สถานะของความเป็นส่วนตัวของข้อมูลในปี 2024
เผยแพร่แล้ว: 2023-09-11การตลาดเคยเป็นอาชีพที่ค่อนข้างตรงไปตรงมา ไม่ใช่เรื่องง่ายหรือเรียบง่าย แต่ก็มีขอบเขตของบทบาทที่ชัดเจนอยู่บ้าง สิ่งนี้ใช้กับการสื่อสารโดยเฉพาะ ก่อนการแพร่หลายของออนไลน์และดิจิทัล ช่องทางการสื่อสารของเรามีค่อนข้างน้อย ในช่วงไม่กี่ทศวรรษที่ผ่านมา และโดยเฉพาะอย่างยิ่งในช่วงห้าถึงสิบปีที่ผ่านมา มีการขยายตัวอย่างรวดเร็วในตัวเลือกสำหรับผู้เชี่ยวชาญด้านการตลาด โดยเฉพาะอย่างยิ่งในด้านความเป็นส่วนตัวของข้อมูล
การเปิดตัวกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ของสหภาพยุโรปเมื่อวันที่ 25 พฤษภาคม 2018 เป็นการตอบสนองต่อการขยายตัวทางเทคโนโลยีหลายประการ ผู้ร่างกฎหมายในยุโรปพยายามจัดเตรียมหลักการที่จะปกป้องข้อมูลของพลเมือง ตั้งแต่นั้นมา GDPR ได้กำหนดทิศทางสำหรับภูมิภาคอื่นๆ ในโลกในการพิจารณาแนวทางของตนเองในการควบคุมข้อมูล
ในฐานะผู้ใช้ข้อมูลส่วนบุคคลที่มีน้ำหนักมากที่สุดภายในบริษัทของเรา นักการตลาดของเรามีหน้าที่ต้องแน่ใจว่าเรามีความเข้าใจอย่างถ่องแท้เกี่ยวกับแนวปฏิบัติที่ดีที่สุดในการปกป้องข้อมูล โดยเฉพาะเราต้องได้รับพื้นฐานที่ถูกต้อง ในบทความสั้นๆ นี้ ฉันจะระบุผู้นำด้านการตลาดที่สำคัญบางส่วนและทีมของพวกเขาควรคำนึงถึงในตอนนี้
เคล็ดลับสำหรับมือโปร : ฟัง Steven Roberts กล่าวถึง Data Protection 101 ในพอดแคสต์ DMI
“ความโปร่งใสเป็นหลักการสำคัญที่สนับสนุน GDPR นักการตลาดที่ใช้เครื่องมือ AI ที่ประมวลผลข้อมูลส่วนบุคคลจะต้องสามารถอธิบายด้วยเงื่อนไขที่ชัดเจนและเรียบง่ายว่าข้อมูลนี้ถูกนำมาใช้อย่างไร สตีเว่น โรเบิร์ตส์
ระบบนิเวศความเป็นส่วนตัวที่เปลี่ยนแปลงอย่างรวดเร็ว
GDPR ได้จุดประกายให้เกิดการออกกฎหมายที่คล้ายกันทั่วโลก โดยมีกฎหมายใหม่ในประเทศต่างๆ เช่น จีน สิงคโปร์ และแอฟริกาใต้
California Consumer Privacy Act (CCPA) เป็นกฎหมายที่เป็นที่รู้จักดีที่สุดในบรรดากฎหมายท้องถิ่นและกฎหมายของรัฐหลายฉบับใน สหรัฐอเมริกา สิ่งนี้มีส่วนทำให้ระบบนิเวศความเป็นส่วนตัวของข้อมูลระหว่างประเทศมีความซับซ้อนมากขึ้น
ใน สหราชอาณาจักร รัฐบาลอังกฤษกำลังพิจารณาการแก้ไข GDPR ของสหราชอาณาจักรด้วยการเรียกเก็บเงินข้อมูลใหม่ที่กำลังอยู่ในระหว่างการพัฒนา (ข้อมูล ณ เดือนกันยายน 2023) ธุรกิจที่ซื้อขายกับสหราชอาณาจักรจะต้องติดตามการพัฒนานี้อย่างใกล้ชิด โดยเฉพาะอย่างยิ่งหากส่งผลกระทบต่อการตัดสินใจที่เพียงพอระหว่างสหภาพยุโรปและสหราชอาณาจักร*
ใน ยุโรป กฎหมายของสหภาพยุโรปที่อยู่ติดกันหลายฉบับกำลังอยู่ในระหว่างการนำออกใช้ ซึ่งรวมถึง:
- พ.ร.บ.ตลาดดิจิทัล
- พ.ร.บ.บริการดิจิทัล
- ระเบียบ AI อย่างหลังกำลังกดดันเป็นพิเศษในช่วงเวลาของการขยายตัวอย่างรวดเร็วในขอบเขตและการใช้เทคโนโลยี AI เช่น ChatGPT
การอภิปรายยังคงดำเนินต่อไปเพื่อยกเครื่องข้อกำหนด ePrivacy ปัจจุบัน ซึ่งถูกมองว่าไม่เหมาะกับวัตถุประสงค์อีกต่อไป กฎหมายทั้งหมดนี้มีแนวโน้มที่จะส่งผลกระทบต่อกิจกรรมการประมวลผลข้อมูลของนักการตลาดที่ดำเนินงานภายในสหภาพยุโรป
จะต้องรวมการปกป้องข้อมูลไว้ตั้งแต่เริ่มต้น
จากข้อมูลของ Chiefmartech.com มีแพลตฟอร์มเทคโนโลยีการตลาดมากกว่า 11,000 แพลตฟอร์ม; ตัวเลขที่เติบโตขึ้นทุกปี เทคโนโลยีจำนวนมากเหล่านี้ใช้ข้อมูลส่วนบุคคลเพื่อเข้าถึงและกำหนดเป้าหมายผู้ชมผู้บริโภคที่หลากหลายได้อย่างมีประสิทธิภาพมากขึ้น
นักการตลาดที่กำลังพิจารณาแพลตฟอร์มใหม่ หรือกลยุทธ์ใหม่ใดๆ ที่เกี่ยวข้องกับการใช้ข้อมูลส่วนบุคคล ควรตรวจสอบให้แน่ใจว่าได้พิจารณาความเป็นส่วนตัวของข้อมูลตั้งแต่เริ่มแรก หลักการของ การปกป้องข้อมูลตามการออกแบบและค่าเริ่มต้น ของ GDPR ถือเป็นกุญแจสำคัญที่นี่ หนึ่งในวิธีที่ดีที่สุดในการปฏิบัติตามหลักการนี้คือการดำเนินการที่เรียกว่าการประเมินผลกระทบด้านการคุ้มครองข้อมูล (DPIA)
สิ่งนี้เกี่ยวข้องกับกระบวนการสองขั้นตอน ขั้นแรก มีการดำเนินการก่อน DPIA โดยจะมีการถามคำถามระดับสูงหลายชุดเพื่อประเมินว่าโครงการมีแนวโน้มที่จะก่อให้เกิดความเสี่ยงด้านความเป็นส่วนตัวอย่างมีนัยสำคัญหรือไม่ หากมีการระบุความเสี่ยงดังกล่าว จะต้องดำเนินการ DPIA ให้ครบถ้วน ณ จุดนี้การวิเคราะห์รายละเอียดของโครงการเกิดขึ้น รวมถึงการปรึกษาหารือกับผู้มีส่วนได้ส่วนเสียหลัก วิธีการดังกล่าวช่วยให้สามารถปรับเทียบโปรเจ็กต์ใหม่ได้หากมีความเสี่ยงด้านความเป็นส่วนตัวสูงเกินไป หรือมีการดำเนินการบรรเทาเพื่อลดระดับความเสี่ยง
ตัวอย่างสำหรับนักการตลาดอาจรวมถึงการแนะนำกลยุทธ์ข้อมูลจากบุคคลที่หนึ่งใหม่ หรือการเปิดตัวแพลตฟอร์ม CRM โดยทั่วไปถือเป็นแนวปฏิบัติที่ดีที่สุดที่เครื่องมือทางการตลาดใหม่ๆ ที่อาจใช้ข้อมูลส่วนบุคคลควรอยู่ภายใต้ DPIA
AI และความเป็นส่วนตัวของข้อมูล
แพลตฟอร์มปัญญาประดิษฐ์ (AI) กำลังได้รับความนิยมมากขึ้นเรื่อยๆ จากนักการตลาด โดยขับเคลื่อนกิจกรรมต่างๆ เช่น แชทบอทบนเว็บไซต์อัตโนมัติ การเปิดตัว ChatGPT และโมเดลภาษาขนาดใหญ่อื่นๆ (LLM) ช่วยเพิ่มศักยภาพที่สำคัญให้กับนักการตลาดในการเพิ่มผลผลิต ตัวอย่างเช่น การสร้างบล็อกและบทความโดยเป็นส่วนหนึ่งของกลยุทธ์การตลาดเนื้อหา
นักการตลาดที่พิจารณาเทคโนโลยีดังกล่าวจะต้องตระหนักถึงความเสี่ยงในการปกป้องข้อมูล ความโปร่งใสเป็นหลักการสำคัญที่สนับสนุน GDPR นักการตลาดที่ใช้เครื่องมือ AI ที่ประมวลผลข้อมูลส่วนบุคคลจะต้องสามารถอธิบายด้วยเงื่อนไขที่ชัดเจนและเรียบง่ายว่าข้อมูลนี้ถูกนำมาใช้อย่างไร นี่เป็นความท้าทายอย่างมาก เนื่องจากไม่ใช่เรื่องง่ายที่จะระบุอย่างชัดเจนว่าเทคโนโลยี AI ประมวลผลข้อมูลอย่างไร
นอกจากนี้ มาตรา 22 ของ GDPR ยังให้สิทธิ์แก่บุคคลในการคัดค้านการตัดสินใจอัตโนมัติที่อาจมีผลทางกฎหมาย ตัวอย่างเช่น 'การปฏิเสธการสมัครสินเชื่อออนไลน์หรือการรับสมัครทางอิเล็กทรอนิกส์โดยอัตโนมัติโดยไม่มีการแทรกแซงของมนุษย์ ในกรณีเหล่านี้ พวกเขามีสิทธิ์ที่จะได้รับการแทรกแซงจากมนุษย์โดยเป็นส่วนหนึ่งของกระบวนการตัดสินใจ
เพื่อเน้นถึงข้อกังวลด้านการปกป้องข้อมูลที่อาจเกิดขึ้นจากการใช้ AI Google จึงจำเป็นต้องชะลอการเปิดตัว Chatbot AI ตัวใหม่ Bard หลังจากการแทรกแซงของคณะกรรมาธิการคุ้มครองข้อมูล (DPC) ของไอร์แลนด์ คณะกรรมาธิการระบุว่ายักษ์ใหญ่ด้านเทคโนโลยีจำเป็นต้องให้ข้อมูลเพิ่มเติมเกี่ยวกับวิธีการปกป้องสิทธิความเป็นส่วนตัวของพลเมืองสหภาพยุโรป ต่อมา Google ได้เปิดตัว Bard ในสหภาพยุโรป ตามสิ่งที่ DPC อธิบายว่าเป็น "การเปลี่ยนแปลงหลายประการ โดยเฉพาะอย่างยิ่งการเพิ่มความโปร่งใสและการเปลี่ยนแปลงการควบคุมสำหรับผู้ใช้"
“การปฏิบัติตามข้อมูลคือการเดินทางที่ต่อเนื่อง สิ่งสำคัญอันดับแรกคือการได้รับพื้นฐานที่ถูกต้อง สตีเว่น โรเบิร์ตส์
เพิ่มค่าปรับและความตระหนักรู้ของผู้บริโภค
ในฐานะนักการตลาด เราคือกระบอกเสียงของผู้บริโภค มีหน้าที่รับผิดชอบในการปกป้องแบรนด์และชื่อเสียงของบริษัทของเรา ผู้บริโภคมีความตระหนักรู้มากขึ้นเกี่ยวกับสิทธิในการปกป้องข้อมูลของตน สิ่งเหล่านี้ส่วนใหญ่ได้รับแรงผลักดันจากการประชาสัมพันธ์ซึ่งล้อมรอบค่าปรับจำนวนมาก
จากข้อมูลของสำนักงานกฎหมาย DLA Piper หน่วยงานกำกับดูแลของสหภาพยุโรปได้ออกค่าปรับ 1.6 พันล้านยูโรในช่วง 12 เดือนนับจากวันที่ 28 มกราคม 2022 แนวโน้มนี้ยังคงดำเนินต่อไปในปี 2023 โดยเฉพาะอย่างยิ่งกับ DPC ของไอร์แลนด์ที่ออกค่าปรับ 1.2 พันล้านยูโรต่อ Meta สำหรับการโอนผู้ใช้ในสหภาพยุโรป ' ข้อมูลส่วนบุคคลไปยังสหรัฐอเมริกาโดยไม่มีกลไกการปกป้องข้อมูลที่เพียงพอ
ในเดือนเมษายน 2023 สำนักงานกรรมาธิการข้อมูลแห่งสหราชอาณาจักร (ICO) ได้ออกค่าปรับ 12.7 ล้านปอนด์ให้กับ TikTok สำหรับการละเมิดที่เกี่ยวข้องกับการใช้ข้อมูลเด็กในทางที่ผิด
ในขณะเดียวกันในสหรัฐอเมริกา ความเป็นส่วนตัวของข้อมูลได้เห็นจุดยืนทางการเมืองมากขึ้น โดยมีความพยายามที่จะแบน TikTok ในระดับรัฐ เช่น ในมอนแทนา และผู้นำคนใหม่ที่แข็งแกร่งขึ้นอย่างเห็นได้ชัดที่ FTC ฟ้องร้อง Amazon ที่ลงทะเบียนลูกค้าให้ Prime โดยไม่ได้รับความยินยอม ในไอร์แลนด์ เจ้าหน้าที่ของรัฐและหน่วยงานของรัฐจำเป็นต้องลบแอพ TikTok ออกจากอุปกรณ์อย่างเป็นทางการ ในขณะที่มีการนำข้อจำกัดมาใช้ในเขตอำนาจศาล เช่น สหราชอาณาจักรและเนเธอร์แลนด์
เป็นที่น่าสังเกตว่าแม้ว่า AdTech และการโฆษณาตามพฤติกรรมถือเป็นลำดับความสำคัญในการบังคับใช้สำหรับ DPC และหน่วยงานกำกับดูแลอื่นๆ แต่ก็มีการเรียกเก็บบทลงโทษจากธุรกิจต่างๆ ในหลายภาคส่วนของเศรษฐกิจ แม้ว่าจะไม่ได้อยู่ในระดับที่น่าจับตามองเท่าที่เราเคยเห็นในบริษัทเทคโนโลยีก็ตาม
การถ่ายโอนข้อมูลระหว่างประเทศ
การถ่ายโอนข้อมูลระหว่างประเทศทำให้เกิดความปวดหัวอย่างมากสำหรับบริษัทที่ต้องการถ่ายโอนข้อมูลส่วนบุคคลออกจากสหภาพยุโรป เป็นแง่มุมหนึ่งของความเป็นส่วนตัวของข้อมูลที่เห็นการเปลี่ยนแปลงที่สำคัญในช่วงไม่กี่ปีที่ผ่านมา ในเดือนกรกฎาคม 2020 ศาลยุติธรรมแห่งยุโรปได้ตัดสินว่าข้อตกลงการคุ้มครองความเป็นส่วนตัวที่มีอยู่สำหรับการถ่ายโอนข้อมูลระหว่างสหภาพยุโรปและสหรัฐอเมริกานั้นไม่ถูกต้อง นับตั้งแต่การตัดสินใจดังกล่าวซึ่งรู้จักกันในชื่อ Schrems II เขตอำนาจศาลทั้งสองได้มองหากลไกทางเลือกที่สอดคล้องกับ GDPR
กรอบความเป็นส่วนตัวของข้อมูลใหม่ได้รับการอนุมัติจากสหภาพยุโรปเมื่อต้นเดือนกรกฎาคม แม้ว่าจะได้รับการต้อนรับ แต่ก็ยังต้องรอดูต่อไปว่าสิ่งนี้จะต้องเผชิญกับความท้าทายที่คล้ายกันจากผู้สนับสนุนความเป็นส่วนตัวเช่นเดียวกับกรณีของสองรุ่นก่อนหรือไม่ ในระหว่างนี้ บริษัทต่างๆ ต้องหาแนวทางอื่น เช่น การใช้ Standard Contractual Clauses (เรียกว่า SCC)***
สำหรับบริษัทที่ทำการค้ากับสหราชอาณาจักร รัฐบาลอังกฤษได้ระบุความตั้งใจที่จะปรับปรุงบางแง่มุมของ GDPR ของสหราชอาณาจักร โดยมีเป้าหมายเพื่อทำให้กฎปัจจุบันเป็นภาระน้อยลงสำหรับธุรกิจ ****
วิธีรับทราบข้อมูลเกี่ยวกับความเป็นส่วนตัวของข้อมูล
นักการตลาดจำนวนมากกำลังดิ้นรนเพื่อให้ทันกับอัตราการเปลี่ยนแปลงนี้ โดยเฉพาะในธุรกิจ SMEs ที่อาจไม่สามารถเข้าถึงทรัพยากรแบบเดียวกับทีมงานในบริษัทข้ามชาติขนาดใหญ่
เป็นสิ่งที่ควรค่าแก่การเตือนตัวเราเองว่าการปฏิบัติตามข้อมูลคือการเดินทางอย่างต่อเนื่อง สิ่งสำคัญอันดับแรกคือการได้รับพื้นฐานที่ถูกต้อง ด้วยเหตุนี้ มีหลายแง่มุมที่มีความสำคัญในฐานะส่วนหนึ่งของวัฒนธรรมความเป็นส่วนตัวของข้อมูลที่มีประสิทธิภาพภายในบริษัท:
1. การฝึกอบรมเป็นสิ่งสำคัญ
การฝึกอบรมจะต้องสม่ำเสมอและต่อเนื่องทั้งสำหรับพนักงานใหม่และที่มีอยู่ เป็นสิ่งสำคัญอย่างยิ่งเมื่อพิจารณาจากระดับการเลิกใช้งานที่เราเห็นในบทบาททางการตลาดจำนวนมากในปัจจุบัน ควบคู่ไปกับการพัฒนาในด้านการปฏิบัติตามกฎระเบียบโดยทั่วไป ผู้เชี่ยวชาญบางคนประเมินว่า 90% ของการละเมิดข้อมูลทั้งหมดเป็นผลมาจากข้อผิดพลาดของมนุษย์ การฝึกอบรมถือเป็นสิ่งสำคัญเพื่อชดเชยความเสี่ยงนี้
2. รู้พื้นฐานทางกฎหมาย 6 ประการและหลักการสำคัญ 7 ประการของ GDPR
การละเมิดหลายอย่างที่เราพบเห็นในช่วงห้าปีที่ผ่านมาอาจลดลงหรือถูกลบออก หากบริษัทต่างๆ ได้พิจารณาคำถามต่อไปนี้
- ประการแรก มีพื้นฐานทางกฎหมายที่ชัดเจนในการประมวลผลข้อมูลส่วนบุคคลนี้หรือไม่?
- ประการที่สอง การประมวลผลเป็นไปตามหลักการของ GDPR หรือไม่
3. ตั้งค่าโทนเสียงจากด้านบน
ธุรกิจทั้งหมดเป็นผู้นำจากผู้บริหารระดับสูง จะต้องเห็นคณะกรรมการและทีมผู้บริหารให้การสนับสนุนและสนับสนุนวัฒนธรรมความเป็นส่วนตัวของข้อมูลที่แข็งแกร่งทั่วทั้งองค์กรผ่านคำพูดและการกระทำอย่างเปิดเผย
4. จัดทำบันทึกและกระบวนการโดยละเอียด
ความรับผิดชอบเป็นหนึ่งในหลักการที่ครอบคลุมของ GDPR มาตรา 30 ของข้อบังคับกำหนดให้มีการเก็บบันทึกที่ถูกต้องซึ่งเป็นส่วนหนึ่งของวัฒนธรรมความเป็นส่วนตัวที่มีประสิทธิภาพ บริษัทต่างๆ ยังได้รับผลประโยชน์ด้านประสิทธิภาพและประสิทธิภาพที่สำคัญจากการมีกระบวนการที่ชัดเจนล่วงหน้าในด้านต่างๆ เช่น คำขอเข้าถึงหัวข้อ และการรายงานการละเมิดข้อมูล
5. ทำความเข้าใจข้อกำหนดการปฏิบัติตามข้อกำหนดที่สูงขึ้นสำหรับข้อมูลเด็กและหมวดหมู่พิเศษ
นักการตลาดจำเป็นต้องคำนึงถึงข้อกำหนดการปฏิบัติตามข้อกำหนดเพิ่มเติมเมื่อพูดถึงข้อมูลของผู้เยาว์ และข้อมูลหมวดหมู่พิเศษต่างๆ ที่ระบุภายใต้ GDPR
บทสรุป
การปกป้องข้อมูลมีการพัฒนาอย่างรวดเร็วในช่วงไม่กี่ปีที่ผ่านมา การเปิดตัว GDPR ในปี 2018 ได้สร้างความตระหนักรู้ของผู้บริโภคเพิ่มขึ้นและมีบทลงโทษที่สูงขึ้นสำหรับธุรกิจที่ไม่ปฏิบัติตามข้อกำหนด นอกจากนี้ยังเป็นตัวเร่งให้เกิดการออกกฎหมายที่คล้ายกันในระดับสากลในประเทศต่างๆ เช่น จีน สิงคโปร์ และแอฟริกาใต้ การเปลี่ยนแปลงที่รวดเร็วนี้ และความซับซ้อนที่เพิ่มขึ้นตามมา หมายความว่าเป็นสิ่งสำคัญสำหรับนักการตลาดและธุรกิจของพวกเขาในการสร้างวัฒนธรรมการปกป้องข้อมูลที่มีประสิทธิภาพ
เทคโนโลยีใหม่ที่ใช้ข้อมูลจำนวนมาก เช่น AI จะทำให้ข้อกำหนดนี้แข็งแกร่งขึ้นเท่านั้น ด้วยการมุ่งเน้นไปที่การรับพื้นฐานที่ถูกต้อง ด้วยการฝึกอบรมอย่างสม่ำเสมอในประเด็นหลักของกฎระเบียบ กระบวนการที่ชัดเจนและการเก็บบันทึก และการสนับสนุนจากระดับสูงขององค์กร นักการตลาดและทีมของพวกเขาจึงอยู่ในตำแหน่งที่ดีเพื่อให้แน่ใจว่าพวกเขายังคงปฏิบัติตามข้อกำหนด
หมายเหตุ
* การตัดสินใจด้านความเพียงพอของสหภาพยุโรป ซึ่งเห็นชอบกันในปี 2021 ระบุไว้โดยพื้นฐานว่าสหราชอาณาจักรดำเนินงานสภาพแวดล้อมการปกป้องข้อมูลที่คล้ายคลึงกับของสหภาพยุโรป การตัดสินใจนี้จะต้องได้รับการตรวจสอบอีกครั้งหลังจากผ่านไปสี่ปี และอาจมีความเสี่ยงหากสหราชอาณาจักรถือว่าเบี่ยงเบนไปจากระดับการปกป้องข้อมูลที่มีอยู่ในปัจจุบัน
** การบรรยาย 71, GDPR
*** เมื่อรวมอยู่ในสัญญา SCC สามารถปฏิบัติตามภาระผูกพันในการถ่ายโอนข้อมูล GDPR ได้
****ร่างพระราชบัญญัติคุ้มครองข้อมูลและข้อมูลดิจิทัล (ฉบับที่ 2)