GDPR có áp dụng cho dữ liệu cá nhân không?

Vào tháng 5 năm 2018, Liên minh Châu Âu (EU) đã đưa ra Quy định chung về bảo vệ dữ liệu (GDPR), một luật nêu rõ cách dữ liệu cá nhân có thể được truy cập và tăng cường quyền riêng tư của công dân trên khắp EU

GDPR yêu cầu các doanh nghiệp (ở EU) khai báo dữ liệu cá nhân nào họ đã lấy và mục đích sử dụng dữ liệu đó, trao quyền cho các cá nhân và cho phép họ kiểm soát quyền riêng tư của mình

Sau khi triển khai, các hộp thư đến trên khắp thế giới tràn ngập thông báo từ các doanh nghiệp đảm bảo rằng chúng tôi đã đồng ý tham gia vào danh sách gửi thư của họ và chia sẻ dữ liệu cá nhân của họ

Mặc dù GDPR áp dụng nghiêm ngặt cho các doanh nghiệp trong EU, nhưng nếu một doanh nghiệp Úc có sự hiện diện lâu đời ở EU giám sát hành vi của người dùng, thì họ cũng cần phải tuân thủ. Điều này dẫn đến việc các doanh nghiệp Úc phân phối email theo cách tương tự như các đối tác EU của chúng tôi

Mặc dù người Úc tuân thủ GDPR, nhưng kể từ năm 1988, Úc đã có một luật tương tự để bảo vệ quyền riêng tư và danh tính của công dân, Đạo luật Quyền riêng tư của Úc

Vì vậy, sự khác biệt chính giữa GDPR và Đạo luật quyền riêng tư của Úc là gì?

Mỗi người áp dụng cho ai?

Quy định chung về bảo vệ dữ liệu (GDPR). GDPR áp dụng cho tất cả các doanh nghiệp, bất kể quy mô, thu thập dữ liệu cá nhân từ công dân EU. Điều này áp dụng cho các doanh nghiệp ở EU hoặc bên ngoài EU cung cấp hàng hóa và dịch vụ cho công dân EU hoặc giám sát hành vi của họ

Đạo luật Quyền riêng tư của Úc (APA). Cũng như các doanh nghiệp, APA áp dụng cho hầu hết các cơ quan Chính phủ Úc, tất cả khu vực tư nhân và tổ chức phi lợi nhuận với doanh thu hàng năm là 3 triệu đô la và tất cả các nhà cung cấp dịch vụ y tế tư nhân. Không áp dụng cho tất cả các doanh nghiệp nhỏ (doanh thu hàng năm từ 2 triệu đô la trở xuống)

Điều này có nghĩa là gì. Mặc dù tương tự, APA không yêu cầu tất cả các doanh nghiệp phải tuân theo đạo luật này trong khi các tổ chức trong khu vực tư nhân phải tập trung vào ngành và doanh thu

Một cơ sở hoạt động ở EU phải tuyên bố ý định của họ, trong khi một cơ sở EU làm việc ở một quốc gia bên ngoài EU không phải tuyên bố ý định của họ với quốc gia bên ngoài đó

Mỗi cái áp dụng cho cái gì?

GDPR. Điều này áp dụng cho dữ liệu cá nhân, được định nghĩa là bất kỳ dữ liệu nào liên quan đến một thể nhân đã được xác định hoặc có thể xác định được (một cá nhân đang sống)

APA. Ứng dụng của APA là thông tin cá nhân, được định nghĩa là thông tin hoặc ý kiến ​​về một cá nhân được xác định hoặc thông tin giúp nhận dạng một cá nhân

Điều này có nghĩa là gì. Mặc dù chúng có vẻ giống nhau nhưng dữ liệu và thông tin là hai thứ khác nhau. Dữ liệu là thông tin thô, cơ sở cho những thứ như số liệu thống kê. Mặt khác, thông tin là kết quả cuối cùng, lấy các số liệu thống kê đó và tuyên bố kết quả

GDPR yêu cầu các doanh nghiệp khai báo những gì họ làm với thông tin thô đó. Mặt khác, APA tập trung vào thông tin được sử dụng để xác định trực tiếp một cá nhân. Điểm khác biệt là APA không yêu cầu doanh nghiệp khai báo dữ liệu mà họ đang theo dõi

Đồng ý cung cấp dữ liệu và thông tin

GDPR. Sự đồng ý phải được đưa ra một cách tự do bởi các cá nhân với sự khẳng định rõ ràng rằng họ hiểu thỏa thuận

APA. Cá nhân được thông báo đầy đủ trước khi đưa ra sự đồng ý và có khả năng hiểu và truyền đạt sự đồng ý của họ. Sự đồng ý này phải được đưa ra một cách tự nguyện

Điều đó có nghĩa là gì. Điều này đề cập đến việc chia sẻ dữ liệu yêu cầu thông tin cá nhân như tên, email, việc làm, vị trí, v.v. Ở cả EU và Úc, phải xác định rõ ràng cả dữ liệu của bạn sẽ được sử dụng cho mục đích gì và bạn nhận lại được gì

Quyền cá nhân

GDPR. Các cá nhân có toàn quyền đối với dữ liệu cá nhân của họ và có quyền xóa, điều chỉnh và phản đối bất kỳ dữ liệu nào liên quan đến họ

APA. Doanh nghiệp phải điều chỉnh, hủy hoặc hủy nhận dạng thông tin của một cá nhân theo yêu cầu của cá nhân đó hoặc thông tin không còn được sử dụng cho mục đích đã định

Điều đó có nghĩa là gì. Mặc dù GDPR trao quyền cho cá nhân, APA trao trách nhiệm này cho doanh nghiệp để quản lý thông tin cá nhân

Tóm lại, có một số điểm tương đồng chính với GDPR và APA. Với sự thay đổi nhanh chóng trong không gian kỹ thuật số, vẫn còn phải xem cách sử dụng hiệu quả nhất các quy định này là gì, cả hai đều nhằm mục đích bảo vệ quyền riêng tư kỹ thuật số của công dân. Cho đến lúc đó, hãy để mắt đến bản in đẹp và đọc các điều khoản và điều kiện

Cách tuân thủ GDPR – Quy định bảo vệ dữ liệu chung (GDPR) mới ở Liên minh châu Âu (EU) có hiệu lực vào tháng 5 năm 2018. Luật mới này bao gồm việc thu thập dữ liệu cá nhân và quyền riêng tư của cư dân EU

Vậy tại sao các doanh nghiệp trực tuyến của Úc nên quan tâm?

Hướng dẫn này không nhằm mục đích tư vấn pháp lý và không phải là danh sách kiểm tra toàn diện để đảm bảo tuân thủ GDPR. Tuy nhiên, nó sẽ giúp các doanh nghiệp trực tuyến vừa và nhỏ của Úc – những người có thể có một số khách hàng EU và khách truy cập trang web – hiểu rõ hơn về cách đáp ứng và tuân thủ các quy định mới

Các vấn đề pháp lý được đề cập trong hướng dẫn này

Nhấp vào bất kỳ câu hỏi nào dưới đây để chuyển đến phần đó của hướng dẫn pháp lý này

• Khái niệm cơ bản về GDPR
  • GDPR là gì?
  • Khi nào GDPR có hiệu lực?
  • GDPR sẽ có tác dụng gì?
• GDPR và Úc
  • GDPR có áp dụng cho các doanh nghiệp Úc không?
  • Không phải Brexit có nghĩa là tôi không phải tuân thủ sao?
• Cần tuân thủ
  • GDPR có áp dụng cho các ứng dụng cũng như trang web không?
  • Tôi có những lựa chọn nào để tuân thủ GDPR?
  • Tôi nên làm gì nếu không muốn tuân thủ GDPR?
• Yêu cầu tuân thủ
  • Tôi nên làm gì nếu tôi chỉ gửi bản tin email cho cư dân EU?
  • Tôi nên làm gì để tuân thủ đầy đủ GDPR?
  • Tôi nên làm gì nếu thu thập dữ liệu nhạy cảm hoặc dữ liệu cá nhân trên quy mô lớn?
  • Legal123 đang làm gì để giúp khách hàng của họ tuân thủ GDPR?

Nếu sau khi đọc hướng dẫn này mà bạn vẫn còn thắc mắc, hãy liên hệ vì chúng tôi muốn tiếp tục thêm câu hỏi của bạn vào hướng dẫn toàn diện này

Khái niệm cơ bản về GDPR

GDPR là gì?

GDPR là một bộ quy định của EU yêu cầu các doanh nghiệp bảo vệ dữ liệu cá nhân và quyền riêng tư của cư dân EU

GDPR thay thế luật hiện hành của Liên minh Châu Âu và Vương quốc Anh nhằm bảo vệ dữ liệu cá nhân (Chỉ thị Bảo vệ Dữ liệu của Liên minh Châu Âu năm 1995 và Đạo luật Bảo vệ Dữ liệu của Vương quốc Anh năm 1998). Những luật này được ban hành trước thời đại truyền thông xã hội và trước khi Internet thay đổi hoàn toàn cách chúng ta làm việc và sinh sống. Theo nhiều cách, các quy định được thiết kế để cố gắng khắc phục sự cân bằng quyền lực giữa người tiêu dùng và các công ty quảng cáo trực tuyến/truyền thông xã hội, chẳng hạn như Facebook, Google và Twitter

Một thay đổi quan trọng là việc mở rộng định nghĩa về dữ liệu cá nhân hiện bao gồm các thông tin như

• Tên
• Địa chỉ email
• Địa chỉ vật lý
• Số điện thoại
• Tên công ty
• Chi tiết thẻ tín dụng và tài khoản ngân hàng
• Số hồ sơ thuế
• Địa chỉ IP, dữ liệu vị trí GPS và thẻ RFID
• Cookies và dữ liệu về việc sử dụng các dịch vụ trực tuyến
• Nhận xét blog, truy vấn hỗ trợ và lời chứng thực
• Xử lý phương tiện truyền thông xã hội
• Ngày sinh
• Ảnh và video
• Hồ sơ y tế, dữ liệu di truyền và sinh trắc học
• Khuynh hướng tình dục, chủng tộc hoặc dân tộc và lập trường chính trị
• Thông tin chi tiết về nhân viên và sơ yếu lý lịch của người xin việc

Bằng cách mở rộng định nghĩa, GDPR nhận ra phạm vi thu thập dữ liệu cá nhân khổng lồ hiện đang tồn tại và cố gắng đưa tất cả vào phạm vi của các quy tắc mới

Khi nào GDPR có hiệu lực?

GDPR có hiệu lực vào ngày 25 tháng 5 năm 2018

Vào khoảng ngày đó, các doanh nghiệp bị ảnh hưởng bởi GDPR đã liên hệ với khách hàng và người đăng ký email của họ để thông báo cho họ về Chính sách quyền riêng tư cập nhật và việc tuân thủ GDPR của họ. Trong một số trường hợp, họ cũng yêu cầu những người đăng ký email hiện tại đăng ký lại danh sách email của họ để thể hiện sự “đồng ý” và tuân thủ các quy tắc GDPR mới

GDPR sẽ có tác dụng gì?

Mục tiêu của GDPR là bảo vệ cư dân EU khỏi bị lạm dụng hoặc mất thông tin cá nhân của họ. Luật GDPR thực hiện điều này bằng cách chỉ định 8 Quyền của cư dân EU mà các doanh nghiệp phải duy trì. Khách hàng và người đăng ký ở EU hiện có thể

1. Hỏi bạn đang thu thập dữ liệu cá nhân nào và dữ liệu đó đang được sử dụng như thế nào (“Quyền được thông tin”)
2. Hủy đăng ký nhận bất kỳ email nào của bạn bất kỳ lúc nào (“Quyền phản đối”)
3. Truy cập dữ liệu cá nhân mà bạn đã thu thập về họ (“Quyền truy cập”)
4. Yêu cầu bạn chỉnh sửa mọi dữ liệu cá nhân không chính xác (“Quyền chỉnh sửa”)
5. Xuất dữ liệu cá nhân của họ ở định dạng điện tử (“Quyền đối với Khả năng Di chuyển Dữ liệu”)
6. Yêu cầu bạn hạn chế xử lý các loại dữ liệu cá nhân cụ thể (“Quyền hạn chế xử lý”)
7. Từ chối sử dụng dữ liệu cá nhân của họ để lập hồ sơ và trong các hệ thống tự động (“Quyền liên quan đến lập hồ sơ dữ liệu”), và
8. Yêu cầu xóa dữ liệu cá nhân của họ (và được cung cấp dấu vết kiểm tra nếu được yêu cầu) và các bên thứ ba ngừng sử dụng dữ liệu (“Quyền được lãng quên”)

Vẫn còn quá sớm để thấy bất kỳ tác động có lợi nào của GDPR đối với người tiêu dùng. Nhưng một số tác động tiêu cực đến các doanh nghiệp đã được nhìn thấy

• Một số tờ báo Mỹ đã quyết định chặn độc giả EU và “bóng tối” (e. g. Los Angeles Times, New York Daily News, Chicago Tribune)
• Một số doanh nghiệp trực tuyến đã quyết định đóng cửa hoàn toàn (e. g. Klout, Verve, Unroll. tôi)
• Khiếu nại đã được gửi đến các công ty truyền thông xã hội lớn với các vụ kiện có thể xảy ra (e. g. Facebook, Instagram, WhatsApp, Google)
• Các tập đoàn lớn và doanh nghiệp vừa và nhỏ đang lên tiếng về chi phí tuân thủ GDPR

Cập nhật GDPR tháng 7 năm 2019 – Đã ban hành các khoản tiền phạt khổng lồ

Cơ quan giám sát GDPR của Vương quốc Anh, ICO (Văn phòng Ủy viên Thông tin), đã ban hành các khoản tiền phạt rất lớn đối với British Airways và Khách sạn Marriott vì vi phạm dữ liệu.

British Airways đã bị phạt 183 triệu bảng Anh (khoảng. 1. 5% doanh thu toàn cầu) do vi phạm thông tin thẻ tín dụng, tên, địa chỉ, chi tiết đặt chỗ du lịch và thông tin đăng nhập của khoảng. 500.000 khách hàng năm 2018. Marriott đã bị phạt 99 triệu bảng vì vi phạm 383 triệu hồ sơ khách và 5 triệu chi tiết hộ chiếu từ năm 2014 đến 2018.

British Airways và Marriott chắc chắn sẽ kháng cáo và mức phạt cuối cùng có thể được giảm xuống. Tuy nhiên, thông điệp rất rõ ràng – các doanh nghiệp cần thực hiện nghiêm túc việc bảo vệ dữ liệu và làm mọi cách để không bị tấn công.

GDPR và Úc

GDPR có áp dụng cho các doanh nghiệp Úc không?

GDPR sẽ áp dụng cho một số doanh nghiệp Úc. Nếu bạn đáp ứng bất kỳ tiêu chí nào bên dưới, bạn sẽ cần phải tuân thủ GDPR (hoặc tiền phạt rủi ro)

• Bạn thu thập địa chỉ email của cư dân EU
• Bạn bán hàng hóa và dịch vụ cho cư dân EU
• Bạn vận chuyển sản phẩm đến cư dân EU
• Bạn cung cấp hàng hóa và dịch vụ có giá bằng Euro, Bảng Anh hoặc Franc Thụy Sĩ
• Bạn tiếp thị hàng hóa và dịch vụ của mình bằng ngôn ngữ EU (không phải tiếng Anh)
• Bạn đề cập đến khách hàng từ EU trên trang web của mình (e. g. trong lời chứng thực)
• Bạn có chi nhánh, văn phòng hành chính hoặc công ty đã đăng ký tại EU
• Bạn xử lý dữ liệu cá nhân của cư dân EU (e. g. hỗ trợ khách hàng cho công ty EU)
• Bạn “theo dõi hành vi của cư dân EU” (e. g. theo dõi cư dân EU bằng cookie cho mục đích lập hồ sơ, tùy chỉnh quảng cáo trực tuyến, v.v. )

Nhưng tuân thủ GDPR chỉ có nghĩa là tuân thủ dữ liệu cá nhân của EU mà bạn thu thập. Mặc dù nếu bạn chọn tuân theo GDPR thì có thể dễ dàng thực hiện hơn đối với TẤT CẢ dữ liệu cá nhân mà bạn thu thập – thay vì có các quy trình riêng biệt chỉ dành cho cư dân EU

Úc đã thảo luận về khả năng đi theo sự dẫn dắt của EU và áp dụng các quy định giống như GDPR. Họ đang vận động các doanh nghiệp để biết các tác động và phản ứng cũng như đánh giá tác động của GDPR. Nhưng thời gian sẽ trả lời và các doanh nghiệp Úc không có mối liên kết với EU không bắt buộc phải tuân thủ GDPR

Không phải Brexit có nghĩa là tôi không phải tuân thủ sao?

EU đã thông qua luật GDPR vào tháng 4 năm 2016. Vì Vương quốc Anh vẫn là thành viên của EU vào ngày đó, GDPR cũng được áp dụng cho Vương quốc Anh. Sau đó, vào ngày 23 tháng 5 năm 2018, với dự đoán về Brexit vào năm 2019, Vương quốc Anh đã ban hành Đạo luật bảo vệ dữ liệu của riêng họ năm 2018, trong đó có các quy định tương tự như GDPR, chỉ với một số sửa đổi nhỏ

Do đó, bất chấp Brexit, nếu bạn có khách hàng và người đăng ký bản tin ở Vương quốc Anh, bạn vẫn phải tuân thủ các quy tắc GDPR liên quan đến dữ liệu cá nhân của họ

Cần tuân thủ

GDPR có áp dụng cho các ứng dụng cũng như trang web không?

Có, quy tắc GDPR áp dụng như nhau cho các ứng dụng và trang web. Đặc biệt, nếu bạn là nhà phát triển ứng dụng, bạn nên

• Giảm thiểu lượng dữ liệu cá nhân mà bạn truy cập bằng ứng dụng của mình
• Nhận sự đồng ý từ người dùng ứng dụng của bạn để sử dụng dữ liệu cá nhân của họ
• Sử dụng thông tin liên lạc an toàn (e. g. HTTPS) và mã hóa tất cả dữ liệu người dùng
• Cập nhật Điều khoản người dùng của bạn và đảm bảo người dùng của bạn đã xem chúng

Tôi có những lựa chọn nào để tuân thủ GDPR?

Nhìn chung, có 4 tùy chọn khác nhau để xử lý GDPR với tư cách là một doanh nghiệp trực tuyến của Úc. bạn có thể chọn

1. Không tuân thủ GDPR. Ngăn cản khách truy cập và khách hàng EU đăng ký nhận bản tin của bạn và mua sản phẩm hoặc dịch vụ của bạn. Bạn nên bao gồm một tuyên bố về hiệu ứng này trên trang web của bạn
2. Cập nhật quy trình tiếp thị qua email của bạn. Thực hiện phương pháp hay nhất tuyệt đối khi nói đến tiếp thị qua email, đồng thời thu thập và sử dụng địa chỉ email một cách có đạo đức. Bạn sẽ cần nhận được "sự đồng ý tích cực" từ khách hàng hoặc khách truy cập EU của mình để có thể thu thập thông tin cá nhân của họ và/hoặc gửi bất kỳ email, bản tin, cập nhật nào hoặc nội dung tương tự. Nếu không, bạn sẽ cần xóa mọi dữ liệu cá nhân của cư dân EU
3. Tuân thủ đầy đủ GDPR. Minh bạch với khách truy cập và khách hàng của bạn về những thông tin cá nhân bạn thu thập và cách bạn sử dụng thông tin đó, đồng thời áp dụng các quy trình và thủ tục tuân thủ chặt chẽ để đảm bảo bạn tuân thủ các quy định khi xử lý thông tin cá nhân
4. Tuân thủ đầy đủ GDPR và chỉ định một DPO. Tùy chọn này chỉ bắt buộc nếu bạn thu thập “thông tin nhạy cảm” về cư dân EU hoặc thu thập dữ liệu cá nhân trên quy mô lớn

Tôi nên làm gì nếu không muốn tuân thủ GDPR?

Tuyên bố rằng bạn không bán hoặc tiếp thị cho khách truy cập và khách hàng ở EU. Bạn có thể chọn không kinh doanh với khách hàng EU và tránh các yêu cầu tuân thủ GDPR. Trong trường hợp đó, trang web của bạn nên nói như vậy.

• Thêm thông báo trên trang web của bạn, với nội dung như “Chúng tôi không cung cấp bất kỳ hàng hóa hoặc dịch vụ nào của chúng tôi cho cư dân của EU hoặc Thụy Sĩ. ”
• Xóa mọi đề cập về khách hàng EU trên trang web của bạn (e. g. trong lời chứng thực)
• Xóa mọi tùy chọn mua sản phẩm và dịch vụ của bạn bằng Euro, Bảng Anh hoặc Franc Thụy Sĩ
• Xóa mọi tùy chọn vận chuyển sản phẩm đến EU và Vương quốc Anh
• Xóa mọi ngôn ngữ EU (ngoài tiếng Anh) trên trang web của bạn
• Bỏ mọi khách hàng hiện có mà bạn phục vụ ở EU và Vương quốc Anh

Và, trong trường hợp xấu nhất, bạn có thể chặn tất cả lưu lượng truy cập trang web từ EU và Vương quốc Anh

Yêu cầu tuân thủ

Tôi nên làm gì nếu tôi chỉ gửi bản tin email cho cư dân EU?

Nếu bạn chơi trò “nhanh và lỏng” với hoạt động tiếp thị qua email của mình – ví dụ: gây khó khăn cho việc hủy đăng ký, không thực sự nói với mọi người rằng bạn sẽ gửi email cho họ hoặc tiến gần đến việc gửi thư rác cho danh sách email của bạn – thì việc tuân thủ GDPR sẽ . Nhưng nếu bạn là một nhà tiếp thị qua email có đạo đức và đã tuân theo phương pháp hay nhất, thì những thay đổi bạn cần thực hiện sẽ ít phiền phức hơn

Cập nhật biểu mẫu đăng ký của bạn. GDPR hiện yêu cầu "sự đồng ý tích cực" để sử dụng địa chỉ email của ai đó. Điều này có nghĩa là các biểu mẫu đăng ký và đăng ký của bạn phải có.

1. Mô tả rõ ràng về các loại tài liệu bạn sẽ gửi qua email
2. Một dấu hiệu về tần suất mong đợi những liên lạc qua email này và
3. Một hộp kiểm mà người đăng ký cần tích cực đánh dấu để thể hiện sự đồng ý với Chính sách quyền riêng tư của bạn (và có thể cả Điều khoản & Điều kiện) cùng với liên kết đến các thông báo này

Biểu mẫu đăng ký của bạn không thể có hộp kiểm được đánh dấu trước, vì điều này không được coi là đồng ý chủ động. Khách truy cập trang web phải thể hiện “sự đồng ý tích cực” bằng cách tự đánh dấu vào hộp kiểm

Cập nhật tất cả các biểu mẫu đăng ký email mà bạn có thể sử dụng trong doanh nghiệp của mình, bao gồm

• Bản tin (bài viết trên blog, thông báo)
• Nội dung được kiểm soát (sách điện tử, khóa học, báo cáo, sách trắng, hội thảo trên web)
• Khuyến mãi (bán hàng, ưu đãi, quà tặng, ưu đãi)
• Sản phẩm/Dịch vụ (cập nhật, mới, đã xóa)
• Nghiên cứu thị trường (khảo sát, phản hồi, xếp hạng, đánh giá, yêu cầu chứng thực)
• Quan hệ đối tác (giao dịch kinh doanh, cơ hội hợp tác)

Bạn cũng nên có các hộp kiểm cho Chính sách quyền riêng tư và Điều khoản & Điều kiện khi khách hàng thanh toán khỏi giỏ hàng của bạn. Đừng quên, bạn đang thu thập địa chỉ, điện thoại, thẻ tín dụng, v.v. thông tin ở giai đoạn này – và điều này cũng cần phải có “sự đồng ý tích cực”

Lưu hồ sơ "đồng ý". GDPR cũng yêu cầu bạn phải chứng minh bản chất của sự đồng ý giữa bạn và người đăng ký của bạn. Vì vậy, hãy bắt đầu lưu giữ hồ sơ toàn diện về cách bạn thu thập dữ liệu cá nhân bằng cách.

• Gắn thẻ từng người đăng ký trong danh sách email của bạn với nguồn đăng ký của họ và
• Giữ bản sao của mẫu đăng ký (e. g. bản sao của mã cơ bản, ảnh chụp màn hình)

Kiểm tra hủy đăng ký và cập nhật liên kết. Xác nhận rằng tất cả các email bạn gửi đều bao gồm cả liên kết “Hủy đăng ký khỏi danh sách này” và liên kết “Cập nhật tùy chọn đăng ký của bạn” ở cuối trang. Hầu hết các dịch vụ phân phối email đã bao gồm các liên kết “hủy đăng ký” ở cuối mỗi email theo mặc định. Nhưng bạn có thể phải bật một tùy chọn để bao gồm liên kết “cập nhật”.

Điều quan trọng nữa là đảm bảo nền tảng tự động hóa tiếp thị và hệ thống CRM của bạn được đặt để tự động đồng bộ hóa. Nếu một người trong danh sách của bạn hủy đăng ký và tiếp tục nhận email do không khớp giữa hai người, bạn có thể gặp rắc rối vì không tuân thủ GDPR

Cân nhắc việc mua danh sách email và giao dịch giới thiệu. Không mua danh sách email không tuân thủ GDPR. Để tuân thủ GDPR, mỗi người đăng ký email cần phải đồng ý tiếp thị và địa chỉ email của họ đã được bán cho bên thứ ba.

Có thể là một ý tưởng hay khi ngừng sử dụng các chương trình khuyến mãi kiểu “giới thiệu bạn bè”, trong đó khách hàng phải nhập địa chỉ email của một người bạn để được giảm giá. Người được giới thiệu không thể đồng ý rõ ràng với thông tin của họ được thu thập và lưu trữ và do đó, vi phạm các tiêu chuẩn GDPR

Tôi nên làm gì để tuân thủ đầy đủ GDPR?

Nếu EU và Vương quốc Anh là những thị trường quan trọng đối với hoạt động kinh doanh trực tuyến của bạn thì bạn cần tuân thủ đầy đủ GDPR. Ngoài những điểm trên (Tôi nên làm gì nếu tôi chỉ gửi bản tin qua email cho cư dân EU?), bạn nên xem xét những điều sau

Kiểm tra việc thu thập và sử dụng dữ liệu cá nhân của bạn. Bước đầu tiên là xem lại tất cả các cách bạn thu thập và xử lý dữ liệu cá nhân trong hoạt động kinh doanh trực tuyến của mình. Tạo một bảng tính với các cột hiển thị tất cả những nơi bạn thu thập dữ liệu và các hàng hiển thị cách bạn xử lý dữ liệu đó.

Dưới đây là một số ví dụ về các khu vực mà bạn có thể thu thập dữ liệu cá nhân (cột bảng tính)

• Thư điện tử quảng cáo
• Thu thập khách hàng tiềm năng và yêu cầu báo giá
• Tự động hóa tiếp thị (e. g. HubSpot, FullContact)
• Các cuộc điện thoại đến
• Bán sản phẩm hoặc dịch vụ
• Xử lý thanh toán thẻ tín dụng
• Cung cấp sản phẩm vật chất
• Thiết lập một tài khoản
• Khảo sát hoặc cuộc thi trực tuyến
• bình luận blog
• Duyệt trang web và phân phát quảng cáo (bao gồm cả cookie)
• Trang web và phân tích kinh doanh (e. g. Google Analytics)
• Tự động báo lỗi
• Yêu cầu hỗ trợ và khắc phục sự cố
• Xác thực hai yếu tố
• Đơn xin việc, v.v.

Và đây là thông tin chi tiết mà bạn cần nắm bắt về cách bạn xử lý dữ liệu cá nhân (các hàng trong bảng tính)

• Dữ liệu cá nhân nào được thu thập (e. g. địa chỉ email, số thẻ tín dụng)
• Dữ liệu cá nhân được sử dụng để làm gì (e. g. thanh toán hàng tháng cho dịch vụ)
• Khi được thu thập là dữ liệu an toàn (e. g. HTTPS)
• Dữ liệu cá nhân có cần thiết để cung cấp dịch vụ không (e. g. địa chỉ thanh toán)
• Dữ liệu cá nhân có được sử dụng để đưa ra quyết định tự động không (e. g. chấm điểm tín dụng)
• Người dùng có thể từ chối thu thập dữ liệu cá nhân này không (Có/Không)
• Dữ liệu được thu thập như thế nào (e. g. hình thức chọn tham gia nào)
• Dữ liệu có được lưu trữ cục bộ không (Y/N)
• Ai có quyền truy cập vào dữ liệu cục bộ (e. g. bộ phận tiếp thị)
• Dữ liệu có được chia sẻ với bên thứ 3 không (Y/N và ai)
• Dữ liệu có bị xóa trước khi chia sẻ không (Y/N)
• Bên thứ 3 có tuân thủ GDPR không (Có/Không)
• Bạn có Thỏa thuận xử lý dữ liệu với bên thứ 3 không (Có/Không)
• Dữ liệu có được truyền qua biên giới quốc tế không (Y/N và ở đâu)
• Nước ngoài có bảo vệ quyền riêng tư đầy đủ không (e. g. lá chắn bảo mật EU-US)
• Dữ liệu khi truyền đi có được bảo mật không (e. g. PCI-DSS để xử lý thẻ tín dụng)
• Dữ liệu cá nhân được lưu giữ trong bao lâu (e. g. 6 tháng sau khi dịch vụ kết thúc)
• Người dùng có thể truy cập và kiểm soát dữ liệu của họ (e. g. cập nhật, xuất, xóa)

Bây giờ bạn có một cái nhìn đầy đủ về tất cả dữ liệu cá nhân mà bạn thu thập, sử dụng và chia sẻ. Ở giai đoạn này, bạn nên quyết định dữ liệu nào bạn không cần và giảm thiểu việc thu thập dữ liệu cá nhân. Bạn cũng nên xem lại thời gian lưu giữ dữ liệu của mình và quyết định xem bạn cần hoặc được phép lưu giữ thông tin khách hàng trong bao lâu. Có những quy tắc nghiêm ngặt xung quanh vấn đề này và chúng khác nhau tùy thuộc vào loại thông tin. Sau đó, áp dụng các quy trình để thường xuyên xóa cơ sở dữ liệu của bạn về dữ liệu cá nhân không sử dụng hoặc lỗi thời

Bạn có thể xem xét xuất bản đánh giá này về các quy trình của mình, gọi đó là “Báo cáo minh bạch về dữ liệu cá nhân” và liên kết với nó từ Chính sách quyền riêng tư của bạn. Và đảm bảo rằng bạn luôn cập nhật

Cập nhật Chính sách quyền riêng tư của bạn. Chính sách quyền riêng tư của bạn cần dễ hiểu và hoàn toàn minh bạch về thông tin cá nhân nào bạn thu thập (từ khách truy cập trang web và khách hàng) cũng như cách bạn sử dụng thông tin đó. Chính sách bảo mật của bạn nên bao gồm.

• Bạn thu thập thông tin cá nhân nào và bằng cách nào (bao gồm cả cookie)
• Bạn có thu thập thông tin cá nhân từ trẻ em dưới 18 tuổi không
• Cách bạn sử dụng thông tin cá nhân (bao gồm lập hồ sơ, chẳng hạn như chấm điểm tín dụng)
• Cách bạn sử dụng thông tin cá nhân ẩn danh
• Bạn lưu giữ thông tin cá nhân trong bao lâu
• Cách bạn truyền và lưu trữ thông tin cá nhân và giữ an toàn cho thông tin đó
• Thông tin cá nhân có thể được chuyển sang các quốc gia khác không
• Khi bạn chia sẻ thông tin cá nhân với bên thứ ba
• Khi bạn phải tiết lộ thông tin cá nhân cho bên thứ ba
• Bạn sẽ làm gì trong trường hợp thông tin cá nhân bị mất do vi phạm dữ liệu
• Cách khách truy cập và khách hàng có thể hủy đăng ký nhận thông tin tiếp thị
• Cách khách hàng có thể xem xét, cập nhật, chuyển và xóa thông tin cá nhân của họ
• Tuyên bố miễn trừ trách nhiệm về các liên kết đến các trang web khác
• Thông báo về những thay đổi đối với Chính sách quyền riêng tư của bạn
• Chi tiết liên hệ của bạn cho các câu hỏi về Chính sách quyền riêng tư của bạn
• Các điều khoản tuân thủ GDPR về cách bạn đáp ứng các yêu cầu GDPR
• Chi tiết liên lạc của DPO nếu bạn có hoặc bắt buộc phải có
• Chi tiết liên hệ về Khiếu nại và liên hệ quốc gia theo GDPR nếu bạn được yêu cầu chỉ định một người

Kiểm tra cả Điều khoản & Điều kiện của bạn – một số doanh nghiệp sẽ cần thay đổi các điều khoản của họ với khách hàng để phù hợp với yêu cầu GDPR của họ

Thông báo cho khách truy cập rằng bạn sử dụng cookie. Cookie được sử dụng để điền trước vào biểu mẫu, theo dõi hành động của khách truy cập, phân phát quảng cáo được cá nhân hóa (e. g. AdWords), theo dõi chuyển đổi và tiếp thị lại. EU đã có luật yêu cầu các trang web thông báo cho khách truy cập về việc sử dụng cookie – bạn sẽ thấy các thông báo bật lên như “Trang web này sử dụng cookie. Click để tiếp tục. ” Hiện tại vẫn chưa rõ liệu các doanh nghiệp có yêu cầu tùy chọn từ chối hay chỉ đơn giản là quyền thay đổi cài đặt trong trình duyệt của họ. Tuy nhiên, GDPR yêu cầu khách hàng có quyền được thông báo về cách họ có thể từ chối.

Việc cung cấp tùy chọn từ chối cookie vẫn chưa trở thành xu hướng, nhưng điều này có thể thay đổi trong những tháng tiếp theo. Nói chung, từ ngữ của cửa sổ bật lên thông báo cookie đang được cập nhật để đọc nội dung như thế này “Chúng tôi sử dụng cookie để cá nhân hóa nội dung và quảng cáo, cung cấp các tính năng truyền thông xã hội và để phân tích lưu lượng truy cập của chúng tôi. Chúng tôi cũng chia sẻ thông tin về việc bạn sử dụng trang web của chúng tôi với các đối tác truyền thông xã hội, quảng cáo và phân tích của chúng tôi. Bạn đồng ý với cookie của chúng tôi nếu bạn tiếp tục sử dụng trang web này. ”

Ngoài ra, một số doanh nghiệp đã chọn có Chính sách cookie cụ thể, giải thích loại cookie họ sử dụng, cookie của bên thứ ba họ sử dụng và những cookie này theo dõi cụ thể. Đây là một ví dụ

Gửi email tái tương tác. Bạn cần yêu cầu những người đăng ký hiện tại ở EU của mình thể hiện "sự đồng ý tích cực" để nhận email, bản tin, cập nhật hoặc thông tin từ doanh nghiệp của bạn. Bạn có thể thực hiện việc này bằng cách gửi email “tương tác lại”.

• Giải thích bạn đang tuân thủ GDPR
• Cho họ biết các loại email mà họ có thể mong đợi nhận được từ bạn và
• Yêu cầu họ xác nhận quyền sử dụng địa chỉ email của họ

Bạn chắc chắn sẽ mất một số danh sách người đăng ký, nhưng đó không nhất thiết là điều xấu. Danh sách người đăng ký thu được sẽ có chất lượng cao hơn và chi phí phân phối danh sách email của bạn có thể giảm xuống

Kiểm tra xem bộ xử lý dữ liệu của bạn có tuân thủ. Để tuân thủ đúng GDPR, bạn phải đảm bảo tất cả các bên thứ ba (e. g. dịch vụ đám mây, dịch vụ phần mềm, nhà thầu phụ, v.v. ) xử lý dữ liệu khách hàng của bạn cũng tuân thủ GDPR. Các bên thứ ba này phải tuyên bố rằng họ tuân thủ GDPR và có thể có Giấy chứng nhận tuân thủ. Bạn cũng cần có Thỏa thuận xử lý dữ liệu cập nhật với họ bao gồm các điều khoản GDPR được quy định khác nhau.

Ngoài ra, hãy đảm bảo rằng bạn được bảo vệ đầy đủ đối với mọi dữ liệu cá nhân được truyền đi quốc tế. GDPR yêu cầu việc chuyển tiền chỉ có thể được thực hiện khi quyền tài phán của người nhận được đánh giá là “đầy đủ” về mặt bảo vệ dữ liệu. Nhưng đến nay, EU vẫn chưa đánh giá Úc

Cập nhật Thỏa thuận xử lý dữ liệu của bạn. Nếu bạn là bên xử lý dữ liệu thì bạn cần cập nhật Thỏa thuận xử lý dữ liệu với khách hàng EU của mình. Thỏa thuận của bạn cần bao gồm các điều khoản GDPR theo quy định khác nhau, bao gồm cả việc bạn.

• Chỉ có thể xử lý dữ liệu theo hướng dẫn bằng văn bản từ khách hàng của bạn
• Phải cung cấp đầy đủ bảo mật dữ liệu cá nhân
• Phải cung cấp thông báo vi phạm dữ liệu
• Phải hỗ trợ mọi đánh giá tác động bảo vệ dữ liệu, v.v.

Thực hiện các biện pháp bảo vệ dữ liệu hợp lý. Bạn cần có khả năng chứng minh rằng bạn tuân thủ các tiêu chuẩn được chấp nhận chung về việc thu thập, lưu trữ và bảo vệ dữ liệu cá nhân. Bao gồm các.

• Hạn chế quyền truy cập chỉ cho các cá nhân được ủy quyền
• Giữ nhật ký về những người có quyền truy cập và khi nào
• Sử dụng các mật khẩu khác nhau và phức tạp
• Thường xuyên thay đổi mật khẩu
• Sử dụng truyền dữ liệu an toàn (e. g. HTTPS)
• Sử dụng các giao dịch thẻ tín dụng an toàn (e. g. PCI DSS)
• Mã hóa dữ liệu người dùng (e. g. mật khẩu)
• Triển khai ẩn danh IP trong Google Analytics
• Thường xuyên xóa cơ sở dữ liệu dữ liệu cá nhân không sử dụng

Có Thỏa thuận bảo mật nội bộ. Trong tổ chức của bạn, nhân viên và nhà thầu phụ có quyền truy cập hoặc được ủy quyền xử lý dữ liệu cá nhân phải ký Thỏa thuận bảo mật. Điều này nhằm củng cố tầm quan trọng của việc bảo mật dữ liệu cá nhân và mức độ nghiêm túc của bạn đối với vấn đề này.

Phát triển kế hoạch ứng phó vi phạm bảo mật. Các quy tắc GDPR hiện yêu cầu rằng nếu bạn vi phạm bảo mật và dữ liệu cá nhân bị lộ, thì bạn phải báo cáo vi phạm dữ liệu đó cho khách hàng và cơ quan giám sát có liên quan trong vòng 72 giờ. Tất cả các vi phạm an ninh cũng cần phải được ghi vào sổ đăng ký. Bạn sẽ cần phải có các quy trình hiệu quả và một kế hoạch được lập thành văn bản để xác định, báo cáo, quản lý và giải quyết các vi phạm dữ liệu.

Cung cấp khả năng cập nhật, truyền và xóa dữ liệu. Ngoài việc cho phép người đăng ký bản tin cập nhật địa chỉ email của họ, theo GDPR, bạn cần có khả năng cung cấp cho người dùng và khách hàng của mình khả năng xem xét, cập nhật, chuyển và xóa TẤT CẢ thông tin cá nhân mà bạn nắm giữ . Bạn có thể chọn thực hiện việc này thông qua một giải pháp trực tuyến, chẳng hạn như quyền truy cập vào thông tin tài khoản cá nhân của họ để họ có thể tự cập nhật. Hoặc bạn có thể chọn thực hiện việc này trên hệ thống “theo yêu cầu”, nơi họ liên hệ với bạn qua email. Trong cả hai trường hợp, quy trình cần phải dễ dàng và đáp ứng.

Tôi nên làm gì nếu thu thập dữ liệu nhạy cảm hoặc dữ liệu cá nhân trên quy mô lớn?

Nếu bạn điều hành một doanh nghiệp thu thập những gì được coi là "thông tin nhạy cảm" chẳng hạn như

• Thông tin y tế hoặc sức khỏe
• Dữ liệu di truyền hoặc sinh trắc học
• Xu hướng tình dục hoặc thông tin đời sống tình dục
• Nguồn gốc chủng tộc hoặc sắc tộc
• Niềm tin tôn giáo hoặc triết học
• Quan điểm chính trị hoặc thành viên công đoàn
• Bản án hình sự và hành vi phạm tội

Sau đó, GDPR yêu cầu các quy trình và thủ tục tuân thủ bổ sung được áp dụng để đảm bảo mức độ riêng tư và bảo mật dữ liệu cao hơn. Bạn cũng có nghĩa vụ tương tự nếu bạn thu thập dữ liệu cá nhân từ cư dân EU trên quy mô lớn (e. g. ngân hàng với khách hàng EU)

Ngoài những điểm trên (Tôi nên làm gì nếu tôi chỉ gửi bản tin email cho cư dân EU? Tôi nên làm gì để tuân thủ đầy đủ GDPR?), bạn nên xem xét những điều sau

Đề cử Nhân viên bảo vệ dữ liệu (DPO). DPO của bạn chịu trách nhiệm giám sát việc tuân thủ GDPR, đào tạo nhân viên và ban quản lý, đồng thời đảm bảo có một nền văn hóa tôn trọng thông tin cá nhân tích cực trong toàn doanh nghiệp. Chi tiết liên hệ của DPO của bạn cần được liệt kê trong Chính sách quyền riêng tư của bạn và được thông báo cho cơ quan giám sát quốc gia của bạn. Ngoài ra, DPO của bạn sẽ cần thực hiện “đánh giá tác động bảo vệ dữ liệu” để đảm bảo thông tin cá nhân có rủi ro cao được giữ an toàn và tránh vi phạm dữ liệu.

Legal123 đang làm gì để giúp khách hàng của họ tuân thủ GDPR?

Legal123 đã cập nhật mẫu Chính sách bảo mật của họ để dễ đọc hơn và “thân thiện với quốc tế” hơn. Các khách hàng hiện tại đã được cung cấp miễn phí mẫu này, như một phần của chính sách "cập nhật miễn phí để bạn không phải lo lắng về những thay đổi của pháp luật"

Đối với các doanh nghiệp thu thập email của cư dân EU và Vương quốc Anh và cần tuân thủ GDPR, chúng tôi hiện cung cấp các điều khoản GDPR bổ sung mà bạn có thể thêm vào Chính sách quyền riêng tư của mình. Ngoài ra, chúng tôi bao gồm một tệp PDF thông tin để đảm bảo bạn biết những thay đổi bạn cần thực hiện trong doanh nghiệp của mình để tuân thủ – chỉ cập nhật Chính sách quyền riêng tư của bạn là không đủ

Nhấp vào liên kết này để mua Điều khoản GDPR của Chính sách quyền riêng tư

Dành cho những khách hàng cần tuân thủ đầy đủ GDPR và có các doanh nghiệp cần đáp ứng các yêu cầu nghiêm ngặt hơn – ví dụ: thu thập thông tin cá nhân nhạy cảm, cung cấp dịch vụ lưu trữ cho khách hàng EU, v.v. – chúng tôi cung cấp dịch vụ xem xét GDPR với lời khuyên về cách tuân thủ. Liên hệ với chúng tôi để biết thêm thông tin

Chúng tôi hy vọng bạn thấy hướng dẫn pháp lý về Cách tuân thủ GDPR này hữu ích

Giới thiệu Vanessa Emilio

Vanessa Emilio (BA Hons, LLB, ACIS, AGIA) là Người sáng lập và Giám đốc điều hành của Legal123. com. au và Giám đốc Thực hành của Legal123 Pty Ltd. Vanessa là một luật sư người Úc có trình độ với hơn 20 năm kinh nghiệm về luật doanh nghiệp, ngân hàng và ủy thác. Theo liên kết này để đọc tiểu sử đầy đủ của Vanessa Emilio

GDPR có chỉ áp dụng cho dữ liệu cá nhân không?

GDPR của EU chỉ áp dụng cho dữ liệu cá nhân , là bất kỳ phần thông tin nào liên quan đến một người có thể nhận dạng. Điều quan trọng đối với bất kỳ doanh nghiệp nào có người tiêu dùng EU là hiểu khái niệm này để tuân thủ GDPR.

Dữ liệu cá nhân không phải là gì theo GDPR?

Thông tin về công ty hoặc cơ quan công quyền không phải là dữ liệu cá nhân. Tuy nhiên, thông tin về các cá nhân đóng vai trò là thương nhân duy nhất, nhân viên, đối tác và giám đốc công ty nơi họ có thể nhận dạng cá nhân và thông tin liên quan đến họ với tư cách cá nhân có thể cấu thành dữ liệu cá nhân.

GDPR nói gì về dữ liệu cá nhân?

GDPR bảo vệ dữ liệu cá nhân bất kể công nghệ được sử dụng để xử lý dữ liệu đó là gì – đó là công nghệ trung lập và áp dụng cho cả quá trình xử lý tự động và thủ công, miễn là dữ liệu được sắp xếp theo quy định trước .

Úc có cần GDPR không?

GDPR và Úc . Bạn thu thập địa chỉ email của cư dân EU. Bạn bán hàng hóa và dịch vụ cho cư dân EU. Bạn vận chuyển sản phẩm đến cư dân EU