Các quy định mới về quyền riêng tư của Liên minh Châu Âu có hiệu lực vào ngày 25 tháng 5 năm 2018. Quy định chung về bảo vệ dữ liệu (GDPR) có phạm vi rộng hơn, hình phạt cao hơn và áp dụng cho nhiều doanh nghiệp hơn. so với luật về quyền riêng tư trước đây. Ít nhất, các doanh nghiệp thương mại điện tử ở Hoa Kỳ và trên toàn thế giới nên hiểu tác động của GDPR và các rủi ro của việc không tuân thủ.
GDPR áp dụng cho dữ liệu có thể được sử dụng để xác định các cá nhân trong Liên minh Châu Âu (bao gồm cả những người không phải là công dân EU). Dữ liệu không được đề cập trong các quy định về quyền riêng tư trước đây, bao gồm cả địa chỉ IP, giờ đây thuộc loại thông tin nhận dạng cá nhân (PII).
“Một người có thể được xác định từ các thông tin như tên, số ID, dữ liệu vị trí, số nhận dạng trực tuyến hoặc các yếu tố khác cụ thể về thể chất, sinh lý, di truyền, tâm thần, kinh tế, văn hóa hoặc xã hội của người đó. Điều này thậm chí còn bao gồm địa chỉ IP, chuỗi cookie, bài đăng trên mạng xã hội, danh bạ trực tuyến và ID thiết bị di động ”.
Các hình phạt cho việc không tuân thủ GDPR là rất nghiêm trọng và bao gồm tiền phạt lên đến € 20.000.000 hoặc 4% doanh thu toàn cầu, tùy thuộc vào mức độ nghiêm trọng. Theo luật, các cơ quan bảo vệ dữ liệu được trao quyền bao gồm hành động khắc phục hậu quả, chẳng hạn như hạn chế thu thập dữ liệu và thậm chí cấm hoàn toàn việc xử lý dữ liệu. chuyển dữ liệu sang các quốc gia khác.
Nhà cung cấp thương mại điện tử thu thập và xử lý dữ liệu theo thông tin này để thực hiện, xử lý thanh toán, tiếp thị, phân tích và các mục đích khác.
GDPR áp dụng cho tất cả các doanh nghiệp thu thập hoặc xử lý dữ liệu cá nhân từ bên trong Liên minh Châu Âu, bao gồm cả các doanh nghiệp Hoa Kỳ, điều này chúng ta sẽ thảo luận sâu hơn trong phần sau của bài viết. đây.
Nếu bạn không chắc chắn về GDPR cho dù nó có áp dụng cho doanh nghiệp của bạn hay không, bạn có thể muốn tìm kiếm lời khuyên pháp lý. Bài viết này là một hướng dẫn chung, không phải là lời khuyên pháp lý.
Doanh nghiệp nào cần tuân thủ GDPR?
Một doanh nghiệp không được bao gồm trong GDPR đơn giản vì trang web của doanh nghiệp đó có thể được xem ở Liên minh Châu Âu. Nhưng nếu một doanh nghiệp bán hàng đặc biệt tiếp thị và bán cho những người ở EU, thì doanh nghiệp đó phải tuân thủ các yêu cầu của GDPR.
GDPR áp dụng cho “bộ xử lý” và “bộ kiểm soát” dữ liệu cá nhân. Kiểm soát viên là một cá nhân hoặc tổ chức thu thập thông tin cá nhân và quyết định những gì được thực hiện với thông tin đó. Người bán thương mại điện tử có khả năng thuộc định nghĩa của người kiểm soát. Họ thu thập dữ liệu để bán và tiếp thị sản phẩm. Bộ xử lý dữ liệu thay mặt cho bên thứ ba.
Ví dụ: nhà cung cấp dịch vụ thanh toán sử dụng dữ liệu được thu thập bởi người bán Thương mại điện tử (người kiểm soát) sẽ được coi là người xử lý.
Theo GDPR, người kiểm soát có thể chịu trách nhiệm về các hành động của người xử lý và dự kiến sẽ có các hợp đồng và thỏa thuận thuê ngoài để điều chỉnh việc sử dụng dữ liệu cá nhân. Người kiểm soát không thể chuyển các nghĩa vụ của họ theo GDPR cho người xử lý bằng cách thuê ngoài.
GDPR yêu cầu những gì?
GDPR là một tài liệu lớn và phức tạp, nhưng trong bài viết này chúng tôi chỉ có thể đề cập đến một số tài liệu. Để thu thập và xử lý thông tin nhận dạng cá nhân, người bán thương mại điện tử phải có cơ sở pháp lý theo GDPR. Có một số lý do cho việc sử dụng PII, bao gồm cả việc tuân thủ nghĩa vụ pháp lý hoặc hợp đồng, nhưng lý do phù hợp nhất đối với người bán thương mại điện tử là sự tiện lợi.
Điều gì được coi là đồng thuận được xác định chặt chẽ hơn các quy định hiện hành về quyền riêng tư của Hoa Kỳ và Liên minh Châu Âu. Thỏa thuận phải được đưa ra một cách tự do, cụ thể, được thông báo và chỉ rõ mong muốn của chủ thể. Thỏa thuận phải được thực hiện rõ ràng. Không nên có thỏa thuận với các điều khoản hoặc điều kiện sử dụng.
Quyền chủ thể
GDPR cũng cấp cho chủ thể dữ liệu quyền kiểm soát dữ liệu nhận dạng cá nhân của họ. Quyền của chủ thể dữ liệu đặt ra các nghĩa vụ đối với người kiểm soát và xử lý dữ liệu, vì vậy đây là phần quan trọng nhất của GDPR mà người bán phải hiểu.
Khách hàng có quyền truy cập thông tin nhận dạng cá nhân mà người bán lưu trữ và xử lý.
-
Quyền xóa và chỉnh sửa.
Khách hàng có thể yêu cầu xóa dữ liệu của họ và người bán phải tuân thủ trong vòng một tháng. Quyền chỉnh sửa cho phép khách hàng yêu cầu sửa dữ liệu không chính xác. Cả hai quyền này đều có quyền từ bỏ, nhưng người bán thương mại điện tử phải có hệ thống và giao diện phù hợp để họ có thể xử lý yêu cầu một cách hiệu quả.
-
Dễ dàng chuyển đổi dữ liệu.
Khách hàng có quyền sử dụng thông tin nhận dạng cá nhân do một doanh nghiệp thu thập cho các mục đích riêng của họ, bao gồm cả việc cung cấp thông tin đó cho một doanh nghiệp khác. Dữ liệu phải được trình bày ở định dạng có cấu trúc, được sử dụng phổ biến và máy có thể đọc được.
Các vi phạm dữ liệu phải được tiết lộ cho các khách hàng có liên quan trong vòng 72 giờ kể từ khi người bán biết về vi phạm.
Cách hiệu quả nhất để xử lý quyền PII theo GDPR là cung cấp các biểu mẫu để khách hàng có thể đưa ra yêu cầu và hệ thống có thể thu thập dữ liệu cần thiết ở định dạng bắt buộc. Có các plugin WordPress để giúp người dùng WooCommerce tuân thủ GDPR, nhưng không nên dựa vào chúng để cung cấp sự tuân thủ đầy đủ.
GDPR và người bán tại Hoa Kỳ
Giống Hostvn đã đề cập trước đó, những người bán Thương mại điện tử có trụ sở tại Hoa Kỳ có thể tự hỏi liệu luật của EU có áp đặt bất kỳ nghĩa vụ nào đối với họ hay không. Nếu bạn không nhắm mục tiêu đến khách hàng EU, thì bạn có thể bỏ qua GDPR. Nhưng nếu bạn bán hàng ở Liên minh Châu Âu hoặc xử lý PII của công dân Liên minh Châu Âu vì những lý do khác, bạn nên cân nhắc chi phí tuân thủ và chi phí tiềm ẩn của việc không tuân thủ.
Nếu doanh nghiệp của bạn có trụ sở tại Liên minh Châu Âu, các cơ quan quản lý của Liên minh Châu Âu có thể xử phạt bạn trực tiếp. Điều này cũng có thể xảy ra nếu doanh nghiệp lưu trữ và xử lý dữ liệu trong một trung tâm dữ liệu có trụ sở tại Liên minh Châu Âu. Đây không chỉ là một rủi ro về mặt lý thuyết: các nước thành viên EU đã ráo riết truy lùng các công ty Mỹ vì các vấn đề về quyền riêng tư và trước những tiết lộ gần đây của Facebook, họ có thể sẽ quyết liệt hơn trong các hành động của mình. Tương lai.
Theo GDPR, các doanh nghiệp không có sự hiện diện thực tế ở Liên minh châu Âu thường xuyên xử lý dữ liệu cá nhân nằm trong GDPR phải chỉ định một đại diện ở Liên minh châu Âu có thể xử lý thông tin liên quan. Quan thoại.
Làm thế nào EU có thể trừng phạt các doanh nghiệp có trụ sở tại Hoa Kỳ mà không có sự hiện diện thực tế tại EU? Tại thời điểm viết bài, vẫn chưa rõ cơ chế nào sẽ được sử dụng, nhưng luật pháp quốc tế, các thỏa thuận và hiệp ước về quyền riêng tư có đi có lại có thể khiến EU có thể trừng phạt các doanh nghiệp Mỹ thông qua các tổ chức của Mỹ như FTC.
“Do GDPR không có hiệu lực, nên không rõ một quốc gia thành viên EU sẽ tận dụng hiệp ước quốc tế với Hoa Kỳ hoặc thỏa thuận với FTC ở mức độ nào để thực thi quy tắc của mình đối với một công ty chỉ có trụ sở tại Hoa Kỳ không có đại diện được chỉ định tại EU, nhưng rõ ràng họ đang đòi quyền làm như vậy. “
Nói tóm lại, người bán ở Mỹ sẽ phải xem điều gì xảy ra, nhưng có một rủi ro cố hữu khi bỏ qua GDPR. Để cập nhật thông tin GDPR mới nhất, hãy theo dõi chúng tôi trên Trang của chúng tôi: https://www.facebook.com/hostvn.net