10 ขั้นตอนในการเตรียมธุรกิจของคุณสำหรับ GDPR (ระเบียบการคุ้มครองข้อมูลทั่วไป)

5

เมื่อมองแวบแรกอาจดูเหมือนว่า GDPR ใช้กับ บริษัท ขนาดใหญ่ระดับโลกที่ดำเนินธุรกิจในต่างประเทศเป็นจำนวนมากเท่านั้น แต่นั่นเป็นความเข้าใจที่ผิดที่อาจเป็นอันตรายต่อธุรกิจขนาดเล็กจำนวนมาก ไม่ว่า บริษัท ของคุณจะมีขนาดเท่าใดหากคุณรวบรวมข้อมูลส่วนบุคคลประเภทใด ๆ เกี่ยวกับพลเมืองในสหภาพยุโรปตั้งแต่ที่อยู่อีเมลไปจนถึงเวชระเบียนคุณจะต้องปฏิบัติตามกฎระเบียบของ GDPR อย่างถูกต้องตามกฎหมาย คุณเตรียมพร้อมหรือยัง?
นี่คือ 10 ขั้นตอนที่ธุรกิจของคุณสามารถทำได้เพื่อเตรียมพร้อมสำหรับ GDPR แม้ว่าคุณจะไม่ได้อยู่ในสหภาพยุโรปก็ตาม

แม้ว่าธุรกิจของคุณจะไม่ได้ตั้งอยู่ในสหภาพยุโรปก็ตาม

กฎระเบียบการคุ้มครองข้อมูลทั่วไปเป็นชุดของกฎใหม่ที่ได้รับการแก้ไขตามพระราชบัญญัติการฉายภาพข้อมูลปัจจุบันซึ่งจะมีผลบังคับใช้ในไม่ช้าสำหรับธุรกิจเหล่านั้นที่ติดต่อกับผู้บริโภคในยุโรป

ในวันที่ 25 พฤษภาคม 2018 กฎระเบียบดังกล่าวยืนยันในการปกป้องข้อมูลส่วนบุคคลของพลเมืองทุกคนในประเทศสมาชิกสหภาพยุโรป แม้ว่าธุรกิจจำนวนมากจะสอดคล้องกับข้อกำหนดอยู่แล้วสิ่งสำคัญคือต้องแน่ใจว่าธุรกิจของคุณครอบคลุมทุกอย่าง
บทความนี้จะอธิบายถึงสิ่งที่คุณต้องมีเพื่อหลีกเลี่ยงไม่ให้ถูกพบว่าละเมิด GDPR

ความจริงก็คือกฎใหม่เหล่านี้มุ่งเป้าไปที่ บริษัท ขนาดใหญ่ที่จัดการข้อมูล รับจดทะเบียนบริษัท เพื่อเป็นแหล่งรายได้ ธุรกิจขนาดเล็กไม่น่าจะถูกลงโทษ 4% ของรายได้รวมทั่วโลกหรือ 20 ล้านยูโรที่ บริษัท ขนาดใหญ่จะได้รับหากพบว่าละเมิด

หากคุณกังวลว่าจะต้องเตรียมงานรออยู่ข้างหน้าคุณก็ไม่ควรทำเช่นนั้น หากคุณไม่แน่ใจว่าคุณจะได้รับผลกระทบหรือไม่ให้มองหาสัญญาณสำคัญเหล่านี้:

1. คุณจัดการข้อมูลในฐานะสินค้า;
2. คุณขอข้อมูลของผู้ใช้เมื่อพวกเขาทำการซื้อและใช้ข้อมูลที่อื่นหรือจัดเก็บข้อมูลนั้น
3. คุณติดต่อกับประเทศในยุโรปอย่างน้อยหนึ่งประเทศ

ถ้าคำตอบคือไม่สำหรับทั้งคู่คุณจะสบายดี!

แล้วคุณจะทำอะไรได้บ้างในกรณีนี้?

นี่คือ 10 ขั้นตอนที่ธุรกิจของคุณสามารถทำได้เพื่อเตรียมพร้อมสำหรับ GDPR แม้ว่าคุณจะไม่ได้อยู่ในสหภาพยุโรปก็ตาม

1. หากเว็บไซต์ของคุณมีแบบฟอร์มออนไลน์ที่มีช่องทำเครื่องหมายไว้ล่วงหน้าซึ่งให้สิทธิ์ในการรับอีเมลส่งเสริมการขายจากบุคคลที่สามตอนนี้จะต้องยกเลิกการเลือกช่องนี้

2. หากธุรกิจของคุณดำเนินการสร้างรายชื่อในรูปแบบใดก็ตามตรวจสอบให้แน่ใจว่าทุกคนในรายชื่อนั้นได้รับอนุญาตอย่างชัดเจนให้อยู่ในนั้น ภายใต้ PIPEDA ของแคนาดาก็เพียงพอแล้วที่จะได้รับอนุญาตโดยนัย อย่างไรก็ตามหากมีผู้อยู่อาศัยในสหภาพยุโรปอยู่ในฐานข้อมูลของคุณกฎจะมีความชัดเจนมากขึ้นซึ่งให้สิทธิแก่สมาชิกในการรับข้อมูลที่เก็บไว้ในพวกเขา

3. ตรวจสอบให้แน่ใจว่าเจ้าหน้าที่ทั้งหมดของคุณรับทราบกฎใหม่ ทำหนังสือแจ้งให้บุคลากรทุกคนได้รับทราบโดยมีการประชุมติดตามเพื่อตรวจสอบประเด็นต่างๆ การถามคำถามสองสามข้อกับผู้เล่นหลักที่บทบาทจะได้รับผลกระทบมากที่สุดจากกฎใหม่เป็นวิธีที่ดีเยี่ยมเพื่อให้แน่ใจว่าพวกเขาตระหนักถึงสิ่งที่ต้องทำ

4. ตรวจสอบข้อมูลลูกค้า / ลูกค้าที่เก็บไว้ทั้งหมดและติดตามว่าคุณได้มาจากที่ใดและนำไปใช้ที่ไหน เก็บบันทึกข้อมูลทุกส่วนและผู้ที่คุณอาจส่งต่อให้เมื่อใดก็ได้และบันทึกความสัมพันธ์และเหตุผล

5. อัปเดตนโยบายความเป็นส่วนตัวของคุณเพื่อให้มีเหตุผลในการเก็บรักษาข้อมูลผู้ใช้วิธีการใช้งานตามกฎหมายและวิธีที่ผู้ใช้สามารถติดต่อธุรกิจของคุณได้หากพวกเขารู้สึกว่าข้อมูลผู้ใช้ของตนถูกนำไปใช้ในทางที่ผิด

6. มีวิธีการที่ชัดเจนในการจัดการกับคำขอลบข้อมูลของผู้ใช้ ภายใต้ DPA ผู้ใช้มีสิทธิ์บางอย่างอยู่แล้ว แต่ GDPR จะนำไปใช้เพิ่มเติมด้วยสิทธิ์ในข้อมูลที่เกี่ยวข้องกับข้อมูลที่จัดเก็บโดยธุรกิจของคุณ
สิทธิประกอบด้วย:
•สิทธิในการได้รับแจ้ง
•สิทธิ์ในการเข้าถึง
•สิทธิ์ในการแก้ไข
•สิทธิ์ในการลบ
•สิทธิ์ในการ จำกัด การประมวลผล
•สิทธิในการเคลื่อนย้ายข้อมูล
•สิทธิ์ในการคัดค้าน
•สิทธิที่จะไม่อยู่ภายใต้ ไปจนถึงการตัดสินใจโดยอัตโนมัติรวมถึงการทำโปรไฟล์
คุณจะต้องสามารถให้ข้อมูลทั้งหมดนี้ในรูปแบบที่ชัดเจนและอ่านได้ด้วยเครื่อง (ไม่ใช่การเขียนด้วยมือ)

7. มีกระบวนการในการส่งมอบคำขอจำนวนมาก ก่อนหน้านี้ภายใต้ธุรกิจ DPA มีเวลา 40 วันในการปฏิบัติตามคำขอ ที่สั้นลงเหลือหนึ่งเดือน คำขอใด ๆ ที่ชอบด้วยกฎหมายจะต้องได้รับการตอบสนองแม้ว่าจะมีคำขอจำนวนมากและเหตุผลที่น่าสงสัยว่าจะทำให้เกิดปัญหากับธุรกิจของคุณคำขอเหล่านี้สามารถโต้แย้งได้ตามกฎหมาย

8. มีเหตุผลที่ถูกต้องตามกฎหมายของคุณในการเก็บรักษาข้อมูลผู้ใช้หรือส่งต่อไปยังผู้อื่นที่ระบุไว้อย่างชัดเจนสำหรับผู้ใช้และตรวจสอบให้แน่ใจว่าตัวเลือกการเลือกใช้ไม่ได้ถูกเลือกไว้ล่วงหน้าหรือไม่ชัดเจน ผู้ใช้ต้องมีความเข้าใจอย่างชัดเจนว่าเหตุใดคุณจึงต้องการข้อมูลของพวกเขาคุณทำอะไรกับข้อมูลนั้นและคุณอาจแบ่งปันกับใคร และพวกเขาต้องมีตัวเลือกที่จะปฏิเสธ สิ่งนี้แยกจากข้อกำหนดและเงื่อนไข

9. หากธุรกิจของคุณเกี่ยวข้องกับใครก็ตามที่อายุต่ำกว่า 16 ปีคุณจะต้องได้รับอนุญาตจากพ่อแม่หรือผู้ปกครองในการประมวลผลข้อมูลใด ๆ ของเด็ก สิ่งนี้สำคัญมากและได้รับการควบคุมอย่างเคร่งครัด แต่ในขณะเดียวกันหากคุณไม่ได้จัดการข้อมูลในฐานะสินค้าโภคภัณฑ์คุณก็ไม่ต้องกังวล

10. มีขั้นตอนในการจัดการกับการละเมิดข้อมูล ในกรณีที่ข้อมูลของผู้ใช้อาจถูกบุกรุกคุณจะต้องมีวิธีแจ้งให้ผู้ใช้ที่ได้รับผลกระทบทั้งหมดทราบว่ามีอะไรถูกบุกรุกและเมื่อใด การมอบหมายงานให้ใครสักคนเป็นการภายในเพื่อประสานงานการตอบสนองเป็นความคิดที่ดี

และนั่นมัน! อย่างที่คุณเห็นว่ามันเป็นปัญหาทางธุรกิจที่ยิ่งใหญ่และมีรากฐานมาจากการคุ้มครองผู้ใช้ในยุโรปซึ่งเครือข่ายสังคมออนไลน์ถูกอ้างว่าเป็นปัญหาและอ่อนไหวต่ออิทธิพลจากต่างประเทศ

อเมริกาเหนือไม่ได้รับผลกระทบมากนัก แต่ปัญหานี้ยังคงเป็นประเด็นที่น่าสนใจอย่างมากการส่งบทความซึ่งอาจทำให้เจ้าของธุรกิจขนาดเล็กบางรายกังวลใจเมื่อไม่จำเป็นต้องเป็นเช่นนั้น