เมื่อสหราชอาณาจักรแยกตัวอย่างเป็นทางการจากกฎหมายคุ้มครองข้อมูลของสหภาพยุโรปในเดือนมกราคม 2021 องค์กรจำนวนมากคิดว่าการเปลี่ยนแปลงจะเป็นเพียงเรื่องการบริหารจัดการ เปลี่ยนชื่อ GDPR แต่งตั้งตัวแทนในท้องถิ่น ปรับปรุงประกาศความเป็นส่วนตัว สิ่งที่ตามมาคือความต้องการที่มากกว่านั้น สำนักงานคณะกรรมการข้อมูล (ICO) ออกค่าปรับที่เกี่ยวข้องกับ GDPR ประมาณ 65 ล้านปอนด์ในช่วงหลายปีหลังจากการนำกฎหมายมาใช้ Capita ถูกปรับ 14 ล้านปอนด์ในครั้งเดียวในเดือนตุลาคม 2025 ICO เผยแพร่แนวทางการปรับปรุงอัปเดตในเดือนมีนาคม 2024 ที่ทำให้เส้นทางจากการละเมิดสู่ค่าปรับสูงสุดเป็นระบบมากขึ้น และในวันที่ 19 มิถุนายน 2025 พระราชบัญญัติข้อมูล (การใช้และการเข้าถึง) ได้รับพระราชานุมัติ นำการแก้ไขที่สำคัญที่สุดของกฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรมาใช้ตั้งแต่ Brexit: หมวดหมู่ผลประโยชน์ที่ช正当ใหม่ กฎการยินยอมคุกกี้ที่ปฏิรูป บทบัญญัติการตัดสินใจอัตโนมัติที่อัปเดต และภาระผูกพันการจัดการข้อร้องเรียนที่เข้มแข็งขึ้น
แม้ว่า UK GDPR จะสะท้อน EU GDPR อย่างใกล้ชิด แต่ก็เป็นกรอบการกำกับดูแลที่แตกต่างกันซึ่งมีหน่วยงานกำกับดูแลของตนเอง กลไกการถ่ายโอน และวาระการปฏิรูปที่พัฒนาอยู่ สำหรับองค์กรใดๆ ที่ประมวลผลข้อมูลส่วนบุคคลของผู้พำนักในสหราชอาณาจักร ไม่ว่าจะตั้งอยู่ในลอนดอนหรือลอสแองเจลิส การทำความเข้าใจว่า UK GDPR กำหนดอะไรจริงๆ ใช้กับใคร และค่าใช้จ่ายของการไม่ปฏิบัติตามในทางปฏิบัติคืออะไร ไม่ใช่การอ่านพื้นฐานเสริมอีกต่อไป คู่มือนี้ให้พื้นฐานนั้น
UK GDPR ใช้กับใคร?
UK GDPR ใช้กับองค์กรใดๆ ที่ประมวลผลข้อมูลส่วนบุคคลของผู้พำนักในสหราชอาณาจักร โดยไม่คำนึงถึงว่าองค์กรนั้นตั้งอยู่ที่ใด บริษัทซอฟต์แวร์สหรัฐฯ ที่มีลูกค้าในสหราชอาณาจักรต้องปฏิบัติตาม ธุรกิจในสหภาพยุโรปที่ประมวลผลข้อมูลของบุคคลที่พำนักในสหราชอาณาจักรต้องปฏิบัติตาม กฎระเบียบใช้กับผู้ควบคุมข้อมูล ซึ่งกำหนดวัตถุประสงค์และวิธีการประมวลผล และผู้ประมวลผลข้อมูล ซึ่งประมวลผลข้อมูลในนามของผู้ควบคุม ทั้งสองมีภาระผูกพันที่แตกต่างกันและทั้งสองสามารถถูกปรับได้
ขอบเขตเชิงอาณาเขตได้รับการยืนยันโดยเงื่อนไขสองประการ: การประมวลผลดำเนินการในบริบทของสถานประกอบการในสหราชอาณาจักร หรือการประมวลผลเกี่ยวข้องกับการเสนอสินค้าหรือบริการให้กับเจ้าของข้อมูลในสหราชอาณาจักร หรือการตลาดพฤติกรรมของพวกเขาในสหราชอาณาจักร องค์กรที่ตั้งอยู่นอกสหราชอาณาจักรที่ตรงตามเงื่อนไขใดเงื่อนไขหนึ่งต้องแต่งตั้งตัวแทนในสหราชอาณาจักรเว้นแต่จะมีคุณสมบัติได้รับการยกเว้น ตั้งแต่ปี 2021 ICO ได้ดำเนินการบังคับใช้กับหน่วยงานที่ไม่ใช่สหราชอาณาจักร รวมถึงค่าปรับ 7.5 ล้านปอนด์สำหรับ Clearview AI และการดำเนินการกำกับดูแลกับนายหน้าข้อมูลสหรัฐฯ หลายรายที่ดำเนินงานในตลาดสหราชอาณาจักรโดยไม่มีโครงสร้างพื้นฐานการปฏิบัติตาม
หลักการหลักเจ็ดประการของ UK GDPR
มาตรา 5 ของ UK GDPR กำหนดหลักการเจ็ดประการที่ควบคุมการประมวลผลข้อมูลส่วนบุคคลทั้งหมด สิ่งเหล่านี้ไม่ใช่แนวทางที่มุ่งหวัง การละเมิดหลักการพื้นฐานมีค่าปรับทางปกครองสูงสุด: สูงถึง 17.5 ล้านปอนด์หรือ 4 เปอร์เซ็นต์ของยอดขายรายปีทั่วโลก แล้วแต่จำนวนใดจะสูงกว่า กิจกรรมการประมวลผลข้อมูลทุกอย่างที่ดำเนินการโดยองค์กรต้องสามารถป้องกันได้ภายใต้หลักการเจ็ดประการต่อไปนี้ทั้งหมด
| หลักการ | สิ่งที่ต้องการ | ความเสี่ยงทางธุรกิจ |
|---|---|---|
| ความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส | ฐานทางกฎหมายที่ชัดเจนสำหรับการประมวลผล ไม่มีการปฏิบัติข้อมูลที่หลอกลวง | £17.5m / 4% ยอดขายทั่วโลก |
| ข้อจำกัดเชิงวัตถุประสงค์ | ข้อมูลใช้เฉพาะวัตถุประสงค์ที่ระบุ ชัดเจน และชอบด้วยกฎหมายเท่านั้น | หนังสือบังคับใช้ของ ICO + ค่าปรับ |
| การลดข้อมูลให้น้อยที่สุด | เก็บรวบรวมเฉพาะสิ่งที่เพียงพอ เกี่ยวข้อง และจำเป็น | การตำหนิ + คำสั่งปฏิบัติตาม |
| ความถูกต้อง | รักษาข้อมูลส่วนบุคคลให้ทันสมัย ลบหรือแก้ไขอย่างรวดเร็ว | การเรียกร้องค่าชดเชย + ค่าปรับ |
| ข้อจำกัดการจัดเก็บ | เก็บข้อมูลไม่นานเกินความจำเป็น | การตรวจสอบของ ICO + การบังคับใช้ |
| ความสมบูรณ์และความลับ | ต้องมีมาตรการรักษาความปลอดภัยทางเทคนิคและองค์กร | สูงถึง £17.5m (Capita: £14m) |
| ความรับผิดชอบ | แสดงให้เห็นการปฏิบัติตาม รักษา ROPA | การตรวจสอบล้มเหลว = ค่าปรับทันที |
หลักการความรับผิดชอบสมควรได้รับความสนใจเป็นพิเศษเพราะเป็นกลไกที่ใช้บังคับใช้หลักการอื่นๆ ทั้งหมด ความรับผิดชอบภายใต้ UK GDPR ไม่ใช่แบบเฉยๆ: องค์กรต้องแสดงให้เห็นการปฏิบัติตามอย่างแข็งขัน รักษาบันทึกกิจกรรมการประมวลผล (ROPA) ดำเนินการประเมินผลกระทบต่อการคุ้มครองข้อมูล (DPIAs) สำหรับการประมวลผลที่มีความเสี่ยงสูง และแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) เมื่อจำเป็น ICO สามารถขอหลักฐานของกิจกรรมเหล่านี้ได้ตลอดเวลา และความล้มเหลวในการนำเสนอถือเป็นการละเมิดโดยอิสระ
ฐานทางกฎหมายสำหรับการประมวลผล
กิจกรรมการประมวลผลทุกอย่างต้องการฐานทางกฎหมาย UK GDPR ให้หกฐาน: ความยินยอม สัญญา ภาระผูกพันทางกฎหมาย ผลประโยชน์ที่สำคัญ งานสาธารณะ และผลประโยชน์ที่ชอบด้วยกฎหมาย ทางเลือกของฐานทางกฎหมายไม่สามารถสลับได้และต้องกำหนดก่อนเริ่มการประมวลผล การเปลี่ยนฐานทางกฎหมายภายหลังไม่ได้รับอนุญาต
ความยินยอมภายใต้ UK GDPR ต้องให้อย่างอิสระ เฉพาะเจาะจง รับทราบข้อมูล และชัดเจน กล่องที่ทำเครื่องหมายไว้ล่วงหน้า ความยินยอมแบบรวม และความยินยอมที่ได้มาเป็นเงื่อนไขของบริการไม่เป็นไปตามมาตรฐาน ความยินยอมต้องง่ายต่อการถอนเท่ากับการให้ พระราชบัญญัติข้อมูล (การใช้และการเข้าถึง) 2025 ได้ปรับปรุงกฎการยินยอมคุกกี้ นำข้อยกเว้นห้าข้อที่ไม่จำเป็นต้องมีความยินยอม รวมถึงคุกกี้ที่จำเป็นอย่างเคร่งครัดสำหรับบริการที่ผู้ใช้ร้องขอ วัตถุประสงค์ทางสถิติ และความช่วยเหลือในกรณีฉุกเฉิน อย่างไรก็ตาม โฆษณา การวิเคราะห์นอกเหนือจากข้อยกเว้นเหล่านี้ และคุกกี้การปรับแต่งยังคงต้องมีความยินยอมแบบเลือกเข้าอย่างชัดเจน
ผลประโยชน์ที่ชอบด้วยกฎหมายถูกนำไปใช้ผิดบ่อยครั้ง ต้องการการประเมินสามส่วน: การระบุผลประโยชน์ที่ชอบด้วยกฎหมาย การแสดงให้เห็นว่าการประมวลผลมีความจำเป็นสำหรับผลประโยชน์นั้น และการสมดุลกับสิทธิของเจ้าของข้อมูล DUAA 2025 ได้นำรายการผลประโยชน์ที่ชอบด้วยกฎหมายที่ได้รับการยอมรับมาใช้ซึ่งการทดสอบความสมดุลถือว่าเป็นที่พอใจ รวมถึงการป้องกันการฉ้อโกง ความปลอดภัยของเครือข่าย และการตลาดโดยตรงไปยังลูกค้าที่มีอยู่ นอกหมวดหมู่เหล่านี้ การทดสอบความสมดุลที่มีเอกสารประกอบเป็นสิ่งจำเป็น
สิทธิส่วนบุคคลภายใต้ UK GDPR
UK GDPR ให้สิทธิที่บังคับใช้ได้แปดข้อแก่เจ้าของข้อมูล องค์กรต้องตอบสนองต่อคำขอภายในหนึ่งเดือน ขยายได้สองเดือนสำหรับคำขอที่ซับซ้อน ความล้มเหลวในการตอบสนองเป็นการละเมิดในตัวเองที่สามารถกระตุ้นข้อร้องเรียนของ ICO และการดำเนินการบังคับใช้
สิทธิในการเข้าถึง (DSAR): บุคคลสามารถขอข้อมูลส่วนบุคคลทั้งหมดที่เก็บไว้เกี่ยวกับพวกเขา องค์กรต้องให้สำเนาโดยไม่เสียค่าใช้จ่ายในสถานการณ์ส่วนใหญ่ DUAA 2025 ได้บัญญัติหลักการ 'หยุดนาฬิกา': ไทม์ไลน์การตอบสนองหยุดชั่วคราวเมื่อมีการขอคำชี้แจงจากเจ้าของข้อมูล
สิทธิในการลบข้อมูล: เรียกอีกอย่างว่า 'สิทธิที่จะถูกลืม' สิ่งนี้อนุญาตให้บุคคลขอลบข้อมูลส่วนบุคคลในสถานการณ์ที่กำหนด รวมถึงที่ความยินยอมถูกถอน หรือข้อมูลไม่จำเป็นอีกต่อไป
สิทธิในการพกพาข้อมูล: บุคคลสามารถขอข้อมูลส่วนบุคคลในรูปแบบที่เครื่องอ่านได้เพื่อถ่ายโอนไปยังผู้ควบคุมอื่น ที่การประมวลผลขึ้นอยู่กับความยินยอมหรือสัญญา
สิทธิในการคัดค้าน: บุคคลสามารถคัดค้านการประมวลผลที่อิงตามผลประโยชน์ที่ชอบด้วยกฎหมายหรือสำหรับการตลาดโดยตรง การคัดค้านการตลาดโดยตรงต้องได้รับการเคารพทันทีเสมอ
สิทธิที่เกี่ยวข้องกับการตัดสินใจอัตโนมัติ: DUAA 2025 ได้นำกฎใหม่ที่อนุญาตให้มีการตัดสินใจอัตโนมัติที่ขับเคลื่อนด้วย AI ตามเหตุผลผลประโยชน์ที่ชอบด้วยกฎหมายสำหรับข้อมูลที่ไม่ละเอียดอ่อน โดยมีมาตรการป้องกันรวมถึงสิทธิในการแทรกแซงของมนุษย์
ข้อกำหนดการแจ้งเหตุการณ์ละเมิดข้อมูล
UK GDPR กำหนดภาระผูกพันการรายงานการละเมิดที่เข้มงวด เมื่อการละเมิดข้อมูลส่วนบุคคลก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล ICO ต้องได้รับแจ้งภายใน 72 ชั่วโมงหลังจากองค์กรทราบถึงการละเมิด เมื่อการละเมิดมีแนวโน้มที่จะส่งผลให้เกิดความเสี่ยงสูงต่อบุคคล เจ้าของข้อมูลที่ได้รับผลกระทบต้องได้รับแจ้งโดยไม่ชักช้าเช่นกัน
นาฬิกา 72 ชั่วโมงเริ่มเมื่อองค์กรทราบ ไม่ใช่เมื่อการละเมิดได้รับการตรวจสอบอย่างเต็มที่ ดังนั้นองค์กรต้องมีโครงสร้างพื้นฐานการตรวจจับเหตุการณ์ การเพิ่มระดับ และการรายงานที่สามารถตอบสนองไทม์ไลน์นี้ได้ การละเมิดของ Capita ซึ่งส่งผลให้มีค่าปรับ 14 ล้านปอนด์ในเดือนตุลาคม 2025 เกี่ยวข้องกับทั้งมาตรการรักษาความปลอดภัยที่ไม่เพียงพอและการตอบสนองเหตุการณ์ที่ล่าช้า: ICO อ้างอิงการรวมกันอย่างชัดเจนว่าเป็นปัจจัยที่เพิ่มความรุนแรงในการคำนวณค่าปรับ
การถ่ายโอนข้อมูลระหว่างประเทศ
การถ่ายโอนข้อมูลส่วนบุคคลออกนอกสหราชอาณาจักรต้องการมาตรการป้องกันที่เหมาะสม สหราชอาณาจักรมีกรอบความเพียงพอของตนเอง และได้ออกการตัดสินความเพียงพอครอบคลุม EEA รัฐสมาชิกสหภาพยุโรป และประเทศที่สามจำนวนหนึ่ง สำหรับการถ่ายโอนไปยังปลายทางอื่น องค์กรต้องใช้ข้อตกลงการถ่ายโอนข้อมูลระหว่างประเทศ (IDTAs) ภาคผนวกสหราชอาณาจักรของข้อสัญญามาตรฐานของสหภาพยุโรป หรือกฎองค์กรที่มีผลผูกพัน สะพานข้อมูล UK-US ที่จัดตั้งขึ้นในปี 2023 ให้กลไกสำหรับการถ่ายโอนไปยังองค์กรสหรัฐฯ ที่เข้าร่วม องค์กรไม่ควรถือว่ากลไกการถ่ายโอนของ EU GDPR ตอบสนอง UK GDPR โดยอัตโนมัติ: กรอบแยกจากกัน และแนวทางของ ICO ใช้
สำหรับการใช้งานจริง แพลตฟอร์มการจัดการความยินยอม (CMP) ที่จัดการการซิงโครไนซ์ความยินยอมระหว่างประเทศและเอกสารกลไกการถ่ายโอนที่ชอบด้วยกฎหมายให้ชั้นการปฏิบัติตามที่สำคัญ เพื่อให้มั่นใจว่าความยินยอมของเจ้าของข้อมูลที่บันทึกไว้ในสหราชอาณาจักรสะท้อนอย่างเหมาะสมในการประมวลผลปลายน้ำโดยผู้ประมวลผลในประเทศที่ไม่เพียงพอ
ต้นทุนที่แท้จริงของการไม่ปฏิบัติตาม UK GDPR
ICO ออกค่าปรับ UK GDPR จำนวน 16 รายการรวมประมาณ 65 ล้านปอนด์ระหว่างปี 2019 ถึงกันยายน 2025 ตารางต่อไปนี้สรุปค่าปรับที่สำคัญที่สุดและการละเมิดที่กระตุ้นพวกเขา
| องค์กร | ค่าปรับ | ปี | การละเมิด |
|---|---|---|---|
| Capita plc + Capita Pension Solutions | £14 million | ตุลาคม 2025 | การละเมิดแรนซัมแวร์; เจ้าของข้อมูล 6.6 ล้านคน |
| Advanced Computer Software Group | £3.07 million | 2025 | ช่องโหว่แรนซัมแวร์; ข้อมูล NHS |
| British Airways | £20 million | 2020 | การละเมิดข้อมูล; ลูกค้าที่ได้รับผลกระทบ 400,000 คน |
| Clearview AI | £7.5 million | 2022 | การขูดข้อมูลชีวมิติที่ผิดกฎหมายจากอินเทอร์เน็ต |
ค่าปรับทางการเงินแสดงถึงเพียงส่วนหนึ่งของต้นทุนที่แท้จริง มาตรการบังคับใช้ที่ไม่ใช่การเงินรวมถึงการห้ามประมวลผล คำสั่งปฏิบัติตาม และการระงับการไหลของข้อมูลสามารถรบกวนการดำเนินงานได้รุนแรงกว่าค่าปรับ ความเสียหายด้านชื่อเสียงจากหนังสือบังคับใช้สาธารณะของ ICO ผลักดันการสูญเสียลูกค้า ความสัมพันธ์กับพันธมิตรที่เสื่อมถอย และการสูญเสียสัญญาองค์กร การวิจัยจาก Ponemon Institute พบอย่างสม่ำเสมอว่าต้นทุนรวมของการละเมิดข้อมูล รวมถึงการตรวจจับ การแจ้งเตือน การตอบสนองด้านกฎระเบียบ และการหยุดชะงักทางธุรกิจ เกินค่าปรับด้านกฎระเบียบด้วยปัจจัยสามถึงห้า
โครงสร้างพื้นฐานการปฏิบัติตาม UK GDPR ในปี 2026 มีลักษณะอย่างไร
การปฏิบัติตาม UK GDPR ที่มีประสิทธิผลในปี 2026 ต้องการมากกว่านโยบายความเป็นส่วนตัวและแบนเนอร์คุกกี้ ต้องการกระบวนการที่มีเอกสาร การควบคุมทางเทคนิค และความสามารถในการดำเนินงานอย่างต่อเนื่อง กลยุทธ์การติดตามออนไลน์ของ ICO ในปี 2025 ได้เพิ่มการตรวจสอบการใช้งานความยินยอมโดยเฉพาะ โดยเน้นที่ว่าบันทึกความยินยอมสามารถแสดงให้เห็นความยินยอมที่ถูกต้องในระดับบุคคลได้จริงหรือไม่
แพลตฟอร์มการจัดการความยินยอม (CMP) ที่บล็อกคุกกี้ที่ไม่จำเป็นก่อนความยินยอมที่ถูกต้อง รักษาบันทึกความยินยอมที่ละเอียดมีการประทับเวลา และซิงโครไนซ์การตั้งค่าในสภาพแวดล้อมเว็บและแอป ตอนนี้เป็นโครงสร้างพื้นฐานพื้นฐานสำหรับองค์กรใดๆ ในสหราชอาณาจักรที่รวบรวมข้อมูลส่วนบุคคลออนไลน์ ICO ได้มีส่วนร่วมกับ IAB Tech Lab ตั้งแต่เดือนมกราคม 2025 เกี่ยวกับกรอบคำขอลบข้อมูล เสริมสร้างว่าการถอนความยินยอมต้องส่งต่อไปยังบุคคลที่สามในระบบนิเวศ ad tech ไม่ใช่แค่ผู้ควบคุมฝ่ายแรกเท่านั้น
นอกเหนือจากความยินยอม องค์กรต้องรักษา ROPA ปัจจุบันที่ครอบคลุมกิจกรรมการประมวลผลทั้งหมด แต่งตั้ง DPO เมื่อจำเป็น ดำเนินการ DPIAs สำหรับโครงการที่มีความเสี่ยงสูง ฝึกอบรมพนักงานเกี่ยวกับภาระผูกพันการคุ้มครองข้อมูล และใช้การควบคุมทางเทคนิครวมถึงการเข้ารหัส การควบคุมการเข้าถึง และความสามารถในการตรวจจับการละเมิด การสำรวจการละเมิดความปลอดภัยทางไซเบอร์ 2025 พบว่า 43 เปอร์เซ็นต์ของธุรกิจในสหราชอาณาจักรประสบการละเมิดหรือการโจมตีในสิบสองเดือนก่อนหน้า เท่ากับประมาณ 612,000 องค์กรที่ต้องการการประเมินการแจ้งเตือนการละเมิด
พระราชบัญญัติข้อมูล (การใช้และการเข้าถึง) 2025 ซึ่งมีผลบังคับใช้อย่างเต็มที่ตั้งแต่วันที่ 5 กุมภาพันธ์ 2026 แสดงถึงการปรับปรุงที่สำคัญที่สุดของกฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรตั้งแต่ Brexit องค์กรที่ไม่ได้ทบทวนโปรแกรมการปฏิบัติตามของพวกเขาตามการเปลี่ยนแปลง DUAA 2025 โดยเฉพาะอย่างยิ่งเกี่ยวกับผลประโยชน์ที่ชอบด้วยกฎหมาย ข้อยกเว้นการยินยอมคุกกี้ การตัดสินใจอัตโนมัติ และภาระผูกพันการจัดการข้อร้องเรียน ควรถือว่านี่เป็นลำดับความสำคัญเร่งด่วน แนวทางการปรับที่อัปเดตของ ICO ซึ่งเผยแพร่ในเดือนมีนาคม 2024 ทำให้เส้นทางจากการละเมิดสู่ค่าปรับสูงสุดเป็นระบบมากขึ้น และบันทึกการบังคับใช้ตลอดปี 2025 แสดงให้เห็นว่าหน่วยงานเต็มใจที่จะลงค่าปรับจำนวนมากในทุกภาคส่วน
องค์กรที่นำทาง UK GDPR ได้อย่างมีประสิทธิภาพมากที่สุดคือผู้ที่ปฏิบัติต่อการคุ้มครองข้อมูลเป็นโครงสร้างพื้นฐานการดำเนินงานมากกว่าค่าใช้จ่ายทางกฎหมาย สำหรับเจ้าของข้อมูลที่พำนักในสหราชอาณาจักร การปฏิบัติตาม UK GDPR ไม่ใช่ทางเลือก มันคือราคาของการทำธุรกิจในตลาดของ 67 ล้านคนที่สิทธิข้อมูลของพวกเขาได้รับการบังคับใช้อย่างแข็งขัน การใช้โครงสร้างพื้นฐานการจัดการความยินยอมที่แข็งแกร่ง การรักษาเอกสารที่ครอบคลุม และการสร้างความสามารถในการตอบสนองการละเมิดไม่ใช่ต้นทุนการปฏิบัติตาม พวกมันเป็นรากฐานของการดำเนินงานข้อมูลที่ยั่งยืน
สำหรับการอ่านเพิ่มเติมเกี่ยวกับเทคโนโลยีความยินยอมและกรอบการปฏิบัติตาม ดู Marketing Compliance Technology: How Brands Are Navigating GDPR, Privacy Regulations and Brand Safety at Scale และ Consent Management Platforms: GDPR, CCPA Compliance and the Technology of Consumer Choice
