Cách chúng tôi quản lý GDPR
GDPR của EU là một quy định về quyền riêng tư toàn diện được thực hiện vào ngày 25 tháng 5 năm 2018. Chúng tôi đã cập nhật công nghệ của mình không chỉ để quản lý các sáng kiến GDPR mà còn vượt ra ngoài biên giới EU để đảm bảo sự tập trung vào quyền riêng tư cho tất cả mọi người sử dụng Zonos.
Zonos cung cấp công nghệ bảo mật hàng đầu trong ngành để đảm bảo rằng người mua sắm và thương nhân có quyền kiểm soát dữ liệu và quy trình của họ - đáp ứng khung quy định của GDPR EU.
Mục tiêu của Zonos cho doanh nghiệp của bạn tiếp tục là:
- Giúp bạn giải mã giao dịch xuyên biên giới.
- Cung cấp cho bạn quyền kiểm soát chuỗi cung ứng toàn cầu.
- Đem đến trải nghiệm an toàn và tuyệt vời cho người mua quốc tế của bạn.
Các mục chỉ thị GDPR chính
Hình phạt
Các khoản phạt có thể lên đến 4% doanh thu toàn cầu hàng năm cho việc vi phạm GDPR hoặc 20 triệu euro. Đây là mức phạt tối đa có thể được áp dụng cho các vi phạm nghiêm trọng nhất, ví dụ như không có sự đồng ý đủ của khách hàng để xử lý dữ liệu hoặc vi phạm các khái niệm cốt lõi của “Quyền riêng tư theo thiết kế”.
Định nghĩa dữ liệu cá nhân
Dữ liệu cá nhân là bất kỳ thông tin nào có thể được sử dụng để xác định trực tiếp hoặc gián tiếp một người, chẳng hạn như tên, ảnh, địa chỉ email, thông tin ngân hàng, bài đăng trên các trang mạng xã hội, thông tin y tế, hoặc địa chỉ IP của máy tính.
Sự đồng ý
Sự đồng ý phải được đưa ra dưới hình thức dễ hiểu và dễ tiếp cận với mục đích xử lý dữ liệu gắn liền với sự đồng ý đó. Nó phải rõ ràng, dễ nhận biết và sử dụng clear và ngôn ngữ dễ hiểu. Nó cũng phải dễ dàng để rút lại sự đồng ý như khi đưa ra. Khi xử lý dữ liệu cá nhân nhạy cảm, không có gì ngoài “đồng ý” sẽ đủ.
Nếu đối tượng dữ liệu dưới 16 tuổi, sự đồng ý của cha mẹ sẽ được yêu cầu để xử lý dữ liệu cá nhân của trẻ. Các quốc gia thành viên có thể hạ thấp độ tuổi đồng ý của cha mẹ, nhưng không thấp hơn 13 tuổi.
Nhân viên bảo vệ dữ liệu (DPOs)
DPOs phải được bổ nhiệm trong trường hợp (a) các cơ quan công quyền, (b) các tổ chức tham gia giám sát quy mô lớn hoặc dữ liệu lớn, hoặc (c) các tổ chức tham gia vào việc xử lý hàng loạt dữ liệu cá nhân nhạy cảm (Điều 37). Nếu tổ chức của bạn không thuộc một trong những danh mục này, thì bạn không cần phải bổ nhiệm DPO.
Quyền của các đối tượng dữ liệu
Thông báo vi phạm
Theo GDPR, thông báo vi phạm sẽ trở thành bắt buộc ở tất cả các quốc gia thành viên nơi một vi phạm dữ liệu có khả năng “gây ra rủi ro cho quyền và tự do của cá nhân.” Thông báo phải được thực hiện trong vòng 72 giờ kể từ khi nhận thức được vi phạm. Các nhà xử lý dữ liệu cũng sẽ được yêu cầu thông báo cho các nhà kiểm soát “mà không chậm trễ không cần thiết” sau khi lần đầu tiên nhận thức được một vi phạm dữ liệu.
Quyền truy cập
Các đối tượng dữ liệu có quyền nhận xác nhận từ nhà kiểm soát dữ liệu về việc liệu dữ liệu cá nhân liên quan đến họ có được xử lý hay không, ở đâu và với mục đích gì. Nhà kiểm soát dữ liệu sẽ cung cấp một bản sao của dữ liệu cá nhân, miễn phí, dưới định dạng điện tử.
Quyền bị quên
Được biết đến như là xóa dữ liệu, quyền bị quên cho phép đối tượng dữ liệu yêu cầu nhà kiểm soát dữ liệu xóa dữ liệu cá nhân của họ, ngừng phát tán dữ liệu và có thể yêu cầu các bên thứ ba ngừng xử lý dữ liệu. Dữ liệu không còn liên quan đến các mục đích ban đầu để xử lý hoặc đối tượng dữ liệu rút lại sự đồng ý. Cũng cần lưu ý rằng quyền này yêu cầu các nhà kiểm soát so sánh quyền của đối tượng với “lợi ích công cộng trong việc có sẵn dữ liệu” khi xem xét các yêu cầu như vậy.
Khả năng chuyển dữ liệu
Đối tượng dữ liệu có thể nhận dữ liệu cá nhân liên quan đến họ, mà họ đã cung cấp trước đó trong “định dạng thường được sử dụng và có thể đọc bằng máy” và có quyền chuyển dữ liệu đó cho một nhà kiểm soát khác.
Quyền riêng tư theo thiết kế
Quyền riêng tư dữ liệu phải là cốt lõi của các hệ thống công nghệ mà các nhà kiểm soát và nhà xử lý sử dụng để quản lý thông tin của các đối tượng dữ liệu, không chỉ là một phần bổ sung.
Thông tin đối tượng dữ liệu
Thông tin phải được cung cấp cho một đối tượng dữ liệu khi dữ liệu được thu thập đã được xác định rõ ràng và bao gồm:
- Danh tính và thông tin liên lạc của nhà kiểm soát và DPO
- Mục đích của việc xử lý, cho mục đích nào dữ liệu cá nhân được dự định
- Cơ sở pháp lý của việc xử lý
- Nếu có, lợi ích hợp pháp mà nhà kiểm soát hoặc bên thứ ba theo đuổi
- Nếu có, người nhận hoặc các loại người nhận dữ liệu cá nhân
- Thời gian mà dữ liệu cá nhân sẽ được lưu trữ, hoặc nếu điều này không thể, tiêu chí được sử dụng để xác định thời gian này
- Sự tồn tại của quyền truy cập, chỉnh sửa hoặc xóa dữ liệu cá nhân
- Quyền chuyển dữ liệu
- Quyền rút lại sự đồng ý bất cứ lúc nào
- Quyền khiếu nại với cơ quan giám sát
Quan trọng là, khi dữ liệu chưa được thu thập trực tiếp từ đối tượng dữ liệu (có thể sử dụng danh sách bên thứ ba), danh sách thay đổi và bao gồm nguồn gốc của dữ liệu cá nhân:
- Sự tồn tại của bất kỳ việc lập hồ sơ nào và thông tin có ý nghĩa về logic liên quan cũng như ý nghĩa và hậu quả dự kiến của việc xử lý đó đối với đối tượng dữ liệu.
- GDPR đại diện cho một vấn đề lớn cho các nhà tiếp thị khi lấy dữ liệu từ danh sách bên thứ ba.
Lợi ích hợp pháp
Điều 6 của quy định GDPR nêu rõ rằng một nhà thu thập dữ liệu chỉ có thể xử lý dữ liệu hợp pháp nếu, trong số những điều khác, họ có lợi ích hợp pháp hoặc sự đồng ý. Việc xác định xem bạn có lợi ích hợp pháp hay không yêu cầu “đánh giá cẩn thận” về kỳ vọng và bối cảnh của dữ liệu bạn đang thu thập.
Thật dễ dàng để sử dụng một cách diễn giải rộng về lợi ích hợp pháp để vượt qua nhu cầu về sự đồng ý. Chúng tôi không khuyến khích việc sử dụng quan điểm mở về lợi ích hợp pháp như một cách để biện minh cho việc thu thập dữ liệu. GDPR cung cấp một số ví dụ như xử lý dữ liệu cá nhân để ngăn chặn gian lận, mục đích hành chính nội bộ liên quan đến nhân viên và khách hàng, bảo mật mạng, và báo cáo các hoạt động tội phạm hoặc mối đe dọa đối với an ninh công cộng.
Vẫn còn một vùng xám xung quanh lợi ích hợp pháp, và định nghĩa sẽ trở nên rõ ràng hơn theo thời gian. Khuyến nghị ngắn hạn là hãy hình thành thói quen hỏi, “liệu mục tiêu tương tự có thể đạt được mà không cần xử lý dữ liệu cá nhân không?” Nếu câu trả lời là có, thì thực tiễn tốt nhất là tránh sử dụng lợi ích hợp pháp như cơ sở để xử lý dữ liệu; bạn nên thu thập sự đồng ý.
Khuyến nghị
Zonos khuyến nghị những điều sau để tuân thủ GDPR của EU:
Bước để tuân thủ GDPR
- Đặt một kế hoạch chủ động để tuân thủ GDPR của bạn.
- Xem xét các thông báo và chính sách bảo mật, và đảm bảo chúng đáp ứng các mức độ tuân thủ GDPR.
- Chuẩn bị một kế hoạch trong trường hợp xảy ra vi phạm bảo mật.
- Kiểm tra các sự đồng ý.
- Đưa ra sự đồng ý tiếp thị theo hình thức chấp nhận.
- Xem xét phần lợi ích hợp pháp của chỉ thị với luật sư của bạn để đảm bảo nó bao gồm tổ chức của bạn cho việc sử dụng dữ liệu của người mua để xử lý và quản lý đơn hàng đó.
- Làm cho ngôn ngữ sự đồng ý của bạn dễ tìm và đọc về việc sử dụng dữ liệu cá nhân.
- Tạo một kế hoạch hành động cho các yêu cầu từ chủ thể dữ liệu đến tổ chức của bạn về việc sử dụng dữ liệu của họ.
- Trở thành người chịu trách nhiệm cho sự tuân thủ của bạn.
- Đào tạo nhân viên của bạn.
- Có quy trình clear đã được thiết lập, viết và kiểm tra.
- Bổ nhiệm một DPO nếu cần.
- Đảm bảo rằng các đối tác điều khiển/xử lý của bạn tuân thủ.
Câu hỏi thường gặp
Ai bị ảnh hưởng bởi điều này?
GDPR áp dụng cho tổ chức, bộ điều khiển và bộ xử lý đặt tại trong và ngoài EU, cung cấp hàng hoặc dịch vụ cho các chủ thể dữ liệu của EU. GDPR cũng áp dụng cho các tổ chức như tổ chức tiếp thị hoặc những người cung cấp hoặc sử dụng dữ liệu theo dõi hành vi của các chủ thể của EU.
Sự khác biệt giữa bộ điều khiển và bộ xử lý là gì?
Bộ điều khiển xác định mục đích, điều kiện và phương tiện cho việc xử lý dữ liệu cá nhân, trong khi bộ xử lý xử lý dữ liệu cá nhân thay mặt cho bộ điều khiển.
EU GDPR
Tìm hiểu cách Zonos quản lý sáng kiến EU GDPR.Bảo vệ dữ liệu đang trở nên rất quan trọng trong kinh doanh hàng ngày. Mặc dù sáng kiến Quy định Bảo vệ Dữ liệu Chung (GDPR) không phải là sáng kiến quyền riêng tư đầu tiên trên thị trường, nhưng cho đến nay - nó đã là động lực quan trọng nhất trong việc hiểu và quản lý dữ liệu của cá nhân cũng như quyền dữ liệu của họ.
Để thu hút sự chú ý, EU cho phép các quốc gia thành viên áp dụng các khoản phạt, bao gồm mức phạt tối đa lên đến 4% doanh thu toàn cầu hàng năm cho việc vi phạm GDPR hoặc 20 triệu euro. Chỉ thị cũng thể hiện mong muốn về sự dễ dàng và một “cửa hàng một điểm” để quản lý.