สถานะของ GDPR ในปี 2021: การอัปเดตที่สำคัญและความหมาย

เผยแพร่แล้ว: 2022-03-10
สรุปโดยย่อ ↬ ในฐานะผู้ปฏิบัติงานด้านดิจิทัล GDPR ได้ส่งผลกระทบต่อทุกแง่มุมของชีวิตการทำงานและชีวิตส่วนตัวของเรา ไม่ว่าคุณจะติด Instagram ส่งข้อความถึงครอบครัวบน WhatsApp ซื้อสินค้าจาก Etsy หรือข้อมูลของ Google ก็ไม่มีใครหนีกฎเกณฑ์ที่เปิดตัวในปี 2018 ได้

คำสั่งของสหภาพยุโรปส่งผลกระทบต่อมืออาชีพด้านดิจิทัลแทบทุกคน เนื่องจากผลิตภัณฑ์และบริการได้รับการออกแบบโดยคำนึงถึง GDPR ไม่ว่าคุณจะเป็นบริษัทออกแบบเว็บไซต์ในวิสคอนซินหรือนักการตลาดในมอลตา ความ หมายในวงกว้างของ GDPR ไม่เพียงแต่ส่งผลกระทบต่อวิธีการประมวลผลข้อมูล วิธีสร้างผลิตภัณฑ์ และวิธีการถ่ายโอนข้อมูลอย่างปลอดภัยภายในและระหว่างองค์กร มันกำหนดข้อตกลงการถ่ายโอนข้อมูลระหว่างประเทศเช่นนั้นระหว่างยุโรปและอเมริกา

Kevin Kelly หนึ่งในนักอนาคตดิจิทัลที่ฉลาดที่สุดในโลก อ้างว่า 'เทคโนโลยีเป็นพลังที่ยิ่งใหญ่เท่ากับธรรมชาติ' สิ่งที่เขาหมายถึงคือข้อมูลผู้ใช้และเทคโนโลยีสารสนเทศทำให้เกิดช่วงเวลาที่ลึกซึ้งที่สุดช่วงเวลาหนึ่งในประวัติศาสตร์ของมนุษย์นับตั้งแต่มีการประดิษฐ์ภาษา แค่ดูว่าเกิดอะไรขึ้นในขณะที่รัฐบาลและบริษัทข้ามชาติด้านเทคโนโลยีต่อสู้กันเพื่อควบคุมอินเทอร์เน็ต

เมื่อสัปดาห์ที่แล้วเพียงสัปดาห์เดียว รัฐบาลออสเตรเลียบังคับให้เจ้าของแพลตฟอร์มจ่ายเงินให้กับผู้เผยแพร่เนื้อหาที่แชร์บนแพลตฟอร์มของตน Facebook ตัดสินใจบล็อกข่าวไปยังผู้ใช้ชาวออสเตรเลียด้วยความโกลาหลครั้งใหญ่จากรัฐบาลออสเตรเลีย

และนั่นก็นอกเหนือจากการทะเลาะวิวาทก่อนหน้านี้ (องค์กรของการจลาจลของรัฐสภาสหรัฐฯ, เรื่องอื้อฉาวของ Cambridge Analytica) ที่สี่แยกที่รัฐบาลและเทคโนโลยีมาบรรจบกัน

ในบทความนี้ เราจะมาดูกันว่า GDPR มีวิวัฒนาการมาอย่างไรตั้งแต่ปี 2018 เราจะดำเนินการอัปเดตบางส่วนจากสหภาพยุโรป การพัฒนาที่สำคัญบางส่วน และที่ที่ GDPR มีแนวโน้มที่จะพัฒนา เราจะสำรวจ ความหมายสำหรับเรา ในฐานะนักออกแบบและนักพัฒนา และเราจะมาดูกันว่ามันมีความหมายต่อบริษัททั้งในและนอกสหภาพยุโรปอย่างไร

ในบทความถัดไป เราจะเน้นที่ความยินยอมของคุกกี้และความขัดแย้งที่นักการตลาดต้องพึ่งพาข้อมูลคุกกี้ของ Google Analytics เป็นอย่างมาก แต่ต้องปฏิบัติตามข้อบังคับ จากนั้นเราจะเจาะลึกในการติดตามโฆษณาของบุคคลที่หนึ่งเมื่อเราเริ่มเห็นการย้ายออกจากคุกกี้ของบุคคลที่สาม

  • ส่วนที่ 1: GDPR การอัปเดตที่สำคัญและความหมาย
  • ส่วนที่ 2: ความยินยอมของคุกกี้สำหรับนักออกแบบและนักพัฒนา

สรุปย่อของ GDPR

เริ่มต้นด้วยการเตือนตัวเองว่า GDPR คืออะไร GDPR กลายเป็นกฎหมายภายในสหภาพยุโรปเมื่อวันที่ 25 พฤษภาคม 2018 โดยยึดตามหลักการสำคัญ 7 ประการ:

  1. ถูกต้องตามกฎหมาย เป็นธรรม และโปร่งใส
    คุณต้องประมวลผลข้อมูลเพื่อให้ผู้คนเข้าใจว่าคุณกำลังประมวลผลข้อมูลของตนอย่างไร อย่างไร และทำไม
  2. ข้อจำกัดวัตถุประสงค์
    คุณควรรวบรวมข้อมูลเพื่อวัตถุประสงค์ที่ชัดเจน ระบุชัดเจน และชอบด้วยกฎหมายเท่านั้น คุณไม่สามารถดำเนินการในลักษณะที่ไม่สอดคล้องกับวัตถุประสงค์เดิมของคุณ
  3. การลดขนาดข้อมูล
    คุณควรรวบรวมข้อมูลที่คุณต้องการเท่านั้น
  4. ความแม่นยำ
    ข้อมูลของคุณต้องถูกต้องและเป็นปัจจุบันอยู่เสมอ ข้อมูลที่ไม่ถูกต้องควรถูกลบหรือแก้ไข
  5. ข้อจำกัดในการจัดเก็บ
    หากข้อมูลสามารถเชื่อมโยงกับบุคคลได้ คุณสามารถเก็บไว้ได้นานเท่าที่จำเป็นเพื่อดำเนินการตามวัตถุประสงค์ที่คุณระบุ (คำเตือนสำหรับการใช้การวิจัยทางวิทยาศาสตร์ สถิติ หรือประวัติศาสตร์)
  6. ความซื่อสัตย์และการรักษาความลับ (เช่น ความปลอดภัย)
    คุณต้องตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลที่คุณถืออยู่ได้รับการประมวลผลอย่างปลอดภัย คุณต้องปกป้องมันจากการประมวลผลโดยไม่ได้รับอนุญาตหรือผิดกฎหมาย และจากการสูญหาย การทำลาย หรือความเสียหายโดยไม่ได้ตั้งใจ
  7. ความรับผิดชอบ
    ตอนนี้คุณมีหน้าที่รับผิดชอบต่อข้อมูลที่คุณถือครอง และควรจะสามารถแสดงให้เห็นถึงการปฏิบัติตาม GDPR ของคุณได้
แผนภาพแสดงหลักเจ็ดประการของ GDPR: ความถูกต้องตามกฎหมาย ความสมบูรณ์ การจัดเก็บและข้อจำกัดวัตถุประสงค์ การลดขนาดและความถูกต้องของข้อมูล และความรับผิดชอบ - ซ้อนทับด้วยความโปร่งใส ความเป็นส่วนตัว และการควบคุม
หลักการของ GDPR อยู่บนพื้นฐานของความโปร่งใส ความเป็นส่วนตัว และการควบคุมของผู้ใช้ (เครดิตรูปภาพ: Cyber-Duck) (ตัวอย่างขนาดใหญ่)

คำจำกัดความบางอย่าง

  • CJEU
    ศาลยุติธรรมแห่งสหภาพยุโรป คำตัดสินของศาลนี้ชี้แจงกฎหมายของสหภาพยุโรปเช่น GDPR
  • DPAs
    หน่วยงานคุ้มครองข้อมูลแห่งชาติ แต่ละประเทศในสหภาพยุโรปมีหนึ่งประเทศ GDPR ถูกบังคับใช้และออกค่าปรับที่ระดับชาติโดยหน่วยงานเหล่านี้ เทียบเท่าในสหราชอาณาจักรคือ Information Commissioner's Office (ICO) ในสหรัฐอเมริกา ความเป็นส่วนตัวของข้อมูลในรูปแบบ GDPR ส่วนใหญ่ออกกฎหมายโดยแต่ละรัฐ
  • คณะกรรมาธิการยุโรป
    ฝ่ายบริหารของสหภาพยุโรป (โดยพื้นฐานแล้วคือข้าราชการพลเรือนของสหภาพยุโรป) คณะกรรมาธิการยุโรปร่างกฎหมายรวมทั้ง GDPR
  • GDPR
    ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไปปี 2018

การอัปเดตที่สำคัญจากสหภาพยุโรป

GDPR ไม่หยุดนิ่งตั้งแต่เดือนพฤษภาคม 2018 ต่อไปนี้คือภาพรวมคร่าวๆ ของสิ่งที่เกิดขึ้นตั้งแต่มีผลบังคับใช้

สหภาพยุโรปและประเทศสมาชิกดำเนินการตาม GDPR อย่างไร

คณะกรรมาธิการยุโรปรายงานว่า GDPR ถูกนำไปใช้เกือบทั่วทั้งสหภาพยุโรป แม้ว่าบางประเทศ – การตรวจสอบชื่อสโลวีเนีย – ได้ลากเท้าของพวกเขา อย่างไรก็ตาม ความลึกของการดำเนินการแตกต่างกันไป สหภาพยุโรปยังกล่าวอีกว่า ในความเห็นของสหภาพยุโรป ประเทศสมาชิกกำลังใช้อำนาจใหม่ของตนอย่างเป็นธรรม

อย่างไรก็ตาม ยังแสดงความกังวลด้วยว่าความแตกแยกและการกระจายตัวกำลังคืบคลานเข้ามา GDPR สามารถทำงานได้อย่างมีประสิทธิภาพในตลาดเดียวของสหภาพยุโรปเท่านั้น หากรัฐสมาชิกมีความสอดคล้อง กัน หากกฎแตกต่าง จะทำให้น้ำขุ่น

สหภาพยุโรปต้องการให้ GDPR พัฒนาอย่างไร?

เรารู้ว่าสหภาพยุโรปต้องการให้แต่ละบุคคลใช้สิทธิ์ของตนภายใต้ GDPR ได้ง่ายขึ้น นั่นหมายถึงการทำงานร่วมกันข้ามพรมแดนและ การดำเนินคดี แบบกลุ่ม ต้องการเห็นการพกพาข้อมูลสำหรับผู้บริโภคนอกเหนือจากการธนาคารและโทรคมนาคม

นอกจากนี้ ยังต้องการให้องค์กรขนาดกลางและขนาดย่อม ( SMEs ) ปฏิบัติตาม GDPR ได้ง่ายขึ้น มีแนวโน้มว่าจะมาอยู่ในรูปแบบของการสนับสนุนและเครื่องมือเพิ่มเติม เช่น ข้อสัญญาที่เป็นมาตรฐานมากขึ้น ซึ่งเป็นแม่แบบทางกฎหมายที่ SME สามารถคัดลอก/วางลงในสัญญาได้ เนื่องจากสหภาพยุโรปไม่กระตือรือร้นที่จะฝ่าฝืนกฎสำหรับพวกเขา

การพัฒนาครั้งใหญ่ #1: คำจำกัดความที่กว้างอย่างไม่คาดคิดของ 'ตัวควบคุมร่วม'

ใช่แล้ว นี่คือการเปลี่ยนแปลงครั้งใหญ่ครั้งแรกนับตั้งแต่ GDPR กลายเป็นกฎหมาย ในสองกรณีทดสอบที่เกี่ยวข้องกับ Facebook ศาลยุติธรรมแห่งสหภาพยุโรปได้กำหนดการตีความ 'ผู้ควบคุมร่วม' ที่กว้างกว่าที่คาดไว้

สถานการณ์ ผู้ควบคุมร่วม เกิดขึ้นเมื่อผู้ควบคุมสองคนขึ้นไปมีความรับผิดชอบในการปฏิบัติตามข้อกำหนดของ GDPR (นี่คือคำอธิบายที่ดีจาก ICO เกี่ยวกับตัวควบคุมร่วม) โดยพื้นฐานแล้ว:

  • เมื่อคุณประมวลผลข้อมูลลูกค้า คุณต้องตัดสินใจร่วมกับผู้ควบคุมร่วมซึ่งจะจัดการแต่ละขั้นตอนเพื่อให้คุณปฏิบัติตาม GDPR
  • อย่างไรก็ตาม คุณมี หน้าที่รับผิดชอบอย่างเต็มที่ในการตรวจสอบให้แน่ใจว่ากระบวนการทั้งหมดเป็นไปตามข้อกำหนด คุณแต่ละคนมีหน้าที่รับผิดชอบอย่างเต็มที่ต่อหน่วยงานคุ้มครองข้อมูลในประเทศที่จัดการเรื่องร้องเรียนใดๆ
  • บุคคลสามารถร้องเรียนต่อผู้ควบคุมร่วมแต่ละคนและทุกคนได้
  • คุณทั้งหมดต้องรับผิดชอบต่อความเสียหายที่เกิดขึ้น เว้นแต่คุณจะสามารถพิสูจน์ได้ว่าคุณไม่มีส่วนเกี่ยวข้องกับเหตุการณ์ที่ทำให้เกิดความเสียหาย
  • บุคคลสามารถขอค่าชดเชยจากผู้ควบคุมร่วมคนใดก็ได้ คุณอาจสามารถเรียกคืนค่าชดเชยบางส่วนจากเพื่อนผู้ควบคุมของคุณได้

ในกรณี Facebook ครั้งแรก CJEU ยืนยันว่าบริษัทที่ดำเนินการแฟนเพจ Facebook นับเป็นตัวควบคุมร่วมควบคู่ไปกับ Facebook ในครั้งที่สอง CJEU ยังยืนยันว่า บริษัท ที่ฝังปุ่ม Facebook Like ไว้บนเว็บไซต์ของตนมีสถานะตัวควบคุมร่วมกับเครือข่ายสังคมออนไลน์

กรณีเหล่านี้ส่งคลื่นกระแทกผ่านชุมชนความเป็นส่วนตัว เนื่องจากทำให้ผู้เผยแพร่โซเชียล ผู้ดำเนินการเว็บไซต์ และผู้ดูแลแฟนเพจรับผิดชอบข้อมูลผู้ใช้ควบคู่ไปกับแพลตฟอร์มเช่น Facebook

อย่างไรก็ตาม CJEU ยังชี้แจงด้วยว่าความ รับผิดชอบร่วมกันไม่ได้หมายถึงความรับผิดชอบที่เท่าเทียมกัน ในทั้งสองกรณี ความรับผิดชอบอยู่ที่ Facebook เป็นหลัก — มีเพียง Facebook เท่านั้นที่สามารถเข้าถึงข้อมูลและมีเพียง Facebook เท่านั้นที่สามารถลบได้ ดังนั้นผลกระทบของการตัดสินใจนี้อาจรุนแรงน้อยกว่าในตอนแรก แต่ก็ยังมีความสำคัญอย่างยิ่ง

และนั่นอาจเป็นสาเหตุว่าทำไมบางไซต์ เช่น เว็บไซต์สำหรับตำแหน่งประธานาธิบดีของสหภาพยุโรปในปี 2020 ของเยอรมนี จึงบล็อกเนื้อหาโซเชียลที่ฝังไว้ตามค่าเริ่มต้น จนกว่าคุณจะเลือกเข้าร่วมโดยเฉพาะ:

Screengrab ของ eu2020.de แสดงเนื้อหาฟีดโซเชียลถูกบล็อกจนกว่าจะเปิดการติดตามของบุคคลที่สาม
บางไซต์เริ่มบล็อกฟีดโซเชียลที่ฝังไว้ไม่ให้ปรากฏบนไซต์ของตนโดยค่าเริ่มต้น ทำให้ผู้ใช้มีตัวเลือกในการติดตาม (ตัวอย่างขนาดใหญ่)

การพัฒนาครั้งใหญ่ #2: Bye Bye Privacy Shield สวัสดี CPRA

การเปลี่ยนแปลงครั้งใหญ่ครั้งที่สองนั้นคาดเดาได้ง่ายกว่า: Privacy Shield ซึ่งเป็นกลไกที่ทำให้ธุรกิจอเมริกันสามารถประมวลผลข้อมูลลูกค้าในยุโรปได้ง่ายขึ้นนั้นถูกศาลตัดสินลงโทษ

นี่คือเหตุผล

สหภาพยุโรปต้องการปกป้องข้อมูลส่วนบุคคลของพลเมือง อย่างไรก็ตาม ยังต้องการส่งเสริมการค้าระหว่างประเทศ บวกกับความร่วมมือข้ามพรมแดนในด้านต่างๆ เช่น ความปลอดภัย

สหภาพยุโรปมองว่าตัวเอง – ค่อนข้างถูกต้อง – เป็นผู้บุกเบิกการปกป้องข้อมูล ดังนั้นจึงใช้กล้ามเนื้อทางการเมืองเพื่อส่งเสริมประเทศที่ต้องการแลกเปลี่ยนกับกลุ่มเพื่อให้ตรงกับมาตรฐานความเป็นส่วนตัวของข้อมูล

เข้าประเทศสหรัฐอเมริกา ปรัชญาของยุโรปและอเมริกาเกี่ยวกับความเป็นส่วนตัวของข้อมูลนั้น ตรงกันข้าม อย่างสิ้นเชิง (โดยพื้นฐานแล้ว มุมมองของยุโรปคือข้อมูลส่วนบุคคลนั้นเป็นส่วนตัว เว้นแต่คุณจะอนุญาตอย่างชัดแจ้ง มุมมองแบบอเมริกันคือข้อมูลของคุณเป็นแบบสาธารณะ เว้นแต่คุณจะร้องขออย่างชัดแจ้งให้เก็บเป็นส่วนตัว) แต่ในฐานะที่เป็นตลาดผู้บริโภคที่ใหญ่ที่สุดสองแห่งของโลก พวกเขาจำเป็นต้อง ซื้อขาย. ดังนั้นสหภาพยุโรปและสหรัฐอเมริกาจึงได้พัฒนา Privacy Shield

Privacy Shield ได้รับการออกแบบมาเพื่อให้บริษัทในสหรัฐอเมริกาสามารถประมวลผลข้อมูลของพลเมืองสหภาพยุโรป ตราบใดที่บริษัทเหล่านั้นลงนามในมาตรฐานความเป็นส่วนตัวที่สูงขึ้น

แต่ภายใต้กฎหมายของสหรัฐฯ รัฐบาลสหรัฐฯ ยังคงสามารถตรวจสอบข้อมูลดังกล่าวได้ สิ่งนี้ถูกท้าทายในกรณีที่นำโดย Max Schrems ผู้ให้การสนับสนุนด้านความเป็นส่วนตัวชาวออสเตรีย CJEU เข้าข้างเขา: Privacy Shield ถูกโจมตีและ SMEs อเมริกัน 5,300 รายที่ใช้ Privacy Shield ไม่มีทางเลือกอื่นนอกจากใช้มาตราสัญญามาตรฐานที่กำหนดของสหภาพยุโรป

เห็นได้ชัดว่าทุกคนสนใจที่จะ เปลี่ยน Privacy Shield — และมันจะเป็นอย่างนั้น แต่ผู้เชี่ยวชาญกล่าวว่าการเปลี่ยนทดแทนมีแนวโน้มที่จะถูกทำลายอีกครั้งในเวลาที่เหมาะสม เนื่องจากแนวทางความเป็นส่วนตัวของยุโรปและอเมริกานั้นไม่สอดคล้องกันโดยพื้นฐานแล้ว

ในขณะเดียวกัน ในแคลิฟอร์เนีย พระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคในแคลิฟอร์เนีย (CCPA) ที่ได้รับแรงบันดาลใจจาก GDPR ปี 2018 ได้รับการเสริมความแข็งแกร่งในเดือนพฤศจิกายน 2020 เมื่อมีการผ่านกฎหมายว่าด้วยสิทธิความเป็นส่วนตัวในแคลิฟอร์เนีย (CPRA)

พระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแห่งแคลิฟอร์เนีย (CCPA)

CCPA ซึ่งมีผลบังคับใช้ในเดือนมกราคม 2020 ให้ สิทธิ์แก่พลเมืองแคลิฟอร์เนียในการเลือกไม่ขายข้อมูลของตน พวกเขายังขอข้อมูลที่รวบรวมมาเพื่อเปิดเผยและขอให้ลบข้อมูลนั้นได้ CCPA ไม่เหมือนกับ GDPR ตรงที่ CCPA ใช้กับบริษัทเชิงพาณิชย์เท่านั้น:

  • ใครเป็นผู้ประมวลผลข้อมูลของชาวแคลิฟอร์เนียมากกว่า 50,000 คนต่อปี OR
  • ใครสร้างรายได้รวมมากกว่า $25ma ปี OR
  • ใครทำรายได้มากกว่าครึ่งต่อปีจากการขายข้อมูลส่วนบุคคลของผู้อยู่อาศัยในแคลิฟอร์เนีย

พระราชบัญญัติสิทธิความเป็นส่วนตัวของแคลิฟอร์เนีย (CPRA)

CPRA ซึ่งมีผลบังคับใช้ในเดือนมกราคม 2023 นั้น นอกเหนือไปจาก CCPA ประเด็นสำคัญ ได้แก่ :

  • ยกระดับมาตรฐานของบริษัทที่ประมวลผลข้อมูลของชาวแคลิฟอร์เนีย 100,000 คนต่อปี
  • ให้ การปกป้องข้อมูลที่ละเอียดอ่อนของชาวแคลิฟอร์เนีย มากขึ้น เช่น เชื้อชาติ ศาสนา รสนิยมทางเพศ และข้อมูลด้านสุขภาพและบัตรประจำตัวของทางราชการ
  • เพิ่มค่าปรับสามเท่าสำหรับการละเมิดข้อมูลของผู้เยาว์
  • ให้สิทธิ์ชาวแคลิฟอร์เนียในการขอให้แก้ไขข้อมูลของตน
  • กำหนดให้บริษัทต่างๆ ช่วยเหลือในการสืบสวนของ CPRA
  • และได้จัดตั้งหน่วยงานคุ้มครองความเป็นส่วนตัวแห่งแคลิฟอร์เนียเพื่อบังคับใช้ CPRA
กราฟิกสรุป CPRA
แคลิฟอร์เนียกำลังกระชับกฎหมายความเป็นส่วนตัวด้วย CPRA ซึ่งจะเปิดตัวในปี 2566 (ตัวอย่างขนาดใหญ่)

การผลักดันกฎหมายความเป็นส่วนตัวเพิ่มเติมเกิดขึ้นในรัฐอื่น ๆ และอาจส่งเสริมความจำเป็นในการใช้มาตรการความเป็นส่วนตัวของรัฐบาลกลางภายใต้การบริหารใหม่ของ Biden

การพัฒนาครั้งใหญ่ #3: ความยินยอมของคุกกี้

ในเดือนพฤษภาคม 2020 สหภาพยุโรปได้ปรับปรุงหลักเกณฑ์ GDPR เพื่อชี้แจงประเด็นต่างๆ รวมถึงประเด็นสำคัญสองประการสำหรับการยินยอมให้ใช้คุกกี้:

  • วอลล์คุกกี้ไม่ได้เสนอทางเลือกที่แท้จริงให้ผู้ใช้ เพราะหากคุณปฏิเสธคุกกี้ แสดงว่าคุณถูกบล็อกไม่ให้เข้าถึงเนื้อหา เป็นการยืนยันว่าไม่ควรใช้กำแพงคุกกี้
  • การเลื่อนหรือเลื่อนดูเนื้อหาเว็บ ไม่เท่ากับความยินยอมโดยนัย สหภาพยุโรปย้ำว่าความยินยอมจะต้องชัดเจน

ฉันจะเจาะลึกเรื่องนี้ในบทความที่สองในสัปดาห์หน้า

การแจ้งเตือนคุกกี้ Cyber-Duck ที่เปิดใช้งานการติดตามโฆษณาโดยค่าเริ่มต้น
สหภาพยุโรปได้ปรับปรุงคำแนะนำเกี่ยวกับการยินยอมคุกกี้ (ตัวอย่างขนาดใหญ่)

การพัฒนาครั้งใหญ่ #4: Google และ Apple เริ่มเปลี่ยนจากการติดตามของบุคคลที่สาม

ในขณะที่ผู้เล่นดิจิทัลรายใหญ่ค้นพบวิธีปฏิบัติตาม GDPR และวิธีเปลี่ยนกฎหมายความเป็นส่วนตัวให้เป็นประโยชน์ บางรายก็ถูกวิจารณ์อย่างหนัก

ทั้ง Google และ Apple กำลัง เผชิญกับการฟ้องร้องต่อต้านการผูกขาด ตามคำร้องเรียนจากบริษัท adtech และผู้จัดพิมพ์

ในทั้งสองกรณี ผู้ร้องเรียนกล่าวว่าบริษัทเทคโนโลยีขนาดใหญ่กำลังใช้ประโยชน์จากตำแหน่งทางการตลาดที่โดดเด่นของตน

อีกครั้งเพิ่มเติมเกี่ยวกับเรื่องนี้ในครั้งต่อไป

เพิ่มเติมหลังกระโดด! อ่านต่อด้านล่าง↓

การพัฒนาครั้งใหญ่ #5: ค่าปรับ GDPR ครั้งใหญ่กำลังมาทางนี้

แน่นอนว่า องค์กรจำนวนมากกระโดดขึ้นเพื่อปฏิบัติตาม GDPR เพราะกลัวว่าจะถูกปรับที่หน่วยงานกำกับดูแล ค่าปรับเหล่านั้นได้เริ่มกลิ้งใน:

ผู้ควบคุมข้อมูลของฝรั่งเศสได้ตำหนิ Google ด้วยค่าปรับ 50 ล้านยูโรสำหรับ "การขาดความโปร่งใส ข้อมูลไม่เพียงพอ และการขาดความยินยอมที่ถูกต้องเกี่ยวกับการปรับเปลี่ยนโฆษณาในแบบของคุณ" โดยกล่าวว่าผู้ใช้ "ไม่ได้รับข้อมูลเพียงพอ" เกี่ยวกับวิธีการและเหตุผลที่ Google เก็บรวบรวมข้อมูลของพวกเขา

ICO ที่เทียบเท่าในสหราชอาณาจักรได้ปรับกลุ่มบริษัทโรงแรมในสหรัฐฯ แมริออท อินเตอร์เนชั่นแนล อิงค์ 18.4 ล้านปอนด์ เนื่องจากไม่สามารถรักษาข้อมูลแขก 339 ล้านคนให้ปลอดภัย การโจมตีทางไซเบอร์ปี 2014 ที่ Starwood Hotels and Resorts Worldwide, Inc. ซึ่งแมริออทเข้าซื้อกิจการในปี 2559 ไม่ได้ถูกค้นพบจนกระทั่งปี 2018

ICO ของสหราชอาณาจักรได้ปรับ British Airways เป็นสถิติ 20 ล้านปอนด์สำหรับการละเมิดข้อมูลในปี 2018 ของข้อมูลส่วนบุคคลของลูกค้าและบัตรเครดิต 400,000 ราย

นั่นเป็นสิ่งที่ฉันโปรดปรานเป็นการส่วนตัว การละเมิดความไว้วางใจของพนักงานโดย H&M ที่น่าตกใจซึ่งนำไปสู่การลงโทษ 35 ล้านยูโร

นั่นคือจุดที่เรายืนอยู่ในวันนี้

สิ่งนี้มีความหมายต่อคุณอย่างไร?

ในฐานะนักออกแบบและนักพัฒนา GDPR มีผลกระทบอย่างมากต่อผลิตภัณฑ์ที่เราออกแบบและสร้าง และวิธีที่เราออกแบบข้อมูล

นี่คือสิ่งที่พวกเราในฐานะนักออกแบบควรรู้

  • GDPR มีความสำคัญสำหรับคุณ เนื่องจากคุณจะต้อง ออกแบบจุดที่ผู้ใช้แบ่งปันข้อมูล ข้อมูล ใดที่รวบรวม และวิธีการประมวลผล
  • ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความเป็นส่วนตัวด้วยการออกแบบ อย่าพยายามคิดค้นวงล้อใหม่ หากคุณได้สร้างแบนเนอร์คุกกี้ที่สอดคล้อง ให้ใช้รูปแบบการออกแบบที่ได้รับการพิสูจน์แล้วของคุณ
  • ทำงานร่วมกับทีมการปฏิบัติตามกฎระเบียบและการพัฒนาของคุณเพื่อให้แน่ใจว่าการออกแบบเป็นไปตาม GDPR และสามารถนำไปปฏิบัติได้ ขอข้อมูลที่คุณต้องการเท่านั้น
  • สุดท้าย ให้ถามผู้ใช้ของคุณว่าต้องการแบ่งปันข้อมูลใดและต้องการให้คุณใช้งานอย่างไร หากพวกเขาพบว่ามันน่าขนลุก ให้ทบทวนแนวทางของคุณอีกครั้ง

นี่คือสิ่งที่เราควรทราบในฐานะนักพัฒนาซอฟต์แวร์

  • GDPR มีความสำคัญสำหรับคุณ เนื่องจากคุณ เปิดใช้งานการประมวลผลข้อมูล การ แบ่งปัน และการรวมเข้าด้วยกัน
  • ตามกฎทั่วไปของ GDPR ให้ใช้แนวทางที่ จำเป็นในการเข้าถึง เริ่มต้นด้วยการนำทุกอย่างไปใช้โดยไม่มีสิทธิ์เข้าถึง จากนั้นให้สิทธิ์ทีมของคุณเข้าถึงข้อมูลเมื่อจำเป็นเท่านั้น (เช่น ให้นักพัฒนาเข้าถึงคอนโซล Google Analytics) ตรวจสอบและจัดทำเอกสารตามที่คุณไป
  • ปฏิบัติตามความเป็นส่วนตัวด้วยการออกแบบและความปลอดภัยตามหลักการออกแบบ เทมเพลตที่แข็งแกร่งและปลอดภัยสำหรับการติดตั้งโครงสร้างพื้นฐานคือกุญแจสำคัญ
  • ตรวจสอบให้แน่ใจว่าคุณมีส่วนร่วมอย่างตรงไปตรงมาเกี่ยวกับแง่มุมทางเทคนิค เช่น การยินยอมคุกกี้/การติดตามการสนทนา เพื่อให้สามารถดำเนินการตัดสินใจได้
  • การทำแผนที่กระบวนการ จะแสดงตำแหน่งที่มีการแบ่งปันข้อมูลกับส่วนต่างๆ ของธุรกิจ
  • ระบบอัตโนมัตินำเสนอการจัดการข้อมูลที่ปลอดภัยซึ่งช่วยลดความผิดพลาดของมนุษย์ นอกจากนี้ยังช่วยป้องกันมิให้มีคนเข้าถึงข้อมูลผิด
  • รายการตรวจสอบ GDPR และหนังสือที่จัดทำขึ้นโดยหลักสูตรจะช่วยคุณจัดการกระบวนการของคุณ อีกครั้ง ตรวจสอบและจัดทำเอกสารตามที่คุณไป

ตอนนี้เรามาดูกันว่า GDPR จะพัฒนาไปอย่างไรในอนาคตอันใกล้นี้ เราจะเน้นในสามด้าน

สามด้านที่ GDPR มีการพัฒนาอย่างรวดเร็ว

1. สหภาพยุโรปนำ GDPR ไปปฏิบัติอย่างไร

ก่อนอื่น เรามาดูกันว่า GDPR จะถูกฝังเพิ่มเติมในแนวกฎหมายได้อย่างไร

สหภาพยุโรปต้องการ ให้ประเทศสมาชิกมีความสอดคล้องกัน เพราะจะทำให้การฟ้องร้องข้ามพรมแดนและความร่วมมือระหว่างประเทศง่ายขึ้น ดังนั้นจึงได้ตอกย้ำว่าประเทศต่างๆ ไม่ควรหันเหความสนใจ และไม่ก้าวเกิน GDPR อย่างที่ฉันได้กล่าวไปแล้วว่าประเทศสมาชิกบางรัฐกำลังชำระค่าบริการตามระเบียบข้อบังคับ คนอื่นต้องการเกินมาตรฐานของ GDPR

เพื่อเป็นการตอบแทนสำหรับความสอดคล้องกัน สหภาพยุโรป จะบังคับใช้การปฏิบัติตาม ทำงานเพื่อเปิดใช้งานการดำเนินคดีแบบกลุ่มและการฟ้องร้องข้ามพรมแดนที่ถูกกว่า และยังส่งเสริมความเป็นส่วนตัวและมาตรฐานที่สอดคล้องกันนอกสหภาพยุโรป นอกเหนือจากการสนับสนุนและเครื่องมือเพิ่มเติมสำหรับ SMEs เรายังอาจเห็นการรับรองความปลอดภัยและการปกป้องข้อมูลตามการออกแบบ

ในที่สุด สิ่งนี้อาจทำให้คิ้วบางขึ้นใน Silicon Valley: EU ได้บอกเป็นนัยว่าอาจพิจารณา ห้ามการประมวลผลข้อมูลเพื่อสนับสนุนการปฏิบัติตาม ค่าปรับ 50 ล้านยูโรไม่ใช่จุดจบของโลกสำหรับ Google และผองเพื่อน แต่หมดเวลาสำหรับขั้นตอนซุกซน — และผลลัพธ์ที่ไม่ดี — เป็นสิ่งที่แตกต่างกันมาก

2. GDPR ทำงานร่วมกับนวัตกรรมอย่างไร

GDPR ได้รับการออกแบบมาให้เป็นกลางทางเทคโนโลยีและเพื่อสนับสนุนนวัตกรรมที่ไม่เป็นอุปสรรค แน่นอนว่าได้รับการทดสอบในช่วง 12 เดือนที่ผ่านมา และสหภาพยุโรปชี้ให้เห็นถึง การเปิดตัวแอพ COVID-19 อย่างรวดเร็ว เพื่อเป็นข้อพิสูจน์ว่ากฎหมายใช้งานได้

เราสามารถคาดหวังว่าจะได้เห็น หลักจรรยาบรรณสำหรับหมวดหมู่ข้อมูลที่ละเอียดอ่อน (การวิจัยด้านสุขภาพและวิทยาศาสตร์) เหล่านี้จะได้รับการต้อนรับ

อย่างไรก็ตาม พวกเขากำลังจับตาดูนักประดิษฐ์อย่างใกล้ชิด สหภาพยุโรปแสดงความกังวลเกี่ยวกับความเป็นส่วนตัวของข้อมูลในวิดีโอ อุปกรณ์ IoT และบล็อกเชน พวกเขากังวลเป็นพิเศษเกี่ยวกับการจดจำใบหน้า (และเสียงที่น่าจะเป็นไปได้) และพัฒนาการของ AI

ที่โดดเด่นที่สุดคือคณะกรรมาธิการกังวลอย่างมากเกี่ยวกับสิ่งที่เรียกว่า "บริษัทเทคโนโลยีข้ามชาติ", "แพลตฟอร์มดิจิทัลขนาดใหญ่" และ "การโฆษณาออนไลน์และการกำหนดเป้าหมายขนาดเล็ก" ใช่ มันกำลังมองมาที่คุณ Facebook, Amazon, Google และผองเพื่อนอีกครั้ง

3. วิธีการที่สหภาพยุโรปส่งเสริมมาตรฐาน GDPR นอกเหนือจากสหภาพยุโรป

เศรษฐกิจดิจิทัลของเราอยู่ในระดับโลก ดังนั้น GDPR จึงส่งผลกระทบเกินขอบเขตของสหภาพยุโรป ไม่ใช่แค่ในแง่ของการปฏิบัติตามข้อกำหนดเท่านั้น สหภาพยุโรปกำลังกำหนดมาตรฐานสำหรับกฎหมายคุ้มครองข้อมูลทั่วโลก นอกเหนือจาก CCPA ของแคลิฟอร์เนียแล้ว โปรดดู LGPD ของบราซิล รวมถึงการพัฒนาในแคนาดา ออสเตรเลีย อินเดีย และรัฐอื่นๆ ในอเมริกา

แน่นอนว่าสหภาพยุโรปจะสนใจหากประเทศอื่นๆ และกลุ่มการค้าตรงกับมาตรฐานของพวกเขา ดังนั้นจึงเป็นการ โปรโมต GDPR ผ่านหลายช่องทาง :

  • ผ่าน “การตัดสินใจร่วมกันอย่างพอเพียง” กับญี่ปุ่นและเกาหลีใต้ไม่นาน
  • รวมอยู่ในข้อตกลงการค้าทวิภาคี เช่น นิวซีแลนด์ ออสเตรเลีย สหราชอาณาจักร
  • ผ่านเวทีต่างๆ เช่น OECD, ASEAN, G7 และ G20
  • ผ่านสถาบันคุ้มครองข้อมูลสำหรับสหภาพยุโรปและหน่วยงานกำกับดูแลระหว่างประเทศ

มีความกระตือรือร้นอย่างยิ่งที่จะส่งเสริมนวัตกรรมผ่าน กระแสข้อมูลที่เชื่อถือได้ และเพื่อให้เกิดความร่วมมือระหว่างประเทศระหว่างหน่วยงานบังคับใช้กฎหมายและผู้ประกอบการเอกชน

สหภาพยุโรปเป็นผู้นำโลกในด้านการปกป้องข้อมูล ไปไหนคนอื่นก็จะตามมา ดังนั้น แม้ว่าคุณจะไม่ได้ออกแบบ/พัฒนาสำหรับผู้ชมในสหภาพยุโรป คุณก็ต้องตระหนักถึงสิ่งที่เกิดขึ้น

ทั้งหมดนี้หมายความว่าอย่างไรสำหรับบริษัทในสหภาพยุโรป?

บริษัทที่ดำเนินการในสหภาพยุโรป จำเป็นต้องปฏิบัติตาม GDPR หรือเสี่ยงต่อการถูกปรับ ค่าปรับเหล่านั้นอาจค่อนข้างหนักอย่างที่เราเห็น ดังนั้น คุณต้องสามารถแสดงให้เห็นว่าคุณปฏิบัติตามหลักการ 7 ประการของ GDPR และคำแนะนำเฉพาะจากหน่วยงานคุ้มครองข้อมูลแห่งชาติของคุณ

อย่างไรก็ตาม มันไม่ได้ตรงไปตรงมาอย่างที่คิด และคุณอาจเลือกที่จะประเมินความเสี่ยงของคุณในบางกรณี ฉันจะนำคุณผ่านตัวอย่างในครั้งต่อไป

สิ่งนี้หมายความว่าอย่างไรสำหรับบริษัทที่อยู่นอกสหภาพยุโรป?

นัยสำหรับบริษัทที่อยู่นอกสหภาพยุโรปจะ เหมือนกันทุกประการกับประเทศในสหภาพยุโรป หากพวกเขาประมวลผลข้อมูลส่วนบุคคลจากสหภาพยุโรป นั่นเป็นเพราะ GDPR ใช้กับข้อมูลส่วนบุคคลของผู้ที่อยู่ในสหภาพยุโรป หากคุณต้องการดำเนินการ เช่น ขายให้กับลูกค้าในสหภาพยุโรป คุณต้องปฏิบัติตามกฎ มิฉะนั้น คุณเสี่ยงที่จะถูกปรับ เช่น Facebook และ Google

วิธีการบังคับใช้ : หากคุณมีสถานะในสหภาพยุโรป เช่นเดียวกับที่บริษัทข้ามชาติหลายแห่งทำ และคุณไม่ต้องจ่ายค่าปรับ GDPR ทรัพย์สินในสหภาพยุโรปของคุณอาจถูกยึด หากคุณไม่มีตัวตน คุณต้องอยู่ภายใต้ GDPR ในการแต่งตั้งตัวแทนในสหภาพยุโรป ค่าปรับใด ๆ จะถูกเรียกเก็บผ่านตัวแทนนั้น หรือคุณอาจเผชิญกับ คดีฟ้องร้องระหว่างประเทศที่มีราคาแพงและซับซ้อน

และนี่คือสิ่งที่ซับซ้อนสำหรับทุกคน:

หากฐานลูกค้าของคุณมีผู้คนในสหภาพยุโรปและพลเมืองของสถานที่อื่นๆ ที่มีกฎหมายความเป็นส่วนตัว เช่น รัฐแคลิฟอร์เนีย คุณต้องปฏิบัติตามกฎหมายคุ้มครอง ความ เป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย (CCPA) และ GDPR โดยทั่วไปแล้ว กฎหมายชุดต่างๆ จะสอดคล้องกัน แต่ไม่ตรงกัน

ยกตัวอย่างคุกกี้ ภายใต้ GDPR คุณ ต้องได้รับความยินยอม จากผู้ใช้ก่อนที่จะวางคุกกี้บนอุปกรณ์ของพวกเขา ยกเว้นสิ่งที่จำเป็นสำหรับไซต์ของคุณในการทำงาน

อย่างไรก็ตาม ภายใต้ CCPA คุณต้องเปิดเผยข้อมูลที่คุณรวบรวม และเปิดใช้งานลูกค้าของคุณเพื่อปฏิเสธการอนุญาตให้คุณขายข้อมูลของพวกเขา แต่พวกเขาไม่จำเป็นต้องเห็นด้วยอย่างแข็งขันว่าคุณสามารถรวบรวมได้

นั่นเป็นเหตุผลที่สหภาพยุโรปกำลังผลักดันมาตรฐานสากลเพื่อลดความซับซ้อนของการปฏิบัติตามข้อกำหนดทั่วโลก

หมายเหตุ หากคุณอยู่ในสหรัฐอเมริกาและรอการเปลี่ยนมาใช้ Privacy Shield อย่างใจจดใจจ่อ คุณอาจต้องการเปลี่ยนจากหนังสือของ Microsoft แทน — พวกเขาและคนอื่นๆ ระบุว่าพวกเขาจะปฏิบัติตาม GDPR แทนที่จะพึ่งพากลไกทวิภาคีใด ๆ เพื่อเปิดใช้งาน การประมวลผลข้อมูล

นักออกแบบเว็บไซต์และนักพัฒนาสามารถเรียนรู้บทเรียนอะไรบ้างจาก GDPR

กฎระเบียบด้านความเป็นส่วนตัวยังคงมีผลบังคับใช้ และส่งผลต่อการจัดลำดับความสำคัญและขั้นตอนการทำงานทั้งหมดของเรา ต่อไปนี้เป็นบทเรียน 6 บทที่คุณควรจำไว้เมื่อคุณทำงานกับข้อมูลลูกค้า:

  1. เราต้องเร่งรีบเพื่อให้สอดคล้องกับ GDPR ตอนนี้เป็นมาราธอน
    เรารู้ว่า GDPR จะยังคงพัฒนาต่อไปควบคู่ไปกับเทคโนโลยีที่มีเป้าหมายในการควบคุม นั่นหมายความว่าความต้องการของเราจะไม่เหมือนเดิม ไม่เพียงเท่านั้น แต่ GDPR ยังได้สร้างแรงบันดาลใจในการออกกฎหมายที่คล้ายคลึงกัน — แต่ไม่เหมือนกัน — ทั่วโลก ข้อกำหนดทางกฎหมายเหล่านี้กำหนดไว้เพื่อให้มีการพัฒนาอย่างต่อเนื่อง
  2. การปฏิบัติตามกฎระเบียบสร้างความได้เปรียบในการแข่งขัน
    แม้ว่าค่าปรับของ GDPR ครั้งใหญ่ครั้งแรกจะน่าจับตามอง แต่จริงๆ แล้วการประชาสัมพันธ์เชิงลบที่หลายคนบอกว่าเสียหายมากที่สุด ใครได้ประโยชน์จากการรั่วไหลของข้อมูลขนาดใหญ่? คู่แข่งของบริษัท ในทางกลับกัน หากคุณรวมการปฏิบัติตาม GDPR ขณะที่คุณเสริมความแข็งแกร่งให้กับกระบวนการออกแบบและพัฒนา คุณจะสามารถปรับตัวได้ดีขึ้นเมื่อกฎระเบียบต่างๆ พัฒนาขึ้น
  3. การปฏิบัติตาม GDPR และผลลัพธ์ COVID-19 ที่ดีขึ้นนั้นเชื่อมโยงกันด้วยการออกแบบที่เน้นผู้ใช้เป็นศูนย์กลาง
    เรารู้ว่าบริษัทที่เริ่มเปลี่ยนโฉมสู่ดิจิทัลจะปรับตัวให้เข้ากับวิกฤตโควิด-19 ได้ดีขึ้น การออกแบบที่เน้นผู้ใช้เป็นศูนย์กลางสนับสนุน GDPR เช่นกัน มีกระบวนการและการมุ่งเน้นลูกค้าที่คุณต้องการเพื่อสร้างผลิตภัณฑ์ที่สอดคล้องกับแนวคิดที่ว่าข้อมูลลูกค้ามีค่าและต้องได้รับการปกป้อง ซึ่งจะทำให้ง่ายต่อการพัฒนาผลิตภัณฑ์ของคุณให้สอดคล้องกับกฎหมายในอนาคต
  4. คุณสามารถสร้างการปฏิบัติตามข้อกำหนดในผลิตภัณฑ์ดิจิทัลของคุณได้
    ความเป็นส่วนตัวด้วยการออกแบบอยู่ที่นี่แล้ว หากคุณใช้การออกแบบบริการอยู่แล้ว คุณสามารถรวมข้อมูลลูกค้าเป็นชั้นข้อมูลในพิมพ์เขียวบริการของคุณได้ หากคุณไม่ทำ ตอนนี้เป็นเวลาที่ดีในการเริ่มต้น การทำแผนที่ที่รวบรวม ประมวลผล และจัดเก็บข้อมูลเน้นจุดอ่อนที่อาจเกิดการละเมิดที่อาจเกิดขึ้น เครื่องมือการปฏิบัติตามข้อกำหนดอัตโนมัติจะช่วยลดภาระให้กับบริษัท และยังมีศักยภาพที่จะทำให้การประมวลผลข้อมูลมีความปลอดภัยมากขึ้น
  5. GDPR รองรับนวัตกรรม หากคุณทำถูกต้อง
    บางคนเตือนว่า GDPR กำลังปิดกั้นนวัตกรรมโดยการจำกัดกระแสข้อมูล และโดยเฉพาะอย่างยิ่งโดยการขัดขวางบริษัทต่างๆ จากการสร้างสรรค์นวัตกรรมด้วยข้อมูล คนอื่นๆ ชี้ให้เห็นโอกาสในการสร้างนวัตกรรมด้วยบล็อคเชน IoT และ AI ในลักษณะที่ปลอดภัยและเป็นที่ที่ข้อมูลได้รับการปกป้อง ความจริง? ได้ แน่นอน คุณสามารถสร้างสรรค์สิ่งใหม่ๆ และปฏิบัติตาม GDPR ได้ แต่จริยธรรมใน AI นั้นสำคัญ คุณต้องเคารพลูกค้าและข้อมูลของพวกเขา
  6. จับตาดูพันธมิตรบุคคลที่สามของคุณ
    เรื่องนี้จะย้อนกลับไปสู่การตัดสินใจของผู้ควบคุมร่วมด้านบน ขณะนี้บริษัทต่างๆ มีส่วนรับผิดชอบต่อข้อมูลลูกค้ากับบุคคลภายนอกที่ประมวลผลข้อมูลดังกล่าว และต้องมีการจัดทำเอกสารการประมวลผล คุณสามารถคาดหวังให้บริษัทภายนอกตรวจสอบ เฝ้าติดตาม และภาระผูกพันตามสัญญาเป็นสิ่งสำคัญอันดับแรกสำหรับบริษัทต่างๆ นับจากนี้เป็นต้นไป

นี่คือวิธีที่ GDPR สามารถพัฒนาได้

วุ้ย. มีหลายอย่างที่ต้องทำ แต่เมื่อมองไปข้างหน้า ฉันพนันได้เลยว่าเราจะได้เห็นการเปลี่ยนแปลง

  1. GDPR จะ ยังคงพัฒนาต่อไป โดยมีความชัดเจนมาจากกรณีทดสอบและอาจมีการออกกฎหมายเพิ่มเติม รวมถึงกฎระเบียบ ePrivacy
  2. สหภาพยุโรปจะยังคงส่งเสริมการยอมรับกฎหมายความเป็นส่วนตัวของข้อมูลในระดับสากล เราจะเห็นว่าประเทศต่างๆ ยอมรับการปกป้องข้อมูลมากขึ้น ซึ่งมักจะเกี่ยวข้องกับข้อตกลงทางการค้าและความปลอดภัย
  3. หากเราโชคดี เราอาจเริ่มเห็น การบรรจบกันของกฎหมายความเป็นส่วนตัวของข้อมูลในระดับสากล โดยเฉพาะอย่างยิ่งหากสหรัฐอเมริกาใช้ความเป็นส่วนตัวของข้อมูลในระดับรัฐบาลกลาง
  4. แต่เราจะพบการปะทะกันมากขึ้นระหว่างสหภาพยุโรปและสหรัฐอเมริกา เนื่องจากแนวทางที่ตรงกันข้ามกับความเป็นส่วนตัว
  5. เนื่องจาก 'ข้อมูลคือน้ำมันใหม่' เราจึงสามารถเห็นสถานการณ์อื่นๆ ที่ผู้ใช้ได้รับผลิตภัณฑ์และบริการฟรีโดยการให้ข้อมูลผ่านคุกกี้
  6. ธุรกิจต่างๆ จะ เปลี่ยนจากคุกกี้ของบุคคลที่สาม และไปสู่การติดตามฝั่งเซิร์ฟเวอร์และระบบอัตโนมัติ เพื่อให้เป็นไปตามข้อกำหนด
  7. ธุรกิจต่างๆ จะปรับใช้ Privacy by Design (PdB) และเครื่องมือและกระบวนการออกแบบบริการ เพื่อช่วยให้ปฏิบัติตามกฎหมายความเป็นส่วนตัวหลายชุด
  8. และสุดท้าย – และข้อนี้ชัดเจน – เราจะเห็น การฟ้องร้องเรื่องความเป็นส่วนตัวมากขึ้นเรื่อย ๆ ใครจะเป็นผู้ชนะ — ผู้สนับสนุนด้านเทคโนโลยีหรือความเป็นส่วนตัวรายใหญ่ ไม่รู้สิ แต่เรามั่นใจได้อย่างหนึ่งว่า ทนายความด้านความเป็นส่วนตัวจะทำเงินได้มาก

คำสุดท้ายเกี่ยวกับความไว้วางใจ

หัวข้อที่สนับสนุนทั้งการสื่อสารของคณะกรรมาธิการยุโรปและความคิดเห็นจากผู้เชี่ยวชาญในอุตสาหกรรมคือ ความไว้วางใจ หน่วยงานดิจิทัลเช่นเราในตอนนี้จำเป็นต้องแสดงหลักฐานการรักษาความปลอดภัยข้อมูลและการปฏิบัติตาม GDPR แม้กระทั่งนโยบายการฝึกอบรมพนักงานสำหรับการปกป้องข้อมูล ที่ใหม่ ความสำคัญของสหภาพยุโรปคือการสนับสนุนกระแสข้อมูลและนวัตกรรมที่ปลอดภัย มั่นคง ทั้งในและนอกสหภาพยุโรป การปฏิบัติตามมาตรฐานคือวิธีแก้ปัญหาสำหรับสิ่งนี้ และเราในฐานะนักออกแบบและนักพัฒนามีบทบาทสำคัญอย่างยิ่ง

  • ส่วนที่ 1: GDPR การอัปเดตที่สำคัญและความหมาย
  • ส่วนที่ 2: ความยินยอมของคุกกี้สำหรับนักออกแบบและนักพัฒนา

อ่านเพิ่มเติม

  • การปกป้องข้อมูล เว็บไซต์ของสหภาพยุโรป
  • คำแนะนำ ICO ของสหราชอาณาจักรเกี่ยวกับคุกกี้
  • ตัวติดตามการบังคับใช้ GDPR บันทึกค่าปรับที่ใช้ภายใต้ GDPR
  • รายการตรวจสอบ GDPR โดย Cyber-Duck (จุดเริ่มต้นที่ดี)
  • ภาพรวมของกฎหมายคุ้มครองข้อมูลในสหรัฐอเมริกา โดย ICLG
  • คู่มือเปรียบเทียบ GDPR & CCPA โดย DataGuidance และอนาคตของฟอรัมความเป็นส่วนตัว
  • CCPA กับ CPRA จาก IAPP
  • ความปลอดภัยโดยการออกแบบ (Amazon)
  • วิธีปกป้องผู้ใช้ของคุณด้วยความเป็นส่วนตัวด้วย Design Framework, Heather Burns, Smashing Magazine