Giải thích các điểm quan trọng khi tạo Chính sách bảo mật tuân thủ GDPR

Khi xử lý thông tin cá nhân của người dùng trong khu vực EU, cần phải tuân thủ GDPR và tạo ra một chính sách bảo mật phù hợp với GDPR. Tuy nhiên, có thể nhiều người chưa hiểu rõ về GDPR, không biết liệu trang web của công ty mình có cần phải tuân thủ hay không, và nếu cần thì phải tuân thủ như thế nào.

Do đó, trong bài viết này, chúng tôi sẽ giải thích tổng quan về GDPR và các điểm chính để tạo ra một chính sách bảo mật phù hợp với GDPR. Chúng tôi cũng sẽ giới thiệu về tình hình tuân thủ của Nhật Bản và các ví dụ từ các công ty nổi tiếng, vì vậy hãy tham khảo để có thêm thông tin.

Về GDPR và Chính sách Bảo mật

Chính sách bảo mật phù hợp với GDPR là như thế nào? Ở đây, chúng tôi sẽ giải thích tổng quan về GDPR và nghĩa vụ của chính sách bảo mật theo GDPR.

GDPR và Chính sách Bảo mật

GDPR là quy định chi tiết về bảo vệ và xử lý thông tin cá nhân do EU đặt ra. GDPR được áp dụng trong Khu vực Kinh tế Châu Âu (EEA: các quốc gia thành viên EU, Iceland, Liechtenstein, và Na Uy, trừ Thụy Sĩ). Các trường hợp sau đây có thể khiến doanh nghiệp Nhật Bản cũng phải tuân thủ GDPR:

• Cung cấp hàng hóa hoặc dịch vụ cho người dùng dữ liệu tại EU
• Thực hiện giám sát hành vi của người dùng dữ liệu trong EU

Người dùng dữ liệu là cá nhân được xác định hoặc có thể xác định được, và đây là người mà dữ liệu cá nhân liên quan đến.

Doanh nghiệp nằm trong các trường hợp trên cần xem xét lại và cập nhật Chính sách Bảo mật (Thông báo Bảo mật) của mình. Nếu vi phạm GDPR, doanh nghiệp có thể phải nộp phạt lên đến 20 triệu euro hoặc 4% tổng doanh thu toàn cầu.

Tham khảo: Tổ chức Xúc tiến Thương mại Nhật Bản | “Quy định Bảo vệ Dữ liệu Chung của EU (GDPR)”[ja]

Để giao dịch với các quốc gia trong EU một cách an tâm, việc kiểm tra Chính sách Bảo mật là điều cần thiết.

“Thông tin cung cấp” khi thu thập dữ liệu cá nhân theo GDPR

Theo GDPR, khi thu thập dữ liệu cá nhân, người quản lý phải cung cấp thông tin nhất định cho người dùng dữ liệu, và điều 12, khoản 1 của GDPR đã nêu rõ cách thức cung cấp thông tin.

Nội dung cụ thể như sau:

• Thông tin phải ngắn gọn, minh bạch, dễ hiểu và dễ truy cập
• Sử dụng ngôn từ rõ ràng và dễ hiểu
• Áp dụng biện pháp thích hợp khi cung cấp thông tin cho trẻ em
• Thông tin được cung cấp bằng văn bản, qua phương tiện điện tử nếu thích hợp, hoặc bằng các phương tiện khác
• Có khả năng cung cấp thông tin bằng miệng nếu người dùng dữ liệu yêu cầu

Ngoài ra, theo điều 12, khoản 5 của GDPR, việc cung cấp thông tin phải miễn phí. Hãy kiểm tra xem Chính sách Bảo mật của công ty bạn có đáp ứng các yêu cầu trên hay không và cập nhật nếu cần thiết.

Những Điểm Cần Lưu Ý Khi Cập Nhật Chính Sách Bảo Mật Theo GDPR

Theo GDPR, có nhiều điểm cần phải được người quản lý dữ liệu cá nhân làm rõ với chủ thể dữ liệu khi thu thập thông tin từ chính chủ thể dữ liệu (theo Điều 13 GDPR) hoặc từ nguồn khác (theo Điều 14 GDPR).

Các điểm cần được người quản lý làm rõ bao gồm:

• Danh tính và thông tin liên lạc chi tiết của người quản lý
• Nếu có đại lý, danh tính và thông tin liên lạc chi tiết của đại lý
• Quyền của chủ thể dữ liệu trong việc truy cập, sửa đổi, xóa bỏ, hạn chế, khả năng chuyển dữ liệu và quyền phản đối
• Mục đích xử lý dữ liệu cá nhân và cơ sở pháp lý
• Thời gian lưu trữ dữ liệu cá nhân hoặc tiêu chí để xác định thời gian này
• Các loại dữ liệu cá nhân liên quan

Có những điểm cần làm rõ trong GDPR mà không có trong chính sách bảo mật của Nhật Bản, do đó, việc cập nhật cần tập trung vào những điểm này. Để biết thêm thông tin về chính sách bảo mật dựa trên Luật Bảo Vệ Thông Tin Cá Nhân của Nhật Bản, vui lòng tham khảo bài viết sau.

Bài viết liên quan: Những Điểm Cần Lưu Ý Khi Tạo Chính Sách Bảo Mật Dựa Trên Luật Bảo Vệ Thông Tin Cá Nhân Của Nhật Bản[ja]

Ở đây, chúng tôi sẽ giải thích những điểm cần lưu ý khi cập nhật chính sách bảo mật, tập trung vào những điểm không có trong chính sách bảo mật dựa trên Luật Bảo Vệ Thông Tin Cá Nhân của Nhật Bản.

Cơ sở pháp lý cho việc xử lý dữ liệu hợp pháp

Trong Luật Bảo vệ Dữ liệu Cá nhân của Liên minh Châu Âu (GDPR), việc làm rõ “cơ sở pháp lý cho việc xử lý dữ liệu hợp pháp” đã trở thành một nghĩa vụ, điều này không có trong Luật Bảo vệ Thông tin Cá nhân trước đây. Có sáu cơ sở để việc xử lý dữ liệu cá nhân được coi là hợp pháp, theo Điều 6 của GDPR:

• Sự đồng ý của chủ thể dữ liệu
• Thực hiện hợp đồng
• Nghĩa vụ pháp lý
• Lợi ích liên quan đến sự sống
• Lợi ích công cộng
• Lợi ích chính đáng

Nếu một trong sáu yếu tố trên được áp dụng, việc xử lý sẽ được coi là hợp pháp, vì vậy hãy chắc chắn rằng bạn đã nêu rõ điều này trong chính sách bảo mật của mình. Đối với những người lần đầu tiên cung cấp thông tin, bạn có thể xử lý bằng cách yêu cầu họ đồng ý với chính sách bảo mật mới.

Tuy nhiên, điều quan trọng cần lưu ý là cách xử lý đối với những người dùng đã đồng ý trước đây. Đối với những người đã đồng ý trước khi chính sách bảo mật được sửa đổi, bạn sẽ cần phải xin họ đồng ý một lần nữa.

Trong trường hợp này, bạn có thể đề cập đến một trong sáu cơ sở hợp pháp trong chính sách bảo mật và yêu cầu sự đồng ý với các sửa đổi như một cách tiếp cận.

Các Mục Thông Tin Được Thu Thập và Mục Đích Sử Dụng

Trong chính sách bảo mật truyền thống, thông tin được thu thập và mục đích sử dụng, cùng với điều khoản sử dụng thường được ghi chép trên cùng một trang và người dùng sẽ đồng ý với tất cả một cách tổng hợp. Tuy nhiên, theo Quy định Bảo vệ Dữ liệu Chung của Liên minh Châu Âu (GDPR), người dùng cần phải rõ ràng về những gì họ đang đồng ý, và các đối tượng cụ thể cần được làm rõ.

Việc liệt kê mục đích sử dụng đối với từng loại thông tin thu thập và thu thập sự đồng ý riêng lẻ cho từng mục đích thông qua cách hiển thị phù hợp sẽ là một phương pháp tốt.

Làm rõ mục đích sử dụng

Theo quy định của GDPR (General Data Protection Regulation – Quy định Bảo vệ Dữ liệu Chung của Châu Âu), việc làm rõ mục đích sử dụng thông tin thu thập là bắt buộc. Chẳng hạn, mục đích sử dụng như “nhằm cải thiện dịch vụ” có thể bị coi là quá mơ hồ và do đó có khả năng bị đánh giá là không phù hợp.

Ngoài ra, việc xử lý thông tin thêm ngoài mục đích đã định không được phép, vì vậy cần chú ý điều này khi cập nhật chính sách bảo mật.

Quyền xóa bỏ & Quyền chuyển đổi dữ liệu

Nhiều công ty đã đề cập đến quyền truy cập và quyền chỉnh sửa trong chính sách bảo mật thông tin cá nhân truyền thống của họ. Tuy nhiên, theo GDPR (General Data Protection Regulation – Quy định Bảo vệ Dữ liệu Chung của Liên minh Châu Âu), việc ghi nhận “Quyền xóa bỏ & Quyền chuyển đổi dữ liệu” cũng là bắt buộc.

Quyền xóa bỏ là quyền cho phép người dùng yêu cầu người quản lý xóa bỏ dữ liệu cá nhân của họ. Quyền chuyển đổi dữ liệu là quyền cho phép người dùng chuyển dữ liệu cá nhân của mình sang một dịch vụ khác.

Ví dụ, có thể kể đến việc chuyển dữ liệu và lịch sử giao dịch của khách hàng từ công ty điện thoại di động A sang công ty điện thoại di động B. Để tuân thủ GDPR, việc đề cập đến những quyền này trong chính sách bảo mật là cần thiết.

Chỉ rõ thời hạn lưu trữ dữ liệu

Theo quy định của GDPR (General Data Protection Regulation – Quy định Bảo vệ Dữ liệu Chung của Châu Âu), việc chỉ rõ “thời hạn lưu trữ thông tin cá nhân” là bắt buộc, một yêu cầu không được đề cập trong các chính sách bảo mật trước đây. Trong trường hợp không thể xác định được thời hạn cụ thể, việc chỉ rõ các tiêu chí để quyết định thời hạn lưu trữ cũng được coi là một cách tiếp cận khả thi.

Tình hình ứng phó của doanh nghiệp Nhật Bản với GDPR

Chúng tôi xin giới thiệu thông tin khảo sát từ báo cáo “Khảo sát xu hướng ứng dụng IT trong doanh nghiệp 2021” phiên bản chi tiết[ja] của Tổ chức Tài chính Phi lợi nhuận Nhật Bản về Xúc tiến Kinh tế Thông tin Xã hội và Công ty Cổ phần I.T.R.

Theo kết quả khảo sát, số lượng doanh nghiệp đã ứng phó với GDPR là ít, và doanh nghiệp đang trong quá trình ứng phó (đang xem xét) chiếm tỷ lệ cao nhất là 26.1%. Tính đến thời điểm tổng hợp năm 2021, có xu hướng nhiều doanh nghiệp không có giao dịch chuyển dữ liệu cá nhân với EU.

Kết quả khảo sát về giao dịch dữ liệu cá nhân với EU như sau:

Nhìn vào biểu đồ trên, doanh nghiệp trả lời “Hiện tại không có giao dịch và cũng không có kế hoạch giao dịch trong tương lai” chiếm tỷ lệ cao nhất là 44.4%. Có 12% doanh nghiệp trả lời rằng “Đã có giao dịch trước đây nhưng sau khi GDPR được thực thi, dữ liệu được xử lý riêng biệt tại EU và Nhật Bản”.

“Hiện tại không có giao dịch nhưng có kế hoạch giao dịch trong tương lai” chiếm 25.9%, và “Hiện tại đang có giao dịch” là 17.6%, cho thấy có khả năng số lượng doanh nghiệp sẽ tăng trong tương lai, nhưng tại thời điểm khảo sát năm 2021 thì số lượng này vẫn còn ít.

Nguồn: JIPDEC／ITR “Khảo sát xu hướng ứng dụng IT trong doanh nghiệp 2021″[ja]

Cách thức các công ty nổi tiếng tuân thủ GDPR

Nhiều người muốn cập nhật Chính sách Bảo mật của mình để phù hợp với GDPR nhưng không biết nên bắt đầu từ đâu. Trong bài viết này, chúng tôi sẽ giải thích chi tiết về cách thức mà hai công ty nổi tiếng là Google và Facebook tuân thủ GDPR như một ví dụ về việc các doanh nghiệp đáp ứng với quy định này.

Google đối phó với GDPR của EU

Google đã công bố các biện pháp sau để tuân thủ GDPR:

• Cải thiện tính minh bạch đối với người dùng
• Cải thiện khả năng quản lý của người dùng
• Nâng cao khả năng chuyển giao dữ liệu
• Cải thiện công cụ để cha mẹ đồng ý và trẻ em sử dụng internet một cách phù hợp
• Hỗ trợ người dùng doanh nghiệp và đối tác
• Tăng cường chương trình tuân thủ quyền riêng tư

Sau đây, chúng tôi sẽ giải thích chi tiết.

Tham khảo: Google「Về các nỗ lực của Google hướng tới Quy định Bảo vệ Dữ liệu Chung của EU (GDPR)[ja]」

Nâng cao tính minh bạch đối với người dùng

Google đang cải thiện và cập nhật chính sách bảo mật để làm cho thông tin mà Google thu thập và lý do thu thập trở nên dễ hiểu hơn, dễ tìm kiếm hơn. Các nội dung khác được đề cập bao gồm:

• Thêm chi tiết về quản lý, xuất khẩu và xóa thông tin
• Bổ sung video và biểu đồ ngoài văn bản

Ngoài ra, chúng tôi đã thay đổi cài đặt để trang cài đặt quyền riêng tư có thể được mở một cách dễ dàng hơn.

Cải thiện quản lý do người dùng

Để tuân thủ Quy định Bảo vệ Dữ liệu Chung của Châu Âu (GDPR), chúng tôi đã cải thiện phương pháp quản lý người dùng. Các thay đổi được thực hiện như sau:

• Có thể xem và xóa dữ liệu trong Mục hoạt động của tôi
• Cung cấp chức năng tìm kiếm theo chủ đề, ngày tháng và sản phẩm
• Có thể kiểm tra cài đặt quyền riêng tư phù hợp với bản thân
• Có khả năng quản lý và ẩn quảng cáo hiển thị
• Có thể nắm bắt dữ liệu thông qua Bảng điều khiển Google

Ngoài ra, trước khi GDPR được áp dụng, chúng tôi đã thực hiện các thay đổi để việc quản lý thông tin người dùng và quảng cáo trở nên dễ dàng hơn.

Cải thiện khả năng di động dữ liệu

Google cung cấp nhiều dịch vụ khác nhau như Google Photos, Drive, Calendar và Gmail. Các biện pháp mà Google đã thực hiện để tuân thủ GDPR và cải thiện khả năng di động dữ liệu bao gồm:

• Mở rộng dịch vụ và quản lý các mục cho phép tải xuống dữ liệu
• Thêm chức năng lập lịch tải xuống định kỳ

Cải thiện công cụ hỗ trợ sự đồng ý của phụ huynh và việc sử dụng Internet phù hợp cho trẻ em

Tại Google, chúng tôi cung cấp ứng dụng Family Link nhằm hỗ trợ phụ huynh và trẻ em sử dụng Internet một cách thích hợp. Qua việc sử dụng Family Link, phụ huynh có thể tạo tài khoản dành cho trẻ em.

Ứng dụng này cho phép thiết lập và quản lý các quy tắc tại gia đình như “quản lý thời gian sử dụng” và “tạm dừng thiết bị”.

Hỗ trợ Người dùng Doanh nghiệp & Đối tác

Để tuân thủ GDPR, chúng tôi đã cập nhật chính sách liên quan đến việc yêu cầu sự đồng ý của người dùng trên các trang web và ứng dụng của các đối tác Google (bao gồm nhà quảng cáo và người vận hành trang web). Nội dung khác được nêu ra bao gồm:

• Cung cấp công cụ hỗ trợ tuân thủ GDPR
• Tăng cường quy trình chứng nhận cho các doanh nghiệp sử dụng dịch vụ quảng cáo của Google
• Cập nhật điều kiện xử lý dữ liệu
• Cung cấp thông tin chi tiết về khả năng chuyển giao dữ liệu và thông báo sự cố dữ liệu

Củng cố Chương trình Tuân thủ Quyền riêng tư

Để đáp ứng GDPR, chúng tôi đang thực hiện củng cố Chương trình Tuân thủ Quyền riêng tư. Các nội dung cụ thể như sau:

• Cải thiện Chương trình Quyền riêng tư
• Tăng cường quy trình xem xét sản phẩm

Ngoài ra, chúng tôi cũng đang thực hiện việc lập hồ sơ một cách toàn diện hơn đối với việc xử lý dữ liệu.

Facebook và Việc Tuân Thủ GDPR

Facebook đã công bố các biện pháp tuân thủ GDPR như sau:

• Xác nhận việc thu thập thông tin từ quảng cáo hiển thị
• Lựa chọn thông tin hồ sơ cá nhân
• Xác nhận về công nghệ nhận diện khuôn mặt (EU & Canada)
• Điều khoản dịch vụ và thỏa thuận về dữ liệu được cập nhật
• Giới thiệu tính năng dễ dàng truy cập, xóa và tải xuống thông tin
• Cung cấp thông tin cho người dùng trẻ tuổi

Dưới đây, chúng tôi sẽ giải thích chi tiết.

Tham khảo: Facebook「Tuân thủ Quy định Bảo vệ Dữ liệu Chung (GDPR) và Cung cấp Bảo vệ Quyền Riêng tư Mới[ja]」

Xác nhận việc thu thập thông tin từ quảng cáo hiển thị

Đối tác của Facebook sử dụng thông tin thu được từ việc nhấp vào nút ‘Thích’ hoặc từ các công cụ do Facebook cung cấp để hiển thị quảng cáo. Facebook cung cấp thông tin về quảng cáo cho người dùng và cho phép họ lựa chọn có sử dụng thông tin từ đối tác để hiển thị quảng cáo hay không.

Lựa chọn thông tin hồ sơ cá nhân

Trong hồ sơ cá nhân của Facebook, thông tin về quan điểm chính trị, tôn giáo/tín ngưỡng, và mối quan hệ được ghi chép và công bố. Người dùng có thể lựa chọn ‘tiếp tục công bố thông tin này’ hoặc ‘cho phép sử dụng thông tin đã công bố trong quảng cáo’.

Người dùng có thể tự do lựa chọn thông tin hồ sơ cá nhân của mình bất cứ lúc nào và có thể dễ dàng xóa bỏ nếu họ mong muốn.

Xác nhận về công nghệ nhận diện khuôn mặt (EU & Canada)

Facebook cho phép người dùng tại các quốc gia thành viên EU và Canada lựa chọn có sử dụng công nghệ nhận diện khuôn mặt hay không. Người dùng ở các khu vực khác cũng có thể tự do lựa chọn.

Điều khoản dịch vụ và thỏa thuận về dữ liệu được cập nhật

Facebook sẽ hiển thị yêu cầu đồng ý với ‘Điều khoản dịch vụ’ và ‘Chính sách dữ liệu’ bao gồm thông tin chi tiết về cơ chế hoạt động của dịch vụ.

Giới thiệu tính năng dễ dàng truy cập, xóa và tải xuống thông tin

Người dùng có thể kiểm tra và xóa dữ liệu cá nhân của mình thông qua ‘Công cụ quản lý dữ liệu cá nhân’. Họ cũng có thể dễ dàng tải xuống và xuất dữ liệu của mình.

Facebook cập nhật tính năng log hoạt động trên thiết bị di động, giúp người dùng dễ dàng kiểm tra thông tin họ đã chia sẻ trước đây.

Cung cấp thông tin cho người dùng trẻ tuổi

Facebook đã thiết lập các hạn chế đối với người dùng trong độ tuổi thanh thiếu niên. Các hạn chế bao gồm:

• Hạn chế về loại quảng cáo
• Không sử dụng công nghệ nhận diện khuôn mặt (dưới 18 tuổi)
• Hạn chế việc xem và tìm kiếm thông tin mà người dùng thanh thiếu niên chia sẻ

Ngoài ra, cài đặt mặc định được thiết kế để không công bố thông tin công khai.

Để tuân thủ GDPR, Facebook cũng đã thiết lập các quy định riêng. Đối với người dùng tại các quốc gia thành viên EU, việc xem quảng cáo và ghi chép thông tin hồ sơ cá nhân (như tôn giáo/tín ngưỡng, quan điểm chính trị, v.v.) cần có sự cho phép của người giám hộ.

Ở các khu vực khác, người dùng có thể tự do lựa chọn việc sử dụng dữ liệu thu thập từ đối tác cho quảng cáo hiển thị và công bố thông tin cá nhân trên hồ sơ của mình.

Tóm lược: GDPR có phạm vi dữ liệu cá nhân rộng hơn và việc tuân thủ là bắt buộc so với luật Nhật Bản

Trong GDPR, có các quy định đa dạng như “làm rõ mục đích sử dụng cho từng thông tin thu thập”, “minh bạch quyền xóa bỏ và quyền di động dữ liệu”, “làm rõ thời hạn lưu trữ”, và phạm vi quyền lợi của người sử dụng đã được mở rộng hơn so với luật truyền thống của Nhật Bản.

Nếu vi phạm GDPR, doanh nghiệp sẽ phải đối mặt với việc nộp một khoản tiền phạt lớn, và các doanh nghiệp xử lý thông tin cá nhân trong khu vực EU phải tuân thủ GDPR. Các doanh nghiệp đang hoạt động kinh doanh tại EU hoặc có kế hoạch mở rộng vào tương lai nên xây dựng chính sách bảo mật phù hợp với GDPR.

Giới thiệu các biện pháp của Văn phòng Luật sư Monolith

Văn phòng Luật sư Monolith là một văn phòng luật sư có kinh nghiệm phong phú trong lĩnh vực IT, đặc biệt là Internet và luật pháp. Trong những năm gần đây, kinh doanh toàn cầu ngày càng mở rộng, và nhu cầu kiểm tra pháp lý bởi các chuyên gia ngày càng tăng. Văn phòng chúng tôi cung cấp các giải pháp liên quan đến pháp luật quốc tế.

Lĩnh vực hoạt động của Văn phòng Luật sư Monolith: Pháp luật quốc tế & Kinh doanh nước ngoài[ja]