Năm 2018, Liên minh Châu Âu đã thực hiện một loạt cải cách bảo vệ dữ liệu được gọi là Quy định chung về bảo vệ dữ liệu (GDPR). Về bản chất, GDPR đã thay thế tất cả các luật bảo vệ dữ liệu khác nhau bằng một bộ quy tắc duy nhất áp dụng cho mọi quốc gia EU. Nhiều doanh nghiệp đã phải thay đổi chính sách của mình để tuân thủ GDPR, tuy nhiên, bất chấp giai đoạn chuyển đổi, vẫn còn nhiều nhầm lẫn về các quy tắc mới.
Vậy GDPR là gì và làm cách nào để doanh nghiệp của bạn tuân thủ?
Trong bài viết này, bạn sẽ tìm hiểu cách tuân thủ GDPR mà không cần phải đọc chỉ thị bảo vệ dữ liệu khô khan của EU. Chúng tôi sẽ giúp bạn hiểu GDPR là gì và cho bạn biết những bước bạn cần thực hiện để làm cho trang web của bạn tuân thủ GDPR.
Nội dung bài viết
GDPR là gì?
GDPR là chỉ thị bảo vệ dữ liệu của Liên minh Châu Âu được thiết kế để bảo vệ quyền riêng tư trực tuyến của công dân EU. Nó quy định cách sử dụng dữ liệu cá nhân và loại trang web dữ liệu nào có thể thu thập về bạn. Mặc dù là quy định của EU nhưng GDPR vẫn áp dụng cho tất cả các trang web được người dùng từ EU truy cập. Do đó, các trang web và doanh nghiệp phải tuân thủ GDPR hoặc chặn lưu lượng truy cập của EU.
Với ý nghĩ đó, đây là những khía cạnh chính của GDPR có thể ảnh hưởng đến doanh nghiệp của bạn:
- Trang web của bạn phải thông báo rõ ràng cho khách truy cập rằng dữ liệu cá nhân của họ đang được thu thập.
- Bạn cũng cần tiết lộ cách thức và lý do dữ liệu của họ được thu thập và lưu trữ.
- Nếu người dùng yêu cầu bạn xóa dữ liệu cá nhân bạn đã thu thập, bạn phải tuân thủ yêu cầu đó trong hầu hết các trường hợp.
- Người dùng cũng có thể yêu cầu bản sao của tất cả thông tin cá nhân bạn lưu trữ.
- Nếu một trong những hoạt động chính của doanh nghiệp bạn là thu thập và lưu trữ dữ liệu cá nhân, bạn cần thuê nhân viên bảo vệ dữ liệu.
- Nếu trang web của bạn bị vi phạm và thông tin cá nhân của người dùng bị rò rỉ, bạn có 72 giờ để báo cáo vi phạm.
- Việc vi phạm quy định GDPR có thể bị phạt lên tới 20 triệu euro (~ 24 triệu USD) hoặc 4% doanh thu hàng năm của công ty bạn.
Mục đích chính của GDPR là bảo vệ mọi người và thông tin cá nhân của họ khỏi bị vi phạm dữ liệu. Bây giờ câu hỏi là, loại dữ liệu nào thuộc GDPR?
Các loại dữ liệu được quy định bởi GDPR
Cho dù bạn xây dựng trang web của mình từ đầu hay sử dụng chủ đề WordPress, trang web của bạn sẽ thu thập các loại dữ liệu khác nhau. Các trang web thu thập thông tin theo nhiều cách khác nhau, bao gồm thông qua phân tích, biểu mẫu WordPress, biểu mẫu đăng ký, biểu mẫu liên hệ và chiến dịch tiếp thị qua email.
Nói tóm lại, tất cả dữ liệu cá nhân đều thuộc GDPR, nhưng chúng tôi có thể chia dữ liệu thành các loại sau:
- Thông tin di truyền và sức khỏe.
- Dữ liệu sinh trắc học.
- Quan điểm chính trị và/hoặc tôn giáo.
- Chủng tộc, dân tộc và giới tính.
- Dữ liệu web như địa chỉ IP và dữ liệu cookie của bạn
Miễn là doanh nghiệp của bạn lưu trữ bất kỳ dữ liệu nào nói trên của công dân EU, trang web của bạn cần phải tuân thủ GDPR. Hãy nhớ rằng điều này áp dụng ngay cả khi bạn không hiện diện trong biên giới Liên minh Châu Âu.
Các bước bắt buộc để tuân thủ GDPR
Khi đọc về trách nhiệm của mình với tư cách là chủ sở hữu trang web, bạn có thể cảm thấy choáng ngợp và quyết định việc chặn tất cả lưu lượng truy cập đến EU sẽ dễ dàng hơn. Đừng để GDPR làm bạn nản lòng. Dưới đây là các bước chính bạn cần thực hiện để tuân thủ GDPR.
1. Cải thiện Chính sách quyền riêng tư của bạn
Hãy minh bạch trong việc thu thập, lưu trữ và chia sẻ dữ liệu. Trang web của bạn phải có chính sách bảo mật chi tiết giải thích rõ ràng các phương pháp thu thập dữ liệu, bảo vệ dữ liệu, sử dụng cookie và chia sẻ dữ liệu. Một chính sách bảo mật tốt ít nhất phải bao gồm các điểm sau:
- Bạn không bán dữ liệu riêng tư của người dùng.
- Bạn không chia sẻ dữ liệu riêng tư trừ khi luật pháp bắt buộc bạn.
- Các loại dữ liệu bạn thu thập.
- Lý do bạn thu thập dữ liệu và cách bạn sử dụng dữ liệu đó.
- Cách bạn bảo vệ dữ liệu người dùng.
- Của bạn như thế nào plugins thu thập và sử dụng dữ liệu.
Hãy rõ ràng nhất có thể bằng cách sử dụng ngôn ngữ đơn giản, không có chỗ để giải thích và bạn sẽ có chính sách bảo mật minh bạch rõ ràng.
2. Tạo thông báo thu thập cookie
Theo GDPR, cookie được tính là dữ liệu cá nhân, vì vậy bạn cần phải xin phép người dùng trước khi sử dụng dữ liệu cookie. Đặt thông báo thu thập cookie rõ ràng trên trang web của bạn và đảm bảo bạn cho phép người dùng truy cập vào trang web của mình ngay cả khi họ không đồng ý. Người dùng của bạn cũng phải có cách dễ dàng để rút lại sự đồng ý của họ bất kỳ lúc nào.
3. Hiển thị thông báo trên tất cả các biểu mẫu trang web
Thông lệ tiêu chuẩn là thu thập một số dữ liệu người dùng thông qua nhiều loại biểu mẫu gửi khác nhau. Nếu bạn muốn tiếp tục thu thập địa chỉ email và các chi tiết khác, hãy đăng thông báo thu thập dữ liệu. Không thu thập bất kỳ dữ liệu nào trước thời điểm đó và không có sự thừa nhận của người dùng. Nếu không, doanh nghiệp của bạn có thể bị phạt nặng vì vi phạm GDPR.
Hãy rõ ràng nhất có thể với cách diễn đạt của bạn và cung cấp tất cả các chi tiết quan trọng về việc thu thập dữ liệu. Bạn cũng nên tránh sử dụng các hộp đánh dấu được chọn trước. Người dùng cần hiểu rằng việc thu thập dữ liệu là tùy chọn và cần có sự đồng ý của họ.
4. Đảm bảo tất cả Plugins Có tuân thủ GDPR không
Nếu bạn đang sử dụng bên thứ ba plugins thu thập dữ liệu, như Google Analytics, bạn cần đặt dữ liệu ở chế độ ẩn danh. Việc này có thể khó thực hiện theo cách thủ công nhưng bạn có thể tìm thấy các sản phẩm tuân thủ GDPR plugins xử lý quá trình này cho bạn. Chỉ cần tìm kiếm một công cụ có cài đặt tuân thủ GDPR.
5. Sử dụng tính năng Chọn tham gia kép
GDPR không bắt buộc phải chọn tham gia kép nhưng bạn nên sử dụng chúng. Chọn tham gia kép có nghĩa là bạn yêu cầu người dùng hai lần xác nhận rằng họ đồng ý thu thập dữ liệu. Điều này đặc biệt quan trọng đối với việc đăng ký danh sách email.
Để thêm tính năng chọn tham gia kép, trước tiên bạn cần yêu cầu sự đồng ý thông qua biểu mẫu đăng ký của trang web. Sau đó, người dùng phải đồng ý lần thứ hai bằng cách nhấp vào liên kết họ nhận được qua email.
Việc sử dụng tính năng chọn tham gia kép cho thấy rằng bạn luôn quan tâm đến việc bảo vệ dữ liệu và quyền riêng tư, đồng thời, điều này cũng cung cấp cho chính quyền thêm bằng chứng rằng trang web của bạn tuân thủ GDPR.
6. Thêm liên kết hủy đăng ký
Bao gồm các liên kết hủy đăng ký dễ đọc trong mọi thông tin liên lạc bạn gửi cho người đăng ký của mình. Việc hủy đăng ký khỏi danh sách gửi thư của bạn sẽ là một quá trình dễ dàng và ngay lập tức.
7. Xóa dữ liệu cá nhân theo yêu cầu
GDPR cung cấp cho người dùng quyền được lãng quên. Điều này có nghĩa là họ có thể yêu cầu xóa dữ liệu của mình mọi lúc. Luôn làm theo yêu cầu. Điều này bao gồm xóa người dùng của bạn khỏi danh sách gửi thư, xóa tài khoản của họ và xóa mọi thông tin cá nhân mà bạn có về họ. Ngay cả các bài đăng trên blog và nhận xét trên diễn đàn cũng được tính là dữ liệu cá nhân và cần được xóa nếu được yêu cầu.
8. Đừng mua danh sách gửi thư
Bạn không nên mua danh sách gửi thư vì bạn có thể vi phạm GDPR. Trong hầu hết các trường hợp, bạn không thể chắc chắn liệu những địa chỉ email đó có được thu thập với sự đồng ý của người dùng hay không.
Điều đó có nghĩa là nếu bạn vẫn quyết tâm mua một danh sách gửi thư, hãy đảm bảo ít nhất bạn bao gồm các liên kết hủy đăng ký trong mỗi email bạn gửi.
Tuân thủ GDPR là điều đáng giá
Mở trang web và doanh nghiệp của bạn cho công dân EU bằng cách làm theo tất cả các bước trên. Việc tuân thủ GDPR lúc đầu nghe có vẻ khó khăn nhưng không khó đến thế. Nó chủ yếu liên quan đến việc minh bạch về việc thu thập dữ liệu và yêu cầu sự đồng ý. Như một phần thưởng, người dùng ngoài EU sẽ thấy rằng doanh nghiệp của bạn quan tâm đến quyền riêng tư và bảo vệ dữ liệu và họ sẽ có nhiều khả năng tin tưởng bạn hơn.
