Quy định chung về bảo vệ dữ liệu (GDPR) có ảnh hưởng đến doanh nghiệp nhỏ của bạn không?

Bạn có nhớ mình đã ở đâu vào ngày 25/5/2018 không? Không? Đó là ngày Quy định chung về bảo vệ dữ liệu (GDPR) có hiệu lực. Đó là một ngày làm việc bình thường, và bầu trời không sụp đổ, như nhiều người dự đoán. Thật vậy, công việc vẫn tiếp tục như bình thường và tất cả các doanh nghiệp đều bước vào thời kỳ hậu GDPR. Một số đã được chuẩn bị, những người khác thì không, và nhiều người đã và vẫn chưa biết GDPR là gì hoặc cách tuân thủ.

Nếu bạn có khách hàng tiềm năng hoặc khách hàng ở Liên minh Châu Âu (EU), bạn cần tự làm quen với GDPR.

Hãy suy nghĩ xem bạn có muốn mạo hiểm không tuân thủ GDPR và / hoặc phát triển một kế hoạch để thích ứng hay không. Để giúp bạn quyết định cách tiếp cận của mình trong tương lai, hãy xem xét những điều sau:

  1. GDPR áp dụng cho tất cả các tổ chức (ngay cả khi bạn là chủ sở hữu duy nhất), lớn, vừa và nhỏ, bất kể lĩnh vực hoặc ngành. Nếu bạn có bất kỳ hoạt động kinh doanh hoặc hoạt động tiếp thị nào ở Liên minh Châu Âu, thì luật pháp yêu cầu bạn phải tuân thủ.
  2. Nếu bạn không có khách hàng ở Liên minh Châu Âu, nhưng bạn xử lý thông tin cho một công ty có khách hàng đó, thì GDPR vẫn áp dụng cho bạn.
  3. Quy định không nhằm làm khổ doanh nghiệp. Trên thực tế, luật được cho là cung cấp cho công dân và cư dân quyền kiểm soát nhiều hơn đối với dữ liệu cá nhân của họ và đơn giản hóa các quy định cho các doanh nghiệp quốc tế với một tiêu chuẩn duy nhất trên toàn EU. Hiện tại, nhiều người trong chúng ta cảm thấy choáng ngợp, những người chưa từng được yêu cầu hoạt động theo cách cụ thể này.

Các bước để trở thành Tuân thủ

Trở thành tuân thủ GDPR không phải là một nhiệm vụ khó khăn. Nhưng nếu bạn là một doanh nghiệp nhỏ, nó có thể mất rất nhiều thời gian. Lời khuyên của tôi là tạo ra một kế hoạch để trở nên tuân thủ và thực hiện nó theo thời gian. Dưới đây là những gì bạn nên bao gồm:

1. Bạn thu thập dữ liệu gì?

Bạn cần hiểu rằng dữ liệu cá nhân theo GDPR có nghĩa là tên, địa chỉ, địa chỉ email, chi tiết ngân hàng hoặc thẻ tín dụng, ảnh và thậm chí cả địa chỉ IP. Nếu bạn thu thập thông tin về những người truy cập vào trang web của mình trỏ trực tiếp đến một người dùng cụ thể (ví dụ:thông tin sức khỏe, quan điểm tôn giáo, tư cách thành viên công đoàn hoặc thậm chí tình trạng hôn nhân cho các mục đích liên quan đến bảo hiểm) thì đó được coi là dữ liệu nhạy cảm. Dữ liệu nhạy cảm yêu cầu sự quản lý khác biệt và quan trọng hơn chỉ là dữ liệu cá nhân.

2. Bạn có lý do hợp lệ hoặc đồng ý để thu thập dữ liệu đó không?

GDPR không ngăn bạn thu thập hoặc lưu giữ dữ liệu cá nhân. Nó yêu cầu bạn phải có lý do chính đáng để làm như vậy hoặc bạn phải được người dùng đồng ý trước khi thu thập. Lý do chính đáng có thể là duy trì mối quan hệ hợp đồng hoặc tạo khả năng cung cấp dịch vụ hoặc tiếp thị các sản phẩm liên quan cho khách hàng trong tương lai. Nếu bạn không thể tạo liên kết đó, hãy tìm cách lấy sự đồng ý từ người dùng cho các mục đích rất cụ thể và ghi lại sự đồng ý đó.

3. Các biện pháp hoặc chính sách bảo mật của bạn là gì?

Ngay cả khi là một doanh nghiệp nhỏ, bạn cũng cần suy nghĩ về khách hàng tiềm năng và dữ liệu khách hàng của mình. Bạn sẽ bảo vệ nó như thế nào? Bạn có thể thông báo cho các cá nhân và cơ quan chức năng trong vòng 72 giờ nếu dữ liệu của họ bị vi phạm không?

4. Bạn sẽ cấp cho khách hàng tiềm năng / khách hàng quyền truy cập vào dữ liệu của họ như thế nào?

GDPR cho biết cụ thể rằng người dùng sở hữu dữ liệu về họ. Hãy nghĩ xem bạn có thể cấp cho người dùng quyền truy cập thông tin của họ trong khung thời gian một tháng không? Người dùng có quyền truy cập vào dữ liệu của họ, sửa nếu nó sai và yêu cầu bạn xóa nó nếu họ không muốn bạn giữ nó nữa. Trong một số trường hợp, bạn có thể được gia hạn thêm một tháng. Việc gia hạn chỉ tối đa 90 ngày và phải thuộc trường hợp đặc biệt và hợp lý.

5. Bạn có cần phải có DPO không?

DPO là Nhân viên bảo vệ dữ liệu. Hầu hết các doanh nghiệp nhỏ không cần, nhưng GDPR yêu cầu bạn phải có nếu các hoạt động cốt lõi của bạn yêu cầu giám sát thường xuyên và có hệ thống các cá nhân ở quy mô lớn; các hoạt động cốt lõi của bạn bao gồm xử lý dữ liệu đặc biệt hoặc thông tin về án hình sự. Nếu bạn là một doanh nghiệp rất nhỏ và không xử lý lượng lớn dữ liệu, thì bạn không cần phải có DPO.

6. Thông báo của bạn nói gì?

Hãy xem lại chính sách bảo mật và điều khoản sử dụng cho các sản phẩm và dịch vụ kỹ thuật số của bạn (bao gồm cả trang web của bạn.) Hy vọng rằng bạn đã có những điều khoản này; nếu không, đây là lúc để sắp xếp những thứ đó. Với GDPR, bạn sẽ muốn sửa đổi các thông báo để giải thích bằng ngôn ngữ đơn giản về cách thông tin người dùng được thu thập, quản lý và sử dụng.

7. Đối tác của bạn đang làm gì?

Để tuân thủ GDPR, bạn cần đảm bảo rằng các đối tác của mình cũng tuân thủ GDPR. Đối với các doanh nghiệp nhỏ, đây có thể là một khoản đầu tư thời gian. Nếu bạn sử dụng phần mềm hoặc dịch vụ dựa trên đám mây, rất có thể họ đã có quan điểm về GDPR và thậm chí có thể đã sửa đổi thỏa thuận của bạn để phản ánh sự tuân thủ của tổ chức cung cấp. Trước tiên, hãy liên hệ để kiểm tra điều này và nếu đối tác của bạn không làm như vậy, thì hãy cân nhắc việc viết một thỏa thuận mới bao gồm yêu cầu tuân thủ GDPR.

8. Bạn lưu trữ hoặc xử lý dữ liệu ở đâu?

Đối với một công ty nhỏ kinh doanh với các công ty ở EU, vấn đề lớn nhất xảy ra xung quanh việc chuyển dữ liệu vào Hoa Kỳ. Rất tiếc, Liên minh Châu Âu không coi Hoa Kỳ có các biện pháp kiểm soát an ninh đầy đủ để bảo vệ quyền trực tuyến của một người dùng cá nhân. Tin tốt là nếu bạn là một doanh nghiệp nhỏ, bạn có thể sử dụng các dịch vụ trên đám mây và nhiều dịch vụ trong số đó đã tuân thủ GDPR. Đối với những người chưa có, việc chuyển dịch vụ lưu trữ hoặc lưu trữ của bạn sang một giải pháp đám mây dựa trên Liên minh Châu Âu có thể rất hợp lý. Nếu không, bạn sẽ cần thực hiện các bước để đảm bảo rằng dữ liệu người dùng ở Liên minh Châu Âu được mã hóa, chuyển và lưu trữ ở mức độ bảo mật cao hơn và bạn đã xác thực mức độ tuân thủ đó.

Chuyển đến phần hay của GDPR!

GDPR chắc chắn có thể gây khó khăn và đáng sợ đối với một doanh nghiệp nhỏ (bao gồm cả tôi!). Với các quy tắc bảo vệ dữ liệu mới được áp dụng, doanh nghiệp của bạn có thể bị phạt tới 2% doanh thu hàng năm hoặc 10 triệu euro (khoảng 11,6 triệu đô la), tùy theo mức nào cao hơn. Đối với vi phạm dữ liệu cá nhân, con số này tăng lên 4% doanh thu hoặc 20 triệu euro (23 triệu đô la Mỹ). Nhưng cũng có lợi thế cạnh tranh trong việc thích ứng với GDPR!

Mặc dù tất cả chúng ta đều dễ dàng coi GDPR là gánh nặng, nhưng đó là thứ có thể được sử dụng để mang lại lợi ích cho bạn, tăng thêm giá trị cho doanh nghiệp của bạn. Khi bạn cung cấp cho khách hàng tiềm năng một doanh nghiệp tuân thủ GDPR, bạn đã tạo dựng được lòng tin. Và trên thực tế, không ai thích việc dữ liệu của họ bị mất, bị đánh cắp, bị hư hỏng, bị sử dụng sai mục đích hoặc bị chia sẻ mà không có sự đồng ý thích hợp. Biết rằng bạn tuân thủ GDPR, có nghĩa là bạn tôn trọng và bảo vệ dữ liệu của khách hàng cũng như thể hiện giá trị cao hơn cho khách hàng của mình. Điều này sẽ được đánh giá cao và được đền đáp ngay bây giờ, cũng như sau này.


Việc kinh doanh
  1. Kế toán
  2.   
  3. Chiến lược kinh doanh
  4.   
  5. Việc kinh doanh
  6.   
  7. Quản trị quan hệ khách hàng
  8.   
  9. tài chính
  10.   
  11. Quản lý chứng khoán
  12.   
  13. Tài chính cá nhân
  14.   
  15. đầu tư
  16.   
  17. Tài chính doanh nghiệp
  18.   
  19. ngân sách
  20.   
  21. Tiết kiệm
  22.   
  23. bảo hiểm
  24.   
  25. món nợ
  26.   
  27. về hưu