8 ขั้นตอนในการปฏิบัติตาม GDPR กับเว็บไซต์ของคุณ

ในปี 2018 สหภาพยุโรปได้(European Union)ดำเนินการปฏิรูปการปกป้องข้อมูลหลายชุดที่เรียกว่ากฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้(General Data Protection Regulation) บริโภค ( GDPR ) โดยพื้นฐานแล้วGDPR ได้(GDPR)แทนที่กฎหมายคุ้มครองข้อมูลที่แตกต่างกันทั้งหมดด้วยกฎชุดเดียวที่ใช้กับทุกรัฐในสหภาพ(EU state)ยุโรป ธุรกิจจำนวนมากต้องเปลี่ยนนโยบายของตนเพื่อให้สอดคล้องกับ GDPR(GDPR compliant)อย่างไรก็ตาม แม้จะอยู่ในช่วงการเปลี่ยนแปลง(transition period)แต่ก็ยังมีความสับสนมากมายเกี่ยวกับกฎใหม่ 

GDPRคืออะไรและคุณจะทำให้ธุรกิจของคุณเป็นไปตามข้อกำหนด(business compliant)ได้อย่างไร

ในบทความนี้ คุณจะได้เรียนรู้วิธีปฏิบัติตาม GDPR(GDPR compliant)โดยไม่ต้องอ่านคำสั่งให้ความคุ้มครองข้อมูลส่วนบุคคลของสหภาพ(EU data protection directive)ยุโรป เราจะช่วยให้คุณเข้าใจว่าGDPRคืออะไร และบอกคุณว่าคุณต้องดำเนินการอย่างไรเพื่อให้ไซต์ของคุณสอดคล้องกับ GDPR(GDPR compliant)

GDPR คืออะไร?

GDPRเป็นคำสั่งคุ้มครองข้อมูล(data protection directive)ในสหภาพยุโรป(European Union) ที่ ออกแบบมาเพื่อปกป้องความเป็นส่วนตัวทางออนไลน์(the online privacy)ของพลเมืองสหภาพยุโรป มันควบคุมวิธีการใช้ข้อมูลส่วนบุคคลและประเภทของข้อมูลที่เว็บไซต์สามารถรวบรวมเกี่ยวกับคุณ แม้ว่าจะเป็นข้อบังคับของสหภาพยุโรป(EU regulation)แต่GDPR ก็มี(GDPR)ผลกับเว็บไซต์ทั้งหมดที่เข้าถึงโดยผู้ใช้จากสหภาพยุโรป ด้วยเหตุนี้ เว็บไซต์และธุรกิจต้องเป็นไปตาม GDPR หรือปิดกั้นการเข้าชมในสหภาพ(GDPR compliant or block EU traffic)ยุโรป

ด้วยเหตุนี้ ประเด็นสำคัญของGDPRที่อาจส่งผลต่อธุรกิจของคุณมีดังนี้

  • ไซต์ของคุณต้องแจ้งให้ผู้เข้าชมทราบอย่างชัดเจนว่ากำลังรวบรวมข้อมูลส่วนบุคคลของพวกเขา
  • คุณต้องเปิดเผยวิธีการและเหตุผลที่ข้อมูลของพวกเขาถูกรวบรวมและจัดเก็บ
  • หากผู้ใช้ขอให้คุณลบข้อมูลส่วนบุคคลที่(delete personal data)คุณรวบรวม คุณต้องปฏิบัติตามคำขอโดยส่วนใหญ่
  • ผู้ใช้ยังสามารถขอสำเนาข้อมูลส่วนบุคคลทั้งหมดที่คุณเก็บไว้
  • หากกิจกรรมหลักประการหนึ่งของธุรกิจของคุณคือการรวบรวมและจัดเก็บข้อมูลส่วนบุคคล คุณต้องจ้างเจ้าหน้าที่คุ้มครอง(data protection officer)ข้อมูล
  • หากเว็บไซต์ของคุณถูกละเมิดและข้อมูลส่วนบุคคลของผู้ใช้ของคุณรั่วไหล คุณมีเวลา 72 ชั่วโมงในการรายงานการละเมิด
  • การละเมิดกฎระเบียบ GDPR(GDPR regulation)อาจทำให้ต้องเสียค่าปรับสูงถึง 20 ล้านยูโร(fines of up to €20 million) (~24 ล้านดอลลาร์) หรือ 4% ของมูลค่าการซื้อขายประจำปีของบริษัทของคุณ

วัตถุประสงค์หลักของGDPRคือการปกป้องผู้คนและข้อมูลส่วนบุคคลของพวกเขาจากการละเมิด(data breaches)ข้อมูล คำถามคือ ข้อมูลประเภทใดที่อยู่ภายใต้GDPR

ประเภทของข้อมูลที่ควบคุมโดย GDPR(Types of Data Regulated by GDPR)

ไม่ว่าคุณจะสร้างเว็บไซต์ตั้งแต่เริ่มต้นหรือใช้ธีม WordPress(WordPress theme)เว็บไซต์ของคุณจะรวบรวมข้อมูลประเภทต่างๆ เว็บไซต์รวบรวมข้อมูลในรูปแบบต่างๆ รวมถึงผ่านการวิเคราะห์ แบบฟอร์ม WordPressแบบฟอร์มการสมัคร แบบฟอร์มการติดต่อ และแคมเปญการตลาดทางอีเมล

กล่าวโดยย่อ ข้อมูลส่วนบุคคลทั้งหมดอยู่ภายใต้GDPRแต่เราสามารถแบ่งออกเป็นประเภทต่อไปนี้:

  • ข้อมูลทางพันธุกรรมและสุขภาพ
  • ข้อมูลไบโอเมตริกซ์
  • มุมมองทางการเมืองและ/หรือศาสนา
  • เชื้อชาติ ชาติพันธุ์ และเพศ
  • ข้อมูลเว็บ เช่น ที่อยู่ IP(IP address)และข้อมูลคุกกี้

ตราบใดที่ธุรกิจของคุณจัดเก็บข้อมูลดังกล่าวของพลเมืองสหภาพยุโรป เว็บไซต์ของคุณจะต้องเป็นไปตาม GDPR (GDPR compliant)โปรดจำไว้ว่าสิ่งนี้มีผลบังคับใช้แม้ว่าคุณจะไม่มีสถานะภายในเขตแดนของสหภาพยุโรป

ขั้นตอนที่จำเป็นเพื่อให้เป็นไปตาม GDPR

เมื่อคุณอ่านเกี่ยวกับความรับผิดชอบของคุณในฐานะเจ้าของเว็บไซต์(website owner)คุณอาจรู้สึกหนักใจและตัดสินใจว่าจะบล็อกการเข้าชมในสหภาพยุโรป(EU traffic) ทั้งหมดได้ง่าย ขึ้น อย่า(Don)ให้GDPR (t let) กีดกัน(GDPR discourage)คุณ ด้านล่างนี้คือขั้นตอนหลักที่คุณต้องดำเนินการเพื่อให้ สอดคล้อง กับGDPR(GDPR compliant)

1. ปรับปรุงนโยบายความเป็นส่วนตัวของคุณ(1. Improve Your Privacy Policy)

มีความโปร่งใสในการรวบรวม จัดเก็บ และแบ่งปันข้อมูล เว็บไซต์ของคุณควรมีนโยบายความเป็นส่วนตัว(privacy policy) โดยละเอียด ที่อธิบายแนวทางปฏิบัติในการเก็บรวบรวมข้อมูล การปกป้องข้อมูล การใช้คุกกี้ และการแบ่งปันข้อมูลอย่างชัดเจน นโยบายความเป็นส่วนตัว(privacy policy)ที่ดีอย่างน้อยควรมีประเด็นต่อไปนี้:

  • คุณไม่ได้ขายข้อมูลส่วนตัวของผู้ใช้
  • คุณไม่ได้เปิดเผย(t share)ข้อมูลส่วนตัวเว้นแต่กฎหมายจะบังคับคุณ
  • ประเภทของข้อมูลที่คุณรวบรวม
  • เหตุผลที่คุณรวบรวมข้อมูลและวิธีใช้งาน
  • วิธีที่คุณปกป้องข้อมูลผู้ใช้
  • ปลั๊กอินของคุณรวบรวมและใช้ข้อมูลอย่างไร

มีความชัดเจนมากที่สุดโดยใช้ภาษาง่ายๆ ที่ไม่เหลือที่ว่างสำหรับการตีความ และคุณจะมีนโยบายความเป็นส่วนตัว(privacy policy) ที่โปร่งใส ชัดเจน

2. สร้างประกาศเกี่ยวกับการรวบรวมคุกกี้(2. Create a Cookie Collection Notice)

ตามGDPRคุกกี้นับเป็นข้อมูลส่วนบุคคล ดังนั้นคุณต้องขอความยินยอมจากผู้ใช้ก่อนใช้ข้อมูลคุกกี้ วาง(Place)ประกาศเกี่ยวกับการรวบรวมคุกกี้(cookie collection notice)อย่างชัดเจนบนเว็บไซต์ของคุณ และตรวจสอบให้แน่ใจว่าคุณอนุญาตให้ผู้ใช้เข้าถึงเว็บไซต์ของคุณได้ แม้ว่าจะไม่ได้ให้ความยินยอมก็ตาม ผู้ใช้ของคุณควรมีวิธีง่ายๆ ในการเพิกถอนความยินยอมเมื่อใดก็ได้

3. แสดงประกาศในแบบฟอร์มเว็บไซต์ทั้งหมด(3. Display Notices On All Website Forms)

เป็นแนวทางปฏิบัติมาตรฐาน(standard practice) ในการ รวบรวมข้อมูลผู้ใช้บางส่วนผ่านแบบฟอร์มการส่งประเภทต่างๆ หากคุณต้องการเก็บรวบรวมที่อยู่อีเมลและรายละเอียดอื่นๆ ต่อไป โปรดโพสต์ประกาศการรวบรวม(data collection notice)ข้อมูล อย่ารวบรวมข้อมูลใด ๆ ก่อนจุดนั้นและโดยปราศจากการรับรู้ของผู้ใช้ มิฉะนั้น(Otherwise)ธุรกิจของคุณอาจได้รับค่าปรับจำนวนมากสำหรับการละเมิดGDPR

ใช้ถ้อยคำให้ชัดเจนที่สุดและเสนอรายละเอียดที่สำคัญทั้งหมดเกี่ยวกับการรวบรวมข้อมูล คุณควรหลีกเลี่ยงการใช้กล่องกาเครื่องหมายที่ทำเครื่องหมายไว้ล่วงหน้า ผู้ใช้ต้องเข้าใจว่าการเก็บรวบรวมข้อมูล(data collection)เป็นทางเลือกและต้องได้รับความยินยอมจากพวกเขา

4. ตรวจสอบให้แน่ใจว่าปลั๊กอินทั้งหมดเป็นไปตาม GDPR(4. Make Sure All Plugins Are GDPR Compliant)

หากคุณกำลังใช้ปลั๊กอินของบุคคลที่สามที่รวบรวมข้อมูล เช่นGoogle Analyticsคุณต้องทำให้ข้อมูลไม่ระบุตัวตน การดำเนินการด้วยตนเองอาจเป็นเรื่องยาก แต่คุณสามารถหาปลั๊กอินที่สอดคล้องกับ GDPR ที่จัดการกระบวนการนี้ให้คุณได้ เพียงค้นหา(Just search)เครื่องมือที่มีการตั้งค่าการปฏิบัติตาม GDPR(GDPR compliance)

5. ใช้ Double Opt-in(5. Use the Double Opt-in)

GDPR ไม่ได้(GDPR doesn)บังคับให้การเลือกใช้ซ้ำซ้อน แต่ขอแนะนำอย่างยิ่งให้ใช้ตัวเลือกเหล่านี้ การเลือกเข้าร่วมสองครั้งหมายความว่าคุณขอให้ผู้ใช้สองครั้งรับทราบว่าพวกเขาให้ความยินยอมในการรวบรวมข้อมูล นี่เป็นสิ่งสำคัญอย่างยิ่งสำหรับการสมัครรับรายชื่ออีเมล 

ในการเพิ่มการเลือกเข้าร่วมสองครั้ง คุณต้องขอความยินยอม(request consent)ผ่านแบบฟอร์มการสมัคร(subscription form) ของเว็บไซต์ ก่อน จากนั้นผู้ใช้ควรยินยอมเป็นครั้งที่สองโดยคลิกลิงก์ที่ได้รับทางอีเมล

การใช้การเลือกรับแบบคู่แสดงว่าคุณทุ่มเทให้กับการปกป้องข้อมูลและความเป็นส่วนตัว(protection and privacy)และยังช่วยให้เจ้าหน้าที่สามารถพิสูจน์เพิ่มเติมว่าไซต์ของคุณสอดคล้องกับ GDPR

6. เพิ่ม Unsubscribe Links(6. Add Unsubscribe Links)

รวม(Include)ลิงก์ยกเลิกการสมัครที่อ่านง่ายพร้อมกับทุกการสื่อสารที่คุณส่งถึงสมาชิกของคุณ การยกเลิกการสมัครจากรายชื่อผู้รับจดหมายของคุณควรเป็นกระบวนการที่ง่ายและ(process and instant)รวดเร็ว

7. ลบข้อมูลส่วนบุคคลตามคำขอ(7. Delete Personal Data on Request)

GDPRให้สิทธิ์ผู้ใช้ที่จะถูกลืม ซึ่งหมายความว่าพวกเขาสามารถร้องขอให้ลบข้อมูลได้ตลอดเวลา ทำตามที่ขอเสมอ ซึ่งรวมถึงการลบผู้ใช้ของคุณออกจากรายชื่ออีเมล การลบบัญชีของพวกเขา และการลบข้อมูลส่วนบุคคลใดๆ ที่คุณมีเกี่ยวกับพวกเขา แม้แต่โพสต์บนบล็อกและความคิดเห็นในฟอรัมก็นับเป็นข้อมูลส่วนบุคคลและควรลบออกหากมีการร้องขอ

8. อย่าซื้อรายชื่อผู้รับจดหมาย(8. Don’t Buy Mailing Lists)

ไม่แนะนำให้ซื้อรายชื่อส่งเมล เนื่องจากคุณอาจละเมิดGDPR ในกรณีส่วนใหญ่ คุณไม่สามารถแน่ใจได้ว่าที่อยู่อีเมลเหล่านั้นถูกรวบรวมโดยได้รับความยินยอมจากผู้ใช้หรือไม่

ที่กล่าวว่าหากคุณยังคงมุ่งมั่นที่จะซื้อรายชื่อผู้รับจดหมาย ให้ตรวจสอบให้แน่ใจว่าคุณได้รวมลิงก์ยกเลิกการสมัครรับข่าวสารกับอีเมลทุกฉบับที่คุณส่งเป็นอย่างน้อย

การปฏิบัติตาม GDPR นั้นคุ้มค่า

เปิดเว็บไซต์และธุรกิจ(website and business) ของคุณ สำหรับพลเมืองสหภาพยุโรปโดยทำตามขั้นตอนทั้งหมดข้างต้น การปฏิบัติตาม GDPR(GDPR compliant)อาจฟังดูท้าทายในตอนแรก แต่ก็ไม่ได้ยากขนาดนั้น ส่วนใหญ่เกี่ยวข้องกับความโปร่งใสในการรวบรวมข้อมูลและขอความยินยอม เป็นโบนัส ผู้ใช้นอกสหภาพยุโรปจะเห็นว่าธุรกิจของคุณให้ความสำคัญกับความเป็นส่วนตัวและการปกป้องข้อมูล(privacy and data protection)และพวกเขาจะมีแนวโน้มที่จะไว้วางใจคุณมากขึ้น



จิรโชติ หวังกระแทกคาง

About the author

ฉันเป็นนักพัฒนาเว็บที่มีประสบการณ์มากกว่า 10 ปี ฉันเชี่ยวชาญด้านการพัฒนา Chrome OS และเคยทำงานในโครงการต่างๆ มากมายตั้งแต่สตาร์ทอัพขนาดเล็กไปจนถึงบริษัทที่ติดอันดับ Fortune 500 ฉันยังเป็นผู้เชี่ยวชาญในบัญชีผู้ใช้และความปลอดภัยของครอบครัว และได้พัฒนาแอพ Android ที่ประสบความสำเร็จหลายตัว


Related posts