Hiểu về bộ luật GDPR (25/05/2018)

GDPR là gì

General Data Protection Regulations (GDPR) là: Quy định về bảo vệ dữ liệu chung. Đây là bộ luật mới của EU (Liên minh các quốc gia châu Âu), sẽ được áp dụng vào ngày 25/5/2018 tới đây.

Tại sao bạn nên quan tâm GDPR?

Mặc dù là bộ luật của châu Âu nhưng bạn vẫn phải quan tâm đến nó nếu bạn: Là người "xử lý dữ liệu" - mình sẽ giải thích về thuật ngữ này ở bên dưới & không muốn bị phạt vì rắc rối liên quan đến dữ liệu người dùng hay xử lý dữ liệu người dùng.

Nếu bạn là 1 doanh nghiệp có trụ sở tại EU, thì chắc chắn điều luật này được áp dụng với doanh nghiệp của bạn - Mức phạt khá là chát chúa nhé! (Tối đa 20 triệu Euro hoặc 4% doanh thu toàn cầu (tùy theo điều kiện nào cao hơn).

Tại chương 8 - Mục 82 - Điều 1:
Any person who has suffered material or non-material damage as a result of an infringement of this Regulation shall have the right to receive compensation from the controller or processor for the damage suffered
Tạm lược dịch:  Bất kỳ người nào đã bị thiệt hại vật chất hoặc phi vật chất do vi phạm GDPR có quyền nhận bồi thường từ bộ điều khiển dữ liệu hoặc bộ xử lý cho những thiệt hại phải chịu.
Tham khảo thêm về bộ luật tại: https://gdpr-info.eu/

Các định nghĩa cần biết

Cơ quan giám sát

Cơ quan giám sát là cơ quan sẽ quản lý, giám sát việc thực thi bộ luật GDPR. Mỗi quốc gia trong liên minh châu Âu sẽ chỉ định 1 cơ quan giám sát để làm việc với các cơ quan giám sát của các quốc gia thành viên khác.
Cơ quan giám sát có quyền:
  • Tiến hành kiểm toán
  • Yêu cầu các bộ phận điều khiển / quản lý dữ liệu phải tuân thủ theo GDPR
  • Đưa ra các cảnh báo , phạt tiền, hoặc cấm xử lý dữ liệu

Cán bộ bảo vệ dữ liệu

Theo GDPR, một số tổ chức (thường là các cty xử lý dữ liệu cá nhân quy mô lớn) được yêu cầu bổ nhiệm nhân viên bảo vệ dữ liệu (DPO)
DPO cơ bản được hiểu là một chuyên gia về dữ liệu cá nhân và bảo mật dữ liệu cá nhân (nhờ GDPR họ tự dưng có thêm nhiều việc làm kinh khủng nhể). Công việc của DPO là thực thi, duy trì, giám sát sự tuân thủ GDPR trong tổ chức của bạn (mà ở đây chính là hạn chế những vụ kiện tụng nhất có thể).

Tại Facebook, Google, Apple, Amazon, Uber, ... mình nghĩ có nguyên đội chứ không phải là 1 DPO =))

Định nghĩa dữ liệu cá nhân

Dữ liệu cá nhân là bất kỳ thông tin nào liên quan đến bạn hoặc có thể được sử dụng để nhận dạng bạn một cách trực tiếp hoặc gián tiếp.
Nó có thể bao gồm (nhưng không giới hạn): tên, địa chỉ email, địa chỉ IP, địa chỉ nhà, số điện thoại, thông tin thẻ tín dụng, mã ZIP / PIN, ảnh, video của bạn, dữ liệu di truyền. (hic hic đoạn này là thấy all hết rồi nhể)

Dữ liệu cá nhân nhạy cảm

Dữ liệu cá nhân nhạy cảm bao gồm dữ liệu di truyền và dữ liệu sinh trắc học.
Điều đó có nghĩa là, nếu bạn đang xử lý dữ liệu liên quan đến màu da của một người (màu đen, trắng, nâu vv), chủng tộc (người châu á, người châu âu, ...), khuynh hướng tình dục (gay, lesbian, transexual vv), dữ liệu liên quan đến y tế, vv... tất cả được coi là dữ liệu cá nhân nhạy cảm.
Trong GDPR, việc xử lý dữ liệu nhạy cảm là bị cấm. (có TH áp dụng riêng - xem tại Chương 2 - mục số 9 trong GDPR)

Xử lý dữ liệu

Bất kỳ hoạt động nào (bằng tay hay tự động) có tác động đến dữ liệu cá nhân đều được coi là xử lý dữ liệu
  • Thu thập dữ liệu
  • Lưu trữ dữ liệu
  • Sửa đổi dữ liệu
  • Cấu trúc dữ liệu
  • Dữ liệu được truyền đi
  • Truy cập dữ liệu
  • Xóa dữ liệu
....

Lưu ý: GDPR không áp dụng cho việc xử lý dữ liệu bởi cơ quan pháp luật hoặc các cá nhân xử lý dữ liệu sử dụng cho các hoạt động cá nhân / hộ gia đình.

Bộ quản lý dữ liệu (Data Controller)

Nếu bạn quyết định: tại sao và làm như thế nào để xử lý dữ liệu cá nhân thì bạn là một bộ quản lý dữ liệu (data controller).
Bất kỳ cá nhân / tổ chức nào cũng có thể là 1 bộ điều khiển dữ liệu
VD:
  • Nếu bạn gửi email tiếp thị tới người đăng ký nhận email / khách hàng của bạn thì bạn là 1 bộ  quản lý dữ liệu
  • Nếu bạn sử dụng cookie để tiếp thị lại cho các khách hàng truy cập web thì bạn là 1 bộ quản lý dữ liệu.

Bộ xử lý dữ liệu (Data Processor)

Bất kỳ cá nhân / tổ chức, công ty nào đều có thể là 1 bộ xử lý dữ liệu.
VD:
  • Bạn xử lý dữ liệu thay cho (các) khách hàng của mình đều được coi là bộ xử lý dữ liệu.
  • Khi bạn sử dụng công cụ phân tích như Google Analytics để theo dõi và phân tích trang web của mình, Google Analytics sẽ là 1 bộ xử lý dữ liệu vì nó xử lý dữ liệu sử dụng trang web thay cho bạn.
  • Khi bạn sử dụng công cụ quảng cáo như Google Adwords, Facebook để tiếp thị / tiếp thị lại cho khách hàng của bạn thì các công cụ đó là bộ xử lý dữ liệu (vì nó đã xử lý dữ liệu tiếp thị thay cho bạn).
  • Công cụ test A/B cũng là 1 bộ xử lý dữ liệu vì nó xử lý dữ liệu sử dụng trang website thay cho bạn.
  • Khi bạn sử dụng email, tự động hóa email thì bộ công cụ đó cũng trở thành bộ xử lý dữ liệu.

Đối tượng dữ liệu

Chủ thể dữ liệu cá nhân có thể là bất kỳ ai trong biên giới EU, vào thời điểm xử lý dữ liệu.
Điều này áp dụng với tất cả cư dân sống trong khối liên minh châu Âu EU,  kể cả các công dân không phải là công dân EU của bất kỳ quốc tịch nào (bao gồm nhưng không giới hạn đối với: cư dân tạm thời, khách du lịch, sinh viên quốc tế, công nhân nhập cư, người tị nạn, vv) nằm trong biên giới EU (Liên minh Châu Âu) vào thời điểm xử lý dữ liệu cá nhân được coi là đối tượng dữ liệu.
Vì vậy, nếu bạn là người Việt Nam đến 1 nước châu Âu du lịch (Đức chẳng hạn) thì tự động bạn trở thành 1 đối tượng dữ liệu. Sau khi bạn dời khỏi biên giới EU, bạn sẽ không còn là đối tượng dữ liệu nữa (trừ TH dữ liệu của bạn vẫn được xử lý bởi 1 cty/tổ chức nào đó có trụ sở tại EU).
  • Quyền của đối tượng dữ liệu
  • Quyền thông báo vi phạm dữ liệu (thực hiện ngay trong 72h từ lúc nhận ra vi phạm)
  • Quyền truy cập: Đối tượng dữ liệu có quyền biết: Dữ liệu nào của họ đang được sử dụng, làm sao họ có thể truy cập nó, làm sao để thay đổi hoặc xóa nó, tại sao nó được sử dụng và ai được sử dụng nó, và dữ liệu đó được lưu trữ trong bao lâu.
  • Quyền được quên (có thể hiểu là loại bỏ): Đố i tượng dữ liệu có thể yêu cầu bạn xóa dữ liệu về họ, tốt nhất bạn nên xóa nó đi (nếu bạn không có bất kỳ căn cứ pháp lý nào bạn có quyền từ chối xóa bỏ dữ liệu đó đi). Ở phần này, nếu bạn sử dụng cookie, có thể bạn sẽ phải có bài hướng họ xóa cookie đang lưu trữ trên máy tính/laptop cá nhân của họ để không tiếp thị đến họ nữa.
  • Quyền chỉnh sửa: Đối tượng dữ liệu có quyền yêu cầu cập nhật lại thông tin của họ nếu thông tin không chính xác.

Vậy tôi có cần tuần thủ GDPR không?

Như mình đã nói ở trên thì: bất kể bạn sinh sống hay không sinh sống tại EU nhưng công ty bạn có trụ sở tại EU hoặc có xử lý/lưu trữ thông tin cá nhân công dân EU thì đều phải tuân thủ theo GDPR

Làm thế nào để biết rằng mình đang có xử lý dữ liệu công dân EU

Mình sẽ list 1 số trường hợp thường thấy như:
1. Bạn bán sản phẩm / dịch vụ cho công dân EU
2. Công dân EU mua sản phẩm / dịch vụ từ trang web của bạn dù họ không phải là khách hàng mục tiêu / thị trường mục tiêu
3. Một công dân EU có gắng mua sản phẩm / dịch vụ từ trang web của bạn ngay cả khi bạn không bán cho họ.
VD: Bạn ở VN, bạn nhận được 1 đơn hàng từ 1 người trong EU, bạn không hoàn thành đơn hàng vì bạn không bán ra bên ngoài VN. Nhưng bạn phải tuân thủ GDPR. Tại sao? Vì bạn đang giữ thông tin thanh toán (địa chỉ thanh toán và địa chỉ giao hàng) của 1 công dân EU trong cơ sở dữ liệu.
4. Bạn yêu cầu cung cấp email để nhận ebook miễn phí chẳng hạn,  và người cung cấp thông tin này là 1 công dân EU.
5. Một công dân EU gửi biểu mẫu liên hệ đến bạn (contact form), bạn phải tuân thủ theo GDPR, vì bạn đang lưu trữ thông tin (tên, email) của công dân EU.
6. Bạn theo dõi hoạt động trực tuyến thông qua các công cụ theo dõi như: Google Analytics, Tag Manager, Kissmetric, Hotjar, Optimizely, ... Ngay khi công dân EU truy cập vào web của bạn, bạn phải tuân thủ theo GDPR.
7. Bạn quảng cáo hoặc tiếp thị lại cho công dân EU.
8. Chiến dịch tiếp thị lại động dành cho công dân EU cũng phải tuân thủ theo GDPR.
9. Bạn tổ chức 1 cuộc khảo sát trực tuyến và 1 công dân EU tham gia cuộc khảo sát này, bạn phải tuân thủ theo GDPR.
10. Hay đơn giản là có email được gửi từ EU đến hòm thư của bạn, dù bạn có reply hay không. <= điều này cảm giác hơi vô lý, tuy nhiên nếu bạn có trao đổi qua email với 1 công dân EU thì coi như phải tuân thủ theo GDPR.

GDPR và thực tế xã hội

Việc thực thi GDPR thực sự là 1 thách thức với chính cơ quan quản lý GDPR, với hàng tỷ doanh nghiệp trên thế giới, và cảm giác dường như bộ luật này đang chủ yếu nhắm tới các cty lớn (Facebook, Google, Apple, ...) - những ông chủ lớn sẵn tiền. Và bạn hiểu vì sao EU theo đuổi bộ luật này chứ ? Một nguồn tiền không hề nhỏ nhé

Có cách nào để hạn chế việc tuân thủ theo GDPR không?

Nói chung nếu bạn không có bất cứ gì liên quan đến EU như: EU không phải thị trường mục tiêu, không có trụ sở tại EU, không có bộ phận xử lý GDPR ở EU, và bạn không muốn phải tuân thủ theo GDPR, cách đơn giản nhất là chặn truy cập từ các quốc gia EU. (vì bạn không phải xử lý dữ liệu từ 1 công dân EU nào đó). Cách làm này có thể mất đi 1 số lượng truy cập, cơ hội khách hàng của bạn. Tuy nhiên như đã nói ở trên, EU không phải thị trường của bạn, thì tốt nhất chặn nó đi để tránh các rắc rối không đáng có. Trong các điều khoản trong GDPR, không có điều khoản nào ngăn cấm việc này cả.

Nếu tôi vẫn muốn giữ lại khách hàng EU?

Nếu bạn là 1 doanh nghiệp bên ngoài EU và bạn không muốn mất khách hàng EU, đồng thời bạn không muốn sự tuân thủ GDPR ảnh hưởng đến chiến dịch quảng cáo, tiếp thị lại toàn cầu, hãy xem xét việc tạo công ty riêng tại EU, trang web dành riêng cho thị trường EU, và tuân thủ đầy đủ theo GDPR.

GDPR và các doanh nghiệp lớn

Dạo quanh tý chúng ta có thể thấy 1 số anh lớn đang áp dụng việc thực thi GDPR
Facebook: https://www.facebook.com/business/gdpr
Google: https://cloud.google.com/security/gdpr/
Apple: https://www.apple.com/legal/privacy/en-ww/governance/
Amazon: https://aws.amazon.com/fr/compliance/gdpr-center/
Godaddy: https://vn.godaddy.com/agreements/showdoc.aspx?pageid=PRIVACY
Chatfuel (nền tảng tạo chatbot): https://chatfuel.com/gdpr.html

Tổng kết

Thực tế bộ luật đã đề ra thì tốt nhất ae nên tuân thủ nhưng cuộc chơi hiện sẽ áp dụng mạnh tay với các doanh nghiệp lớn kia, còn nếu bạn quá nhỏ, chưa chắc họ động vào bạn đâu (chưa chắc chứ không phải không có nhé).

Lưu ý: Bài viết này chỉ mang tính chất chia sẻ thông tin, quan điểm đánh giá cá nhân, không thể thay thế cho việc tư vấn bởi các luật sư. Và nếu bạn có quan điểm như thế nào về vấn đề này, đừng quên comment lại chia sẻ quan điểm nhé!

Đăng nhận xét