Bạn đã sẵn sàng cho GDPR (General Data Protection Regulation) chưa? Là một chủ doanh nghiệp nhỏ, bạn có thể chỉ quan tâm chủ yếu đến cơ sở khách hàng tồn tại trong bán kính gần cửa hàng của bạn. Trước khi phát minh ra Internet, bạn sẽ không bao giờ phải xem xét những khách hàng bên ngoài cộng đồng địa phương của bạn. Tuy nhiên, khi Internet ngày càng trở nên tinh vi và phát triển đến mọi ngóc ngách trên toàn thế giới, thì việc duy trì sự hiện diện trực tuyến ngày càng trở nên quan trọng đối với các doanh nghiệp muốn tăng lợi nhuận và mở rộng thị phần ra ngoài cộng đồng địa phương. Những khách hàng ở xa này có thể phục vụ như một nguồn thu nhập tuyệt vời, nhưng các doanh nghiệp cũng phải tuân thủ các quy tắc và quy định của đất nước mà họ tiếp cận, các quy tắc mà họ sẽ phải tuân thủ và thực hiện.
Thông thường, luật pháp và quy định của các quốc gia phát triển khác không quá khác biệt với luật bảo vệ người tiêu dùng của chúng ta – trong nhiều trường hợp, bạn chỉ phải lo lắng về chất lượng sản phẩm của bạn có đủ tiêu chuẩn hay chưa. Tuy nhiên, một số khối thị trường thỉnh thoảng ban hành các quy định có thể thay đổi hoàn toàn sự tương tác giữa bạn và khách hàng của bạn.
Vào ngày 25 tháng 5 năm 2018, Liên minh châu Âu sẽ bắt đầu thực hiện những gì được gọi là Quy định chung về bảo vệ dữ liệu hoặc GDPR. Bộ luật này có thể sẽ chứng tỏ nó chính là một trong những quy định bảo vệ người tiêu dùng mạnh mẽ và rộng lớn nhất được ban hành ở bất kỳ nơi nào trên thế giới, và nó sẽ áp dụng cho toàn bộ dân số của Liên minh châu Âu – hơn nửa tỷ người. Những quy định này sẽ không áp dụng trực tiếp cho bạn, nhưng chúng sẽ áp dụng cho mọi khách hàng EU tương tác với doanh nghiệp của bạn theo bất kỳ cách nào.
GDPR chứa nhiều luật được thiết kế để bảo vệ khách hàng và dữ liệu cá nhân của họ, điều quan trọng nhất trong số đó là như sau.
(i) Khách hàng có quyền được yêu cầu bất kỳ hay tất cả dữ liệu mà tổ chức/ công ty thu thập từ họ sẽ bị xóa bất kỳ lúc nào họ muốn
(ii) Bất kỳ công ty nào có dữ liệu về công dân EU đều phải chịu trách nhiệm nếu dữ liệu đó bị vi phạm
(iii) Khách hàng có quyền thay đổi hoặc chuyển đổi dữ liệu giữa các bên khác nhau bất kỳ lúc nào
(iv) Khách hàng có quyền yêu cầu và nhận tất cả các dữ liệu mà đã được thu thập từ họ
Những bộ quy tắc này thay thế Chỉ thị bảo vệ dữ liệu năm 1995 và nhằm thống nhất sự chắp vá của các luật hiện đang tồn tại trên 28 quốc gia thành viên của EU. GDPR có nghĩa là bạn có thể chịu trách nhiệm về bất kỳ và tất cả các vi phạm pháp luật khi chúng liên quan đến các khách hàng có trụ sở tại EU dưới bất kỳ hình thức nào. Họ không cần phải mua hàng từ bạn – nếu trang web của bạn thu thập cookie trên người dùng hoặc lưu trữ bất kỳ thông tin nào của họ (địa chỉ, số điện thoại hoặc tên), thì bạn phải chịu trách nhiệm với các quy định này.
Việc tuân thủ các luật này là nguyên nhân chính gây lo ngại cho cả doanh nghiệp lớn và nhỏ – chỉ 50% doanh nghiệp châu Âu hoàn toàn tuân thủ GDPR và con số này thấp hơn đối với các công ty Mỹ. Với số lượng vi phạm dữ liệu đã xảy ra trong năm qua – Equifax là một trong những điều đặc biệt quan trọng – các hình phạt đã đưa ra cho thấy việc vi phạm GDPR có thể là rất nghiêm trọng. Vi phạm dữ liệu có thể khiến chi phí kinh doanh của bạn tăng lên đến hai triệu đô la tiền phạt.
Là một chủ doanh nghiệp nhỏ, phải tuân thủ một bộ quy định khác có thể là một nhiệm vụ khó khăn và mệt mỏi. Tuy nhiên, chi phí từ cho việc chối kinh doanh với toàn bộ EU sẽ gần như chắc chắn vượt quá chi phí để tuân thủ các quy định mới. Bởi vì bất kỳ tương tác nào với một người từ EU sẽ đưa bạn vào phạm vi của GDPR, điều quan trọng là bạn bắt đầu thiết lập doanh nghiệp của mình để bạn sẽ không gặp vấn đề về tuân thủ các quy tắc nếu vấn đề xuất hiện.
Các doanh nghiệp lớn đã bắt đầu thực hiện những thay đổi cần thiết trên cơ sở hạ tầng kinh doanh của họ, nhưng với tư cách là một chủ doanh nghiệp nhỏ, bạn sẽ không phải điều phối những thay đổi này trên nhiều bộ phận. Đó là lý do tại sao bạn sẽ muốn bắt đầu càng sớm càng tốt, bởi vì việc thiết lập doanh nghiệp của bạn vẫn tuân thủ các quy tắc này mà không cần phải tốn quá nhiều thời gian.
Bước đầu tiên bạn có thể thực hiện là chỉ định một người cụ thể được giao nhiệm vụ đưa doanh nghiệp của bạn tuân thủ các quy tắc mới này. Lý tưởng nhất, bạn sẽ thuê một chuyên gia pháp lý, những người hiểu rõ các luật này trong và ngoài, và sẽ có thể giúp bạn thực hiện các thay đổi bạn cần. Đổi lại, bạn cũng sẽ có thể giáo dục nhân viên của mình về những thay đổi cần thiết sẽ phải được thực hiện để họ hiểu rõ hơn về việc cần làm và những gì không làm khi xử lý dữ liệu khách hàng của EU.
Tiếp theo, bạn sẽ muốn đảm bảo rằng bạn hiểu chính xác nơi lưu trữ tất cả dữ liệu khách hàng của bạn và ai chịu trách nhiệm về dữ liệu đó. GDPR phân biệt giữa những người có dữ liệu đang được quản lý (đối tượng dữ liệu), những người thu thập và sở hữu dữ liệu của họ (bộ điều khiển dữ liệu) và bên thứ ba xử lý và sử dụng dữ liệu người tiêu dùng (bộ xử lý dữ liệu). Những sẽ áp dụng cho bạn như thế nào thì sẽ phụ thuộc vào một trong những danh mục bạn rơi vào. Là một chủ sở hữu doanh nghiệp nhỏ, bạn có thể được coi là bộ điều khiển dữ liệu theo GDPR.
Theo GDPR, tất cả các khách hàng bị ảnh hưởng bởi vi phạm dữ liệu phải được thông báo trong vòng 72 giờ kể từ khi xảy ra sự cố để bạn không bị phạt tiền. Ngay cả khi bạn không được nhắm mục tiêu trực tiếp, nếu bộ xử lý dữ liệu đang quản lý dữ liệu của khách hàng bị tấn công và bạn không thông báo cho khách hàng EU đúng hạn, bạn vẫn phải chịu trách nhiệm pháp lý. Điều này được thiết kế để đảm bảo rằng các doanh nghiệp không thể trốn tránh trách nhiệm đối với thông tin của khách hàng bằng cách tải xuống thông tin đó trên nhà cung cấp bên thứ ba.
Hành động tốt nhất của bạn sẽ là hợp nhất tất cả thông tin của khách hàng vào một nơi, nơi thông tin đó có thể được theo dõi và cập nhật một cách cẩn thận khi cần. Vì khách hàng của bạn có thể yêu cầu, thay đổi hoặc xóa dữ liệu của họ bất cứ lúc nào, điều quan trọng là bạn biết chính xác ai có dữ liệu đó và nơi họ đang được lưu giữ. Nếu công ty của bạn vô tổ chức và lưu trữ dữ liệu khác nhau trên các máy chủ khác nhau, điều này sẽ gây ra một cơn đau đầu lớn cho bạn nếu bạn không thể chứng minh rằng bạn đã cung cấp / cập nhật / xóa tất cả thông tin theo yêu cầu của khách hàng.
Bạn cũng sẽ muốn xem xét bất kỳ thỏa thuận bảo mật nào phù hợp với khách hàng từ EU. Nhiều doanh nghiệp đã chọn tùy chọn không tham gia để thu thập dữ liệu mặc định cho khách hàng ở EU (nghĩa là họ KHÔNG được tự động đăng ký nhận cập nhật qua e-mail.) Hãy cẩn thận để đảm bảo trạng thái này không đột ngột thay đổi khi các công ty đăng ký lại ai đó chưa đăng ký trước có thể bị trừng phạt vì điều đó. Ngoài ra, bạn sẽ muốn cập nhật báo cáo chọn không tham gia của mình để bao gồm các quyền mới mà khách hàng EU có (nghĩa là khách hàng của bạn có thể chọn không thu thập dữ liệu của họ cho mục đích quảng cáo hoặc không theo dõi cookie của họ).
Một số công ty đã chọn tạo cơ sở dữ liệu riêng biệt cho khách hàng EU và không thuộc EU, với các khách hàng ở EU được theo dõi chặt chẽ hơn để cập nhật và thông báo. Đặc biệt quan tâm đến việc gửi email; một số công ty sử dụng nhà cung cấp bên thứ ba gửi email thay mặt bạn để thực hiện một số trách nhiệm pháp lý của bạn. Những người khác vẫn đã ngừng hoàn toàn e-mail và trả lại thư giấy và gọi điện trực tiếp. Các phương pháp cũ đang trở nên nóng lại một lần nữa theo các luật mới này!
—————-
Cuối cùng, sẽ mất thời gian để hoàn toàn tuân thủ các quy định mới này. Trong khi đó, các bước quan trọng nhất bạn có thể thực hiện là giảm thiểu trách nhiệm của mình càng nhiều càng tốt. Một số công ty có thể được phân loại là bộ xử lý dữ liệu nếu họ đang tích cực sử dụng dữ liệu khách hàng trong chiến dịch quảng cáo và tiếp thị của họ, có thể mang thêm hình phạt nếu vi phạm các điều khoản của GDPR. Là chủ sở hữu doanh nghiệp nhỏ, có thể bạn sẽ không phải lo lắng về trường hợp cụ thể này, nhưng bạn vẫn phải chịu trách nhiệm về bất kỳ dữ liệu nào bạn có hoặc sử dụng theo bất kỳ cách nào.
Xem lại hợp đồng của bạn và đảm bảo rằng bất kỳ ai sử dụng dữ liệu khách hàng mà bạn thu thập cũng tuân thủ các quy định của GDPR. Biết nơi dữ liệu của bạn đang được lưu trữ và thu thập và làm cho nó để khách hàng EU có thể chọn không tham gia bất kỳ hình thức thu thập dữ liệu hoặc quảng cáo được nhắm mục tiêu nào. Bạn càng có nhiều dữ liệu, bạn càng chịu trách nhiệm nhiều hơn. Một cách hay để biết liệu dữ liệu khách hàng của bạn có được tổ chức tốt hay không là kiểm tra xem bạn có thể kéo toàn bộ hồ sơ mà bạn có trên một khách hàng dễ dàng và nhanh chóng như thế nào. Nếu có bất kỳ vấn đề nào hiển thị tất cả dữ liệu bạn có, có vấn đề.
Nó có thể giúp chỉ định một người được giao nhiệm vụ cụ thể với việc xử lý và tổ chức dữ liệu khách hàng. Các công ty lớn hơn đã nỗ lực thực hiện các thủ tục cụ thể, có tổ chức để xử lý và lưu trữ dữ liệu của công ty. Các chủ sở hữu doanh nghiệp nhỏ như chính bạn có thể không có cấp phân cấp tổ chức đó để lo lắng, nhưng bạn vẫn phải lo lắng về việc nhà cung cấp của bạn sẽ lưu trữ và tổ chức dữ liệu khách hàng như thế nào. Không bao giờ giả định rằng một bộ xử lý dữ liệu sẽ “chỉ” làm điều đúng – bạn phải chắc chắn rằng chúng thực sự đang xử lý dữ liệu đúng cách!
Tất nhiên, bạn cũng có thể quyết định đơn giản là ngừng kinh doanh với khách hàng ở EU hoàn toàn. Nếu doanh nghiệp của bạn nhận được ít hoặc không có doanh nghiệp nào từ khu vực đó trên thế giới, thì việc đau đầu để tuân thủ GDPR sẽ không xảy ra. Hoặc có lẽ bạn sẽ phải tự quyết định điều đó.
Cảm ơn bạn đã quan tâm và đọc bài chia sẻ của ActionCOACH-IQS chúng tôi. Nếu bạn cảm thấy cần quan tâm hơn đến các kiến thức khác từ chúng tôi thì bạn có thể tìm đọc thêm về các bài viết và video của chúng tôi tại Fanpage và Website này.
Thông tin liên hệ ActionCOACH Việt Nam:
? : 0919 758585 – 028 3929 3636
? : ActionCOACH – IQS
? : Lầu 8, ACM Building, 96 Cao Thắng, P.4, Q.3, TPHCM
? : info@actioncoach-iqs.com
? : ActionCOACH-IQS Fanpage
? : ActionCOACH-IQS Youtube
