EU GDPR

Các khoản phạt có thể lên đến 4% doanh thu toàn cầu hàng năm cho việc vi phạm GDPR hoặc 20 triệu euro. Đây là mức phạt tối đa có thể được áp dụng cho các vi phạm nghiêm trọng nhất, ví dụ như không có sự đồng ý đủ của khách hàng để xử lý dữ liệu hoặc vi phạm các khái niệm cốt lõi của “Quyền riêng tư theo thiết kế”.

Dữ liệu cá nhân là bất kỳ thông tin nào có thể được sử dụng để xác định trực tiếp hoặc gián tiếp một người, chẳng hạn như tên, ảnh, địa chỉ email, thông tin ngân hàng, bài đăng trên các trang mạng xã hội, thông tin y tế, hoặc địa chỉ IP của máy tính.

Sự đồng ý phải được đưa ra dưới hình thức dễ hiểu và dễ tiếp cận với mục đích xử lý dữ liệu gắn liền với sự đồng ý đó. Nó phải rõ ràng, dễ nhận biết và sử dụng clear và ngôn ngữ dễ hiểu. Nó cũng phải dễ dàng để rút lại sự đồng ý như khi đưa ra. Khi xử lý dữ liệu cá nhân nhạy cảm, không có gì ngoài “đồng ý” sẽ đủ.

Nếu đối tượng dữ liệu dưới 16 tuổi, sự đồng ý của cha mẹ sẽ được yêu cầu để xử lý dữ liệu cá nhân của trẻ. Các quốc gia thành viên có thể hạ thấp độ tuổi đồng ý của cha mẹ, nhưng không thấp hơn 13 tuổi.

DPOs phải được bổ nhiệm trong trường hợp (a) các cơ quan công quyền, (b) các tổ chức tham gia giám sát quy mô lớn hoặc dữ liệu lớn, hoặc (c) các tổ chức tham gia vào việc xử lý hàng loạt dữ liệu cá nhân nhạy cảm (Điều 37). Nếu tổ chức của bạn không thuộc một trong những danh mục này, thì bạn không cần phải bổ nhiệm DPO.

Thông báo vi phạm

Theo GDPR, thông báo vi phạm sẽ trở thành bắt buộc ở tất cả các quốc gia thành viên nơi một vi phạm dữ liệu có khả năng “gây ra rủi ro cho quyền và tự do của cá nhân.” Thông báo phải được thực hiện trong vòng 72 giờ kể từ khi nhận thức được vi phạm. Các nhà xử lý dữ liệu cũng sẽ được yêu cầu thông báo cho các nhà kiểm soát “mà không chậm trễ không cần thiết” sau khi lần đầu tiên nhận thức được một vi phạm dữ liệu.

Quyền truy cập

Các đối tượng dữ liệu có quyền nhận xác nhận từ nhà kiểm soát dữ liệu về việc liệu dữ liệu cá nhân liên quan đến họ có được xử lý hay không, ở đâu và với mục đích gì. Nhà kiểm soát dữ liệu sẽ cung cấp một bản sao của dữ liệu cá nhân, miễn phí, dưới định dạng điện tử.

Quyền bị quên

Được biết đến như là xóa dữ liệu, quyền bị quên cho phép đối tượng dữ liệu yêu cầu nhà kiểm soát dữ liệu xóa dữ liệu cá nhân của họ, ngừng phát tán dữ liệu và có thể yêu cầu các bên thứ ba ngừng xử lý dữ liệu. Dữ liệu không còn liên quan đến các mục đích ban đầu để xử lý hoặc đối tượng dữ liệu rút lại sự đồng ý. Cũng cần lưu ý rằng quyền này yêu cầu các nhà kiểm soát so sánh quyền của đối tượng với “lợi ích công cộng trong việc có sẵn dữ liệu” khi xem xét các yêu cầu như vậy.

Khả năng chuyển dữ liệu

Đối tượng dữ liệu có thể nhận dữ liệu cá nhân liên quan đến họ, mà họ đã cung cấp trước đó trong “định dạng thường được sử dụng và có thể đọc bằng máy” và có quyền chuyển dữ liệu đó cho một nhà kiểm soát khác.

Quyền riêng tư theo thiết kế

Quyền riêng tư dữ liệu phải là cốt lõi của các hệ thống công nghệ mà các nhà kiểm soát và nhà xử lý sử dụng để quản lý thông tin của các đối tượng dữ liệu, không chỉ là một phần bổ sung.

Thông tin phải được cung cấp cho một đối tượng dữ liệu khi dữ liệu được thu thập đã được xác định rõ ràng và bao gồm:

• Danh tính và thông tin liên lạc của nhà kiểm soát và DPO
• Mục đích của việc xử lý, cho mục đích nào dữ liệu cá nhân được dự định
• Cơ sở pháp lý của việc xử lý
• Nếu có, lợi ích hợp pháp mà nhà kiểm soát hoặc bên thứ ba theo đuổi
• Nếu có, người nhận hoặc các loại người nhận dữ liệu cá nhân
• Thời gian mà dữ liệu cá nhân sẽ được lưu trữ, hoặc nếu điều này không thể, tiêu chí được sử dụng để xác định thời gian này
• Sự tồn tại của quyền truy cập, chỉnh sửa hoặc xóa dữ liệu cá nhân
• Quyền chuyển dữ liệu
• Quyền rút lại sự đồng ý bất cứ lúc nào
• Quyền khiếu nại với cơ quan giám sát

Quan trọng là, khi dữ liệu chưa được thu thập trực tiếp từ đối tượng dữ liệu (có thể sử dụng danh sách bên thứ ba), danh sách thay đổi và bao gồm nguồn gốc của dữ liệu cá nhân:

• Sự tồn tại của bất kỳ việc lập hồ sơ nào và thông tin có ý nghĩa về logic liên quan cũng như ý nghĩa và hậu quả dự kiến của việc xử lý đó đối với đối tượng dữ liệu.
• GDPR đại diện cho một vấn đề lớn cho các nhà tiếp thị khi lấy dữ liệu từ danh sách bên thứ ba.

1. Đặt một kế hoạch chủ động để tuân thủ GDPR của bạn.
2. Xem xét các thông báo và chính sách bảo mật, và đảm bảo chúng đáp ứng các mức độ tuân thủ GDPR.
3. Chuẩn bị một kế hoạch trong trường hợp xảy ra vi phạm bảo mật.
4. Kiểm tra các sự đồng ý.
5. Đưa ra sự đồng ý tiếp thị theo hình thức chấp nhận.
6. Xem xét phần lợi ích hợp pháp của chỉ thị với luật sư của bạn để đảm bảo nó bao gồm tổ chức của bạn cho việc sử dụng dữ liệu của người mua để xử lý và quản lý đơn hàng đó.
7. Làm cho ngôn ngữ sự đồng ý của bạn dễ tìm và đọc về việc sử dụng dữ liệu cá nhân.
8. Tạo một kế hoạch hành động cho các yêu cầu từ chủ thể dữ liệu đến tổ chức của bạn về việc sử dụng dữ liệu của họ.
9. Trở thành người chịu trách nhiệm cho sự tuân thủ của bạn.
10. Đào tạo nhân viên của bạn.
11. Có quy trình clear đã được thiết lập, viết và kiểm tra.
12. Bổ nhiệm một DPO nếu cần.
13. Đảm bảo rằng các đối tác điều khiển/xử lý của bạn tuân thủ.

GDPR áp dụng cho tổ chức, bộ điều khiển và bộ xử lý đặt tại trong và ngoài EU, cung cấp hàng hoặc dịch vụ cho các chủ thể dữ liệu của EU. GDPR cũng áp dụng cho các tổ chức như tổ chức tiếp thị hoặc những người cung cấp hoặc sử dụng dữ liệu theo dõi hành vi của các chủ thể của EU.

Bộ điều khiển xác định mục đích, điều kiện và phương tiện cho việc xử lý dữ liệu cá nhân, trong khi bộ xử lý xử lý dữ liệu cá nhân thay mặt cho bộ điều khiển.