อย่าสะดุดกับ 6 ความเชื่อผิดๆ เกี่ยวกับ GDPR

อีกไม่กี่เดือนข้างหน้าเราจะถึงวันบังคับใช้ GDPR และอินเทอร์เน็ตก็ เต็มไป ด้วยคำแนะนำที่ไม่ดี

จำนวนบล็อกโพสต์และ Quora คำตอบที่ฉันเคยเห็นเต็มไปด้วยไฟสีเขียวซึ่งควรเป็นสีแดง - น่าประหลาดใจ

และในขณะที่เราที่ Convert ได้ใช้เวลามากขึ้นเรื่อยๆ ในการเรียนรู้ อ่าน และฉีกกฎเกณฑ์ใหม่ที่สำคัญและยิ่งใหญ่นี้ ยิ่งสมองของฉันเริ่มส่งเสียงกริ่งเตือนดังขึ้นเท่านั้น

“พฤติกรรมมาตรฐานอุตสาหกรรมนี้ตอนนี้ แย่ แล้ว” กล่าว “คุณต้องเตือนพวกเขา”

ดังนั้นที่นี่

เหล่านี้คือคำโกหกใหญ่ 6 ประการที่ผู้คนเชื่อเกี่ยวกับ GDPR ว่าผู้คนเข้าใจผิด และเราทุกคน ต้อง แก้ไขให้ถูกต้องภายในวันที่ 25 พฤษภาคม

ตำนาน #1: สิ่งนี้มีผลกับสหภาพยุโรปเท่านั้น

ถ้าเพียงแค่.

หนึ่งในสิ่งที่ทะเยอทะยานที่สุดเกี่ยวกับ GDPR คือการขยายขอบเขตทางกฎหมายของนโยบายความเป็นส่วนตัวของข้อมูลอย่างไร ขณะนี้ มีกฎหมายฉบับหนึ่งที่ครอบคลุมซึ่งกำหนดกฎเกณฑ์ทั่วทั้งสหภาพยุโรป

แต่นอกเหนือจากนั้น GDPR มีความสำคัญกับ ทุกคน ที่เกี่ยวข้องกับข้อมูลของพลเมืองสหภาพยุโรป

แม้ว่าบริษัทของคุณจะตั้งอยู่ที่อื่น—หากคุณมีผู้เยี่ยมชมเว็บที่เป็นพลเมืองของสหภาพยุโรป และคุณติดตามพวกเขาด้วยคุกกี้—คุณควรสมัครกับ GDPR หากคุณรวบรวมอีเมลของเจ้าของข้อมูลในยุโรป หากคุณจัดเก็บที่อยู่ IP ของพวกเขา หากคุณโต้ตอบกับข้อมูลของพวกเขา เลย คุณจะผูกพันกับกฎใหม่เช่นเดียวกับใครก็ตามที่มีเซิร์ฟเวอร์ในสหภาพยุโรป

และตามจริงแล้ว แม้ว่าคุณจะมั่นใจ 100% ว่าไม่ได้จัดการกับข้อมูลของสหภาพยุโรป การปฏิบัติตาม GDPR ถือเป็นก้าวที่ดีในทิศทางที่ถูกต้อง กฎหมายความเป็นส่วนตัวทุกแห่งกำลังเปลี่ยนแปลง แคนาดากำลังทำงานเกี่ยวกับกฎหมายใหม่กับ Privacy Act

ข้อมูลเป็นรูปแบบสกุลเงินที่มีค่ามากขึ้นเรื่อยๆ ซึ่งทำให้กฎหมายข้อมูลมีความสำคัญมากกว่าที่เคย

ความเชื่อผิดๆ #2: ฉันสามารถปรับคุกกี้/อีเมลเย็นชา/อื่นๆ ได้ เพราะ "ผลประโยชน์โดยชอบด้วยกฎหมาย"

เงื่อนไขผลประโยชน์ที่ชอบด้วยกฎหมายคือ….ซับซ้อน

แม้ว่า (ในชั่วขณะหนึ่ง) อาจทำให้คุณมีเวลาเหลือเฟือสำหรับอีเมลที่เย็นชา บาง ประเภท แต่ก็ไม่มีประโยชน์อย่างที่นักการตลาดคาดหวัง

หากต้องการสำรองข้อมูลเล็กน้อย GDPR จะระบุเงื่อนไขทางกฎหมาย 6 ประการสำหรับการประมวลผลข้อมูล สองสิ่งที่เกี่ยวข้องสำหรับนักการตลาดดูเหมือนจะเป็น: ความยินยอมของเจ้าของข้อมูล และ "ผลประโยชน์โดยชอบด้วยกฎหมาย"

การขอความยินยอมกำหนดให้คุณต้องปฏิบัติตามเงื่อนไขทุกประเภท—ต้องใช้งานได้ ชัดเจน ยืนยัน ฯลฯ

ในการเปรียบเทียบ “ผลประโยชน์โดยชอบด้วยกฎหมาย” ดูเหมือนเป็นการเดินเล่นในสวนสาธารณะ แต่เจตนาของประโยคนี้ไม่ใช่ "ฉันคิดว่าพวกเขาสนใจ...ดังนั้นฉันจึงส่งสิ่งที่พวกเขาต้องการได้ใช่ไหม"

นี่คือสิ่งที่ ICO (หน่วยงานกำกับดูแลข้อมูลของสหราชอาณาจักร) แนะนำให้คุณยืนยัน ก่อน ตัดสินใจประมวลผลข้อมูล….

• เราได้ตรวจสอบแล้วว่าผลประโยชน์ที่ชอบด้วยกฎหมายเป็นพื้นฐานที่เหมาะสมที่สุด
• เราเข้าใจความรับผิดชอบของเราในการปกป้องผลประโยชน์ของแต่ละบุคคล
• เราได้ดำเนินการประเมินผลประโยชน์ที่ชอบด้วยกฎหมาย (LIA) และเก็บบันทึกข้อมูลไว้ เพื่อให้แน่ใจว่าเราสามารถพิสูจน์การตัดสินใจของเราได้
• เราได้ระบุผลประโยชน์ที่ชอบด้วยกฎหมายที่เกี่ยวข้องแล้ว
• เราได้ตรวจสอบแล้วว่าการประมวลผลนั้นจำเป็นและไม่มีทางล่วงล้ำเพื่อให้ได้ผลลัพธ์แบบเดียวกัน
• เราได้ทำการทดสอบการทรงตัว และมั่นใจว่าผลประโยชน์ของแต่ละบุคคลจะไม่แทนที่ผลประโยชน์ที่ชอบด้วยกฎหมายเหล่านั้น
• เราใช้ข้อมูลของบุคคลในลักษณะที่พวกเขาคาดหวังอย่างสมเหตุสมผลเท่านั้น เว้นแต่เราจะมีเหตุผลที่ดีมาก
• เราไม่ได้ใช้ข้อมูลของผู้คนในลักษณะที่พวกเขาพบว่าเป็นการล่วงล้ำหรือที่อาจก่อให้เกิดอันตรายแก่พวกเขา เว้นแต่เราจะมีเหตุผลที่ดีมาก
• หากเราประมวลผลข้อมูลของเด็ก เราจะใช้ความระมัดระวังเป็นพิเศษเพื่อให้แน่ใจว่าเราปกป้องผลประโยชน์ของเด็ก
• เราได้พิจารณามาตรการป้องกันเพื่อลดผลกระทบที่เป็นไปได้
• เราได้พิจารณาแล้วว่าเราสามารถเสนอการไม่เข้าร่วมได้หรือไม่
• หาก LIA ระบุผลกระทบต่อความเป็นส่วนตัวที่สำคัญ เราได้พิจารณาแล้วว่าจำเป็นต้องดำเนินการ DPIA ด้วยหรือไม่
• เราตรวจสอบ LIA ของเราและทำซ้ำหากสถานการณ์เปลี่ยนไป
• เรารวมข้อมูลเกี่ยวกับผลประโยชน์ที่ชอบด้วยกฎหมายของเราไว้ในประกาศเรื่องความเป็นส่วนตัวของเรา

ดังนั้น หากคุณต้องการพึ่งพาผลประโยชน์ที่ชอบด้วยกฎหมาย คุณต้องยืนยันสิ่งเหล่านี้ และคุณต้องจัดทำเอกสารกระบวนการของคุณ และคุณต้องตัดสินใจว่าคุณกำลังดำเนินการกับเงื่อนไขผลประโยชน์ที่ชอบด้วยกฎหมาย ล่วงหน้า ไม่ใช่แค่การถอยกลับเพราะคุณขอความยินยอมอย่างไม่ถูกต้อง

ตำนาน #3: ฉันต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล

GDPR แนะนำให้บริษัท บาง แห่งแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล เพื่อดูแลการเปลี่ยนแปลง และการรักษาความปลอดภัยของข้อมูลในอนาคต

และอำนาจที่ค่อนข้างชัดเจนว่าหน่วยงานของรัฐควรแต่งตั้งอย่างใดอย่างหนึ่ง และ บริษัทที่มีหน้าที่หลักรวมถึงการประมวลผลข้อมูลหรือตรวจสอบข้อมูลอย่างเป็นระบบ และหากคุณประมวลผลข้อมูลประเภทพิเศษเป็นประจำ เช่น ข้อมูลด้านสุขภาพ หรือความเกี่ยวข้องทางศาสนาและการเมือง คุณควรมี DPO ในทีมของคุณ

นอกเสียจากเงื่อนไขเหล่านี้ พูดตามตรง ไม่มีกฎเกณฑ์ที่เข้มงวดว่าบริษัทของคุณใหญ่พอที่จะจ้าง DPO เมื่อใด หรือเมื่อข้อมูลที่คุณจัดการนั้นซับซ้อนเพียงพอสำหรับคุณ พนักงาน 250 คนเป็นกฎง่ายๆ ที่มักถูกมองข้าม

โดยทั่วไป ดูเหมือนว่า SMEs ที่ประมวลผลประเภทมาตรฐานและจำนวนข้อมูลของคุณเพื่อวัตถุประสงค์ทางการตลาด สามารถได้รับคำแนะนำทางกฎหมายที่ชัดเจน และการอุทิศตนอย่างถี่ถ้วนเพื่อความโปร่งใสของข้อมูล

ความเชื่อผิดๆ #4: นี่เป็นวิธีที่ถูกต้องในการขอความยินยอม

ตนนี้…

ไม่! ความยินยอมจะต้องเปิดใช้งาน คุณไม่สามารถเลือกช่องทำเครื่องหมายไว้ล่วงหน้าได้

ไม่! นั่นคือการรวมกลุ่ม คุณต้องขอความยินยอมสำหรับกระบวนการแยกกันต่างหาก คุณไม่สามารถเพียงแค่สมัคร "จดหมายข่าวรายเดือน" ด้วยการลงทะเบียนกิจกรรม

ไม่! ตั้งชื่อบุคคลที่สามของคุณ มิฉะนั้นจะไม่นับ!

ไม่—คุกกี้ถาวรต้องได้รับความยินยอมอย่างชัดแจ้งและใช้งานได้ทันที เช่นเดียวกับที่บางคนต้องคลิกสิ่งของหรือทำเครื่องหมายในช่องที่ระบุว่า "ฉันยินยอม" พวกเขาไม่ได้ให้เพียงแค่เรียกดูต่อไป

และความแตกต่างยังคงดำเนินต่อไป

สิ่งสำคัญคือ: กฎการยินยอมไม่ใช่สิ่งที่พวกเขาเคยเป็น

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับสิ่งที่เป็นอยู่ตอนนี้ เรามีรายละเอียดที่สำคัญกว่านี้ที่นี่

ตำนาน #5: นั่นไม่ใช่ข้อมูลส่วนบุคคล

GDPR ได้ขยายขอบเขตของข้อมูลส่วนบุคคล จากที่เคยได้รับการยอมรับว่าเป็น "ข้อมูลระบุตัวบุคคล"

เราขอนำเสนอตารางที่เป็นประโยชน์นี้ด้วยความนอบน้อม:

สิ่งสำคัญที่นี่คือคุกกี้—ซึ่งซับซ้อนเล็กน้อย คุกกี้ ประเภท ใดที่จะถูกพิจารณาว่าเป็นข้อมูลส่วนบุคคลจะถูกกำหนดขึ้นด้วยข้อบังคับ ePrivacy ใหม่

ขณะนี้ มีข้อยกเว้นบางประการสำหรับคุกกี้ใน “ภาคประสิทธิภาพ” เหล่านี้เป็นประเภทที่เก็บรวบรวม เฉพาะ ข้อมูลเกี่ยวกับการใช้งานเว็บไซต์เพื่อประโยชน์ของผู้ดำเนินการเว็บไซต์ พวกเขาไม่ได้ระบุผู้เข้าชม—แต่พวกเขาอาศัยข้อมูลรวม

คุณสามารถดูข้อมูลเจาะลึกเกี่ยวกับวิธีที่ GDPR จะควบคุมคุกกี้ได้ที่นี่

ความเชื่อที่ #6: ตราบใดที่ฉันอัปเดตกระบวนการภายในวันที่ 25 พฤษภาคม ฉันก็ชัดเจน

ในฐานะนักการตลาด นี่คือเงื่อนไข GDPR ที่ทำให้ฉันอยากตัดผมออก

มีผลย้อนหลัง

ใช้กับข้อมูลที่มีอยู่ ทั้งหมด ของคุณ

หมายความว่า หากคุณได้รวบรวมอีเมล ใช้งานคุกกี้ หรือยุ่งกับ ข้อมูล ส่วนบุคคลในลักษณะที่ไม่สอดคล้องกับ GDPR ข้อมูลที่เก็บไว้ทั้งหมดจะกลายเป็นปัญหาในวันที่ 25 พฤษภาคม

เราแนะนำ:

1. ไม่ว่าคุกกี้ของเว็บไซต์ของคุณจะทำงานในช่วงอายุ 3, 6 หรือ 12 เดือน คุณควรเริ่มต้นคุกกี้เหล่านี้ใหม่และล้างข้อมูลส่วนบุคคลที่เก็บไว้
2. เรียกใช้แคมเปญการอนุญาตอีกครั้ง เพื่อพยายามกอบกู้รายชื่ออีเมลที่มีอยู่ของคุณ

มันปวดหัว และเป็นเรื่องน่าเศร้าที่สูญเสียผู้ติดต่อบางส่วนที่คุณต่อสู้อย่างหนักเพื่อชนะ

แต่อย่างที่พวกเขาพูด...

บางครั้งสิ่งต่าง ๆ แตกสลายเพื่อให้สิ่งที่ดีกว่าสามารถรวมกันได้และความเป็นส่วนตัวของข้อมูลก็มีความสำคัญ ดังนั้นเราทุกคนควรปฏิบัติตามกฎหมาย