GDPR ảnh hưởng đến ai?
EU GDPR không chỉ áp dụng cho các tổ chức ở Châu Âu mà còn cho bất kỳ tổ chức nào sẽ xử lý và lưu giữ dữ liệu cá nhân của các cá nhân trong Liên minh Châu Âu cũng như công dân EU sống ở nước ngoài. Nói cách khác, nếu bạn dự định có khách hàng từ Châu Âu, bạn sẽ cần phải chú ý.
Điều gì xảy ra nếu bạn không tuân thủ?
GDPR sẽ được thực thi bắt đầu từ ngày 25 tháng 5 năm 2018. Các hình phạt không tuân thủ là rất nghiêm trọng.
- Các khoản phạt có thể lên đến 4% doanh thu toàn cầu hàng năm hoặc 20 triệu Euro, tùy theo mức nào cao hơn.
- Các cá nhân sẽ có quyền yêu cầu bồi thường cho thiệt hại, bao gồm mất quyền kiểm soát dữ liệu cá nhân hoặc hạn chế quyền, phân biệt đối xử, thiệt hại tài chính, thiệt hại danh tiếng, hoặc mất tính bảo mật của dữ liệu cá nhân được bảo vệ bởi bí mật nghề nghiệp.
- Các cá nhân có thể chọn hành động chống lại người kiểm soát dữ liệu, người xử lý, hoặc cả hai, và có thể là bất kỳ ai trong chuỗi cung ứng.
Các lựa chọn của bạn là gì?
Nếu bạn sở hữu hoặc điều hành một doanh nghiệp thương mại điện tử, các lựa chọn của bạn là không đủ. Thực sự chỉ có hai lựa chọn.
Lựa chọn 1 - Chấp nhận nó (Ý tưởng tốt!)
Một người bạn từng nói với tôi: “nếu bạn không biết bạn đang đi theo hướng nào, bạn đã bị lạc rồi.” Tôi nghĩ điều này đặc biệt đúng với EU GDPR. Có rất nhiều điều để học và còn nhiều điều cần được làm rõ. Nhưng việc đạt được sự sẵn sàng cho EU GDPR bắt đầu bằng một quyết định tuân thủ. Đánh giá tình hình của bạn và xác định các lĩnh vực mà bạn không tuân thủ. Bạn có thể thiết lập một chiến lược để giảm thiểu trách nhiệm của mình.
Lựa chọn 2 - Không bán cho Châu Âu hoặc công dân của họ (Ý tưởng tồi!)
Nếu bạn không muốn tuân thủ EU GDPR, chúng tôi khuyên bạn không nên lên kế hoạch kinh doanh với bất kỳ ai từ Châu Âu. Xin hãy nhớ rằng, những cá nhân Châu Âu đó có thể sống ở nước ngoài. Việc giới hạn doanh nghiệp thương mại điện tử của bạn trong biên giới Hoa Kỳ không đảm bảo bạn tuân thủ. Rủi ro không tuân thủ là rất lớn và có thể được mô tả là “bằng hình phạt.” Không tuân thủ là một lựa chọn, nhưng không được khuyến nghị.
5 lĩnh vực chính của quy định
Sự sẵn sàng cho EU GDPR liên quan đến việc làm quen với năm lĩnh vực chính của quy định - sự đồng ý, quyền cá nhân, chính sách, và trách nhiệm.
1. Lợi ích hợp pháp
Điều 6 của quy định GDPR nêu rõ rằng một người thu thập dữ liệu chỉ có thể xử lý dữ liệu hợp pháp nếu, trong số những điều khác, họ có lợi ích hợp pháp hoặc sự đồng ý. Việc xác định xem bạn có lợi ích hợp pháp hay không yêu cầu “đánh giá cẩn thận” về kỳ vọng và bối cảnh của dữ liệu bạn đang thu thập.
Thật dễ dàng để sử dụng một cách diễn giải rộng về lợi ích hợp pháp để vượt qua nhu cầu về sự đồng ý. Chúng tôi không khuyến khích việc sử dụng một quan điểm mở về lợi ích hợp pháp như một cách để biện minh cho việc thu thập dữ liệu. GDPR cung cấp một số ví dụ như xử lý dữ liệu cá nhân để ngăn chặn gian lận, các mục đích hành chính nội bộ liên quan đến nhân viên và khách hàng, đảm bảo an ninh mạng, và báo cáo các hành vi phạm tội hoặc mối đe dọa đối với an ninh công cộng.
Vẫn còn một khu vực xám xung quanh lợi ích hợp pháp và định nghĩa sẽ trở nên rõ ràng hơn theo thời gian. Khuyến nghị ngắn hạn là hãy hình thành thói quen hỏi, “liệu mục tiêu tương tự có thể đạt được mà không cần xử lý dữ liệu cá nhân không?” Nếu câu trả lời là có, thì thực tiễn tốt nhất là từ bỏ lợi ích hợp pháp như là cơ sở để xử lý dữ liệu; bạn nên thu thập sự đồng ý.
2. Sự đồng ý
Không còn sự đồng ý thụ động. Bạn cần nêu rõ bạn sẽ sử dụng dữ liệu cho mục đích gì. Dưới đây là hai ví dụ về cách yêu cầu sự đồng ý.
3. Quyền cá nhân
Theo GDPR, cá nhân có quyền được quên. Ví dụ, nếu họ đã đồng ý sử dụng dữ liệu cho mục đích tiếp thị, họ có quyền yêu cầu bạn “quên họ”. Các quyền mới đã được giới thiệu liên quan đến quyền truy cập, phản đối việc xử lý, khả năng chuyển dữ liệu, và phản đối việc lập hồ sơ, trong số những quyền khác.
4. Chính sách
Điều 13 của quy định đưa ra 12 lĩnh vực chính mà bạn cần thông báo cho người tiêu dùng của mình bằng clear ngôn ngữ, không phải ngôn ngữ pháp lý. Phát triển một chính sách bảo mật tiêu chuẩn để thông báo cho khách hàng của bạn cách bạn quản lý dữ liệu của họ.
Cần có một người liên hệ được chỉ định cũng như thông tin liên hệ cho tổ chức của bạn trong chính sách bảo mật.
5. Trách nhiệm
Giáo dục nhân viên của bạn và cung cấp các công cụ để giúp thúc đẩy trách nhiệm trong toàn công ty của bạn, không chỉ cho quy định này, mà cho tất cả dữ liệu cá nhân mà bạn nhận được. Bảo vệ dữ liệu là trách nhiệm của toàn bộ tổ chức. Bất kỳ ai tiếp xúc với dữ liệu cần phải nhận thức được các hệ quả và hình phạt không tuân thủ.
Zonos, nhà lãnh đạo trong công nghệ thương mại điện tử xuyên biên giới, sẽ tiếp tục dẫn dắt và hướng dẫn các thương nhân vượt qua thách thức bán sản phẩm của họ ra thế giới. Chúng tôi sẽ tiếp tục cung cấp các câu hỏi thường gặp và tài liệu ví dụ hiển thị các chính sách và quy trình bảo mật nội bộ mà bạn có thể áp dụng. Chúng tôi sẽ chia sẻ các tài liệu đào tạo nội bộ để bạn sử dụng với đội ngũ của mình. Zonos coi trọng quyền riêng tư dữ liệu và cam kết sẵn sàng cho EU GDPR. Thông tin chi tiết sẽ được cập nhật thường xuyên.
Tại sao bạn nên quan tâm đến GDPR?
Mọi nơi bạn nhìn thấy trong thương mại điện tử, bạn sẽ thấy ai đó đang thảo luận về EU GDPR hoặc Quy định Bảo vệ Dữ liệu Chung của Liên minh Châu Âu. Có nhiều thông tin khác nhau, từ các bài viết kỹ thuật đến những suy đoán trên mạng xã hội. Chúng ta đều muốn biết nó sẽ ảnh hưởng đến chúng ta như thế nào. Những thay đổi nào, nếu có, tôi cần thực hiện? Nó thực sự có ý nghĩa gì?
Trong bài viết này, chúng ta sẽ nhanh chóng xem xét EU GDPR - nó là gì, làm thế nào chúng ta có thể chuẩn bị, và nó có thể ảnh hưởng đến một doanh nghiệp trực tuyến như thế nào.