Quy định bảo vệ dữ liệu chung (GDPR) là gì?
Quy định bảo vệ dữ liệu chung (GDPR) là một khung pháp lý đặt ra các hướng dẫn cho việc thu thập và xử lý thông tin cá nhân từ các cá nhân sống trong Liên minh châu Âu (EU). Vì Quy định được áp dụng bất kể trang web dựa vào đâu, nên tất cả các trang web thu hút khách châu Âu đều phải chú ý, ngay cả khi họ không tiếp thị cụ thể hàng hóa hoặc dịch vụ cho cư dân EU.
GDPR yêu cầu du khách EU được cung cấp một số tiết lộ dữ liệu. Trang web cũng phải thực hiện các bước để tạo điều kiện cho các quyền của người tiêu dùng EU như một thông báo kịp thời trong trường hợp dữ liệu cá nhân bị vi phạm. Được thông qua vào tháng 4 năm 2016, Quy chế có hiệu lực vào tháng 5 năm 2018, sau thời gian chuyển tiếp hai năm.
Yêu cầu dịch vụ khách hàng của GDPR
Theo quy tắc, khách truy cập phải được thông báo về dữ liệu mà trang web thu thập từ họ và đồng ý rõ ràng với việc thu thập thông tin đó, bằng cách nhấp vào nút Đồng ý hoặc hành động khác. (Yêu cầu này phần lớn giải thích sự hiện diện phổ biến của các tiết lộ rằng các trang web thu thập các tập tin "cookie" có chứa thông tin cá nhân như cài đặt và tùy chọn trang web.)
Các trang web cũng phải thông báo cho khách truy cập kịp thời nếu bất kỳ dữ liệu cá nhân nào của họ được giữ bởi trang web bị vi phạm. Các yêu cầu này của EU có thể nghiêm ngặt hơn các yêu cầu trong khu vực tài phán nơi đặt trang web.
Ngoài ra, bắt buộc là đánh giá về bảo mật dữ liệu của trang web và liệu nhân viên bảo vệ dữ liệu chuyên dụng (DPO) có cần được thuê hay nhân viên hiện có có thể thực hiện chức năng này hay không.
Thông tin về cách liên hệ với DPO và các nhân viên có liên quan khác phải có thể truy cập được để khách truy cập có thể thực hiện quyền dữ liệu EU của họ, bao gồm khả năng có sự hiện diện của họ trên trang web, trong số các biện pháp khác. (Đương nhiên, trang web cũng phải thêm nhân viên và các tài nguyên khác để có thể thực hiện các yêu cầu đó.)
Các quy tắc và nhiệm vụ khác của Quy định bảo vệ dữ liệu chung (GDPR)
Để bảo vệ hơn nữa cho người tiêu dùng, GDPR cũng yêu cầu bất kỳ thông tin nhận dạng cá nhân (PII) nào mà các trang web thu thập được ẩn danh (được ẩn danh, như thuật ngữ ngụ ý) hoặc giả danh (với danh tính của người tiêu dùng được thay thế bằng bút danh). Việc giả danh dữ liệu cho phép các công ty thực hiện một số phân tích dữ liệu sâu rộng hơn, chẳng hạn như đánh giá tỷ lệ nợ trung bình của khách hàng tại một khu vực cụ thể. Một tính toán có thể vượt ra ngoài mục đích ban đầu của dữ liệu được thu thập để đánh giá mức độ tin cậy của khoản vay.
GDPR ảnh hưởng đến dữ liệu ngoài thu thập từ khách hàng. Đáng chú ý nhất, có lẽ, quy định áp dụng cho hồ sơ nhân sự của nhân viên.
Tranh cãi liên quan đến GDPR
GDPR đã thu hút sự chỉ trích trong một số quý. Yêu cầu chỉ định DPO, hoặc đơn giản là để đánh giá sự cần thiết của họ, một số người nói, đặt ra gánh nặng hành chính không đáng có cho một số công ty. Một số người cũng phàn nàn rằng các hướng dẫn quá mơ hồ về cách tốt nhất để xử lý dữ liệu nhân viên.
Ngoài ra, dữ liệu không thể được chuyển đến một quốc gia khác ngoài EU, trừ khi công ty tiếp nhận đảm bảo mức độ bảo vệ tương tự như EU yêu cầu. Điều này đã dẫn đến các khiếu nại về sự gián đoạn tốn kém đối với các hoạt động kinh doanh.
Có một mối lo ngại nữa là chi phí liên quan đến GDPR sẽ tăng theo thời gian, một phần là do nhu cầu leo thang để giáo dục khách hàng và nhân viên về các mối đe dọa và biện pháp bảo vệ dữ liệu. Cũng có sự hoài nghi về cách các cơ quan bảo vệ dữ liệu khả thi trên toàn EU và xa hơn có thể điều chỉnh việc thực thi và giải thích các quy định của họ, và do đó đảm bảo một sân chơi bình đẳng khi GDPR có hiệu lực đầy đủ hơn.
