Các quy định mới về quyền riêng tư của EU có hiệu lực vào ngày 25 tháng 5 năm 2018. Quy định chung về bảo vệ dữ liệu (GDPR) có phạm vi rộng hơn, hình phạt cao hơn và áp dụng cho nhiều doanh nghiệp hơn so với luật bảo mật trước đây. Ít nhất, các doanh nghiệp thương mại điện tử ở Hoa Kỳ và trên toàn thế giới nên hiểu tác động của GDPR và rủi ro của việc không tuân thủ.
GDPR áp dụng cho dữ liệu có thể được sử dụng để xác định các cá nhân trong Liên minh Châu Âu (bao gồm cả những người không phải là công dân Liên minh Châu Âu). Dữ liệu không được đề cập trong các quy định về quyền riêng tư trước đây, bao gồm cả địa chỉ IP, giờ đây thuộc loại thông tin nhận dạng cá nhân (PII).
“Một người có thể được nhận dạng từ các thông tin như tên, số ID, dữ liệu vị trí, mã định danh trực tuyến hoặc các yếu tố khác cụ thể về thể chất, sinh lý, di truyền, tâm thần, kinh tế, văn hóa hoặc xã hội của người đó. Điều này thậm chí còn bao gồm địa chỉ IP, chuỗi cookie, bài đăng trên mạng xã hội, danh bạ trực tuyến và ID thiết bị di động ”.
Tác động của GDPR và rủi ro của việc không tuân thủ
Các hình phạt đối với việc không tuân thủ GDPR rất nặng và bao gồm tiền phạt lên đến 20.000.000 euro hoặc 4% doanh thu toàn cầu, tùy theo mức độ. Theo luật, các cơ quan bảo vệ dữ liệu được trao quyền bao gồm việc áp dụng các hành động khắc phục, chẳng hạn như giới hạn đối với hoạt động thu thập dữ liệu và thậm chí là cấm hoàn toàn việc xử lý dữ liệu hoặc chuyển dữ liệu sang các quốc gia khác.
Các nhà bán hàng thương mại điện tử thu thập và xử lý dữ liệu theo thông tin này để thực hiện, xử lý thanh toán, tiếp thị, phân tích và các mục đích khác.
GDPR áp dụng cho tất cả các doanh nghiệp thu thập hoặc xử lý dữ liệu cá nhân từ bên trong Liên minh Châu Âu, bao gồm cả các doanh nghiệp Hoa Kỳ, điều mà chúng ta sẽ thảo luận sâu hơn ở phần sau của bài viết này.
Nếu bạn không chắc chắn về việc GDPR có áp dụng cho doanh nghiệp của mình hay không, bạn có thể muốn tìm kiếm lời khuyên pháp lý. Bài viết này là một hướng dẫn chung, không phải là lời khuyên pháp lý.
Doanh nghiệp nào cần tuân thủ GDPR?
Một doanh nghiệp không nằm trong GDPR chỉ vì trang web của doanh nghiệp đó có thể được xem ở Liên minh Châu Âu. Nhưng nếu một doanh nghiệp bán hàng tiếp thị cụ thể và bán cho những người ở EU, thì doanh nghiệp đó phải tuân thủ các yêu cầu của GDPR.
Doanh nghiệp nào cần tuân thủ GDPR?
GDPR áp dụng cho “bộ xử lý” và “bộ kiểm soát” dữ liệu cá nhân. Kiểm soát viên là một cá nhân hoặc tổ chức thu thập thông tin cá nhân và quyết định những gì được thực hiện với thông tin đó. Các nhà bán hàng thương mại điện tử có khả năng nằm dưới định nghĩa của một người kiểm soát. Họ thu thập dữ liệu để bán và tiếp thị sản phẩm. Bộ xử lý dữ liệu thay mặt cho bên thứ ba.
Ví dụ: một nhà cung cấp dịch vụ thanh toán sử dụng dữ liệu được thu thập bởi người bán Thương mại điện tử (người kiểm soát) sẽ được coi là người xử lý.
Theo GDPR, người kiểm soát có thể chịu trách nhiệm về hành động của người xử lý và dự kiến sẽ có hợp đồng và thỏa thuận thuê ngoài để chi phối việc sử dụng dữ liệu cá nhân. Người kiểm soát không thể chuyển nghĩa vụ của họ theo GDPR sang người xử lý bằng cách thuê ngoài.
GDPR yêu cầu gì?
GDPR là một tài liệu lớn và phức tạp nhưng trong bài viết này chúng tôi chỉ có thể đề cập đến một số vấn đề. Để thu thập và xử lý thông tin nhận dạng cá nhân, người bán hàng thương mại điện tử phải có cơ sở pháp lý theo GDPR. Có một số cơ sở biện minh cho việc sử dụng PII, bao gồm việc tuân thủ nghĩa vụ pháp lý hoặc hợp đồng nhưng cơ sở thích hợp nhất cho các nhà bán hàng thương mại điện tử là sự thoải thuận.
GDPR là một tài liệu lớn và phức tạp
Những gì được coi là sự thoải thuận được xác định nghiêm ngặt hơn so với các quy định hiện hành về quyền riêng tư của Hoa Kỳ và Liên minh Châu Âu. Thoải thuận phải được đưa ra một cách tự do, cụ thể, được thông báo và một dấu hiệu rõ ràng về mong muốn của đối tượng. Thoải thuận phải được đưa ra một cách rõ ràng. Không nên đi kèm thỏa thuận với các điều khoản hoặc điều kiện sử dụng.
Quyền chủ thể
GDPR cũng cấp cho chủ thể dữ liệu quyền kiểm soát dữ liệu nhận dạng cá nhân họ. Quyền của chủ thể dữ liệu đặt ra các nghĩa vụ đối với người kiểm soát và xử lý dữ liệu, do đó, đây là phần quan trọng nhất của GDPR mà các nhà bán hàng phải hiểu.
-
Quyền truy cập
Khách hàng có quyền truy cập thông tin nhận dạng cá nhân mà các nhà bán hàng lưu trữ và xử lý.
-
Quyền xóa và chỉnh sửa.
Khách hàng có thể yêu cầu xóa dữ liệu của họ và các nhà bán hàng nên tuân thủ trong vòng một tháng. Quyền chỉnh sửa cho phép khách hàng yêu cầu sửa dữ liệu không chính xác. Cả hai quyền này đều có các quyền miễn trừ nhưng người bán thương mại điện tử phải có hệ thống và giao diện phù hợp để họ có thể xử lý các yêu cầu một cách hiệu quả.
-
Dễ dàng chuyển đổi các dữ liệu.
Khách hàng có quyền sử dụng thông tin nhận dạng cá nhân do một doanh nghiệp thu thập cho các mục đích riêng của họ, kể cả việc cung cấp thông tin đó cho một doanh nghiệp khác. Dữ liệu phải được trình bày ở định dạng có cấu trúc, được sử dụng phổ biến và máy có thể đọc được.
-
Thông báo vi phạm.
Các vi phạm dữ liệu phải được tiết lộ cho các khách hàng có liên quan trong vòng 72 giờ kể từ khi nhà bán hàng biết được vi phạm.
Thông báo vi phạm trong 72h
Cách hiệu quả nhất để xử lý quyền PII theo GDPR là cung cấp các biểu mẫu để khách hàng có thể đưa ra yêu cầu và hệ thống có thể thu thập dữ liệu cần thiết ở định dạng bắt buộc. Có các plugin WordPress để giúp người dùng WooCommerce tuân thủ GDPR, nhưng không nên dựa vào chúng để cung cấp sự tuân thủ đầy đủ.
GDPR và các nhà bán hàng có trụ sở tại Hoa Kỳ
Như Hostvn đã đề cập trước đó, các nhà bán hàng Thương mại điện tử có trụ sở tại Hoa Kỳ có thể tự hỏi liệu luật pháp EU có áp đặt bất kỳ nghĩa vụ nào đối với họ hay không. Nếu bạn không nhắm mục tiêu đến khách hàng EU, thì bạn có thể bỏ qua GDPR. Nhưng nếu bạn bán hàng ở EU hoặc xử lý PII của công dân EU vì những lý do khác, bạn nên xem xét chi phí tuân thủ và chi phí tiềm năng của việc không tuân thủ.
Nếu doanh nghiệp của bạn có trụ sở tại Liên minh Châu Âu, thì các cơ quan quản lý của Liên minh Châu Âu có thể trực tiếp xử phạt bạn. Điều này cũng có thể xảy ra nếu doanh nghiệp lưu trữ và xử lý dữ liệu trong một trung tâm dữ liệu có trụ sở tại Liên minh Châu Âu. Đây không chỉ là rủi ro trên lý thuyết: các quốc gia thành viên EU đã ráo riết theo đuổi các công ty Mỹ vì các vấn đề quyền riêng tư và trước những tiết lộ gần đây về Facebook, họ có thể sẽ quyết liệt hơn trong tương lai.
Bạn nên xem xét chi phí tuân thủ và chi phí tiềm năng của việc không tuân thủ
Theo GDPR, các doanh nghiệp không có sự hiện diện thực tế ở Liên minh Châu Âu thường xuyên xử lý dữ liệu cá nhân nằm trong GDPR được yêu cầu chỉ định một đại diện ở Liên minh Châu Âu có thể giải quyết các thông tin liên quan.
Làm thế nào EU có thể phạt các doanh nghiệp có trụ sở tại Hoa Kỳ mà không có sự hiện diện thực tế tại EU? Tại thời điểm viết bài, vẫn chưa rõ cơ chế nào sẽ được sử dụng, nhưng luật pháp quốc tế, các thỏa thuận quyền riêng tư có đi có lại và các hiệp ước có thể giúp EU có thể trừng phạt các doanh nghiệp Mỹ thông qua các tổ chức của Mỹ như FTC.
“Do GDPR không có hiệu lực nên không rõ một quốc gia thành viên EU sẽ tận dụng một hiệp ước quốc tế với Hoa Kỳ hoặc một thỏa thuận với FTC ở mức độ nào để thực thi quy định của mình đối với một công ty chỉ đặt trụ sở tại Hoa Kỳ mà không có đại diện được chỉ định ở EU, nhưng họ rõ ràng đang đòi quyền làm như vậy”.
Tóm lại, các nhà bán hàng Hoa Kỳ sẽ phải xem điều gì xảy ra, nhưng có rủi ro cố hữu khi bỏ qua GDPR. Để cập nhật các thông tin mới nhất của GDPR, bạn hãy follow chúng tôi trên Page: https://www.facebook.com/hostvn.net
