• โฮมเพจ
  • บทความ
  • การตลาด
  • การกำหนดการปฏิบัติตามข้อกำหนด: ตำแหน่งที่ความเป็นส่วนตัวและความปลอดภัยของข้อมูลทั่วโลกกำลังมุ่งหน้าไปในปี 2019

การกำหนดการปฏิบัติตามข้อกำหนด: ตำแหน่งที่ความเป็นส่วนตัวและความปลอดภัยของข้อมูลทั่วโลกกำลังมุ่งหน้าไปในปี 2019

เผยแพร่แล้ว: 2019-01-31

ฤดูใบไม้ผลิที่แล้วทำให้นักการตลาด มืออาชีพด้านไอที และนักกฎหมายต้องวุ่นวายอยู่ไม่น้อย ต้องขอบคุณ กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคล ของผู้บริโภค (GDPR) ของสหภาพยุโรป ซึ่งมีผลบังคับใช้ในเดือนพฤษภาคม 2018 กฎหมายที่เปลี่ยนแปลงนี้เขย่าความเป็นส่วนตัวและความปลอดภัยของข้อมูลอย่างที่เราทราบ ไม่ใช่แค่ในสหภาพยุโรป แต่ทั่วโลก โดยให้บริษัทต่างๆ รับผิดชอบในการจัดการข้อมูลลูกค้า และเน้นย้ำถึงสิทธิ์ของบุคคลในการควบคุมข้อมูลของตนเองอีกครั้ง

หลายเดือนนับแต่นั้นมา เราได้ยินกรณีที่ยักษ์ใหญ่ด้านเทคโนโลยีอย่าง Facebook และ Google ต้องเผชิญกับค่าปรับและการดำเนินการทางกฎหมายอื่น ๆ ที่เกี่ยวข้องกับความล้มเหลวในการเปิดเผยอย่างเพียงพอว่าพวกเขาใช้ข้อมูลส่วนบุคคลอย่างไรและการปฏิบัติตามข้อกำหนดอื่น ๆ นอกจากนี้ GDPR ยังได้เริ่มการสนทนาและการดำเนินการที่เพิ่มขึ้นเกี่ยวกับความเป็นส่วนตัวและความปลอดภัยของข้อมูล ซึ่งทำให้ชัดเจนว่าประเด็นสำคัญในพื้นที่สำคัญนี้อยู่ไกลจากการตกลงกัน

ในขณะที่ปี 2019 กำลังดำเนินไป คำถามใหญ่ข้อหนึ่งที่แบรนด์ใหญ่และเล็กทั่วโลกเผชิญอยู่คือ ปีใหม่มีไว้เพื่อความเป็นส่วนตัวและความปลอดภัยของข้อมูลทั่วโลกอย่างไร และในขณะที่เราไม่มีลูกบอลคริสตัลที่ใช้งานได้ที่ Braze เราก็มีสิ่งที่ดีที่สุดรองลงมา—รองประธานอาวุโสฝ่ายกฎหมาย ที่ปรึกษาทั่วไป และเลขานุการบริษัท Susan Wiseman และรองที่ปรึกษาทั่วไปและผู้อำนวยการอาวุโส (EMEA) Marjorie Armitage ซึ่งเป็นแนวหน้าของพื้นที่ที่กำลังพัฒนาแห่งนี้ในช่วงไม่กี่ปีที่ผ่านมา อ่านต่อไปเพื่อดูแผนที่คาดการณ์สำหรับปีหน้า:

1) เน้นสิทธิความเป็นส่วนตัวของผู้บริโภคจะแพร่กระจายไปนอกสหภาพยุโรป

นักกฎหมายหลายคนจะบอกคุณว่า GDPR ไม่ได้แปลกใหม่เป็นพิเศษเมื่อพูดถึงแนวคิดทางกฎหมายหลัก กฎระเบียบมักจะคลุมเครือและจงใจ ซึ่งเป็นส่วนหนึ่งของความพยายามของผู้ร่างกฎหมายเพื่อให้กฎหมายยังคงยืดหยุ่นและมีความเกี่ยวข้องในขณะที่เทคโนโลยีพัฒนาขึ้น (ท้ายที่สุดแล้ว กฎหมายของสหภาพยุโรปที่ GDPR เข้ามาแทนที่ คือคำสั่งคุ้มครองข้อมูล มีผลบังคับใช้มาเป็นเวลา 23 ปีแล้ว ย้อนกลับไปเมื่อสมาร์ทโฟนเป็นเพียงชั่วพริบตาในสายตาของสตีฟ จ็อบส์) สิ่งที่ทำให้ GDPR โดดเด่นจากฝูงชนคือหนทาง ที่ทำงานเพื่อปกป้องพลเมืองของประเทศในสหภาพยุโรป โดยการวาดภาพความเป็นส่วนตัวและความปลอดภัยของข้อมูลเป็นสิทธิมนุษยชนขั้นพื้นฐาน กฎหมายได้ดำเนินการหลายอย่างเพื่อให้แน่ใจว่าองค์กรในประเทศอื่น ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรปใช้ประเด็นเหล่านี้ - และการปฏิบัติตาม - อย่างจริงจัง

อันที่จริงแล้ว สหภาพยุโรปและอีกหลายประเทศในโลกมีกฎหมายที่เข้มงวดในการปกป้องข้อมูลส่วนบุคคล สหภาพยุโรปอนุญาตให้บริษัทต่างๆ ถ่ายโอนข้อมูลส่วนบุคคลจากสหภาพยุโรปไปยังประเทศอื่นๆ ที่มีกฎหมายที่เข้มงวดเท่าเทียมกัน สหภาพยุโรปอ้างถึงประเทศเหล่านี้เป็นเขตอำนาจศาลที่ "เพียงพอ" แต่ตัวอย่างเช่น หากคุณเป็นบริษัทสื่อที่ตั้งอยู่ในสหรัฐอเมริกา ซึ่งเป็นประเทศที่ปัจจุบันยังไม่ได้รับการยอมรับว่าเพียงพอตามมาตรฐานของสหภาพยุโรป คุณยังคงสามารถประมวลผลข้อมูลส่วนบุคคลจากลูกค้าของคุณในสหภาพยุโรปได้ตราบเท่าที่คุณมี ตกลงกับลูกค้าของคุณว่าคุณจะปกป้องข้อมูลส่วนบุคคลในลักษณะที่เกินข้อกำหนดของกฎหมายของสหรัฐอเมริกา คุณสามารถทำได้โดยการรับรองตนเองใน Privacy Shield หรือโดยการลงนาม Model Clauses กับลูกค้าของคุณ ทั้ง Privacy Shield และ Model Clauses ใช้ในการตรวจสอบการถ่ายโอนข้อมูลส่วนบุคคลไปยังสหรัฐอเมริกา การทำเช่นนั้นโดยปราศจากวิธีการที่สหภาพยุโรปยอมรับจะเป็นการละเมิดกฎหมายของสหภาพยุโรป

ข้อตกลงประเภทนี้มีความสำคัญเนื่องจากอาจเป็นเรื่องยากสำหรับประเทศที่จะบรรลุความเพียงพอ ตัวอย่างเช่น เนื่องจากสหรัฐอเมริกายังไม่มีกฎหมายระดับประเทศที่ครอบคลุมซึ่งสอดคล้องกับ GDPR บริษัทในสหรัฐฯ จึงสามารถประมวลผลข้อมูลส่วนบุคคลในสหภาพยุโรปได้ก็ต่อเมื่อพวกเขาได้ลงนามใน Model Clauses กับลูกค้าของตน หรือหากพวกเขาได้รับการรับรองด้วยตนเอง สู่ EU-US Privacy Shield Framework ซึ่งทำให้บริษัทในสหภาพยุโรปสามารถถ่ายโอนข้อมูลส่วนบุคคลของพลเมืองในสหภาพยุโรปไปยังบริษัทในสหรัฐอเมริกาได้ (เช่น Braze เป็นต้น)

2) สหรัฐอเมริกาอาจจะ ไม่ ร่างกฎหมายความเป็นส่วนตัวของข้อมูลของรัฐบาลกลางในปี 2019—แต่กฎหมายของรัฐจะมีผลบังคับใช้

แม้ว่าจะเป็นความจริงที่สหรัฐฯ ไม่มีกฎหมายระดับประเทศที่เป็นไปตามมาตรฐานที่กำหนดโดยหน่วยงานคุ้มครองข้อมูลในสหภาพยุโรป เมื่อพูดถึงความเป็นส่วนตัวและความปลอดภัยของข้อมูลผู้บริโภค เราก็ค่อยๆ เริ่มเห็นทีละรัฐ กฎหมายเข้ามามีบทบาท

ปีที่แล้ว แคลิฟอร์เนียกลายเป็นรัฐแรกในประเทศที่ผ่านกฎหมายว่าด้วยความเป็นส่วนตัวของข้อมูลฉบับใหม่ด้วยการสร้างพระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแห่งแคลิฟอร์เนีย กฎหมายฉบับนี้ถือเป็นมาตรฐานที่แปลกใหม่สำหรับข้อกำหนดด้านความเป็นส่วนตัวของข้อมูลของสหรัฐอเมริกา ซึ่งรับประกันว่าผู้บริโภคจะได้รับสิทธิ์ในการเข้าถึงและลบข้อมูล ตลอดจนกำหนดให้บริษัทต่างๆ อัปเดตสัญญาการประมวลผลข้อมูลของบุคคลที่สามเพื่อให้มั่นใจว่าเป็นไปตามข้อกำหนดของตัวควบคุม/ตัวประมวลผล ใน GDPR ท่ามกลางข้อกำหนดที่เหนือชั้นอื่นๆ ในสหรัฐอเมริกา

เมื่อการบังคับใช้ GDPR มีผลบังคับใช้ในเดือนพฤษภาคม 2018 มีบริษัทในสหรัฐอเมริกามากกว่าสองสามแห่งเลือกที่จะจัดการกับกฎระเบียบใหม่ที่สำคัญนี้โดย... ไม่ จัดการกับมัน นั่นคือ บางองค์กรที่ไม่มีลูกค้าในสหภาพยุโรปเลือกที่จะไม่ทำงานเพื่อให้สอดคล้องกับ GDPR เนื่องจาก ไม่มีลูกค้าในสหภาพยุโรป ในขณะเดียวกัน บริษัทอื่นๆ ที่ มีลูกค้าในสหภาพยุโรปก็เลือกที่จะปิดพวกเขาแทนที่จะพยายามปฏิบัติตามกฎหมายใหม่ บางแบรนด์ในแคลิฟอร์เนีย ซึ่งเป็นศูนย์กลางเทคโนโลยีและสื่อที่สำคัญในสหรัฐฯ ก็ตกหลุมพรางเช่นกัน — จำได้ไหมว่าเมื่อลอสแองเจลีสไทม์สลบเว็บไซต์ของพวกเขาในสหภาพยุโรปทั้งหมด ดังนั้นพวกเขาจึงไม่ต้องปฏิบัติตาม GDPR ตอนนี้บริษัทเดียวกันเหล่านั้นมีเวลาน้อยกว่าหนึ่งปีในการปฏิบัติตามกฎหมายความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย ก่อนที่การบังคับใช้จะเริ่มขึ้นในวันที่ 1 มกราคม 2020

โดยรวมแล้ว จะถือว่าบริษัทในสหรัฐฯ ทั้งใหญ่และเล็ก ใหม่ และเป็นที่ยอมรับอย่างมาก จะต้องเริ่มก้าวไปสู่ความเป็นจริงโดยให้สิทธิความเป็นส่วนตัวและความปลอดภัยในข้อมูลของลูกค้า ในขณะที่แคลิฟอร์เนียเป็นรัฐแรกที่ผ่านกฎหมายความเป็นส่วนตัวของข้อมูลใหม่ทั้งหมดจาก GDPR เราเห็นรัฐอื่นๆ เช่น หลุยเซียน่า แอละแบมา โคโลราโด และเวอร์จิเนียดำเนินการเพื่อเสริมสร้างกฎหมายที่มีอยู่เกี่ยวกับความเป็นส่วนตัวของข้อมูล (นอกจากนี้ ก่อนหน้านี้รัฐเวอร์มอนต์ได้ผ่านกฎหมายฉบับใหม่ที่เข้มงวดขึ้นสำหรับนายหน้าข้อมูลและกำหนดมาตรฐานความปลอดภัยขั้นต่ำ)

แม้ว่าจะยังไม่มีวี่แววว่ารัฐบาลสหรัฐจะดำเนินการร่างกฎหมายของรัฐบาลกลางในรูปแบบ GDPR ในปีนี้ แต่การต่อเติมและการออกกฎหมายใหม่ที่เข้มงวดขึ้นเกี่ยวกับความเป็นส่วนตัวของข้อมูลในแต่ละรัฐถือเป็นสัญญาณสำคัญสำหรับธุรกิจ ที่พวกเขาต้องคิดอย่างจริงจังเกี่ยวกับวิธีจัดการข้อมูลในปัจจุบัน หากไม่เป็นเช่นนั้น พวกเขาเสี่ยงที่จะถูกปิดบังเมื่อกฎหมายระดับประเทศฉบับใหม่มีผลบังคับใช้ หรือกฎหมายแต่ละรัฐที่ตีกันเป็นจังหวะ ทำให้ไม่สามารถทำธุรกิจภายในสหรัฐฯ ได้โดยไม่ต้องปรับปรุงวิธีการประมวลผลและจัดการข้อมูลผู้บริโภค

ไม่น่าเป็นไปได้ที่รัฐสภาคองเกรสแห่งสหรัฐอเมริกาจะผ่านกฎหมาย [ความเป็นส่วนตัวทั่วทั้งประเทศ] ในเร็วๆ นี้ อย่างไรก็ตาม ความเป็นส่วนตัวนั้นชัดเจนในจิตใจของผู้คน แม้แต่ในสหรัฐอเมริกา ก็มีโมเมนตัมเพิ่มขึ้นและเน้นที่สิทธิความเป็นส่วนตัว และความจำเป็นในการออกกฎหมายที่ดีขึ้นและมากขึ้น ฉันคิดว่าแทนที่จะเห็นกฎหมายความเป็นส่วนตัวของรัฐบาลกลางฉบับใหม่และครอบคลุม เราจะเห็นรัฐหลายแห่งออกกฎหมายคล้ายกับที่แคลิฟอร์เนียทำกับ CCPA เมื่อปีที่แล้ว

Susan Wiseman รองประธานอาวุโสฝ่ายกฎหมาย ที่ปรึกษาทั่วไป และเลขานุการบริษัท Braze

3) ความเป็นส่วนตัวโดยการออกแบบจะกลายเป็นความปกติใหม่

“ความเป็นส่วนตัวโดยการออกแบบ” หมายถึงการสร้างความมั่นใจว่าระบบถูกสร้างขึ้นตั้งแต่เริ่มต้นโดยมีจุดประสงค์ในการจัดเก็บ ปกป้อง ถ่ายโอน และประมวลผลข้อมูลส่วนบุคคลโดยใช้แนวทางปฏิบัติด้านความปลอดภัยตามมาตรฐานอุตสาหกรรม และเป็นไปตามความต้องการของผู้บริโภคในส่วนที่เกี่ยวกับข้อมูลส่วนบุคคลของพวกเขา แต่ในขณะที่แนวคิดนี้มีมาระยะหนึ่งแล้ว GDPR ก็เป็นข้อบังคับแรกที่รวมไว้เป็นส่วนหนึ่งของข้อกำหนดการปฏิบัติตามข้อกำหนด แม้ว่าพารามิเตอร์ของสิ่งที่เข้าข่ายความเป็นส่วนตัวโดยการออกแบบภายใน GDPR จะค่อนข้างคลุมเครือ แต่ก็ทำให้มั่นใจได้ว่าบริษัทที่ปฏิบัติตามข้อกำหนดกำลังใช้มาตรการในการออกแบบระบบของตนโดยคำนึงถึงความปลอดภัยของข้อมูล

การดูแลให้บริษัทของคุณเป็นไปตามมาตรฐาน "ความเป็นส่วนตัวโดยการออกแบบ" ต้องใช้ความรอบคอบและความระมัดระวังในการจัดการข้อมูล คุณต้องรู้ว่าข้อมูลมาจากไหน บุคคลและระบบใดที่แตะต้องข้อมูล และเมื่อใดที่สามารถเข้าถึงและใช้งานไม่ได้ ทั้งหมดนี้ง่ายกว่ามากหากคุณสร้างระบบการจัดการข้อมูลและกระบวนการที่ผสานรวมแนวคิดที่แข็งแกร่งของความเป็นส่วนตัวและความปลอดภัยของข้อมูลตั้งแต่เริ่มต้น

GDPR ให้ความสำคัญกับการให้ผู้บริโภคเข้าใจอย่างชัดเจนว่าองค์กรใช้ข้อมูลของตนอย่างไร (โดยไม่ต้องอ่านเอกสารทางกฎหมายจำนวนมาก) ทำให้พวกเขาสามารถเปลี่ยนการตั้งค่าข้อมูลเมื่อใดก็ได้ และสิทธิ์ในการเข้าถึงและ ขอให้ลบข้อมูลเมื่อใดก็ตามที่พวกเขาเลือก ความเป็นส่วนตัวตามค่าเริ่มต้นยังเข้ากับแนวคิดนี้ด้วย ซึ่งหมายความว่าหากลูกค้า ไม่ได้ อัปเดตการตั้งค่าของพวกเขา การตั้งค่าเริ่มต้นควรเป็นระดับสูงสุดของการปกป้องและควบคุมข้อมูล ตามที่นักการตลาดทราบดี ข้อจำกัดประเภทนี้ในบางครั้งอาจส่งผลเสียต่อประสบการณ์ของลูกค้า ตัวอย่างเช่น ผู้ใช้แอปแชร์รถจะมีประสบการณ์ที่น่าผิดหวังอย่างมากหากพวกเขาไม่ให้สิทธิ์เข้าถึงตำแหน่งของตน ซึ่งหมายความว่าบริษัทต่างๆ จะต้องใช้การส่งข้อความที่สร้างสรรค์ (และเป็นไปตามข้อกำหนด) เพื่อให้ผู้บริโภคตัดสินใจว่าการอนุญาตให้บริษัทเหล่านั้นใช้ข้อมูลส่วนบุคคลของตนเพื่อสนับสนุนประสบการณ์ที่เกี่ยวข้องและมีผลกระทบมากขึ้นนั้นมีประโยชน์จริงหรือไม่

GDPR มีจุดมุ่งหมายกว้างๆ ในแง่ของการปฏิบัติตามข้อกำหนดเพื่อให้เทคโนโลยีสามารถพัฒนาได้ บางแง่มุมของคำสั่งคุ้มครองข้อมูลล้าสมัยภายในเวลาประมาณห้าปีเนื่องจากอินเทอร์เน็ตระเบิด ดังนั้นฝ่ายนิติบัญญัติจึงระมัดระวังเป็นอย่างยิ่งที่จะตรวจสอบให้แน่ใจว่า GDPR เป็นเทคโนโลยีที่ไม่เชื่อเรื่องพระเจ้า

Marjorie Armitage รองที่ปรึกษาทั่วไปและผู้อำนวยการอาวุโส (EMEA) ที่ Braze

4) บริษัทต่างๆ จะแสวงหาการตรวจสอบจากบุคคลที่สามมากขึ้น

ความคลุมเครือโดยเจตนาโดยธรรมชาติของ GDPR เป็นหัวใจสำคัญของกฎหมาย และความคลุมเครือนั้นเป็นอุปสรรคสำคัญสำหรับบริษัทจำนวนมากที่ต้องการปฏิบัติตามกฎหมาย แต่โชคดีที่ความไม่ชัดเจนแบบเดียวกันนี้ทำให้ธุรกิจต่างๆ มารวมตัวกันเพื่อพิจารณาว่าการจัดการข้อมูลที่เป็นไปตามข้อกำหนดเป็นอย่างไร ในขณะเดียวกันก็เปิดโอกาสให้เทคโนโลยีเติบโตและพัฒนาได้ และเนื่องจากการพิสูจน์ว่าบริษัทของคุณกำลังทำในสิ่งที่คุณอ้างสิทธิ์ในเรื่องความเป็นส่วนตัวของข้อมูลเป็นองค์ประกอบสำคัญในการปฏิบัติตาม GDPR ระบบการตรวจสอบบุคคลที่สามจึงมีความสำคัญมากขึ้นสำหรับแบรนด์

มันมีลักษณะอย่างไร? ที่ Braze การมุ่งเน้นของเราในการสร้างความมั่นใจว่าเรากำลังจัดลำดับความสำคัญของความเป็นส่วนตัวและความปลอดภัยของข้อมูลได้นำเราไปสู่การตรวจสอบความถูกต้องของระบบและกระบวนการจากบุคคลที่สาม ล่าสุดเราประสบความสำเร็จทั้ง SOC 2, Type 2 และ ISO 27001 ระหว่าง ปีปฏิทิน 2561. การรับรอง ISO ยืนยันว่าองค์กรได้ทำการประเมินความเสี่ยงด้านความปลอดภัยอย่างครอบคลุมและได้สร้างระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ที่สอดคล้องกับข้อกำหนดที่กำหนดไว้ในมาตรฐานการจัดการความปลอดภัยของข้อมูลทั่วโลกของ ISO เพื่อให้มั่นใจว่าองค์กรผู้รับได้รับมาตรฐานอุตสาหกรรม โปรโตคอลความปลอดภัย

มาตรฐานเหล่านี้กำหนดโดยผู้มีส่วนได้ส่วนเสียจากทั่วโลกภายใต้กระบวนการกำหนดมาตรฐานสากลของ ISO อันที่จริง Marjorie Armitage ของเรากำลังทำหน้าที่เป็นประธานร่วมของกลุ่มย่อยที่ทำงานในสหราชอาณาจักรของหน่วยงานมาตรฐานยุโรปที่ทำงานเพื่อกำหนดมาตรฐานความเป็นส่วนตัวของอุตสาหกรรมที่เกี่ยวข้องกับการปฏิบัติตาม GDPR และในขณะที่จำนวนมาตรฐานที่เกี่ยวข้องกับกฎระเบียบด้านความเป็นส่วนตัวของข้อมูลใหม่เพิ่มขึ้น ให้มองหาการรับรองสำหรับมาตรฐานเหล่านี้เพื่อเป็นเดิมพันสำหรับบริษัทที่ต้องการพิสูจน์การปฏิบัติตามกฎระเบียบต่อผู้บริโภคและหน่วยงานกำกับดูแล

ความรับผิดชอบเป็นหลักการสำคัญของการปกป้องข้อมูลเสมอ แต่ในที่สุด GDPR ก็ประมวลกฎหมายนี้ คุณต้องสามารถแสดงให้เห็นว่าคุณปฏิบัติตามและทำตามที่คุณพูด

Marjorie Armitage รองที่ปรึกษาทั่วไปและผู้อำนวยการอาวุโส (EMEA) ที่ Braze

ความคิดสุดท้าย

เทคโนโลยีช่วยให้บริษัทต่างๆ ได้รับมุมมองที่สมบูรณ์และละเอียดยิ่งขึ้นเกี่ยวกับลูกค้าและพฤติกรรมของพวกเขามากกว่าที่เคยเป็นมา แต่การใช้ข้อมูลลูกค้าแบบละเอียดที่ให้อำนาจความเข้าใจนั้นก็อาจก่อให้เกิดความเสี่ยงต่อแบรนด์และผู้ใช้ได้เช่นเดียวกัน ส่วนหนึ่งของการใช้ประโยชน์จากข้อมูลอย่างมีประสิทธิภาพคือการทำให้มั่นใจว่าคุณมีกระบวนการ เครื่องมือ และความรู้ที่จำเป็นในการปกป้องข้อมูลที่ลูกค้ามอบให้คุณ

นั่นคือโลกที่เราอาศัยอยู่ ความเสี่ยงและผลตอบแทนจะเพิ่มมากขึ้นเมื่อความก้าวหน้าทางเทคโนโลยีและพฤติกรรมผู้บริโภคเปลี่ยนไป หากต้องการเจาะลึกถึงข้อควรพิจารณาหลักๆ เกี่ยวกับ GDPR, HIPAA และความปลอดภัยข้อมูลล่าสุดส่งผลกระทบต่อการมีส่วนร่วมของลูกค้า โปรดดู ที่ Braze Security Roundup