GDPR có ý nghĩa gì với doanh nghiệp của tôi?
GDPR là gì?
Quy định chung về bảo vệ dữ liệu (GDPR) là luật của Liên minh châu Âu (EU) nhằm bảo vệ dữ liệu và quyền riêng tư cho tất cả công dân và cư dân EU. GDPR quy định cách các công ty - trong đó có GoDaddy - có thể xử lý dữ liệu cá nhân tại EU. GDPR đã có hiệu lực vào 25/05/2018. Để xem nội dung mô tả chi tiết hơn GDPR là gì cũng như GoDaddy tuân thủ GDPR như thế nào, vui lòng xem lại thông tin trong Trung tâm về quyền riêng tư của chúng tôi
GoDaddy không phải là công ty luật
Chúng tôi hy vọng tài liệu này sẽ mang đến cho bạn cái nhìn tổng quan về việc GDPR là gì và ý nghĩa của GDPR đối với bạn nhưng GoDaddy không phải là doanh nghiệp cung cấp dịch vụ tư vấn pháp lý và đây không phải là hướng dẫn đầy đủ về GDPR. Tình huống của mỗi doanh nghiệp sẽ khác nhau và GDPR là một bộ quy định pháp lý rất phức tạp. Với những câu hỏi cụ thể xung quanh hoạt động của doanh nghiệp bạn và ảnh hưởng của GDPR (và các luật về quyền riêng tư khác hiện hành) đến các hoạt động đó, bạn nên tham khảo ý kiến của luật sư.
Chúng tôi không phải chuyên gia về doanh nghiệp của bạn
Mặc dù chúng tôi rất muốn có khả năng cho bạn lời khuyên chi tiết về cách đảm bảo tuân thủ GDPR nhưng điều đó hoàn toàn không thể. Mỗi doanh nghiệp hoạt động theo cách khác nhau, với các chính sách, giao diện, nhân viên, địa điểm, v.v. khác nhau. Do đó, chúng tôi muốn mang đến cái nhìn tổng quan về quan điểm của GoDaddy đối với GDPR, đồng thời nêu bật một số điểm trong quy định này mà bạn sẽ cần tự đánh giá dựa theo tình huống của riêng mình.
Điều gì khiến GDPR khác biệt?
GDPR không khác nhiều với các luật về quyền riêng tư khác trên thế giới. Điều khiến GDPR trở nên phổ biến là quy định vượt ra khỏi phạm vi EU tới doanh nghiệp bất kỳ ở mọi nơi trên thế giới về xử lý dữ liệu cá nhân của người dân EU, đồng thời quy định cũng đưa ra hình phạt đáng kể (tới 20 triệu EUR hoặc 4% doanh thu toàn cầu hàng năm) đối với hành vi không tuân thủ. Do đó, càng nhiều quốc gia, khoản phạt càng lớn, quy mô càng rộng thì phạm vi phủ sóng truyền thông càng lớn. Điều đó không có nghĩa là không có khác biệt - GDPR yêu cầu các công ty chịu ảnh hưởng cung cấp một số quyền cho khách hàng (chẳng hạn như 'quyền bị quên' và 'quyền di chuyển dữ liệu') và thực hiện một số biện pháp tuân thủ của công ty.
Doanh nghiệp của tôi có bị ảnh hưởng không?
Có một vài lý do có thể khiến doanh nghiệp của bạn bị ảnh hưởng. Nếu trụ sở doanh nghiệp hoặc khách hàng mua sản phẩm và dịch vụ của bạn ở Khu vực kinh tế châu Âu (EEA), vui lòng đọc tiếp. Nếu không tiến hành kinh doanh tại khu vực đó hoặc không nhắm đến đối tượng ở EU, có lẽ bạn đã hoàn tất (nhắc lại, vui lòng liên hệ với cố vấn pháp lý của bạn để xác nhận).
Sản phẩm và dịch vụ tôi mua của GoDaddy có tuân thủ GDPR không?
Không sản phẩm hay dịch vụ nào vốn đã 'tuân thủ GDPR'. Tuy nhiên, khi được cấu hình phù hợp cho nhu cầu riêng của doanh nghiệp bạn và được dùng kết hợp với các biện pháp, chính sách và quy trình khác mà bạn thực hiện khi cần cho riêng doanh nghiệp (một số được mô tả bên dưới), chúng có thể được sử dụng theo cách tuân thủ GDPR. Không ai hiểu về doanh nghiệp bạn rõ hơn bạn. Mặc dù GoDaddy hy vọng có thể cung cấp công cụ và tài nguyên nhằm giúp doanh nghiệp bạn tuân thủ GDPR và luôn sẵn sàng trợ giúp bạn nhưng chúng tôi không đủ điều kiện để đảm bảo bạn sẽ tuân thủ mọi luật được áp dụng đối với doanh nghiệp.
Tuân thủ GDPR nghĩa là gì?
GDPR thực sự tập trung vào quyền riêng tư của thông tin cá nhân. Tóm lại, GDPR nhằm đảm bảo dữ liệu cá nhân của khách hàng được bảo vệ và sử dụng đúng cách. Trước khi đi vào chi tiết, sau đây là một vài định nghĩa quan trọng giúp chúng ta xác định các trách nhiệm tương ứng vì quy định này liên quan đến việc xử lý dữ liệu cá nhân:
- Chủ thể dữ liệu: Người cung cấp thông tin cá nhân. Chủ thể có thể là khách hàng, nhân viên hoặc ai đó truy cập vào website của bạn (chính là người truy cập vào website của bạn nếu bạn thu thập thông tin về họ bằng "cookie và những công nghệ tương tự").
- Bên kiểm soát dữ liệu: Là bên xác định mục đích và phương tiện để xử lý dữ liệu cá nhân.
- Bên xử lý dữ liệu: Là bên xử lý dữ liệu cá nhân thay cho bên kiểm soát dữ liệu.
- Xử lý: Hoạt động hoặc nhóm hoạt động bất kỳ được thực hiện trên dữ liệu cá nhân, dù có hay không bằng phương thức tự động, chẳng hạn như thu thập, ghi lại, sắp xếp, cấu trúc, lưu trữ, điều chỉnh hoặc thay đổi, truy xuất, tham khảo ý kiến, sử dụng, tiết lộ khi truyền, phân phối hoặc dùng những cách khác nhằm cung cấp sẵn, căn chỉnh hoặc kết hợp, hạn chế, xóa hoặc phá hủy.
- Dữ liệu cá nhân: GDPR chỉ được áp dụng cho 'dữ liệu cá nhân', nghĩa là mọi thông tin liên quan đến người có thể xác định cụ thể thông qua nhận dạng trực tiếp hoặc gián tiếp bằng cách tham chiếu đến mã nhận dạng. Định nghĩa này áp dụng cho một loạt thông tin nhận dạng cá nhân tạo thành dữ liệu cá nhân, trong đó có tên, số thẻ căn cước, dữ liệu vị trí hoặc mã nhận dạng trực tuyến, phản ánh các thay đổi trong công nghệ hoặc cách các tổ chức thu thập thông tin về mọi người. Về cơ bản, nếu bạn có thể sử dụng dữ liệu để xác định người dùng, khách hàng hay bất cứ ai, đó là dữ liệu cá nhân.
Các định nghĩa này có ý nghĩa gì với tôi?
Trong mối quan hệ của chúng ta, có khi chúng tôi là Bên kiểm soát dữ liệu (khi chúng tôi thu thập dữ liệu của bạn để bán sản phẩm và dịch vụ cho bạn - chẳng hạn như tên, địa chỉ, email, số điện thoại và thông tin thẻ tín dụng), đôi khi chúng tôi lại là Bên xử lý dữ liệu và bạn là Bên kiểm soát dữ liệu (chẳng hạn như khi bạn sử dụng dịch vụ được lưu trữ của chúng tôi cho mục đích của doanh nghiệp bạn và thông tin được chuyển đến máy chủ để chúng tôi có thể cung cấp, quản lý và duy trì dịch vụ cho bạn (xem thêm bên dưới)).
Chính xác thì luật yêu cầu điều gì?
Phiên bản chính thức của GDPR dài 261 trang, gồm 173 mục Căn cứ, 99 Điều khoản và (như đã nói) rất phức tạp, thường có phạm vi rộng, mập mờ và mơ hồ (chúng ta đã may mắn). Chúng tôi sẽ chỉ đề cập đến một vài nguyên tắc chính:
Minh bạch
Công ty đang thu thập dữ liệu gì và định sử dụng dữ liệu ra sao? Giải thích điều đó với các khách hàng một cách rõ ràng và dễ hiểu là một nguyên tắc cơ bản trong mọi luật về quyền riêng tư, kể cả GDPR.
Chúng tôi đoán gần đây bạn đã nhận được khoảng một triệu email "chúng tôi đã cập nhật chính sách về quyền riêng tư", đúng không? Đây không phải là điều ngẫu nhiên. GDPR yêu cầu các công ty trình bày minh bạch và rõ ràng hơn về cách họ thu thập và sử dụng thông tin của khách hàng (nói cách khác là khiến quy định gần gũi với người dùng hơn). Các chính sách về quyền riêng tư là cơ chế để bạn mang đến sự minh bạch - giải thích với khách hàng một cách đơn giản và rõ ràng về cách bạn thu thập và sử dụng dữ liệu cá nhân của họ cũng như cách họ liên hệ với bạn hoặc thực hiện quyền của khách hàng.
GoDaddy cung cấp các công cụ cho phép bạn kết hợp chính sách bảo mật vào website và trong một số trường hợp còn cung cấp các mẫu để bạn xử lý. Tuy nhiên, vì chúng tôi không biết bạn điều hành doanh nghiệp như thế nào nên chúng tôi không thể cung cấp chính sách về quyền riêng tư hoàn toàn tuân thủ cho bạn.
Sự kiểm soát của khách hàng và quản lý sự chấp thuận
Đảm bảo tính minh bạch là cách khởi đầu tốt nhưng nếu bạn đang sử dụng (hoặc thu thập) thông tin từ các khách hàng ngoài những thông tin thực sự cần thiết để cung cấp hàng hóa hoặc dịch vụ của bạn cho họ, bạn cũng phải đảm bảo khách hàng có quyền lựa chọn có chấp thuận những mục đích sử dụng khác không cũng như quyền thu hồi sự chấp thuận sau này.
Ví dụ rõ ràng nhất ở đây là việc sử dụng địa chỉ email hoặc số điện thoại thu thập được để liên lạc với khách hàng của bạn (thông thường chúng tôi nghĩ về việc chọn tham gia/không tham gia đăng ký nhận thông tin/liên lạc này). Thông tin này có thể được khách hàng cung cấp khi tạo tài khoản hoặc mua sản phẩm hoặc dịch vụ của bạn. Tuy nhiên, cũng có thể ví dụ việc bạn thu thập thông tin về những cá nhân truy cập vào website của bạn thông qua các công cụ thường gọi là "cookie" (và các công nghệ tương tự như pixel, tập lệnh, v.v.). Chắc hẳn bạn đã thấy "biểu ngữ về cookie" khi truy cập vào các website. Tương tự cách sử dụng chính sách về quyền riêng tư, những biểu ngữ về cookie này thể hiện tính minh bạch cao hơn. Khi bạn hiển thị biểu ngữ về cookie, các cá nhân có thể tìm hiểu thêm về loại công cụ đang được dùng để thu thập thông tin về họ, chấp nhận hoặc từ chối sử dụng và/hoặc làm cách khác để kiểm soát chi tiết cookie nào có thể được sử dụng.
Theo GDPR, khách hàng của bạn phải có quyền chấp thuận việc thu thập (và mục đích sử dụng sau đó), đồng thời cách duy nhất để việc chấp thuận diễn ra hợp lý là bạn trao cho họ lựa chọn thể hiện sự chấp thuận một cách dễ hiểu, cụ thể (tùy theo mục đích) và rõ ràng. Không được dùng hộp kiểm đánh dấu sẵn hay coi sự im lặng hoặc không hoạt động nghĩa là khách hàng chấp thuận. Ví dụ: nếu trên website của bạn có hộp kiểm cạnh nội dung "Chúng tôi sẽ chia sẻ dữ liệu của bạn với các nhà quảng cáo bên thứ ba" thì bạn không được chọn trước hộp kiểm để buộc chủ thể dữ liệu đồng ý với việc xử lý dữ liệu. Hộp kiểm phải để trống để chủ thể dữ liệu trong EEA tự nguyện chọn tham gia hoặc thể hiện sự chấp thuận hoạt động xử lý này.
Cuối cùng, bạn cần đảm bảo khách hàng của bạn có thể kiểm soát được việc sử dụng dữ liệu cá nhân, thông tin liên lạc và sự chấp thuận, kể cả quyền thu hồi sự chấp thuận.
Quyền bị quên
Chúng tôi đã đề cập ở trên rằng GDPR rất giống với các luật về quyền riêng tư khác trên thế giới - nhưng đây là quyền dành cho khách hàng của bạn chỉ được quy định trong GDPR. GDPR cung cấp cho các cá nhân 'quyền bị quên' ("Quyền xóa" theo luật). Điều này nghĩa là khách hàng có thể yêu cầu xóa dữ liệu cá nhân của họ (và họ "bị quên") khi dữ liệu cá nhân đã thu thập không còn cần thiết cho các mục đích chúng được thu thập hoặc xử lý.
Khi quyền này tồn tại, bạn phải xóa dữ liệu cá nhân về chủ thể dữ liệu khỏi hệ thống (trừ khi có các lý do pháp lý hoặc kinh doanh hợp pháp cho biết phải giữ lại dữ liệu đó, chẳng hạn như cho mục đích báo cáo tài chính của bạn hoặc nhu cầu lưu giữ pháp lý).
Ví dụ: nếu khách hàng quyết định dừng kinh doanh với bạn, họ có thể không muốn bạn giữ thông tin về họ mà bạn đã thu thập và lưu trữ trước đó nữa. Mặc dù có những hạn chế với quyền này - với các ngoại lệ và chi tiết phức tạp - nếu áp dụng, bạn phải xem xét cách thức và khả năng đáp ứng yêu cầu khi được đưa ra.
Về phần GoDaddy, như chúng tôi đã mô tả và theo Phụ lục về xử lý dữ liệu của chúng tôi, chúng tôi sẽ đáp ứng những yêu cầu nhận được từ bạn (Bên kiểm soát dữ liệu) và xóa thông tin khách hàng của bạn khỏi hệ thống khi yêu cầu được đưa ra.
Quyền di chuyển dữ liệu
Quyền di chuyển dữ liệu là một quyền khác chỉ có trong GDPR, cho phép các cá nhân thu nhận và sử dụng lại dữ liệu cá nhân của họ cho mục đích riêng trên nhiều dịch vụ khác nhau. Quyền này cho phép họ dễ dàng di chuyển, sao chép hoặc truyền dữ liệu cá nhân từ môi trường CNTT này sang môi trường CNTT khác một cách an toàn và bảo mật mà không ảnh hưởng đến khả năng sử dụng dữ liệu.
Giả sử bạn là người lập kế hoạch sự kiện. Khách hàng của bạn đã cung cấp mọi thông tin liên hệ và cho biết sở thích cá nhân liên quan nhưng sau đó họ chuyển địa điểm và quyết định thuê một bên lập kế hoạch sự kiện mới. Trong EEA, họ sẽ có thể nhận được bản sao dữ liệu cá nhân điện tử để dễ dàng làm việc với người lên kế hoạch sự kiện mới. GoDaddy luôn sẵn sàng hỗ trợ các yêu cầu này trong phạm vi dữ liệu cá nhân của khách hàng hiện có và có khả năng xuất sang cho bạn từ các sản phẩm hoặc dịch vụ mà chúng tôi cung cấp.
Quyền riêng tư từ thiết kế
Quyền riêng tư từ thiết kế (hoặc theo mặc định) về cơ bản nghĩa là khi bạn thu nhận, xử lý, lưu trữ hoặc sử dụng dữ liệu cá nhân, các biện pháp bảo vệ cần thiết phải được dự tính và tích hợp - không có cân nhắc đặc biệt, không cần thực hiện thêm bước nào, chỉ thu thập dữ liệu cần thiết tối thiểu, nhận dữ liệu an toàn (ví dụ: mã hóa), lưu trữ tại một vị trí bảo mật và chỉ những người có nhu cầu hợp lệ được đào tạo phù hợp mới có thể truy cập. Ngoài ra, bạn cũng phải đảm bảo các bên thứ ba áp dụng các biện pháp bảo vệ trước khi được gửi dữ liệu cá nhân của khách hàng của bạn.
Điều này cơ bản giống như bệnh nhân đến khám tại phòng khám của bác sĩ. Là bệnh nhân, bạn sẽ mong hồ sơ y tế của mình, các ghi chú đã ghi và lời khuyên của bác sĩ được đảm bảo an toàn và bí mật. Chỉ cần áp dụng tình huống này với chủ thể dữ liệu, bạn sẽ dễ dàng hiểu được.
Mọi quy trình kiểm tra đối với hoạt động của doanh nghiệp bạn phải bao gồm cách thức đảm bảo quyền riêng tư cho người sử dụng sản phẩm và dịch vụ của GoDaddy. Mặc dù chúng tôi hy vọng có thể cấu hình sản phẩm và dịch vụ đáp ứng nhu cầu riêng của bạn nhưng bạn là người đưa ra quyết định độc lập xem việc sử dụng các dịch vụ của chúng tôi có đảm bảo tuân thủ các luật bảo vệ và quyền riêng tư dữ liệu hiện hành không.
Thông báo vi phạm dữ liệu
Trong trường hợp không may xảy ra vi phạm dữ liệu cá nhân, các công ty có trách nhiệm thông báo cho cơ quan giám sát ngay lập tức hoặc trong vòng 72 giờ kể từ khi biết có vi phạm. Để biết thêm chi tiết về cách thông báo và các bước cần thực hiện, vui lòng tham khảo ý kiến luật sư của bạn.
Như vậy, chúng ta phải làm gì?
Như đã đề cập ở trên, trong phần lớn thời gian, GoDaddy là Bên xử lý dữ liệu cho bạn. Chúng tôi sẽ xử lý dữ liệu đúng theo yêu cầu để thay mặt bạn cung cấp các dịch vụ bạn đã mua từ chúng tôi hoặc theo chỉ dẫn khác. Bạn sử dụng các dịch vụ của chúng tôi để thu thập dữ liệu nhằm bán đồ hoặc thu thập thông tin về cuộc hẹn hoặc khách hàng tiềm năng? Không vấn đề gì. Chúng tôi sẽ thay mặt bạn đảm bảo dữ liệu được xử lý một cách an toàn và bảo mật.
Với tư cách là Bên kiểm soát dữ liệu, bạn kiểm soát cách dữ liệu được sử dụng và lưu trữ, và chúng tôi sẽ chỉ xử lý dữ liệu đó theo các điều khoản của phụ lục xử lý dữ liệu trong việc cung cấp và duy trì các dịch vụ thay cho bạn. Điều này có nghĩa là bạn cần chú ý đến các chính sách nội bộ của mình và quyền truy cập hồ sơ của nhân viên, bao gồm cách bạn chia sẻ dữ liệu với bên thứ ba và mức độ dễ dàng ai đó có thể truy cập thông tin của chủ thể dữ liệu.
Như bạn có thể thấy từ các điểm chính ở trên, GDPR (và các luật về quyền riêng tư khác) đều nhằm đảm bảo dữ liệu chúng tôi thu thập và sử dụng để kinh doanh thành công phải được an toàn và bảo vệ thích đáng.