ความพยายามครั้งสุดท้าย: ตรวจสอบว่าอีคอมเมิร์ซของคุณพร้อมสำหรับ GDPR . หรือไม่

อีกเพียงไม่กี่ชั่วโมงเท่านั้น หลักการของกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคจะมีผลบังคับใช้ ซึ่งหมายความว่าคุณยังมีเวลาไม่นานในการตรวจสอบการปฏิบัติตาม GDPR ของธุรกิจอีคอมเมิร์ซของคุณด้วยข้อกำหนดทั้งหมดของสหภาพยุโรป

ในโพสต์นี้ เราจะพยายามให้ข้อมูลสั้น ๆ ที่จำเป็นที่สุดเกี่ยวกับกฎหมายที่เกี่ยวข้องกับการควบคุมและประมวลผลข้อมูลส่วนบุคคลของผู้ใช้ของคุณ รวมถึงลิงก์ที่มีประโยชน์ซึ่งคุณสามารถตรวจสอบว่า GDPR ทำงานอย่างไรโดยละเอียด คุณจะพบรายการตรวจสอบ GDPR สั้นๆ ที่ด้านล่างของโพสต์นี้ ซึ่งอาจช่วยให้คุณหลีกเลี่ยงค่าปรับจำนวนมากหลังจากวันที่ 25 พฤษภาคม 2018

GDPR: รากและผลไม้

ในปี 2010 คณะกรรมาธิการยุโรปได้กำหนดกลยุทธ์เพื่อเสริมความแข็งแกร่งให้กับกฎการปกป้องข้อมูลของสหภาพยุโรป และแก้ไขคำสั่งการปกป้องข้อมูลปี 1995 ของสหภาพยุโรปและพระราชบัญญัติการปกป้องข้อมูลของสหราชอาณาจักรปี 1998 ซึ่งล้าสมัยแล้ว

พวกเขาได้ทำการสำรวจในหมู่พลเมืองสหภาพยุโรปซึ่งพบว่า 61% ของผู้ใช้กังวลเกี่ยวกับเว็บไซต์อีคอมเมิร์ซความเป็นส่วนตัวข้อมูลส่วนบุคคลของพวกเขาและความกังวลมากกว่าครึ่งหนึ่ง (55%) เกี่ยวกับการฉ้อโกงเมื่อช็อปปิ้งออนไลน์
จากการสำรวจพบว่า 75% ของผู้ตอบแบบสอบถามต้องการขอและลบข้อมูลส่วนบุคคลของตนทางออนไลน์ได้ทุกเมื่อที่ต้องการ และกว่า 90% ของผู้คนต้องการมีสิทธิ์ในการปกป้องข้อมูลแบบเดียวกันทั่วยุโรป

สมัครสมาชิกเพื่อติดตามและรับเคล็ดลับการตลาดที่นำไปใช้ได้จริงส่งตรงถึงกล่องจดหมายของคุณ

ในช่วง 6 ปีที่ผ่านมา คณะกรรมาธิการยุโรปได้ปรับปรุงหลักการของการปกป้องข้อมูลผู้ใช้และวิธีการใช้งานอย่างมีประสิทธิภาพในอินเทอร์เน็ตทั่วโลก และสุดท้ายในปี 2559 GDPR ผ่านรัฐสภาของสหภาพยุโรป ให้เราพิจารณาหลักการเหล่านี้โดยทั่วไป

หลักการ GDPR

• ถูกต้องตามกฎหมาย ความยุติธรรม และความโปร่งใส
  ความยินยอมทั้งหมดที่คุณเสนอให้ผู้เยี่ยมชมควรเขียนด้วยภาษาที่เรียบง่ายและชัดเจน เช่นเดียวกับนโยบายความเป็นส่วนตัวและข้อกำหนดในการให้บริการของคุณ อีเมลประเภทใดก็ตามที่คุณส่งถึงผู้บริโภคหรือผู้ที่อาจเป็นลูกค้าควรมีปุ่ม 'ยกเลิกการสมัคร' และประกอบด้วยคำอธิบายว่าทำไมพวกเขาถึงได้รับอีเมลของคุณ สหภาพยุโรปกำหนดให้ลูกค้าของคุณต้องมีสิทธิ์ที่จะตระหนักถึงจุดมุ่งหมาย วิธีการ และปริมาณของข้อมูลที่คุณดำเนินการ
• ความเพียงพอ ความเกี่ยวข้อง และข้อจำกัด
  GDPR พยายามลดข้อมูลส่วนบุคคลที่ไม่เกี่ยวข้องให้น้อยที่สุดและเพื่อข้อมูลผู้ใช้นามแฝงที่คุณถือครอง คุณควรรวบรวมเฉพาะข้อมูลที่คุณวางแผนที่จะใช้ในการทำการตลาดผ่านอีเมล การส่งอีเมลแบบเย็น และกำจัดผู้ติดต่อที่ไม่จำเป็นหรืออยู่เฉยๆ
• ความแม่นยำ
  ข้อมูลส่วนบุคคลที่คุณถือควรถูกต้องและเป็นปัจจุบัน เพื่อให้แน่ใจว่าสิ่งนี้ ลูกค้าของคุณต้องมีโอกาสที่จะเปลี่ยนข้อมูลส่วนบุคคลเมื่อใดก็ได้ที่ต้องการ พวกเขายังสามารถขอข้อมูลเกี่ยวกับข้อมูลส่วนบุคคลที่บริษัทของคุณดำเนินการและใช้สิทธิ์ที่จะถูกลืมได้
• ข้อจำกัดในการจัดเก็บ
  คุณไม่ควรเก็บข้อมูลส่วนบุคคลไว้นานจนจำเป็นสำหรับวัตถุประสงค์ในการประมวลผลของคุณ อย่างไรก็ตาม ผู้ควบคุมยังไม่ได้กำหนดเวลาในการเก็บรักษาข้อมูล ดังนั้นหลักการนี้จึงควรพิจารณาในแง่ของ 'สิทธิที่จะถูกลืม'
• ความซื่อสัตย์และการรักษาความลับ
  คุณไม่ควรแบ่งปันหรือขายข้อมูลส่วนบุคคลของบุคคลอื่นหรือบริษัทของลูกค้าของคุณโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล บริษัททั้งหมดมีหน้าที่รับผิดชอบในฐานข้อมูลของตน และควรดูแลความปลอดภัยอย่างเหมาะสม

รายการข้อมูลส่วนบุคคลของ GDPR

ในกฎหมาย คำว่า 'ข้อมูลส่วนบุคคล' หมายถึง 'ข้อมูลใดๆ ที่เกี่ยวข้องกับบุคคลธรรมดาที่มีชีวิต ระบุตัวตนหรือระบุตัวตนได้' หลักการเหล่านี้ใช้กับหน่วยงานสาธารณะทั้งหมดที่ถือและติดตามข้อมูลของพลเมืองสหภาพยุโรป

ดังนั้น GDPR เกี่ยวข้องกับคุณหาก:

• ลูกค้าและผู้มีโอกาสเป็นลูกค้าของคุณคือพลเมืองสหภาพยุโรป
• สมาชิกอีเมลของคุณมาจาก EU
• ฐานข้อมูลของคุณสำหรับการตลาดอีเมลเย็นประกอบด้วยข้อมูลส่วนบุคคลของผู้พำนักในสหภาพยุโรป

ไม่สำคัญว่าเว็บไซต์อีคอมเมิร์ซของคุณสร้างขึ้นโดยใช้ WordPress, Magento, WooCommerce หรือ Joomla หรือคุณพัฒนาไซต์ใน CMS ของคุณเอง GDPR เกี่ยวกับผู้ใช้ของคุณและความปลอดภัยของข้อมูลส่วนบุคคล เท่านั้น

'ข้อมูลส่วนบุคคล' ภายใต้ GDPR คืออะไร:

• ชื่อ;
• หมายเลขประจำตัว;
• ข้อมูลตำแหน่ง;
• ตัวระบุคุกกี้
• ตัวระบุออนไลน์
• ข้อมูลไบโอเมตริกซ์
• รายได้;
• ปัจจัยหนึ่งหรือหลายปัจจัยเฉพาะสำหรับ “อัตลักษณ์ทางกายภาพ สรีรวิทยา พันธุกรรม จิตใจ เศรษฐกิจ วัฒนธรรม หรือสังคม” ของเรื่องซึ่งสามารถช่วยระบุตัวตนของบุคคลนั้นได้

ค่าธรรมเนียม GDPR

หลักการของ GDPR ได้สร้างความฮือฮาอย่างมากเนื่องจากมีการปรับจำนวนมากสำหรับการไม่ปฏิบัติตามข้อกำหนด ค่าปรับที่ใหญ่ที่สุดอาจสูงถึง 20,000,000 ยูโร หรือสูงถึง 4% ของมูลค่าการซื้อขายประจำปีทั่วโลกในปีการเงินก่อนหน้า แล้วแต่จำนวนใดจะสูงกว่า นี่คือเหตุผลที่บริษัทขนาดใหญ่ส่วนใหญ่ตัดสินใจใช้เงินมากกว่าล้านดอลลาร์เพื่อปฏิบัติตาม GDPR
แต่คุณควรจำไว้ว่าทุกสถานการณ์นั้นไม่เหมือนกัน ดังนั้นขนาดของค่าปรับจะถูกประมาณแบบหนึ่งต่อหนึ่ง
โดยทั่วไป มีสองสาเหตุหลักที่บริษัทค้าปลีกของคุณอาจถูกปรับ: การรั่วไหลของข้อมูลส่วนบุคคลจำนวนมากและการละเมิดข้อมูลส่วนบุคคลที่ละเอียดอ่อน

ผู้เชี่ยวชาญด้านการปกป้องข้อมูล

นี่เป็นขั้นตอนที่ต้องมีที่คุณควรเริ่มด้วย (หากคุณยังไม่ได้ดำเนินการ) บริษัทอีคอมเมิร์ซของคุณควรมีทนายความ/ทนายความที่มีรายละเอียด GDPR ทั้งหมด และจะดูแลการปกป้องข้อมูลของลูกค้าของคุณ ในกรณีที่คุณถือครองและประมวลผลข้อมูลที่ละเอียดอ่อนซึ่งมีความเสี่ยงสูงต่อการเปิดเผย หรือคุณคาดว่าจะมีการละเมิดข้อมูลจำนวนมาก คุณต้องจ้างเจ้าหน้าที่คุ้มครองข้อมูล
ความรับผิดชอบของพวกเขาคือการตอบสนองต่อข้อร้องเรียนของลูกค้าและตรวจสอบการปฏิบัติตาม GDPR ของเว็บไซต์อีคอมเมิร์ซของคุณ โดยเฉพาะอย่างยิ่งหากบริษัทของคุณกำลังทดสอบโซลูชัน แบบฟอร์ม อีเมลทางการตลาด การพัฒนาอินเทอร์เฟซเว็บไซต์หรือแอปใหม่
นอกจากนี้ เจ้าหน้าที่ปกป้องข้อมูลของคุณ (หรือผู้เชี่ยวชาญ) จำเป็นต้องแจ้ง ICO เกี่ยวกับการแจ้งเตือนการละเมิดข้อมูลภายใน 72 ชั่วโมง หากเป็นความล้มเหลวของระบบ การโจมตีจากการแฮ็ก หรือปัญหาอื่นๆ ที่อาจส่งผลร้ายแรงต่อความปลอดภัยของลูกค้าของคุณ

GDPR เป็นสิ่งที่ดีสำหรับอีคอมเมิร์ซหรือไม่

ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไปสามารถ และจะมีผลดีต่อภาคการค้าปลีกออนไลน์ เนื่องจากสามารถเพิ่มความมั่นใจและความภักดีของลูกค้า รวมทั้งเพิ่มความไว้วางใจในกระบวนการชำระเงิน นี่คือเหตุผลที่เราแนะนำให้คุณแจ้งลูกค้าของคุณว่าคุณจะดูแลการไม่เปิดเผยข้อมูลส่วนบุคคลของพวกเขาอย่างดีที่สุด

รายการตรวจสอบอีคอมเมิร์ซ GDPR

มีข้อกำหนดและรายละเอียดจำนวนมากในเอกสาร GDPR หลัก แต่เราได้พยายามรวมสิ่งที่จำเป็นที่สุดไว้ในรายการตรวจสอบนี้แล้ว ดูข้อมูลนี้เพื่อดูว่าคุณไม่พลาดสิ่งใดที่จะนำไปใช้กับเว็บไซต์ อีเมล แบบฟอร์มติดต่อ และแบบฟอร์มขอความยินยอมทุกรายการหรือไม่

ผู้เชี่ยวชาญด้านการปกป้องข้อมูล

• ในฐานะผู้ประมวลผลข้อมูล คุณได้ว่าจ้างผู้เชี่ยวชาญด้านการปกป้องข้อมูลหรือเจ้าหน้าที่คุ้มครองข้อมูล หากคุณกำลังประมวลผลข้อมูลที่ละเอียดอ่อน

รายการตรวจสอบการปฏิบัติตามคำยินยอม

• ความยินยอมของคุณเขียนขึ้นอย่างเรียบง่ายและชัดเจน เพื่อให้ลูกค้าของคุณสามารถเข้าใจได้ง่ายว่าข้อมูลส่วนบุคคลของพวกเขาจะได้รับการประมวลผลอะไรและเพื่ออะไร รวมทั้งความเข้าใจที่ชัดเจนเกี่ยวกับสิ่งที่พวกเขาตกลงกันไว้ด้วย
• แบบฟอร์มยินยอมของคุณมีความชัดเจน สิ่งเหล่านี้ไม่มีช่องทำเครื่องหมายล่วงหน้าหรือการยินยอมอื่นใดโดยค่าเริ่มต้น
• 'ปุ่มคำตอบ' ของคุณด้วยความยินยอมในเชิงบวกจะไม่ถูกเน้นด้วยสีอื่น
• แบบฟอร์มยินยอมของคุณมีความชัดเจนและแยกจากส่วนข้อกำหนดและเงื่อนไข
• คุณได้ตั้งชื่อองค์กรและบุคคลที่สามของคุณไว้ที่ด้านล่างของแบบฟอร์ม
• คุณได้ชี้ให้เห็นว่าลูกค้าของคุณสามารถปฏิเสธความยินยอมนี้ได้
• คุณได้อธิบายว่าลูกค้าของคุณสามารถเพิกถอนความยินยอมได้อย่างไร
• หากคุณคาดหวังหรือรู้ว่าภายในลูกค้าออนไลน์ของคุณอาจเป็นเด็ก แบบฟอร์มยินยอมของคุณจะมีการตรวจสอบอายุและขอความยินยอมจากผู้ปกครอง

คุณยังสามารถค้นหาตัวเลือกต่างๆ ในการสร้างเทมเพลตฟอร์มความยินยอมที่เป็นมิตรกับ GDPR ได้ที่นี่
หากต้องการทราบข้อมูลโดยละเอียดเพิ่มเติมเกี่ยวกับข้อกำหนดของเนื้อหา โปรดดูคำแนะนำการยินยอม ICO GDPR ของสหราชอาณาจักร

นโยบายความเป็นส่วนตัว รายการตรวจสอบการปฏิบัติตาม GDPR

• คุณได้ตรวจสอบข้อกำหนดในการให้บริการและนโยบายความเป็นส่วนตัวของคุณแล้ว และคุณแน่ใจว่าสิ่งเหล่านี้เขียนด้วยภาษาที่ชัดเจนสำหรับลูกค้าของคุณ นโยบายความเป็นส่วนตัวประกอบด้วยคำอธิบายวิธีที่คุณประมวลผลข้อมูลผู้ใช้และรายการบริการของบุคคลที่สามที่คุณใช้ในการประมวลผลข้อมูลผู้ใช้
• คุณได้ชี้ให้เห็นในเว็บไซต์ของคุณแล้วว่าลูกค้าของคุณสามารถขอข้อมูลที่คุณถือครอง เปลี่ยนแปลงหรือถอนข้อมูลออกจากเว็บไซต์ของคุณได้อย่างไร
• คุณได้เพิ่มคำแนะนำว่าลูกค้าของคุณสามารถรายงานคุณว่าละเมิดหลักการ GDPR ใดๆ ที่ส่งผลกระทบต่อพวกเขาได้อย่างไร
• คุณได้ชี้ให้เห็นว่าคุณไม่ได้ลงโทษลูกค้าของคุณสำหรับการเพิกถอนความยินยอมของพวกเขา
• คุณได้รวมที่อยู่อีเมลของ DPO ของคุณไว้ในนโยบายความเป็นส่วนตัวแล้ว
• คุณได้รวมลิงก์ไปยังนโยบายความเป็นส่วนตัวของคุณไว้ที่ส่วนท้ายของเว็บไซต์ของคุณ

การจัดการความยินยอม

• คุณเก็บบันทึกว่าคุณได้รับความยินยอมจากลูกค้าแต่ละรายเมื่อใด ที่ไหน และอย่างไร
• คุณเก็บบันทึกข้อมูลที่ลูกค้าของคุณมอบให้
• คุณได้กำหนดเวลาไว้แล้วว่าจะใช้การตรวจสอบเป็นประจำว่าความสัมพันธ์ การดำเนินการ และวัตถุประสงค์ไม่ได้เปลี่ยนแปลงไป
• คุณได้กำหนดเวลาไว้แล้วว่าจะรีเฟรชข้อมูลผู้ใช้ในช่วงเวลาใด

ตรวจสอบให้แน่ใจว่าคุณไม่ได้ส่งข้อมูลส่วนตัวของลูกค้า รวมถึงที่อยู่อีเมล ชื่อ รหัสผู้ใช้ ข้อมูลตำแหน่ง รหัสธุรกรรม ที่อยู่ IP ไปยัง Google Analytics ที่ระดับรหัส อ่าน บทความ Google นี้ เพื่อหาข้อมูลเพิ่มเติม

ผู้ใช้เคยชินกับการคลิกคำยินยอมส่วนใหญ่ในเชิงบวก นี่คือเหตุผลที่เราแนะนำให้คุณสร้างป๊อปอัปขอคำยินยอมซ้ำเพิ่มเติมเพื่อให้แน่ใจว่าลูกค้าของคุณเข้าใจข้อมูลที่พวกเขาทิ้งไว้

การประเมินความเสี่ยง

• ทีมผู้เชี่ยวชาญด้านการปกป้องข้อมูลของคุณต้องเตรียมการประเมินความเสี่ยง ซึ่งเป็นเอกสารที่พวกเขาควรระบุว่าบริษัทเก็บรวบรวมข้อมูลเฉพาะใดบ้าง วิธีและการประมวลผลเหล่านี้เพื่ออะไร
• คุณให้การวิเคราะห์ความเสี่ยง พบจุดอ่อนที่อาจเกิดขึ้น และคาดการณ์การกระทำของคุณหากมีสิ่งผิดปกติเกิดขึ้น

เอกสารนี้ไม่จำเป็นต้องอัปโหลดไปยังเว็บไซต์ของคุณ แต่อาจเป็นพื้นฐานที่ถูกต้องตามกฎหมายสำหรับการกระทำของคุณเมื่อคุณได้รับการร้องเรียน

ให้เรารวบรวมสรุป GDPR

ปัจจุบัน GDPR ยังอยู่ในช่วงเริ่มต้นและจะพัฒนาไปตามเวลา อย่างไรก็ตาม ปัจจุบันนี้ถือเป็นการแสดงไมตรีต่อลูกค้าของคุณในแง่ของแนวโน้มระดับโลกสู่ความโปร่งใสทางธุรกิจ

• ให้ลูกค้าของคุณตัดสินใจว่าจะทิ้งข้อมูลส่วนบุคคลประเภทใด
• ช่วยให้พวกเขารู้ว่าข้อมูลของพวกเขาสามารถประมวลผลได้ด้วยเหตุผลใดและด้วยเหตุผลใด
• แจ้งให้พวกเขาทราบว่าพวกเขาสามารถขอข้อมูลส่วนบุคคล เพิกถอนความยินยอมหรือยกเลิกการสมัครได้อย่างไร
• โปรดใช้ภาษาที่เรียบง่ายเมื่อคุณพูดกับผู้ชมของคุณ – ไม่จำเป็นต้องขอให้นักเขียนคำโฆษณาของคุณใช้คำศัพท์ที่ไร้ประโยชน์นับพันที่ไม่มีใครเข้าใจ
• ออกแบบแบบฟอร์มยินยอมของคุณใหม่
• กำหนดเป้าหมายผู้ชมการตลาดทางอีเมลของคุณอย่างระมัดระวัง
• กำหนดความรับผิดชอบสำหรับเจ้าหน้าที่คุ้มครองข้อมูลของคุณ เปิดใช้งานที่อยู่อีเมลแยกต่างหาก
• เก็บบันทึกข้อมูลผู้ใช้ที่คุณได้รับและดำเนินการ
• อัปเดตข้อกำหนดในการให้บริการและไฟล์นโยบายความเป็นส่วนตัว

เราทราบดีว่าต้องใช้เวลาและทรัพยากร ซึ่งเราหวังว่าคุณจะพร้อมแล้วในตอนนี้ แต่การทำงานหนักและความพยายามของคุณเพื่อให้เป็นไปตามข้อกำหนดจะได้รับความไว้วางใจจากลูกค้า