Quy định chung về bảo vệ dữ liệu (GDPR) có ý nghĩa gì đối với công ty của bạn

Cập nhật vào ngày 4 tháng 2023 năm XNUMX

Quyền riêng tư ngày nay là một vấn đề rất lớn, đặc biệt là kể từ khi quá trình số hóa quy mô lớn trên toàn thế giới diễn ra. Cách xử lý dữ liệu của chúng tôi cần phải được giám sát và quản lý để ngăn chặn một số cá nhân sử dụng sai mục đích hoặc thậm chí đánh cắp dữ liệu đó. Bạn có biết rằng quyền riêng tư thậm chí là một quyền của con người? Dữ liệu cá nhân cực kỳ nhạy cảm và dễ bị lạm dụng; do đó, hầu hết các quốc gia đã thông qua luật quy định chặt chẽ việc sử dụng và xử lý dữ liệu (cá nhân). Bên cạnh luật pháp quốc gia, còn có các quy định bao quát ảnh hưởng đến luật pháp quốc gia. Ví dụ: Liên minh Châu Âu (EU) đã triển khai Quy định chung về bảo vệ dữ liệu (GDPR). Quy định này có hiệu lực từ tháng 2018 năm XNUMX và áp dụng cho mọi tổ chức cung cấp hàng hóa hoặc dịch vụ trên thị trường EU. GDPR được áp dụng ngay cả khi công ty của bạn không có trụ sở tại EU nhưng đồng thời có khách hàng từ EU. Trước khi đi vào chi tiết về quy định GDPR và các yêu cầu của nó, trước tiên hãy làm rõ mục tiêu của GDPR là gì và tại sao nó lại quan trọng đối với bạn với tư cách là một doanh nhân. Do đó, trong bài viết này, chúng tôi sẽ giải thích GDPR là gì, tại sao bạn nên thực hiện các hành động thích hợp để tuân thủ và cách thực hiện việc này theo cách hiệu quả nhất có thể.

GDPR chính xác là gì?

GDPR là quy định của EU bao gồm việc bảo vệ dữ liệu cá nhân của công dân tự nhiên. Do đó, nó chỉ nhằm mục đích bảo vệ dữ liệu cá nhân chứ không phải dữ liệu chuyên môn hoặc dữ liệu của các công ty. Trên trang web chính thức của EU, nó được mô tả như sau:

“Quy định (EU) 2016/679 về bảo vệ thể nhân liên quan đến việc xử lý dữ liệu cá nhân và về việc di chuyển tự do các dữ liệu đó. Văn bản sửa đổi của quy định này đã được công bố trên Tạp chí Chính thức của Liên minh Châu Âu vào ngày 23 tháng 2018 năm 24. GDPR củng cố các quyền cơ bản của công dân trong thời đại kỹ thuật số và thúc đẩy thương mại bằng cách làm rõ các quy tắc dành cho doanh nghiệp trong Thị trường Kỹ thuật số Duy nhất. Bộ quy tắc chung này đã loại bỏ sự phân mảnh do các hệ thống quốc gia khác nhau gây ra và tránh được tình trạng quan liêu. Quy định có hiệu lực từ ngày 2016 tháng 25 năm 2018 và có hiệu lực kể từ ngày XNUMX tháng XNUMX năm XNUMX. Thông tin thêm cho các công ty và cá nhân.[1]"

Về cơ bản, đây là một phương tiện để đảm bảo rằng dữ liệu cá nhân được xử lý an toàn bởi các công ty cần xử lý dữ liệu do tính chất của hàng hóa hoặc dịch vụ mà họ cung cấp. Ví dụ: nếu bạn đặt mua sản phẩm trên trang web với tư cách là công dân EU, dữ liệu của bạn sẽ được bảo vệ theo quy định này vì bạn sống ở EU. Như chúng tôi đã giải thích ngắn gọn trước đây, bản thân công ty không cần phải được thành lập ở một quốc gia EU để thuộc phạm vi điều chỉnh của quy định này. Mọi công ty giao dịch với khách hàng từ EU đều cần tuân thủ GDPR, đảm bảo dữ liệu cá nhân của tất cả công dân EU được bảo vệ và an toàn. Bằng cách này, bạn có thể yên tâm rằng sẽ không có công ty nào sử dụng dữ liệu của bạn cho các mục đích khác ngoài những mục đích đã nêu và nêu cụ thể.

Mục đích cụ thể của GDPR là gì?

Mục đích chính của GDPR là bảo vệ dữ liệu cá nhân. Quy định GDPR muốn tất cả các tổ chức, lớn và nhỏ, bao gồm cả tổ chức của bạn, phải suy nghĩ về dữ liệu cá nhân họ sử dụng và phải hết sức chu đáo, cân nhắc về lý do cũng như cách thức họ sử dụng dữ liệu đó. Về cơ bản, GDPR muốn các doanh nhân nhận thức rõ hơn về dữ liệu cá nhân của khách hàng, nhân viên, nhà cung cấp và các bên khác mà họ hợp tác kinh doanh. Nói cách khác, quy định GDPR muốn chấm dứt việc các tổ chức chỉ thu thập dữ liệu về các cá nhân vì họ có thể làm vậy mà không có lý do chính đáng. Hoặc bởi vì họ tin rằng bằng cách nào đó họ có thể hưởng lợi từ nó bây giờ hoặc trong tương lai mà không cần quan tâm nhiều và không thông báo cho bạn. Như bạn sẽ thấy trong thông tin bên dưới, GDPR thực sự không cấm nhiều điều. Bạn vẫn có thể tham gia tiếp thị qua email, bạn vẫn có thể quảng cáo và bạn vẫn có thể bán và sử dụng dữ liệu cá nhân của khách hàng, miễn là bạn cung cấp sự minh bạch về cách bạn tôn trọng quyền riêng tư của cá nhân. Quy định này thiên về việc cung cấp đầy đủ thông tin về cách bạn sử dụng dữ liệu để khách hàng và các bên thứ ba khác được thông báo về các mục tiêu và hành động cụ thể của bạn. Bằng cách này, ít nhất mọi cá nhân đều có thể cung cấp cho bạn dữ liệu của họ dựa trên sự đồng ý có hiểu biết. Chỉ cần nói rằng, bạn cần làm như những gì bạn nói và không sử dụng dữ liệu cho các mục đích khác ngoài những gì bạn đã nêu, vì điều này có thể dẫn đến các khoản tiền phạt rất nặng và các hậu quả khác.

Các doanh nhân được áp dụng GDPR

Bạn có thể tự hỏi: "GDPR có áp dụng cho công ty của tôi không?" Câu trả lời cho vấn đề này khá đơn giản: nếu bạn có cơ sở khách hàng hoặc quản lý nhân sự với các cá nhân đến từ EU thì bạn sẽ xử lý dữ liệu cá nhân. Và nếu bạn xử lý dữ liệu cá nhân, bạn phải tuân thủ Quy định chung về bảo vệ dữ liệu (GDPR). Luật pháp xác định những gì bạn có thể làm với dữ liệu cá nhân và cách bạn phải bảo vệ dữ liệu đó. Do đó, điều này luôn quan trọng đối với tổ chức của bạn vì tất cả các công ty giao dịch với các cá nhân EU đều phải tuân thủ quy định GDPR. Tất cả các tương tác cá nhân và nghề nghiệp của chúng ta ngày càng được kỹ thuật số hóa, vì vậy việc xem xét quyền riêng tư của các cá nhân đơn giản là điều nên làm. Khách hàng mong đợi các cửa hàng yêu quý của họ xử lý dữ liệu cá nhân mà họ cung cấp một cách cẩn thận, vì vậy, việc có các quy định cá nhân của riêng bạn về GDPR là điều bạn có thể tự hào. Và, như một phần thưởng bổ sung, khách hàng của bạn sẽ thích nó.

Khi bạn xử lý dữ liệu cá nhân, theo GDPR, bạn hầu như luôn xử lý dữ liệu này. Hãy nghĩ đến việc thu thập, lưu trữ, sửa đổi, bổ sung hoặc chuyển tiếp dữ liệu. Ngay cả khi bạn tạo hoặc xóa dữ liệu một cách ẩn danh, bạn cũng đang xử lý dữ liệu đó. Dữ liệu là dữ liệu cá nhân nếu nó liên quan đến mọi người mà bạn có thể phân biệt với tất cả những người khác. Đó là định nghĩa về một người được xác định, mà chúng ta sẽ thảo luận chi tiết ở phần sau của bài viết này. Ví dụ: bạn đã xác định được một người nếu bạn biết họ và tên của họ và dữ liệu này cũng khớp với dữ liệu trên phương tiện nhận dạng được cấp chính thức của họ. Với tư cách là một cá nhân tham gia vào quá trình này, bạn có quyền kiểm soát dữ liệu cá nhân mà bạn cung cấp cho các tổ chức. Trước hết, GDPR cung cấp cho bạn quyền được thông báo về dữ liệu cá nhân cụ thể mà các tổ chức sử dụng và lý do. Đồng thời, bạn có quyền được thông báo về cách các tổ chức này đảm bảo quyền riêng tư của bạn. Ngoài ra, bạn có thể phản đối việc sử dụng dữ liệu của mình, yêu cầu tổ chức xóa dữ liệu của bạn hoặc thậm chí yêu cầu chuyển dữ liệu của bạn sang một dịch vụ cạnh tranh.[2] Vì vậy, về bản chất, cá nhân sở hữu dữ liệu sẽ chọn những gì bạn làm với dữ liệu. Đây là lý do tại sao bạn cần phải tỉ mỉ với tư cách là một tổ chức với thông tin bạn cung cấp liên quan đến việc sử dụng chính xác dữ liệu cá nhân mà bạn có được, vì cá nhân sở hữu dữ liệu đó cần được thông báo về lý do dữ liệu của họ được xử lý. Chỉ khi đó cá nhân mới có thể quyết định liệu bạn có đang sử dụng dữ liệu chính xác hay không.

Dữ liệu nào có liên quan chính xác?

Dữ liệu cá nhân đóng vai trò quan trọng nhất trong GDPR. Bảo vệ quyền riêng tư của cá nhân là điểm khởi đầu. Nếu đọc kỹ hướng dẫn GDPR, chúng ta có thể chia dữ liệu thành ba loại. Danh mục đầu tiên đặc biệt là về dữ liệu cá nhân. Điều này có thể được phân loại là tất cả thông tin về một thể nhân được xác định hoặc có thể nhận dạng. Ví dụ: tên và chi tiết địa chỉ, địa chỉ email, địa chỉ IP, ngày sinh, vị trí hiện tại cũng như ID thiết bị của người đó. Dữ liệu cá nhân này là tất cả thông tin có thể được nhận dạng một thể nhân. Lưu ý rằng khái niệm này được giải thích rất rộng. Nó chắc chắn không giới hạn ở họ, tên, ngày sinh hoặc địa chỉ. Một số dữ liệu nhất định - thoạt nhìn không liên quan gì đến dữ liệu cá nhân - vẫn có thể thuộc GDPR bằng cách thêm một số thông tin nhất định. Do đó, người ta thường chấp nhận rằng các địa chỉ IP chẵn (động), tổ hợp số duy nhất mà các máy tính giao tiếp với nhau trên internet, có thể được coi là dữ liệu cá nhân. Tất nhiên, điều này phải được xem xét cụ thể cho từng trường hợp cụ thể, nhưng hãy xem xét dữ liệu bạn xử lý.

Loại thứ hai liên quan đến cái gọi là dữ liệu giả ẩn danh: dữ liệu cá nhân được xử lý theo cách mà dữ liệu không còn có thể được truy tìm nếu không sử dụng thông tin bổ sung, nhưng vẫn khiến một người trở nên độc nhất. Ví dụ: địa chỉ email, ID người dùng hoặc số khách hàng được mã hóa chỉ được liên kết với dữ liệu khác thông qua cơ sở dữ liệu nội bộ được bảo mật tốt. Điều này cũng nằm trong phạm vi của GDPR. Danh mục thứ ba bao gồm dữ liệu hoàn toàn ẩn danh: dữ liệu trong đó tất cả dữ liệu cá nhân cho phép theo dõi lại đã bị xóa. Trong thực tế, điều này thường khó chứng minh, trừ khi dữ liệu cá nhân có thể được truy nguyên ngay từ đầu. Do đó, điều này nằm ngoài phạm vi của GDPR.

Ai đủ tiêu chuẩn là người có thể nhận dạng?

Đôi khi có thể hơi khó xác định ai thuộc phạm vi 'người có thể nhận dạng được'. Đặc biệt là vì có rất nhiều hồ sơ giả mạo trên internet, chẳng hạn như những người có tài khoản mạng xã hội giả mạo. Nói chung, bạn có thể cho rằng một người có thể được nhận dạng khi bạn có thể truy tìm dữ liệu cá nhân của họ mà không cần nỗ lực quá nhiều. Ví dụ: hãy nghĩ đến số lượng khách hàng mà bạn có thể liên kết với dữ liệu tài khoản. Hoặc một số điện thoại mà bạn có thể dễ dàng theo dõi và từ đó tìm ra nó thuộc về ai. Đây là tất cả dữ liệu cá nhân. Nếu bạn dường như gặp khó khăn trong việc xác định ai đó, thì cần phải nghiên cứu thêm một chút. Bạn có thể yêu cầu người đó cung cấp một hình thức nhận dạng hợp lệ chỉ để chắc chắn rằng bạn biết mình đang giao dịch với ai. Bạn cũng có thể xem cơ sở dữ liệu đã được xác minh để thu thập thông tin liên quan đến danh tính của ai đó, chẳng hạn như danh bạ điện thoại kỹ thuật số (thực tế vẫn tồn tại). Nếu bạn không chắc chắn liệu khách hàng hoặc bên thứ ba khác có thể nhận dạng được hay không, hãy thử liên hệ với khách hàng đó và yêu cầu dữ liệu cá nhân. Nếu người đó không trả lời câu hỏi của bạn, tốt nhất bạn nên xóa tất cả dữ liệu bạn có và loại bỏ thông tin bạn được cung cấp. Rất có thể ai đó đang sử dụng danh tính giả. GDPR nhằm mục đích bảo vệ các cá nhân, nhưng bạn với tư cách là một công ty cũng cần thực hiện các bước thích hợp để bảo vệ mình khỏi gian lận. Thật không may, mọi người có thể sử dụng danh tính giả, vì vậy điều quan trọng là phải thận trọng với thông tin mà mọi người cung cấp. Khi ai đó sử dụng danh tính của người khác, điều này có thể gây ra hậu quả nghiêm trọng cho công ty của bạn. Sự siêng năng luôn được khuyên.

Lý do chính đáng để sử dụng dữ liệu của bên thứ ba

Thành phần chính của GDPR là quy tắc, rằng bạn chỉ nên sử dụng dữ liệu của bên thứ ba cho các mục đích hợp pháp và được chỉ định. Dựa trên yêu cầu giảm thiểu dữ liệu, GDPR quy định rằng bạn chỉ có thể sử dụng dữ liệu cá nhân cho mục đích kinh doanh đã nêu và được ghi lại, được hỗ trợ bởi một trong sáu cơ sở pháp lý GDPR hiện có. Nói cách khác, việc sử dụng dữ liệu cá nhân của bạn bị giới hạn ở mục đích và cơ sở pháp lý đã nêu. Mọi hoạt động xử lý dữ liệu cá nhân mà bạn thực hiện đều phải được ghi lại trong sổ đăng ký GDPR, cùng với mục đích và cơ sở pháp lý của việc xử lý đó. Tài liệu này buộc bạn phải suy nghĩ về từng hoạt động xử lý và xem xét cẩn thận mục đích cũng như cơ sở pháp lý cho hoạt động đó. GDPR tạo ra sáu cơ sở pháp lý mà chúng tôi sẽ trình bày dưới đây.

1. Nghĩa vụ hợp đồng: Khi ký kết hợp đồng, dữ liệu cá nhân phải được xử lý. Dữ liệu cá nhân cũng có thể được sử dụng khi thực hiện hợp đồng.
2. Sự đồng ý: Người dùng cấp quyền rõ ràng cho việc sử dụng dữ liệu cá nhân của mình hoặc đặt cookie.
3. Lợi ích hợp pháp: Việc xử lý dữ liệu cá nhân là cần thiết vì mục đích vì lợi ích hợp pháp của bên kiểm soát hoặc bên thứ ba. Sự cân bằng rất quan trọng trong trường hợp này, nó không được vi phạm quyền tự do cá nhân của chủ thể dữ liệu.
4. Lợi ích thiết yếu: Dữ liệu có thể được xử lý khi phát sinh tình huống sinh tử.
5. Nghĩa vụ pháp lý: Dữ liệu cá nhân phải được xử lý theo pháp luật.
6. Lợi ích công cộng: Điều này chủ yếu liên quan đến chính phủ và chính quyền địa phương, chẳng hạn như các rủi ro liên quan đến trật tự, an toàn công cộng và bảo vệ công chúng nói chung.

Đây là những cơ sở pháp lý cho phép bạn lưu trữ và xử lý dữ liệu cá nhân. Thông thường, một số lý do này có thể trùng lặp. Nói chung đó không phải là vấn đề, miễn là bạn có thể giải thích và chứng minh rằng thực sự có cơ sở pháp lý. Khi bạn thiếu cơ sở pháp lý cho việc lưu trữ và xử lý dữ liệu cá nhân, bạn có thể gặp rắc rối. Hãy nhớ rằng GDPR luôn quan tâm đến việc bảo vệ quyền riêng tư của các cá nhân, do đó lý do chỉ có cơ sở pháp lý hạn chế. Biết và áp dụng những điều này, bạn sẽ được an toàn với tư cách là một tổ chức hoặc công ty.

Dữ liệu GDPR áp dụng cho

Về cốt lõi, GDPR áp dụng cho việc xử lý dữ liệu hoàn toàn tự động hoặc ít nhất một phần. Điều này đòi hỏi phải xử lý dữ liệu thông qua cơ sở dữ liệu hoặc máy tính chẳng hạn. Nhưng nó cũng áp dụng cho dữ liệu cá nhân có trong tệp vật lý, chẳng hạn như các tệp được lưu trữ trong kho lưu trữ. Nhưng những tệp này cần phải có giá trị lớn theo nghĩa là dữ liệu được đưa vào được kết nối với một số đơn đặt hàng, tệp hoặc giao dịch kinh doanh. Nếu bạn sở hữu một ghi chú viết tay chỉ có tên trên đó thì ghi chú đó không đủ điều kiện là dữ liệu theo GDPR. Suy cho cùng, bức thư viết tay này có thể là của một người quan tâm đến bạn hoặc có thể mang tính chất cá nhân. Một số cách phổ biến mà các công ty xử lý dữ liệu bao gồm quản lý đơn hàng, cơ sở dữ liệu khách hàng, cơ sở dữ liệu nhà cung cấp, quản lý nhân viên và tất nhiên là tiếp thị trực tiếp, chẳng hạn như bản tin và gửi thư trực tiếp. Người có dữ liệu cá nhân mà bạn xử lý được gọi là "chủ thể dữ liệu". Đây có thể là khách hàng, người đăng ký nhận bản tin, nhân viên hoặc người liên hệ. Dữ liệu liên quan đến các công ty không được xem là dữ liệu cá nhân, trong khi dữ liệu về doanh nghiệp tư nhân hoặc người tự kinh doanh thì có.[3]

Quy định về tiếp thị trực tuyến

GDPR có tác động đáng kể khi nói đến tiếp thị trực tuyến. Có một số quy tắc cơ bản bạn cần phải tuân thủ, chẳng hạn như luôn đưa ra tùy chọn từ chối trong trường hợp tiếp thị qua email. Ngoài ra, nhà thầu cũng phải có khả năng chỉ ra và điều chỉnh các ưu tiên của mình. Điều này có nghĩa là bạn phải điều chỉnh email nếu hiện tại bạn không cung cấp các tùy chọn này. Nhiều tổ chức cũng sử dụng cơ chế nhắm mục tiêu lại. Ví dụ: bạn có thể đạt được điều này thông qua Facebook hoặc Google Ads, nhưng hãy nhớ rằng bạn sẽ cần phải yêu cầu sự cho phép rõ ràng để thực hiện việc này. Có thể bạn đã có chính sách quyền riêng tư và cookie trên trang web của mình. Vì vậy với những quy định này, những phần pháp lý này cũng cần được sửa đổi. Yêu cầu của GDPR nêu rõ rằng các tài liệu này cần phải toàn diện và minh bạch hơn. Bạn có thể thường xuyên sử dụng văn bản mẫu cho những điều chỉnh này, chúng có sẵn miễn phí trên internet. Ngoài các điều chỉnh pháp lý đối với chính sách quyền riêng tư và cookie của bạn, nhân viên xử lý dữ liệu phải được chỉ định. Người này chịu trách nhiệm xử lý dữ liệu và đảm bảo rằng tổ chức luôn tuân thủ GDPR.

Mẹo và cách tuân thủ GDPR

Tất nhiên, điều quan trọng nhất là bạn, với tư cách là một doanh nhân, phải tuân thủ các quy định và quy định pháp luật, chẳng hạn như GDPR. May mắn thay, có nhiều cách để tuân thủ GDPR với ít nỗ lực nhất có thể. Như chúng ta đã thảo luận, bản thân GDPR không thực sự cấm bất cứ điều gì nhưng nó đặt ra các nguyên tắc nghiêm ngặt về cách xử lý dữ liệu cá nhân. Nếu bạn không tuân thủ các nguyên tắc cụ thể và sử dụng dữ liệu vì những lý do không được đề cập trong GDPR hoặc nằm ngoài phạm vi của GDPR, bạn có nguy cơ bị phạt tiền và thậm chí là hậu quả tồi tệ hơn. Bên cạnh đó, hãy nhớ rằng tất cả các bên làm việc cùng bạn sẽ tôn trọng bạn với tư cách là chủ doanh nghiệp khi bạn cũng tôn trọng dữ liệu và quyền riêng tư của họ. Điều này sẽ cung cấp cho bạn một hình ảnh tích cực và đáng tin cậy, điều này thực sự tốt cho việc kinh doanh. Bây giờ chúng ta sẽ thảo luận về một số mẹo giúp việc tuân thủ GDPR trở thành một quy trình dễ dàng và hiệu quả.

1. Lập sơ đồ dữ liệu cá nhân nào bạn xử lý ngay từ đầu

Điều đầu tiên cần làm là nghiên cứu chính xác dữ liệu nào bạn cần và mục đích gì. Bạn sẽ thu thập thông tin gì? Bạn cần bao nhiêu dữ liệu để đạt được mục tiêu của mình? Chỉ cần tên và địa chỉ email hay bạn cũng cần thêm dữ liệu như địa chỉ thực và số điện thoại? Bạn cũng cần tạo một sổ đăng ký xử lý trong đó bạn liệt kê dữ liệu nào bạn lưu giữ, dữ liệu đó đến từ đâu và bạn chia sẻ thông tin này với các bên nào. Đồng thời, hãy tính đến thời gian lưu giữ vì GDPR quy định rằng bạn phải minh bạch về điều này.

2. Đặt quyền riêng tư lên hàng đầu cho doanh nghiệp của bạn nói chung

Quyền riêng tư là một chủ đề rất quan trọng và điều này sẽ tiếp tục như vậy trong tương lai (không) đoán trước được vì công nghệ và số hóa ngày càng phát triển. Vì vậy, điều rất quan trọng là bạn, với tư cách là một doanh nhân, phải tự tìm hiểu về tất cả các quy định cần thiết về quyền riêng tư và ưu tiên điều này trong khi kinh doanh. Điều này không chỉ đảm bảo rằng bạn tuân thủ tất cả các luật hiện hành mà còn xây dựng hình ảnh tin cậy cho công ty của bạn. Vì vậy, với tư cách là một doanh nhân, hãy đắm mình trong các quy tắc GDPR hoặc tìm kiếm lời khuyên từ các chuyên gia pháp lý để bạn có thể chắc chắn rằng mình đang kinh doanh hợp pháp khi nói đến quyền riêng tư. Bạn cần tìm hiểu chính xác những quy tắc nào công ty bạn phải tuân thủ. Chính quyền Hà Lan cũng có thể giúp bạn trên con đường của mình với rất nhiều thông tin, mẹo và công cụ để sử dụng hàng ngày.

3. Xác định cơ sở pháp lý chính xác để xử lý dữ liệu cá nhân

Như chúng ta đã thảo luận, chỉ có sáu cơ sở pháp lý chính thức cho phép bạn xử lý và lưu trữ dữ liệu cá nhân, theo GDPR. Nếu bạn định sử dụng dữ liệu, điều quan trọng sống còn là bạn phải biết cơ sở pháp lý nào làm cơ sở cho việc sử dụng của bạn. Tốt nhất, bạn nên ghi lại các loại xử lý dữ liệu khác nhau mà bạn thực hiện với công ty của mình, chẳng hạn như trong chính sách quyền riêng tư của bạn để khách hàng và bên thứ ba có thể đọc và xác nhận thông tin này. Sau đó, xác định cơ sở pháp lý chính xác cho từng hành động riêng biệt. Nếu bạn cần xử lý dữ liệu cá nhân vì động cơ hoặc lý do mới, hãy nhớ thêm hoạt động này trước khi bắt đầu.

4. Cố gắng giảm thiểu việc sử dụng dữ liệu của bạn càng nhiều càng tốt

Bạn, với tư cách là một tổ chức, phải đảm bảo rằng bạn chỉ thu thập các yếu tố dữ liệu tối thiểu để đạt được một mục tiêu nhất định. Ví dụ: nếu bạn bán hàng hóa hoặc dịch vụ trực tuyến, người dùng của bạn thường chỉ cần cung cấp cho bạn email và mật khẩu để quá trình đăng ký diễn ra suôn sẻ. Không cần phải hỏi khách hàng về giới tính, nơi sinh hoặc thậm chí địa chỉ của họ trong quá trình đăng ký. Chỉ khi người dùng tiếp tục mua một mặt hàng và muốn vận chuyển nó đến một địa chỉ nhất định thì việc hỏi thêm thông tin mới trở nên cần thiết. Sau đó, bạn có quyền yêu cầu địa chỉ của người dùng ở giai đoạn đó vì đây là thông tin cần thiết cho mọi quy trình vận chuyển. Việc giảm thiểu lượng dữ liệu được thu thập sẽ giảm thiểu tác động của các sự cố tiềm ẩn liên quan đến quyền riêng tư hoặc bảo mật. Giảm thiểu dữ liệu là yêu cầu cốt lõi của GDPR và cực kỳ hiệu quả trong việc bảo vệ quyền riêng tư của người dùng vì bạn chỉ xử lý thông tin mình cần và không xử lý gì thêm.

5. Biết quyền của những người có dữ liệu bạn xử lý

Một phần quan trọng của việc hiểu biết về GDPR là tự tìm hiểu về quyền của khách hàng và các bên thứ ba khác có dữ liệu mà bạn lưu trữ và xử lý. Chỉ khi biết các quyền của họ, bạn mới có thể tự bảo vệ mình và tránh bị phạt. Đúng là GDPR đã đưa ra một số quyền quan trọng cho các cá nhân. Chẳng hạn như quyền kiểm tra dữ liệu cá nhân của họ, quyền yêu cầu sửa hoặc xóa dữ liệu và quyền phản đối việc xử lý dữ liệu của họ. Chúng tôi sẽ thảo luận ngắn gọn về các quyền này dưới đây.

• Quyền truy cập

Quyền truy cập đầu tiên có nghĩa là các cá nhân có quyền xem và tham khảo dữ liệu cá nhân được xử lý về họ. Do đó, nếu khách hàng yêu cầu điều này, bạn có nghĩa vụ phải cung cấp cho họ.

• Quyền cải chính

Chỉnh sửa cũng giống như chỉnh sửa. Do đó, quyền cải chính mang lại cho các cá nhân quyền thực hiện các thay đổi và bổ sung đối với dữ liệu cá nhân mà tổ chức xử lý về họ để đảm bảo rằng dữ liệu này được xử lý chính xác.

• Quyền được lãng quên

Quyền được lãng quên có nghĩa đúng như những gì nó nói: quyền được 'quên' khi khách hàng yêu cầu cụ thể điều này. Khi đó, tổ chức có nghĩa vụ xóa dữ liệu cá nhân của họ. Xin lưu ý rằng nếu có liên quan đến nghĩa vụ pháp lý thì cá nhân không thể viện dẫn quyền này.

• Quyền hạn chế xử lý

Quyền này mang lại cho cá nhân với tư cách là chủ thể dữ liệu cơ hội hạn chế việc xử lý dữ liệu cá nhân của họ, nghĩa là họ có thể yêu cầu xử lý ít dữ liệu hơn. Ví dụ: nếu một công ty yêu cầu nhiều dữ liệu hơn mức thực sự cần thiết cho quy trình liên quan.

• Quyền di chuyển dữ liệu

Quyền này có nghĩa là một cá nhân có quyền chuyển dữ liệu cá nhân của mình cho tổ chức khác. Ví dụ: nếu ai đó đến làm việc cho đối thủ cạnh tranh hoặc một nhân viên đi làm cho công ty khác và bạn chuyển dữ liệu sang công ty này,

• Quyền phản đối

Quyền phản đối có nghĩa là một cá nhân có quyền phản đối việc xử lý dữ liệu cá nhân của họ, ví dụ: khi dữ liệu được sử dụng cho mục đích tiếp thị. Họ có thể thực hiện quyền này vì những lý do cá nhân cụ thể.

• Quyền không phải chịu sự ra quyết định tự động

Các cá nhân có quyền không phải chịu quá trình ra quyết định hoàn toàn tự động vì việc này có thể gây ra hậu quả đáng kể cho họ hoặc gây ra hậu quả pháp lý do sự can thiệp của con người. Một ví dụ về xử lý tự động là hệ thống xếp hạng tín dụng sẽ hoàn toàn tự động xác định xem bạn có đủ điều kiện vay hay không.

• Quyền thông tin

Điều này có nghĩa là tổ chức phải cung cấp cho các cá nhân thông tin rõ ràng về việc thu thập và xử lý dữ liệu cá nhân của họ khi một cá nhân yêu cầu điều này. Một tổ chức phải có khả năng cho biết họ xử lý dữ liệu nào và tại sao, theo nguyên tắc GDPR.

Bằng cách làm quen với các quyền này, bạn có thể thấy trước tốt hơn khi nào khách hàng và bên thứ ba có thể hỏi về dữ liệu bạn đang xử lý. Sau đó, bạn sẽ thấy dễ dàng hơn nhiều khi bắt buộc và gửi cho họ thông tin họ yêu cầu vì bạn đã chuẩn bị sẵn sàng. Bạn có thể tiết kiệm rất nhiều thời gian để luôn chuẩn bị cho các yêu cầu cũng như có sẵn dữ liệu và sẵn sàng, chẳng hạn như bằng cách đầu tư vào một hệ thống quản lý khách hàng tốt cho phép bạn lấy dữ liệu cần thiết một cách nhanh chóng và hiệu quả.

Điều gì xảy ra khi bạn không tuân thủ?

Chúng tôi đã đề cập ngắn gọn về chủ đề này trước đây: bạn sẽ phải chịu hậu quả khi không tuân thủ GDPR. Xin nhắc lại, hãy lưu ý rằng bạn không cần phải có công ty có trụ sở tại EU mới bắt buộc phải tuân thủ. Nếu bạn có ngay cả một khách hàng ở EU có dữ liệu bạn xử lý thì bạn sẽ thuộc phạm vi của GDPR. Có hai mức phạt có thể được áp dụng. Cơ quan bảo vệ dữ liệu có thẩm quyền ở mỗi quốc gia có thể đưa ra mức phạt có hiệu lực ở hai cấp độ. Mức độ đó được xác định dựa trên hành vi vi phạm cụ thể. Mức phạt cấp một bao gồm các hành vi vi phạm như xử lý dữ liệu cá nhân của trẻ vị thành niên mà không có sự đồng ý của cha mẹ, không báo cáo vi phạm dữ liệu và hợp tác với bộ xử lý không cung cấp đủ đảm bảo về bảo mật dữ liệu cần thiết. Những khoản tiền phạt này có thể lên tới 10 triệu euro hoặc, trong trường hợp của một công ty, lên tới 2% tổng doanh thu hàng năm trên toàn thế giới của bạn từ năm tài chính trước đó.

Cấp độ hai áp dụng nếu bạn phạm tội cơ bản. Ví dụ: không tuân thủ các nguyên tắc xử lý dữ liệu hoặc nếu tổ chức không thể chứng minh rằng chủ thể dữ liệu đã thực sự đồng ý với việc xử lý dữ liệu. Nếu bạn thuộc phạm vi bị phạt cấp hai, bạn có nguy cơ bị phạt tối đa 20 triệu euro, hoặc lên tới 4% doanh thu toàn cầu của công ty bạn. Xin lưu ý rằng số tiền này đã được tối đa hóa và tùy thuộc vào tình hình cá nhân của bạn cũng như doanh thu hàng năm của doanh nghiệp bạn, cùng nhiều yếu tố khác. Ngoài phạt tiền, cơ quan bảo vệ dữ liệu quốc gia cũng có thể áp dụng các biện pháp trừng phạt khác. Điều này có thể bao gồm từ cảnh báo và khiển trách đến việc ngừng xử lý dữ liệu tạm thời (và đôi khi là vĩnh viễn). Trong trường hợp đó, bạn có thể tạm thời hoặc vĩnh viễn không xử lý dữ liệu cá nhân thông qua tổ chức của mình nữa. Ví dụ, vì bạn đã nhiều lần phạm tội hình sự. Điều này về cơ bản sẽ khiến bạn không thể kinh doanh được. Một biện pháp xử phạt khác có thể xảy ra theo GDPR là thanh toán tiền bồi thường thiệt hại cho những người dùng gửi khiếu nại có căn cứ chính đáng. Tóm lại, hãy cảnh giác về quyền riêng tư và dữ liệu cá nhân của các cá nhân để tránh những hậu quả nặng nề như vậy.

Bạn có muốn biết liệu bạn có tuân thủ GDPR không?

Nếu bạn dự định bắt đầu kinh doanh ở Hà Lan, bạn sẽ phải tuân thủ GDPR. Nếu bạn đang kinh doanh với khách hàng Hà Lan hoặc khách hàng có trụ sở tại bất kỳ quốc gia EU nào khác, bạn cũng sẽ phải tuân thủ quy định này của EU. Nếu bạn không biết chắc chắn liệu mình có thuộc phạm vi của GDPR hay không, bạn luôn có thể liên hệ Intercompany Solutions để được tư vấn về chủ đề này. Chúng tôi có thể hỗ trợ bạn tìm hiểu xem bạn có áp dụng các quy định và quy trình nội bộ hiện hành hay không và liệu thông tin bạn cung cấp cho bên thứ ba có đầy đủ hay không. Đôi khi bạn rất dễ bỏ qua những thông tin quan trọng, tuy nhiên điều đó có thể khiến bạn gặp rắc rối với pháp luật. Hãy nhớ: quyền riêng tư là một chủ đề cực kỳ quan trọng, vì vậy điều cần thiết là bạn phải luôn cập nhật các quy định và tin tức mới nhất. Nếu bạn có bất kỳ câu hỏi nào về chủ đề này hoặc muốn biết thêm thông tin về các cơ sở kinh doanh ở Hà Lan, vui lòng liên hệ Intercompany Solutions Bất cứ lúc nào. Chúng tôi sẽ sẵn lòng hỗ trợ bạn với bất kỳ câu hỏi nào bạn có thể có hoặc cung cấp cho bạn báo giá rõ ràng.

Nguồn:

https://gdpr-info.eu/

https://www.afm.nl/en/over-de-afm/organisatie/privacy

https://finance.ec.europa.eu/

---

[1] https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_nl#:~:text=The%20general%20regulation%20dataprotection%20(GDPR)&text=The%20AVG%20(also%20known%20under,digital%20unified%20market%20te%20.

[2] https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/documenten/brochures/2018/05/01/de-algemene-verordening-gegevensbescherming

[3] https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/documenten/brochures/2018/05/01/de-algemene-verordening-gegevensbescherming