมื่อสิ่งนี้เริ่มใช้งานจริงในเดือนพฤษภาคมปีหน้า จะไม่มีระยะเวลาผ่อนผัน ข้อมูลทุกชิ้นที่คุณมีในไฟล์มาถึงเดือนพฤษภาคมปี 2018 จะต้องเป็นไปตามข้อกำหนดในวันที่เผยแพร่ ดังนั้น คุณควรเริ่มคิดตั้งแต่ตอนนี้ว่าคุณอนุญาตอีกครั้งหรือไปถึงจุดที่คุณเริ่มเปิดเผยสิ่งต่าง ๆ เกี่ยวกับบุคคลเมื่อคุณพร้อมสำหรับการนำ GDPR ไปปฏิบัติ ดังนั้น ให้อนุญาตรายการของคุณอีกครั้ง ขอความยินยอมตามลำดับ เริ่มพูดคุยเกี่ยวกับการเปิดเผยข้อมูล และอะไรทำนองนั้น และนั่นคือสิ่งที่คุณควรเริ่มยอมรับตั้งแต่วันนี้

เรียนรู้เพิ่มเติมเกี่ยวกับ GDPR

นาธาน : เรากำลังพูดถึงเรื่องนี้เพียงเพื่อให้ผู้คนมีโอกาสที่จะเริ่มปฏิบัติตามหรือวางกลไกเหล่านั้นเพื่อให้ปฏิบัติตาม ทั้งตัวเราเองและคนอื่นๆ มีรายการตรวจสอบหรือไม่?

เดวิด : การเปิดเผยอย่างครบถ้วน เราไม่อยู่ในตำแหน่งที่สามารถให้คำแนะนำหรือคำชี้แนะทางกฎหมายได้ แต่หน่วยงานคุ้มครองข้อมูลบางส่วนในสหภาพยุโรปมีท่าทีที่แข็งกร้าวและมีการสื่อสารมากกว่าหน่วยงานอื่นๆ และตัวอย่างที่ดีของ DPA ที่ให้ข้อมูลมากมายออกมาก็คือ ICO ซึ่งเป็นสำนักงานคณะกรรมาธิการข้อมูลแห่งสหราชอาณาจักร

หากคุณไปที่เว็บไซต์ของพวกเขา พวกเขามีข้อมูลมากมายในแง่ของสิ่งที่คุณควรคิด วิธีเตรียมตัวให้พร้อม และภาระหน้าที่ของคุณในปีหน้า

Nathan : นี่คือสิ่งที่จะทำให้ทั้งทีมพูดคุยกัน ตั้งแต่การตลาดไปจนถึงการปฏิบัติตามกฎระเบียบ ไปจนถึงกฎหมายและวิศวกรรม ถูกต้องไหม

เดวิด : แน่นอน เพราะต่างคนต่างตีความกันไป ฉันหมายถึงเอกสารมีความลึกหลายร้อยหน้า มันยุ่งยากมาก แต่มันเป็นวิธีการทั่วไปสำหรับความสัมพันธ์ทางดิจิทัล และตอนนี้ไม่ใช่แค่เฉพาะบุคคลเท่านั้น นอกจากนี้ยังเกี่ยวกับวิธีที่คุณทำธุรกิจกับผู้ขายและวิธีที่คุณให้พวกเขารับผิดชอบต่อสิ่งต่างๆ ในบางแง่มุม มันเป็นกรอบการทำงานสำหรับแนวทางดิจิทัลสามัญสำนึกสำหรับการตลาด ไม่เพียงเท่านั้น แต่ยังรวมถึงการเลือกไม่ใช้บางสิ่งด้วย เป็นสิ่งที่คุณควรนึกถึงในตอนนี้ และถ้าคุณยังไม่มี แสดงว่าคุณตามหลัง 8 ลูกอยู่เล็กน้อย

สรุป

Act-On จะจัดทำเว็บบินาร์และเอกสารข้อมูลและเนื้อหาอื่นๆ เกี่ยวกับ GDPR ตลอดปีหน้า คุณยังสามารถส่งอีเมลถึง David หากคุณมีคำถาม: [email protected]