8 ขั้นตอนในการปฏิบัติตาม GDPR กับเว็บไซต์ของคุณ

เผยแพร่แล้ว: 2022-02-24

ในปี 2018 สหภาพยุโรปได้ดำเนินการปฏิรูปการปกป้องข้อมูลหลายชุดที่เรียกว่ากฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) โดยพื้นฐานแล้ว GDPR ได้แทนที่กฎหมายคุ้มครองข้อมูลที่แตกต่างกันทั้งหมดด้วยกฎชุดเดียวที่บังคับใช้กับทุกรัฐในสหภาพยุโรป ธุรกิจจำนวนมากต้องเปลี่ยนนโยบายของตนเพื่อให้สอดคล้องกับ GDPR อย่างไรก็ตาม แม้จะอยู่ในช่วงการเปลี่ยนแปลง แต่ก็ยังมีความสับสนมากมายเกี่ยวกับกฎใหม่

GDPR คืออะไร และคุณจะทำให้ธุรกิจของคุณเป็นไปตามข้อกำหนดได้อย่างไร

สารบัญ

    ในบทความนี้ คุณจะได้เรียนรู้วิธีปฏิบัติตาม GDPR โดยไม่ต้องอ่านคำสั่งการปกป้องข้อมูลของสหภาพยุโรปแบบแห้ง เราจะช่วยให้คุณเข้าใจว่า GDPR คืออะไรและบอกคุณว่าคุณต้องดำเนินการอย่างไรเพื่อให้ไซต์ของคุณสอดคล้องกับ GDPR

    GDPR คืออะไร?

    GDPR เป็นคำสั่งคุ้มครองข้อมูลในสหภาพยุโรปที่ออกแบบมาเพื่อปกป้องความเป็นส่วนตัวทางออนไลน์ของพลเมืองสหภาพยุโรป มันควบคุมวิธีการใช้ข้อมูลส่วนบุคคลและประเภทของข้อมูลที่เว็บไซต์สามารถรวบรวมเกี่ยวกับคุณ แม้ว่าจะเป็นข้อบังคับของสหภาพยุโรป แต่ GDPR ก็มีผลกับเว็บไซต์ทั้งหมดที่เข้าถึงโดยผู้ใช้จากสหภาพยุโรป ด้วยเหตุนี้ เว็บไซต์และธุรกิจจึงต้องเป็นไปตาม GDPR หรือปิดกั้นการเข้าชมในสหภาพยุโรป

    ด้วยเหตุนี้ ประเด็นสำคัญของ GDPR ที่อาจส่งผลต่อธุรกิจของคุณมีดังนี้

    • ไซต์ของคุณต้องแจ้งให้ผู้เข้าชมทราบอย่างชัดเจนว่ากำลังรวบรวมข้อมูลส่วนบุคคลของพวกเขา
    • คุณต้องเปิดเผยวิธีการและเหตุผลที่ข้อมูลของพวกเขาถูกรวบรวมและจัดเก็บ
    • หากผู้ใช้ขอให้คุณลบข้อมูลส่วนบุคคลที่คุณรวบรวม คุณต้องปฏิบัติตามคำขอโดยส่วนใหญ่
    • ผู้ใช้ยังสามารถขอสำเนาข้อมูลส่วนบุคคลทั้งหมดที่คุณเก็บไว้
    • หากกิจกรรมหลักอย่างหนึ่งของธุรกิจของคุณคือการรวบรวมและจัดเก็บข้อมูลส่วนบุคคล คุณต้องจ้างเจ้าหน้าที่คุ้มครองข้อมูล
    • หากเว็บไซต์ของคุณถูกละเมิดและข้อมูลส่วนบุคคลของผู้ใช้ของคุณรั่วไหล คุณมีเวลา 72 ชั่วโมงในการรายงานการละเมิด
    • การละเมิดกฎระเบียบ GDPR อาจทำให้ต้องเสียค่าปรับสูงถึง 20 ล้านยูโร (~24 ล้านดอลลาร์) หรือ 4% ของมูลค่าการซื้อขายประจำปีของบริษัทของคุณ

    วัตถุประสงค์หลักของ GDPR คือการปกป้องผู้คนและข้อมูลส่วนบุคคลของพวกเขาจากการละเมิดข้อมูล คำถามคือ ข้อมูลประเภทใดที่อยู่ภายใต้ GDPR

    ประเภทของข้อมูลที่ควบคุมโดย GDPR

    ไม่ว่าคุณจะสร้างเว็บไซต์ตั้งแต่เริ่มต้นหรือใช้ธีม WordPress เว็บไซต์ของคุณจะรวบรวมข้อมูลประเภทต่างๆ เว็บไซต์รวบรวมข้อมูลในรูปแบบต่างๆ รวมถึงผ่านการวิเคราะห์ แบบฟอร์ม WordPress แบบฟอร์มการสมัคร แบบฟอร์มการติดต่อ และแคมเปญการตลาดทางอีเมล

    กล่าวโดยย่อ ข้อมูลส่วนบุคคลทั้งหมดอยู่ภายใต้ GDPR แต่เราสามารถแบ่งออกเป็นประเภทต่อไปนี้ได้:

    • ข้อมูลทางพันธุกรรมและสุขภาพ
    • ข้อมูลไบโอเมตริกซ์
    • มุมมองทางการเมืองและ/หรือศาสนา
    • เชื้อชาติ ชาติพันธุ์ และเพศ
    • ข้อมูลเว็บ เช่น ที่อยู่ IP และข้อมูลคุกกี้

    ตราบใดที่ธุรกิจของคุณเก็บข้อมูลดังกล่าวของพลเมืองสหภาพยุโรป เว็บไซต์ของคุณจะต้องเป็นไปตาม GDPR โปรดจำไว้ว่าสิ่งนี้มีผลบังคับใช้แม้ว่าคุณจะไม่มีสถานะภายในเขตแดนของสหภาพยุโรปก็ตาม

    ขั้นตอนที่จำเป็นเพื่อให้เป็นไปตาม GDPR

    เมื่อคุณอ่านเกี่ยวกับความรับผิดชอบของคุณในฐานะเจ้าของเว็บไซต์ คุณอาจรู้สึกหนักใจและตัดสินใจว่าจะบล็อกการเข้าชมในสหภาพยุโรปทั้งหมดได้ง่ายขึ้น อย่าให้ GDPR กีดกันคุณ ด้านล่างนี้คือขั้นตอนหลักที่คุณต้องดำเนินการเพื่อให้สอดคล้องกับ GDPR

    1. ปรับปรุงนโยบายความเป็นส่วนตัวของคุณ

    มีความโปร่งใสในการรวบรวม จัดเก็บ และแบ่งปันข้อมูล เว็บไซต์ของคุณควรมีนโยบายความเป็นส่วนตัวโดยละเอียดซึ่งอธิบายแนวทางปฏิบัติในการรวบรวมข้อมูล การปกป้องข้อมูล การใช้คุกกี้ และการแบ่งปันข้อมูลอย่างชัดเจน นโยบายความเป็นส่วนตัวที่ดีอย่างน้อยควรมีประเด็นต่อไปนี้:

    • คุณไม่ได้ขายข้อมูลส่วนตัวของผู้ใช้
    • คุณไม่เปิดเผยข้อมูลส่วนตัวเว้นแต่กฎหมายจะบังคับคุณ
    • ประเภทของข้อมูลที่คุณรวบรวม
    • เหตุผลที่คุณรวบรวมข้อมูลและวิธีใช้งาน
    • วิธีที่คุณปกป้องข้อมูลผู้ใช้
    • ปลั๊กอินของคุณรวบรวมและใช้ข้อมูลอย่างไร

    มีความชัดเจนมากที่สุดโดยใช้ภาษาง่ายๆ ที่ไม่เหลือที่ว่างสำหรับการตีความ และคุณจะมีนโยบายความเป็นส่วนตัวที่โปร่งใสชัดเจน

    2. สร้างประกาศเกี่ยวกับการรวบรวมคุกกี้

    ตาม GDPR คุกกี้นับเป็นข้อมูลส่วนบุคคล ดังนั้นคุณต้องขอความยินยอมจากผู้ใช้ก่อนใช้ข้อมูลคุกกี้ วางประกาศเกี่ยวกับการรวบรวมคุกกี้อย่างชัดเจนบนเว็บไซต์ของคุณ และตรวจสอบให้แน่ใจว่าคุณอนุญาตให้ผู้ใช้เข้าถึงเว็บไซต์ของคุณ แม้ว่าพวกเขาจะไม่ได้ให้ความยินยอมก็ตาม ผู้ใช้ของคุณควรมีวิธีง่ายๆ ในการเพิกถอนความยินยอมเมื่อใดก็ได้

    3. แสดงประกาศในแบบฟอร์มเว็บไซต์ทั้งหมด

    เป็นแนวทางปฏิบัติมาตรฐานในการรวบรวมข้อมูลผู้ใช้บางส่วนผ่านแบบฟอร์มการส่งประเภทต่างๆ หากคุณต้องการรวบรวมที่อยู่อีเมลและรายละเอียดอื่นๆ ต่อไป ให้โพสต์ประกาศการรวบรวมข้อมูล อย่ารวบรวมข้อมูลใด ๆ ก่อนจุดนั้นและโดยปราศจากการรับรู้ของผู้ใช้ มิฉะนั้น ธุรกิจของคุณอาจได้รับค่าปรับจำนวนมากสำหรับการละเมิด GDPR

    ใช้ถ้อยคำให้ชัดเจนที่สุดและเสนอรายละเอียดที่สำคัญทั้งหมดเกี่ยวกับการรวบรวมข้อมูล คุณควรหลีกเลี่ยงการใช้กล่องกาเครื่องหมายที่ทำเครื่องหมายไว้ล่วงหน้า ผู้ใช้ต้องเข้าใจว่าการเก็บรวบรวมข้อมูลเป็นทางเลือกและต้องได้รับความยินยอมจากพวกเขา

    4. ตรวจสอบให้แน่ใจว่าปลั๊กอินทั้งหมดเป็นไปตาม GDPR

    หากคุณกำลังใช้ปลั๊กอินของบุคคลที่สามที่รวบรวมข้อมูล เช่น Google Analytics คุณต้องทำให้ข้อมูลไม่ระบุตัวตน การดำเนินการด้วยตนเองอาจเป็นเรื่องยาก แต่คุณสามารถหาปลั๊กอินที่สอดคล้องกับ GDPR ที่จัดการกระบวนการนี้ให้คุณได้ เพียงค้นหาเครื่องมือที่มีการตั้งค่าการปฏิบัติตามข้อกำหนดของ GDPR

    5. ใช้ Double Opt-in

    GDPR ไม่ได้กำหนดให้การเลือกใช้ซ้ำซ้อนเป็นข้อบังคับ แต่ขอแนะนำอย่างยิ่งให้ใช้ตัวเลือกเหล่านี้ การเลือกเข้าร่วมสองครั้งหมายความว่าคุณขอให้ผู้ใช้สองครั้งเพื่อรับทราบว่าพวกเขาให้ความยินยอมในการรวบรวมข้อมูล นี่เป็นสิ่งสำคัญอย่างยิ่งสำหรับการสมัครรับรายชื่ออีเมล

    หากต้องการเพิ่มการเข้าร่วมสองครั้ง คุณต้องขอความยินยอมผ่านแบบฟอร์มการสมัครของเว็บไซต์ก่อน จากนั้นผู้ใช้ควรยินยอมเป็นครั้งที่สองโดยคลิกลิงก์ที่ได้รับทางอีเมล

    การใช้ตัวเลือกสองครั้งแสดงว่าคุณทุ่มเทให้กับการปกป้องข้อมูลและความเป็นส่วนตัว และยังช่วยให้เจ้าหน้าที่สามารถพิสูจน์เพิ่มเติมว่าไซต์ของคุณสอดคล้องกับ GDPR

    6. เพิ่ม Unsubscribe Links

    รวมลิงก์ยกเลิกการสมัครที่อ่านง่ายพร้อมกับทุกการสื่อสารที่คุณส่งถึงสมาชิกของคุณ การยกเลิกการสมัครจากรายชื่อผู้รับจดหมายของคุณควรเป็นกระบวนการที่ง่ายและรวดเร็ว

    7. ลบข้อมูลส่วนบุคคลตามคำขอ

    GDPR ให้สิทธิ์ผู้ใช้ที่จะถูกลืม ซึ่งหมายความว่าพวกเขาสามารถร้องขอให้ลบข้อมูลได้ตลอดเวลา ทำตามที่ขอเสมอ ซึ่งรวมถึงการลบผู้ใช้ของคุณออกจากรายชื่อรับเมล การลบบัญชีของพวกเขา และการลบข้อมูลส่วนบุคคลใดๆ ที่คุณมีเกี่ยวกับพวกเขา แม้แต่โพสต์บนบล็อกและความคิดเห็นในฟอรัมก็นับเป็นข้อมูลส่วนบุคคลและควรลบออกหากมีการร้องขอ

    8. อย่าซื้อรายชื่อผู้รับจดหมาย

    ไม่แนะนำให้ซื้อรายชื่อส่งเมล เนื่องจากคุณอาจละเมิด GDPR ในกรณีส่วนใหญ่ คุณไม่สามารถแน่ใจได้ว่าที่อยู่อีเมลเหล่านั้นถูกรวบรวมโดยได้รับความยินยอมจากผู้ใช้หรือไม่

    ที่กล่าวว่าหากคุณยังคงมุ่งมั่นที่จะซื้อรายชื่อผู้รับจดหมาย ให้ตรวจสอบให้แน่ใจว่าคุณได้รวมลิงก์ยกเลิกการสมัครรับข่าวสารกับอีเมลทุกฉบับที่คุณส่งเป็นอย่างน้อย

    การปฏิบัติตาม GDPR นั้นคุ้มค่า

    เปิดเว็บไซต์และธุรกิจของคุณสำหรับพลเมืองสหภาพยุโรปโดยทำตามขั้นตอนทั้งหมดข้างต้น การปฏิบัติตามข้อกำหนดของ GDPR อาจฟังดูท้าทายในตอนแรก แต่ก็ไม่ได้ยากขนาดนั้น ส่วนใหญ่เกี่ยวข้องกับความโปร่งใสในการรวบรวมข้อมูลและขอความยินยอม เป็นโบนัส ผู้ใช้นอกสหภาพยุโรปจะเห็นว่าธุรกิจของคุณให้ความสำคัญกับความเป็นส่วนตัวและการปกป้องข้อมูล และพวกเขาจะมีแนวโน้มที่จะไว้วางใจคุณมากขึ้น