Japanese GDPR“ được áp dụng ngoài lãnh thổ? Giải thích các phương pháp đối phó”

GDPR là quy định do EU ban hành nhằm bảo vệ thông tin cá nhân và quy định cách thức xử lý thông tin đó. Khi triển khai sản phẩm hoặc dịch vụ trong khu vực EU, có khả năng GDPR sẽ được áp dụng. Tuy nhiên, có thể có những người không biết liệu doanh nghiệp của họ có thuộc phạm vi áp dụng của GDPR hay không, và nếu có, họ nên làm gì.

Bài viết này sẽ giải thích phạm vi áp dụng của GDPR, những hành động cần thực hiện khi quy định này được áp dụng, và các biện pháp đáp ứng yêu cầu. Chúng tôi cũng cung cấp phần Hỏi & Đáp liên quan đến việc áp dụng GDPR, vì vậy, xin hãy tham khảo để có thêm thông tin.

Phạm vi áp dụng của GDPR

Điều kiện áp dụng của GDPR được quy định trong Điều 3 “Phạm vi địa lý áp dụng” của GDPR. Phạm vi áp dụng của GDPR được chia thành hai trường hợp: khi có cơ sở tại EU và khi không có cơ sở tại EU.

Nội dung quy định cho trường hợp có cơ sở tại EU là như sau:

“Áp dụng đối với việc xử lý dữ liệu cá nhân trong quá trình hoạt động của cơ sở quản lý hoặc cơ sở xử lý tại EU, bất kể việc xử lý đó có diễn ra trong EU hay không.”

Tham khảo: Ủy ban Bảo vệ Thông tin Cá nhân | “Bản dịch tiếng Nhật tạm thời của Quy tắc Bảo vệ Dữ liệu Chung (GDPR)[ja]“

Nói cách khác, nếu có cơ sở quản lý hoặc xử lý tại EU, GDPR sẽ được áp dụng.

Đối với trường hợp không có cơ sở tại EU, phạm vi áp dụng bao gồm hai trường hợp sau:

1. Khi cung cấp hàng hóa hoặc dịch vụ cho cá nhân tại EU
2. Khi giám sát hành vi của cá nhân tại EU

GDPR đặt ra những hạn chế nghiêm ngặt đối với các quốc gia ngoài khu vực, và để có thể tự do chuyển dữ liệu, cần có “sự công nhận đủ điều kiện”. Sự công nhận đủ điều kiện là sự chấp thuận được quyết định thông qua thảo luận của Ủy ban Châu Âu, dành cho các quốc gia và khu vực đảm bảo mức độ bảo vệ dữ liệu cá nhân đầy đủ.

Các quốc gia và khu vực không có sự công nhận đủ điều kiện phải thực hiện các thủ tục như SCC hoặc BCR để chuyển dữ liệu ra ngoài EU.

Điểm khác biệt khi có sự công nhận đủ điều kiện là không cần phải thực hiện các thủ tục như SCC hay BCR.

Sự công nhận đủ điều kiện đối với Nhật Bản đã được công bố trong cuộc họp thượng đỉnh định kỳ Nhật-EU vào tháng 7 năm 2018 (2018), nhằm thúc đẩy các nỗ lực để có thể vận hành khuôn khổ chuyển dữ liệu cá nhân. Sau đó, vào ngày 23 tháng 1 năm 2019 (2019), Nhật Bản đã nhận được sự công nhận đủ điều kiện và có thông báo “Chào mừng quyết định của EU và Nhật Bản trong việc công nhận lẫn nhau về mức độ bảo vệ dữ liệu cá nhân tương đương.”

Các công ty áp dụng GDPR cần phải làm gì?

Khi áp dụng GDPR, có hai việc mà các công ty cần phải thực hiện:

• Chọn lựa đại diện có trụ sở tại EU/UK
• Ghi rõ trong chính sách bảo mật

Dưới đây, chúng tôi sẽ giải thích chi tiết về từng nội dung.

Chọn lựa đại diện có trụ sở tại EU/UK

Theo Điều 27 của GDPR, nếu GDPR được áp dụng ngoài lãnh thổ, các công ty có nghĩa vụ chỉ định một đại diện có trụ sở tại EU hoặc UK.

Đại diện ở đây là người được chỉ định bằng văn bản bởi người quản lý hoặc người xử lý, và đại diện cho họ trong việc thực hiện các nghĩa vụ theo GDPR.

Không phải tất cả các công ty hoạt động kinh doanh trong EU đều phải chỉ định đại diện. Các công ty không cần phải chỉ định đại diện trong các trường hợp sau (theo Điều 27 của GDPR):

• Hoạt động kinh doanh áp dụng GDPR không phải là tạm thời và không bao gồm việc xử lý “dữ liệu đặc biệt” hoặc “dữ liệu cá nhân liên quan đến phán quyết tội phạm và hành vi phạm tội một cách lớn”, và xét đến bản chất, quy trình, phạm vi và mục đích của việc xử lý, khả năng gây nguy hiểm cho quyền hoặc tự do của cá nhân là thấp
• Trường hợp không phải là cơ quan công quyền hoặc tổ chức công cộng

Tham khảo: Ủy ban Bảo vệ Thông tin Cá nhân | “Bản dịch tiếng Nhật tạm thời của Quy tắc Bảo vệ Dữ liệu Chung (GDPR)[ja]“

Ghi rõ trong chính sách bảo mật

Các công ty áp dụng GDPR cần phải ghi rõ việc họ đã chỉ định đại diện trong chính sách bảo mật của mình.

Hậu quả pháp lý khi không bổ nhiệm đại lý

Mặc dù nằm trong phạm vi áp dụng của GDPR, nếu không bổ nhiệm đại lý, bạn có thể phải đối mặt với các hình phạt. Mức phạt có thể lên đến 1,000 euro hoặc 2% doanh thu toàn cầu, tùy theo số nào lớn hơn (theo Điều 84, khoản 4 của GDPR).

Nhiệm vụ được yêu cầu từ người đại diện

Khi thuộc phạm vi áp dụng của GDPR, nguyên tắc chung là bạn phải bổ nhiệm một người đại diện. Vậy những nhiệm vụ nào được yêu cầu từ người đại diện? Dưới đây, chúng tôi sẽ giải thích chi tiết về nhiệm vụ của người đại diện.

Xử lý hồ sơ theo Điều 30

Người quản lý hoặc người xử lý đặt người đại diện tại các quốc gia EU phải chia sẻ hồ sơ xử lý của mình với người đại diện. Ngoài ra, người đại diện cũng phải lưu trữ hồ sơ này tương tự như người quản lý hoặc người xử lý (theo Điều 30 của GDPR).

Nội dung cần phải ghi chép bao gồm các điểm sau:

• Tên và thông tin liên lạc của người quản lý, DPO (Data Protection Officer – Sĩ quan bảo vệ dữ liệu)
• Mục đích xử lý
• Đặc tính của chủ thể dữ liệu & loại dữ liệu được xử lý
• Thời hạn lưu trữ
• Thời điểm xóa bỏ

Chủ thể dữ liệu là cá nhân được xác định hoặc có thể xác định, tức là người mà dữ liệu cá nhân liên quan đến.

Khi có yêu cầu từ cơ quan giám sát, bạn phải sẵn sàng sử dụng những hồ sơ xử lý này.

Phản hồi các thắc mắc từ chủ thể dữ liệu hoặc cơ quan giám sát

Khi có thắc mắc từ chủ thể dữ liệu hoặc cơ quan giám sát, người đại diện cần phải thay mặt người quản lý hoặc người xử lý để phản hồi đối với chủ thể dữ liệu và cơ quan giám sát (theo Điều 27, khoản 3 của GDPR). Ví dụ, khi nhận được yêu cầu từ chủ thể dữ liệu, người quản lý phải cung cấp thông tin trong vòng một tháng (theo Điều 12, khoản 3 của GDPR). Ngoài ra, người đại diện cần phải hợp tác với cơ quan giám sát khi có yêu cầu và làm việc cùng cơ quan này (theo Điều 31 của GDPR).

Câu hỏi thường gặp về việc áp dụng GDPR

Dưới đây là các câu trả lời cho những thắc mắc thường gặp liên quan đến việc áp dụng Quy định chung về bảo vệ dữ liệu (GDPR).

Không có kế hoạch mở rộng ra nước ngoài nhưng liệu cần phải tuân thủ GDPR?

Nếu bạn không có kế hoạch mở rộng ra thị trường nước ngoài, thì việc tuân thủ GDPR không phải là bắt buộc. Tuy nhiên, ngay cả khi không mở rộng ra nước ngoài, bạn cần phải cẩn trọng nếu có khả năng thu thập dữ liệu từ cá nhân trong khu vực EU.

Ví dụ, các trường hợp sau đây có thể xảy ra:

• Bạn điều hành một trang thương mại điện tử và nhận được yêu cầu hoặc đơn đặt hàng từ cá nhân ở EU
• Qua việc duyệt web, bạn thu thập được các dấu hiệu nhận dạng trực tuyến của cá nhân trong EU (như địa chỉ IP hoặc Cookie)
• Bạn thu thập được địa chỉ email khi trả lời yêu cầu từ cá nhân trong EU

Ngay cả khi bạn vô tình thu thập dữ liệu cá nhân từ EU, nếu không thuộc phạm vi áp dụng địa lý của GDPR, bạn không cần phải tuân thủ quy định này.

Hãy nhớ rằng, chỉ khi bạn có cơ sở tại EU, hoặc không có cơ sở tại EU nhưng thuộc một trong hai trường hợp sau, bạn mới cần phải tuân thủ GDPR:

1. Nếu bạn cung cấp hàng hóa hoặc dịch vụ cho cá nhân trong EU
2. Nếu bạn theo dõi hành vi của cá nhân trong EU

Những biện pháp cần thiết khi khởi xướng trang web thương mại điện tử xuyên biên giới hướng đến khu vực EU

Khi bạn khởi xướng một trang web thương mại điện tử xuyên biên giới hướng đến khu vực EU, có khả năng bạn sẽ thu thập thông tin cá nhân của người dùng trong EU. Các loại thông tin có thể thu thập bao gồm:

• Tên
• Địa chỉ email
• Địa chỉ nhà
• Thông tin thẻ tín dụng
• Thông tin mua hàng
• Thông tin vị trí
• Địa chỉ IP & Cookie ID

Khi thu thập những thông tin này, chúng được coi là dữ liệu cá nhân theo quy định của GDPR, do đó bạn phải xử lý chúng theo các quy tắc của GDPR.

Đầu tiên, bạn nên xem xét lại chính sách bảo mật theo GDPR và cập nhật cũng như công bố thông báo bảo mật mới.
Đọc thêm bài viết liên quan: Giải thích các điểm chính khi tạo chính sách bảo mật phù hợp với GDPR![ja]

Sau đó, hãy thực hiện theo các bước sau đây.

1. Thiết lập chính sách Cookie mới và thu thập sự đồng ý sử dụng Cookie từ người truy cập trang EC lần đầu
2. Khi thu thập thông tin cá nhân, phải thu thập sự đồng ý về ‘xử lý dữ liệu cá nhân’
3. Thực hiện các biện pháp bảo mật để bảo vệ dữ liệu cá nhân và ngăn chặn rò rỉ thông tin
4. Chọn lựa người đại diện

Ngoài ra, tùy theo nhu cầu, bạn cần xem xét lại các quy tắc nội bộ, tạo hướng dẫn để tuân thủ GDPR và xem xét lại nội dung hợp đồng với các nhà thầu phụ.

Sự khác biệt giữa GDPR và UK GDPR là gì?

UK GDPR là quy định bảo vệ dữ liệu chung của Vương quốc Anh. UK GDPR đã được thi hành từ ngày 1 tháng 1 năm 2021 (2021), phù hợp với việc Anh rời khỏi Liên minh Châu Âu (EU). GDPR là một quy định của EU và không được áp dụng tại Anh.

UK GDPR được áp dụng trong các trường hợp sau:

1. Khi cung cấp hàng hóa hoặc dịch vụ cho cá nhân ở trong nước Anh
2. Khi giám sát hành vi của cá nhân ở trong nước Anh

Nếu bạn kinh doanh trong cả Vương quốc Anh và khu vực EU, bạn sẽ cần phải tuân thủ cả GDPR và UK GDPR.

Tổng kết: Khi gặp khó khăn về phạm vi áp dụng của GDPR, hãy tham khảo ý kiến từ chuyên gia

Nếu công ty bạn có cơ sở tại EU, hoặc không có cơ sở nhưng “cung cấp hàng hóa hoặc dịch vụ cho cá nhân trong EU” hoặc “giám sát hành vi của cá nhân”, thì bạn sẽ thuộc phạm vi áp dụng của GDPR. Các công ty phải tuân thủ GDPR cần phải chỉ định một đại lý tại EU và cần phải ghi rõ điều này trong chính sách bảo mật của mình.

Nếu không chỉ định đại lý, công ty bạn có thể phải đối mặt với việc nộp phạt lớn. Các công ty đang hoạt động kinh doanh tại EU hoặc có kế hoạch mở rộng vào EU nên chỉ định đại lý để tuân thủ GDPR.

Nếu bạn không chắc chắn liệu công ty mình có thuộc phạm vi áp dụng của GDPR hay không, chúng tôi khuyên bạn nên tham khảo ý kiến từ các chuyên gia có kiến thức sâu rộng về pháp luật quốc tế.

Giới thiệu các biện pháp của Văn phòng Luật sư Monolith

Văn phòng Luật sư Monolith là một văn phòng luật sư có kinh nghiệm phong phú trong lĩnh vực IT, đặc biệt là Internet và luật pháp. Trong những năm gần đây, kinh doanh toàn cầu ngày càng mở rộng, và nhu cầu kiểm tra pháp lý bởi các chuyên gia ngày càng tăng. Văn phòng chúng tôi cung cấp các giải pháp liên quan đến pháp luật quốc tế.

Lĩnh vực hoạt động của Văn phòng Luật sư Monolith: Pháp luật quốc tế & Kinh doanh nước ngoài[ja]