Bạn có nhớ mình đã ở đâu vào ngày 25/5/2018 không? Không? Đó là ngày Quy định chung về bảo vệ dữ liệu (GDPR) có hiệu lực. Đó là một ngày làm việc bình thường, và bầu trời không sụp đổ, như nhiều người dự đoán. Thật vậy, công việc vẫn tiếp tục như bình thường và tất cả các doanh nghiệp đều bước vào thời kỳ hậu GDPR. Một số đã được chuẩn bị, những người khác thì không, và nhiều người đã và vẫn chưa biết GDPR là gì hoặc cách tuân thủ.
Hãy suy nghĩ xem bạn có muốn mạo hiểm không tuân thủ GDPR và / hoặc phát triển một kế hoạch để thích ứng hay không. Để giúp bạn quyết định cách tiếp cận của mình trong tương lai, hãy xem xét những điều sau:
Trở thành tuân thủ GDPR không phải là một nhiệm vụ khó khăn. Nhưng nếu bạn là một doanh nghiệp nhỏ, nó có thể mất rất nhiều thời gian. Lời khuyên của tôi là tạo ra một kế hoạch để trở nên tuân thủ và thực hiện nó theo thời gian. Dưới đây là những gì bạn nên bao gồm:
Bạn cần hiểu rằng dữ liệu cá nhân theo GDPR có nghĩa là tên, địa chỉ, địa chỉ email, chi tiết ngân hàng hoặc thẻ tín dụng, ảnh và thậm chí cả địa chỉ IP. Nếu bạn thu thập thông tin về những người truy cập vào trang web của mình trỏ trực tiếp đến một người dùng cụ thể (ví dụ:thông tin sức khỏe, quan điểm tôn giáo, tư cách thành viên công đoàn hoặc thậm chí tình trạng hôn nhân cho các mục đích liên quan đến bảo hiểm) thì đó được coi là dữ liệu nhạy cảm. Dữ liệu nhạy cảm yêu cầu sự quản lý khác biệt và quan trọng hơn chỉ là dữ liệu cá nhân.
GDPR không ngăn bạn thu thập hoặc lưu giữ dữ liệu cá nhân. Nó yêu cầu bạn phải có lý do chính đáng để làm như vậy hoặc bạn phải được người dùng đồng ý trước khi thu thập. Lý do chính đáng có thể là duy trì mối quan hệ hợp đồng hoặc tạo khả năng cung cấp dịch vụ hoặc tiếp thị các sản phẩm liên quan cho khách hàng trong tương lai. Nếu bạn không thể tạo liên kết đó, hãy tìm cách lấy sự đồng ý từ người dùng cho các mục đích rất cụ thể và ghi lại sự đồng ý đó.
Ngay cả khi là một doanh nghiệp nhỏ, bạn cũng cần suy nghĩ về khách hàng tiềm năng và dữ liệu khách hàng của mình. Bạn sẽ bảo vệ nó như thế nào? Bạn có thể thông báo cho các cá nhân và cơ quan chức năng trong vòng 72 giờ nếu dữ liệu của họ bị vi phạm không?
GDPR cho biết cụ thể rằng người dùng sở hữu dữ liệu về họ. Hãy nghĩ xem bạn có thể cấp cho người dùng quyền truy cập thông tin của họ trong khung thời gian một tháng không? Người dùng có quyền truy cập vào dữ liệu của họ, sửa nếu nó sai và yêu cầu bạn xóa nó nếu họ không muốn bạn giữ nó nữa. Trong một số trường hợp, bạn có thể được gia hạn thêm một tháng. Việc gia hạn chỉ tối đa 90 ngày và phải thuộc trường hợp đặc biệt và hợp lý.
DPO là Nhân viên bảo vệ dữ liệu. Hầu hết các doanh nghiệp nhỏ không cần, nhưng GDPR yêu cầu bạn phải có nếu các hoạt động cốt lõi của bạn yêu cầu giám sát thường xuyên và có hệ thống các cá nhân ở quy mô lớn; các hoạt động cốt lõi của bạn bao gồm xử lý dữ liệu đặc biệt hoặc thông tin về án hình sự. Nếu bạn là một doanh nghiệp rất nhỏ và không xử lý lượng lớn dữ liệu, thì bạn không cần phải có DPO.
Hãy xem lại chính sách bảo mật và điều khoản sử dụng cho các sản phẩm và dịch vụ kỹ thuật số của bạn (bao gồm cả trang web của bạn.) Hy vọng rằng bạn đã có những điều khoản này; nếu không, đây là lúc để sắp xếp những thứ đó. Với GDPR, bạn sẽ muốn sửa đổi các thông báo để giải thích bằng ngôn ngữ đơn giản về cách thông tin người dùng được thu thập, quản lý và sử dụng.
Để tuân thủ GDPR, bạn cần đảm bảo rằng các đối tác của mình cũng tuân thủ GDPR. Đối với các doanh nghiệp nhỏ, đây có thể là một khoản đầu tư thời gian. Nếu bạn sử dụng phần mềm hoặc dịch vụ dựa trên đám mây, rất có thể họ đã có quan điểm về GDPR và thậm chí có thể đã sửa đổi thỏa thuận của bạn để phản ánh sự tuân thủ của tổ chức cung cấp. Trước tiên, hãy liên hệ để kiểm tra điều này và nếu đối tác của bạn không làm như vậy, thì hãy cân nhắc việc viết một thỏa thuận mới bao gồm yêu cầu tuân thủ GDPR.
Đối với một công ty nhỏ kinh doanh với các công ty ở EU, vấn đề lớn nhất xảy ra xung quanh việc chuyển dữ liệu vào Hoa Kỳ. Rất tiếc, Liên minh Châu Âu không coi Hoa Kỳ có các biện pháp kiểm soát an ninh đầy đủ để bảo vệ quyền trực tuyến của một người dùng cá nhân. Tin tốt là nếu bạn là một doanh nghiệp nhỏ, bạn có thể sử dụng các dịch vụ trên đám mây và nhiều dịch vụ trong số đó đã tuân thủ GDPR. Đối với những người chưa có, việc chuyển dịch vụ lưu trữ hoặc lưu trữ của bạn sang một giải pháp đám mây dựa trên Liên minh Châu Âu có thể rất hợp lý. Nếu không, bạn sẽ cần thực hiện các bước để đảm bảo rằng dữ liệu người dùng ở Liên minh Châu Âu được mã hóa, chuyển và lưu trữ ở mức độ bảo mật cao hơn và bạn đã xác thực mức độ tuân thủ đó.
GDPR chắc chắn có thể gây khó khăn và đáng sợ đối với một doanh nghiệp nhỏ (bao gồm cả tôi!). Với các quy tắc bảo vệ dữ liệu mới được áp dụng, doanh nghiệp của bạn có thể bị phạt tới 2% doanh thu hàng năm hoặc 10 triệu euro (khoảng 11,6 triệu đô la), tùy theo mức nào cao hơn. Đối với vi phạm dữ liệu cá nhân, con số này tăng lên 4% doanh thu hoặc 20 triệu euro (23 triệu đô la Mỹ). Nhưng cũng có lợi thế cạnh tranh trong việc thích ứng với GDPR!
Mặc dù tất cả chúng ta đều dễ dàng coi GDPR là gánh nặng, nhưng đó là thứ có thể được sử dụng để mang lại lợi ích cho bạn, tăng thêm giá trị cho doanh nghiệp của bạn. Khi bạn cung cấp cho khách hàng tiềm năng một doanh nghiệp tuân thủ GDPR, bạn đã tạo dựng được lòng tin. Và trên thực tế, không ai thích việc dữ liệu của họ bị mất, bị đánh cắp, bị hư hỏng, bị sử dụng sai mục đích hoặc bị chia sẻ mà không có sự đồng ý thích hợp. Biết rằng bạn tuân thủ GDPR, có nghĩa là bạn tôn trọng và bảo vệ dữ liệu của khách hàng cũng như thể hiện giá trị cao hơn cho khách hàng của mình. Điều này sẽ được đánh giá cao và được đền đáp ngay bây giờ, cũng như sau này.