คู่มือของ MarTech เกี่ยวกับ GDPR: ระเบียบคุ้มครองข้อมูลทั่วไป
เผยแพร่แล้ว: 2023-05-11
เมื่อสหภาพยุโรปประกาศใช้กฎระเบียบการคุ้มครองข้อมูลทั่วไปในปี 2018 กฎหมายดังกล่าวได้รับการประกาศให้เป็นตัวเปลี่ยนเกมความเป็นส่วนตัว ซึ่งจะนำเข้าสู่ยุคใหม่ของการยินยอมเกี่ยวกับการรวบรวมข้อมูลออนไลน์ และทำให้สิทธิ์ในการปกป้องข้อมูลส่วนบุคคลอยู่ในมือของบุคคลโดยตรง
นอกจากนี้ยังหมายถึงการสร้างมาตรฐานกฎหมายความเป็นส่วนตัวในประเทศสมาชิกสหภาพยุโรป GDPR จะขจัดความจำเป็นที่แต่ละประเทศจะต้องเขียนข้อบังคับของตนเอง — เช่นเดียวกับการกำหนดให้บริษัทใด ๆ ไม่ว่าจะตั้งที่ใด ที่ทำการตลาดสินค้าหรือบริการให้กับผู้ที่อาศัยอยู่ในสหภาพยุโรปต้องปฏิบัติตามกฎหมาย
แต่อีก 5 ปีต่อมา การบังคับใช้กฎหมายก็ท้าทายกฎหมายลุ่มน้ำ โดยมีการร้องเรียนที่ยื่นในวันที่ GDPR ได้รับผลกระทบ โดยกล่าวหาว่า Facebook, Instagram, WhatsApp และ Google บังคับให้ผู้ใช้ให้ข้อมูลส่วนตัวโดยไม่ได้รับความยินยอมอย่างถูกต้อง ซึ่งยังคงต้องดำเนินการทางศาล ระบบ.
ในขณะเดียวกัน เทคโนโลยียังคงพัฒนาไปในอัตราที่ระบบกฎหมายน้ำแข็งตามไม่ทัน (บทความนี้เกี่ยวกับการปฏิบัติตามข้อกำหนดของ GDPR และเครื่องมือ AI เช่น ChatGPT จะช่วยให้เห็นภาพของความท้าทายที่รออยู่ข้างหน้า)
การตัดการเชื่อมต่อนี้พร้อมกับเสียงครึกโครมเกี่ยวกับการบังคับใช้ที่หละหลวม โดยเฉพาะอย่างยิ่งในประเทศที่มีสำนักงานใหญ่ของผู้ค้าเทคโนโลยีรายใหญ่ เป็นเพียงเหตุผลสองประการที่หน่วยงานกำกับดูแลของสหภาพยุโรปกำลังหาทางปรับวิธีการบริหาร GDPR อย่างละเอียด
ชิ้นส่วนนี้จะตรวจสอบการเปลี่ยนแปลงขั้นตอนเหล่านั้นอย่างละเอียดมากขึ้น รวมถึงกฎระเบียบด้านความเป็นส่วนตัวของข้อมูลอื่นๆ ในถังพักข้อมูล พิจารณาค่าปรับที่ใหญ่ที่สุดของกฎหมายบางส่วนในปัจจุบัน และตรวจสอบสิ่งที่นักการตลาดจำเป็นต้องรู้เมื่อเราเข้าสู่ช่วงครึ่งหลังของปี 2023 .
การเปลี่ยนแปลงขั้นตอนในขอบฟ้า
เมื่อต้นปีที่ผ่านมา คณะกรรมาธิการยุโรปประกาศว่าจะพยายามปรับปรุงวิธีที่หน่วยงานคุ้มครองข้อมูลทั่วสหภาพยุโรปทำงานร่วมกันเมื่อบังคับใช้ GDPR ในกรณีข้ามพรมแดน “สิ่งนี้จะสนับสนุนการทำงานที่ราบรื่นของความร่วมมือของ GDPR และกลไกการระงับข้อพิพาท” คณะกรรมาธิการระบุ ความคิดริเริ่มนี้เรียกว่า Procedural Rules of Enforcement โดยมีจุดมุ่งหมายเพื่อจัดการปัญหาต่างๆ ตั้งแต่วิธีจัดการกับข้อร้องเรียนของ GDPR ไปจนถึงระยะเวลาดำเนินการ และเมื่อไม่สามารถหาฉันทามติได้ กฎการบังคับใช้ที่เสนอจะ "ชี้แจง" ด้านขั้นตอนของการระงับข้อพิพาท
นักวิจารณ์กล่าวว่ากฎการบังคับใช้ใหม่มีความชัดเจนเฉพาะเจาะจง แต่มีคดีเกือบ 800 คดีที่รอดำเนินการภายใต้ GDPR การปฏิรูปกระบวนการจึงเป็นเรื่องสำคัญ ตามที่ NOYB หรือ European Center for Digital Rights องค์กรไม่แสวงผลกำไรในกรุงเวียนนา ประเทศออสเตรีย กล่าวว่า GDPR บังคับใช้ในทางทฤษฎีเท่านั้น โดยบริษัทเทคโนโลยีต่างหาทางขัดขวางการดำเนินคดี อุทธรณ์คำตัดสิน และหลีกเลี่ยงค่าปรับ (“NOYB” ย่อมาจาก “none of your business”)
อิทธิพลของ GDPR ในรัฐ
ในสหรัฐอเมริกา กฎหมายความเป็นส่วนตัวของข้อมูลฉบับใหม่หรือฉบับแก้ไขอยู่ในหนังสือในเวอร์จิเนีย แคลิฟอร์เนีย โคโลราโด คอนเนตทิคัต และยูทาห์ โดยมีวันที่บังคับใช้ตั้งแต่วันที่ 1 มกราคมของปีนี้ (เวอร์จิเนีย) ถึง 31 ธันวาคม (ยูทาห์) กับแคลิฟอร์เนีย โคโลราโด และคอนเนตทิคัตมีผลตั้งแต่วันที่ 1 กรกฎาคม (ในแคลิฟอร์เนีย California Privacy Rights Act (CPRA) แก้ไขเพิ่มเติม California Consumer Privacy Act (CCPA))
นอกจากนี้ รัฐอื่นๆ อีก 9 รัฐได้เสนอกฎหมายที่ยังอยู่ระหว่างการพิจารณา แต่นักการตลาดควรคาดหวังว่าจะมีการบังคับใช้กฎหมายในที่สุด
กฎหมายเหล่านี้มีความโดดเด่นในบริบทปัจจุบันเนื่องจาก - ยกเว้นแคลิฟอร์เนีย - กฎหมายทั้งหมด "ปรับคำศัพท์" จาก GDPR แต่แตกต่างกันในวิธีการบังคับใช้กับอัยการเขต อัยการสูงสุด และในกรณีของแคลิฟอร์เนีย แคลิฟอร์เนีย หน่วยงานคุ้มครองความเป็นส่วนตัว ทั้งหมดนี้รวมอยู่ในการบังคับใช้
สำหรับนักการตลาด การจัดการคุกกี้จะมีความสำคัญสูงสุด เนื่องจากแบรนด์/เว็บไซต์ยังคงเข้าใจว่าสิทธิผู้บริโภคเกี่ยวกับข้อมูลที่ละเอียดอ่อนได้รับการคุ้มครองอย่างไรภายใต้กฎหมายของรัฐ
ในระดับรัฐบาลกลาง มีความพยายามของทั้งสองฝ่ายในการจัดตั้งกฎหมายความเป็นส่วนตัวฉบับใหม่ ซึ่งเรียกว่า American Data Privacy and Protection Act (ADPPA) ซึ่งจะสร้างมาตรฐานระดับชาติเกี่ยวกับสิทธิส่วนบุคคล และเมื่อวันที่ 1 มีนาคม คณะกรรมาธิการสภาพลังงานและการพาณิชย์ได้จัดให้มีการพิจารณากฎหมายที่เสนอ
แม้ว่าจะไม่มีการจัดการลงคะแนนเสียง กลุ่มความเป็นส่วนตัวและผู้มีส่วนได้ส่วนเสียอื่น ๆ ทราบว่าความต้องการกฎหมายความเป็นส่วนตัวของรัฐบาลกลางนั้นมีอยู่จริงและอาจส่งผลให้มีการดำเนินการในท้ายที่สุด
เจาะลึกยิ่งขึ้น: มีธุรกิจในสหรัฐอเมริกาเพียง 11% เท่านั้นที่ปฏิบัติตามอย่างเต็มที่ ป.ป.ช กฎหมายความเป็นส่วนตัว
GDPR เรียกค่าปรับจำนวนมาก
ย้อนกลับไปในยุโรป นอกจากปัญหาการบังคับใช้ GDPR แล้ว การร้องเรียนบางรายการยังส่งผลให้บริษัทต่างๆ เช่น Meta, Amazon และ Google ต้องเสียค่าปรับจำนวนมาก
เริ่มต้นปีด้วยค่าปรับ 413 ล้านดอลลาร์จาก Meta สำหรับการละเมิด GDPR โดย Facebook และ Instagram จัดทำโดยคณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์ (DPC) ซึ่งบังเอิญต้องเผชิญกับการวิพากษ์วิจารณ์อย่างกว้างขวางเกี่ยวกับวิธีการจัดการข้อร้องเรียนของ GDPR การกระทำของหน่วยงานดังกล่าวยืนยันการตัดสินใจของคณะกรรมการคุ้มครองข้อมูลแห่งยุโรปที่กล่าวว่า "ความจำเป็นตามสัญญา" ไม่ใช่เหตุผลที่เหมาะสม เพื่อแสดงโฆษณาตามพฤติกรรม (โฆษณาตามพฤติกรรมหมายถึงโฆษณาออนไลน์หรือข้อความทางการตลาดที่ส่งถึงผู้บริโภคตามประวัติการค้นหาของพวกเขา)
เป็นเวลาหลายปีที่ Meta ได้รวมข้อตกลงการยินยอมของผู้ใช้เข้ากับข้อกำหนดในการให้บริการตามสัญญาของแอพ ซึ่งบังคับให้ผู้ใช้ยอมรับการเก็บเกี่ยวข้อมูลหากต้องการใช้แพลตฟอร์ม
ค่าปรับในช่วงต้นเดือนมกราคมของ Meta เกิดขึ้นหลังจากปี 2022 ที่แพงมากสำหรับบริษัท ซึ่งได้มีการปรับบทลงโทษที่มีมูลค่ามากกว่า 800 ล้านดอลลาร์ มีการบอกด้วยว่ามีเวลาสามเดือนในการวางมาตรการเพื่อขออนุญาตผู้ใช้ในการแสดงโฆษณาตามพฤติกรรม ณ สิ้นเดือนมีนาคม Wall Street Journal รายงานว่า Meta จะอนุญาตให้ผู้ใช้ในยุโรปเลือกไม่ใช้โฆษณาที่ตรงเป้าหมาย แต่บริษัทไม่ได้ทำเรื่องง่ายๆ ให้ผู้ใช้ส่งแบบฟอร์มออนไลน์เพื่อระบุการคัดค้าน
นอกจากค่าปรับ Meta แล้ว การลงโทษอื่นๆ ของ GDPR ยังรวมถึง:
- 785 ล้านดอลลาร์เทียบกับ Amazon ตัดสินใจในเดือนกรกฎาคม 2564 โดยหน่วยงานด้านข้อมูลของลักเซมเบิร์ก การตัดสินใจครั้งนี้ ซึ่งเป็นบทลงโทษที่ใหญ่ที่สุดภายใต้ GDPR และเน้นที่วิธีที่บริษัทประมวลผลข้อมูลส่วนบุคคล กำลังอยู่ระหว่างการอุทธรณ์
- 237 ล้านดอลลาร์เทียบกับ WhatsApp (บริการส่งข้อความที่ Meta เป็นเจ้าของ) ตัดสินใจในเดือนกันยายน 2564 โดย DPC ซึ่งส่งสัญญาณถึงจุดสูงสุดของการไต่สวนเป็นเวลา 3 ปีเกี่ยวกับวิธีที่แอปแชร์ข้อมูลผู้ใช้กับ Facebook
- 52 ล้านดอลลาร์เทียบกับ Google ยักษ์ใหญ่ด้านการค้นหา ซึ่งเป็นค่าปรับ GDPR ในช่วงต้น (มกราคม 2019) ซึ่งต่อมาศาลฝรั่งเศสได้ยื่นอุทธรณ์ คณะกรรมการคุ้มครองข้อมูลแห่งชาติของประเทศนั้นตัดสินว่า Google ไม่ปฏิบัติตามหลักเกณฑ์ความโปร่งใสของข้อมูลของ GDPR และบริษัทไม่ได้ระบุอย่างชัดเจนเพียงพอถึงวิธีการรวบรวมและใช้ข้อมูลผู้ใช้สำหรับโฆษณาที่ตรงเป้าหมาย
สิ่งที่นักการตลาดต้องรู้
คำสองคำที่จำเป็นในรายชื่อนักการตลาดทุกรายเมื่อพูดถึง GDPR คือการปฏิบัติตามข้อกำหนดและความยินยอม แน่นอนว่าการปฏิบัติตามข้อกำหนดนั้นหมายถึงความต้องการสำหรับบริษัทต่างๆ ที่มีตัวตนบนเว็บซึ่งทำการตลาดกับลูกค้าในสหภาพยุโรปเพื่อทำความเข้าใจกฎระเบียบ ติดตามการเปลี่ยนแปลงที่เกิดขึ้น และสามารถตอบสนองได้อย่างรวดเร็วเมื่อเกิดปัญหาขึ้น
แน่นอน สิ่งที่สัมผัสได้คือความต้องการของนักการตลาดในการทำความเข้าใจประเภทของข้อมูลที่บริษัทของพวกเขาเก็บรวบรวม และที่สำคัญกว่านั้น คือวิธีการประมวลผล การจัดเก็บ ข้อมูล และประเภทของข้อมูลส่วนบุคคลที่ละเอียดอ่อนนั้นมีอยู่ การปฏิบัติตามข้อกำหนดยังขึ้นอยู่กับการรวบรวมข้อมูลที่จำเป็นเท่านั้น
คำหลักอื่น ๆ ที่นักการตลาดควรคำนึงถึงมากที่สุด: ความยินยอม กล่าวโดยกว้าง บริษัทต่างๆ มีแนวโน้มที่จะยังคงปฏิบัติตาม GDPR เมื่อพวกเขาได้รับอนุญาตอย่างเหมาะสมในการรวบรวมหรือใช้ข้อมูลส่วนบุคคลของผู้ใช้ อาจฟังดูชัดเจน แต่ GDPR มีคำจำกัดความเฉพาะสำหรับความยินยอม ซึ่งเป็น "สิ่งบ่งชี้ใดๆ ที่ให้โดยเสรี เฉพาะเจาะจง แจ้งข้อมูล และไม่กำกวม" ว่าบุคคลนั้นยินยอมให้เว็บไซต์รวบรวมและประมวลผลข้อมูลส่วนบุคคลของตน
ไม่น่าแปลกใจที่นักการตลาดมีบทบาทสำคัญ ไม่เพียงแต่ในการทำความเข้าใจเท่านั้น แต่ยังช่วยให้สามารถปฏิบัติตาม GDPR และกฎและข้อบังคับของสหรัฐอเมริกาที่มีอิทธิพล ในขณะที่แนวการกำกับดูแลยังคงพัฒนาอย่างต่อเนื่อง ความปรารถนาของผู้บริโภคในการปกป้องความเป็นส่วนตัวก็เช่นกัน
ในช่วงห้าปีที่ผ่านมา GDPR ได้พิสูจน์แล้วว่าการปกป้องข้อมูลเป็นความรับผิดชอบขององค์กร บริษัทที่จัดการข้อมูลด้วยความระมัดระวังและแสดงให้ผู้ใช้เห็นว่าความกังวลเกี่ยวกับความเป็นส่วนตัวทางออนไลน์นั้นถูกต้องจะได้เปรียบเหนือคู่แข่งที่รอบคอบน้อยกว่า
เจาะลึก: สร้าง เชื่อมั่น ,ได้ยอดขาย
รับ MarTech! รายวัน. ฟรี. ในกล่องจดหมายของคุณ
ดูข้อกำหนด
ความคิดเห็นที่แสดงในบทความนี้เป็นความคิดเห็นของผู้เขียนรับเชิญและไม่จำเป็นต้องเป็น MarTech ผู้เขียนเจ้าหน้าที่อยู่ที่นี่
เรื่องที่เกี่ยวข้อง
ใหม่บน MarTech