Tuân thủ GDPR cho các công ty tại Hoa Kỳ và ngoài châu Âu: Hướng dẫn thực tiễn

Nhiều doanh nghiệp tại Hoa Kỳ cho rằng Quy định bảo vệ dữ liệu chung của EU (GDPR) chỉ áp dụng cho các công ty đặt trụ sở ở châu Âu. Nhận định đó rất rủi ro. Nếu doanh nghiệp của bạn cung cấp hàng hóa hoặc dịch vụ cho người dân trong Liên minh châu Âu, theo dõi hành vi của họ, hoặc xử lý dữ liệu cá nhân của họ liên quan đến các hoạt động đó, GDPR có thể vẫn áp dụng ngay cả khi công ty của bạn được thành lập và vận hành tại Hoa Kỳ.

Đối với nhà sáng lập, startup và các doanh nghiệp nhỏ đang phát triển, vấn đề không chỉ là lý thuyết pháp lý. GDPR có thể ảnh hưởng đến cách bạn thu thập địa chỉ email, chạy quảng cáo, sử dụng cookie, lưu trữ hồ sơ khách hàng, xử lý thanh toán, quản lý nhà thầu và xử lý sự cố an ninh. Nếu doanh nghiệp của bạn được thành lập tại Hoa Kỳ nhưng phục vụ đối tượng quốc tế, việc tuân thủ quyền riêng tư cần được đưa vào mô hình vận hành ngay từ đầu.

Hướng dẫn này giải thích GDPR là gì, vì sao các công ty ngoài châu Âu có thể phải tuân thủ, những loại dữ liệu nào được bảo vệ và các bước thực tiễn có thể giúp giảm rủi ro.

GDPR là gì

GDPR là luật bảo vệ dữ liệu của Liên minh châu Âu. Luật này được thiết kế để trao cho cá nhân nhiều quyền kiểm soát hơn đối với cách dữ liệu cá nhân của họ được thu thập, sử dụng, chia sẻ, lưu trữ và xóa bỏ.

Phạm vi của luật rất rộng. Nó áp dụng cho nhiều loại hoạt động xử lý dữ liệu khác nhau, bao gồm:

• Thu thập thông tin liên hệ qua biểu mẫu
• Chạy các chiến dịch email marketing
• Theo dõi người truy cập website bằng cookie hoặc công cụ phân tích
• Lưu trữ hồ sơ khách hàng hoặc nhân viên
• Chia sẻ dữ liệu với nhà cung cấp, nền tảng hoặc bên cung cấp dịch vụ
• Xử lý dữ liệu thanh toán và đăng ký thuê bao
• Sử dụng hệ thống tự động để lập hồ sơ hoặc phân khúc người dùng

GDPR cũng đặt ra các nghĩa vụ về minh bạch, bảo mật, quyền của chủ thể dữ liệu, ứng phó vi phạm dữ liệu và trách nhiệm giải trình. Trên thực tế, điều đó có nghĩa là doanh nghiệp cần nhiều hơn một chính sách quyền riêng tư. Doanh nghiệp cần các quy trình thực tế.

Vì sao các công ty tại Hoa Kỳ có thể bị áp dụng

GDPR không chỉ giới hạn ở các công ty có mặt vật lý tại EU. Luật này có thể áp dụng cho tổ chức ngoài châu Âu khi họ thực hiện một trong hai việc sau:

• Cung cấp hàng hóa hoặc dịch vụ cho người dân trong EU
• Theo dõi hành vi của người dân trong EU, bao gồm thông qua công nghệ theo dõi hoặc phân tích hành vi

Điều đó có nghĩa là một startup tại Hoa Kỳ, cửa hàng trực tuyến, công ty SaaS, tư vấn viên, nhà phát triển ứng dụng hoặc thương hiệu thương mại điện tử có thể thuộc phạm vi GDPR ngay cả khi tất cả chủ sở hữu, nhân viên và máy chủ đều ở Hoa Kỳ.

Ví dụ bao gồm:

• Một công ty Delaware bán sản phẩm số cho khách hàng tại Pháp hoặc Đức
• Một LLC tại Texas chạy quảng cáo trả phí nhắm vào cư dân EU
• Một startup tại California sử dụng phân tích và cookie để nghiên cứu người truy cập từ EU
• Một công ty tư vấn tại New York thu thập yêu cầu từ khách hàng tiềm năng ở EU

Nếu doanh nghiệp của bạn có mối quan hệ có chủ đích với người dân trong EU, bạn nên đánh giá xem GDPR có áp dụng hay không.

Dữ liệu cá nhân bao gồm những gì

GDPR định nghĩa dữ liệu cá nhân theo nghĩa rất rộng. Nó không chỉ giới hạn ở các định danh rõ ràng như tên hoặc số giấy tờ tùy thân. Luật có thể bao phủ bất kỳ thông tin nào liên quan đến một cá nhân có thể nhận dạng.

Các ví dụ phổ biến bao gồm:

• Tên
• Địa chỉ email
• Địa chỉ gửi thư
• Số điện thoại
• Địa chỉ IP
• Mã định danh thiết bị
• Dữ liệu vị trí
• Mã định danh cookie
• Thông tin thanh toán
• Thông tin đăng nhập tài khoản
• Hồ sơ việc làm
• Thông tin sức khỏe
• Dữ liệu hành vi dựa trên IP

Một thông tin không nhất thiết phải tự nó xác định được một người mới được xem là dữ liệu cá nhân. Nếu nó có thể được liên kết hợp lý với một cá nhân, nó có thể thuộc phạm vi GDPR.

Định nghĩa rộng đó là một trong những lý do nhiều doanh nghiệp đánh giá thấp luật này. Một biểu mẫu đăng ký nhận bản tin đơn giản, cổng khách hàng hoặc công cụ phân tích web cũng có thể tạo ra nghĩa vụ nếu liên quan đến cư dân EU.

Vì sao “Chúng tôi ở Hoa Kỳ” không phải là lập luận an toàn

Một số doanh nghiệp cho rằng vì họ được thành lập theo luật tiểu bang của Hoa Kỳ nên GDPR không thể áp dụng. Điều đó không đúng với cách quy định này vận hành.

GDPR tập trung vào hoạt động, người mà dữ liệu đang được xử lý, và mối liên hệ với EU. Nơi doanh nghiệp của bạn được thành lập quan trọng ít hơn nhiều so với việc doanh nghiệp của bạn thực sự đang làm gì.

Nếu doanh nghiệp của bạn xử lý dữ liệu cá nhân của EU theo cách thuộc phạm vi GDPR, bạn có thể cần tuân thủ luật này bất kể bạn là:

• Một công ty được thành lập tại Delaware, Wyoming, Florida hoặc bất kỳ tiểu bang nào khác
• Một LLC một thành viên
• Một startup tự cấp vốn
• Một công ty làm việc từ xa, không có văn phòng vật lý nào ngoài Hoa Kỳ

Đây là một lý do nữa để nhà sáng lập nghĩ về tuân thủ sớm khi thành lập doanh nghiệp mới. Việc thành lập chỉ là bước đầu. Hoạt động, nhà cung cấp, hợp đồng và luồng khách hàng của công ty đều quan trọng.

Các nguyên tắc chính của GDPR mà doanh nghiệp nên biết

GDPR được xây dựng dựa trên các nguyên tắc cốt lõi định hình việc tuân thủ hằng ngày. Những nguyên tắc quan trọng nhất đối với doanh nghiệp nhỏ là:

Tính hợp pháp, công bằng và minh bạch

Bạn cần có căn cứ pháp lý hợp lệ để xử lý dữ liệu cá nhân, và bạn phải giải thích rõ ràng những gì mình đang làm.

Giới hạn mục đích

Chỉ sử dụng dữ liệu cá nhân cho mục đích cụ thể mà bạn đã công bố. Đừng thu thập dữ liệu cho một lý do rồi sau đó tái sử dụng cho một mục đích không liên quan mà không có thông báo và căn cứ pháp lý phù hợp.

Giảm thiểu dữ liệu

Chỉ thu thập lượng dữ liệu thực sự cần thiết. Càng nhiều dữ liệu thì rủi ro càng lớn.

Tính chính xác

Giữ dữ liệu cá nhân chính xác và cập nhật hồ sơ khi cần.

Giới hạn thời gian lưu trữ

Đừng giữ dữ liệu cá nhân mãi mãi chỉ vì bạn có thể. Chỉ lưu giữ dữ liệu trong thời gian cần thiết cho mục đích đã công bố.

Tính toàn vẹn và bảo mật

Bảo vệ dữ liệu cá nhân bằng các biện pháp an ninh kỹ thuật và tổ chức hợp lý.

Trách nhiệm giải trình

Bạn phải có khả năng chứng minh rằng mình đang tuân thủ. Chính sách quan trọng, nhưng hồ sơ, hợp đồng và quy trình nội bộ cũng quan trọng.

Căn cứ pháp lý để xử lý dữ liệu

Theo GDPR, doanh nghiệp thường cần một căn cứ pháp lý để xử lý dữ liệu cá nhân. Các căn cứ phổ biến bao gồm:

• Sự đồng ý
• Thực hiện hợp đồng
• Nghĩa vụ pháp lý
• Lợi ích thiết yếu
• Nhiệm vụ công
• Lợi ích hợp pháp

Đối với nhiều doanh nghiệp tại Hoa Kỳ, các căn cứ thường gặp nhất là sự đồng ý, thực hiện hợp đồng và lợi ích hợp pháp.

Điểm quan trọng là sự đồng ý không phải lúc nào cũng bắt buộc, nhưng khi sử dụng sự đồng ý, nó phải được cung cấp trên cơ sở đã được thông tin, cụ thể, tự nguyện và dễ dàng rút lại. Ô chọn sẵn hoặc các chấp thuận chung chung, mơ hồ thường không đủ.

Các tình huống thường kích hoạt nghĩa vụ đối với doanh nghiệp nhỏ

Bạn có thể cần xem xét nghĩa vụ GDPR nếu doanh nghiệp của bạn thực hiện bất kỳ việc nào sau đây:

• Bán hàng cho khách hàng trong EU
• Có website chủ động tiếp thị đến cư dân EU
• Chạy quảng cáo nhắm lại hoặc quảng cáo hành vi
• Sử dụng cookie, pixel hoặc công cụ phân tích theo dõi người truy cập
• Gửi email quảng bá đến liên hệ ở EU
• Lưu trữ hồ sơ tài khoản khách hàng
• Sử dụng nhà cung cấp thanh toán, CRM hoặc phần mềm hỗ trợ khách hàng bên thứ ba xử lý dữ liệu EU
• Thu thập đơn ứng tuyển từ ứng viên ở EU

Ngay cả khi doanh nghiệp của bạn nhỏ, sự hiện diện của khách hàng hoặc người dùng ở EU cũng có thể tạo ra nghĩa vụ.

Vì sao chặn theo IP không phải là chiến lược đáng tin cậy

Một số công ty cố tránh GDPR bằng cách chặn người truy cập từ EU hoặc yêu cầu họ bấm xác nhận rằng họ không ở EU. Những cách làm này không đáng tin cậy.

Định vị địa lý bằng IP không hoàn hảo. VPN, nhà mạng di động, mạng dùng chung và việc di chuyển có thể làm sai lệch vị trí thực của người dùng. Một trường biểu mẫu hoặc ô chọn cũng không giải quyết được câu hỏi cốt lõi là doanh nghiệp của bạn có thực sự đang cung cấp dịch vụ cho người ở EU hoặc theo dõi hành vi của họ hay không.

Nếu công ty của bạn muốn tránh tiếp xúc với GDPR, giải pháp bền vững duy nhất là thiết kế mô hình kinh doanh và thực hành website cho phù hợp. Trong nhiều trường hợp, câu trả lời tốt hơn là tuân thủ.

Các bước thực tiễn để cải thiện mức độ sẵn sàng tuân thủ GDPR

Một doanh nghiệp nhỏ không cần một bộ phận pháp chế lớn để sẵn sàng hơn với GDPR. Nhưng doanh nghiệp cần một cách tiếp cận có cấu trúc.

1. Lập bản đồ dữ liệu của bạn

Xác định bạn thu thập dữ liệu cá nhân nào, từ đâu, đi đến đâu, ai có thể truy cập và bạn giữ trong bao lâu.

2. Giảm việc thu thập không cần thiết

Nếu bạn không cần một trường trên biểu mẫu, hãy bỏ nó. Nếu một công cụ của nhà cung cấp thu thập dữ liệu mà bạn không bao giờ sử dụng, hãy xem xét lại.

3. Cập nhật thông báo quyền riêng tư

Thông báo quyền riêng tư của bạn nên giải thích rõ:

• Bạn thu thập dữ liệu gì
• Vì sao bạn thu thập dữ liệu đó
• Căn cứ pháp lý cho việc xử lý
• Bạn có chia sẻ dữ liệu với bên thứ ba hay không
• Bạn lưu giữ dữ liệu trong bao lâu
• Người dùng có những quyền gì
• Người dùng có thể liên hệ với bạn bằng cách nào

4. Rà soát cookie và công cụ theo dõi

Nếu bạn sử dụng phân tích, pixel quảng cáo, công cụ nhắm lại hoặc phần mềm ghi lại phiên truy cập, hãy xác định liệu có cần sự đồng ý hoặc thông báo khác hay không.

5. Thiết lập thỏa thuận với nhà cung cấp

Nếu các nhà cung cấp dịch vụ xử lý dữ liệu cá nhân thay mặt bạn, bạn cần các hợp đồng phân bổ trách nhiệm phù hợp. Điều này đặc biệt quan trọng đối với dịch vụ lưu trữ, bảng lương, CRM, email marketing và nền tảng hỗ trợ khách hàng.

6. Thiết lập quy trình xử lý yêu cầu của chủ thể dữ liệu

Cá nhân ở EU có thể có quyền truy cập, chỉnh sửa, xóa hoặc hạn chế việc sử dụng dữ liệu cá nhân của họ. Bạn nên biết yêu cầu sẽ được tiếp nhận, xác minh, theo dõi và phản hồi như thế nào.

7. Chuẩn bị cho vi phạm dữ liệu

Hãy có kế hoạch ứng phó sự cố an ninh. GDPR có thể yêu cầu thông báo kịp thời trong một số kịch bản vi phạm, vì vậy bạn cần biết ai chịu trách nhiệm, những gì được ghi nhận và khi nào cần xem xét pháp lý.

8. Đào tạo đội ngũ của bạn

Bất kỳ ai xử lý dữ liệu khách hàng đều nên hiểu các kỳ vọng cơ bản về quyền riêng tư và bảo mật. Một chính sách chỉ hữu ích nếu mọi người làm theo.

Bảo mật dữ liệu rất quan trọng

Bảo mật không chỉ là vấn đề của bộ phận CNTT. Theo GDPR, dữ liệu cá nhân phải được bảo vệ khỏi truy cập trái phép, tiết lộ, thay đổi và mất mát.

Các biện pháp nền tảng tốt thường bao gồm:

• Mật khẩu mạnh và xác thực đa yếu tố
• Kiểm soát truy cập theo vai trò
• Mã hóa khi truyền tải và khi lưu trữ nếu phù hợp
• Thẩm định nhà cung cấp
• Cập nhật phần mềm và vá lỗi thường xuyên
• Quy trình sao lưu và khôi phục
• Ghi nhật ký truy cập vào các hệ thống nhạy cảm
• Tiêu hủy an toàn các hồ sơ đã lỗi thời

Doanh nghiệp nhỏ không cần thiết kế quá phức tạp, nhưng họ nên có thể giải thích các lựa chọn của mình và chứng minh đã thực hiện các bước hợp lý.

Lưu ý đặc biệt cho startup và công ty mới

Nếu bạn đang thành lập doanh nghiệp ngay bây giờ, tuân thủ quyền riêng tư nên là một phần trong danh sách chuẩn bị ra mắt. Điều đó đặc biệt đúng nếu bạn dự định phục vụ khách hàng ngoài Hoa Kỳ.

Khi nhà sáng lập đang thiết lập một công ty, họ đã phải đưa ra các quyết định về loại hình pháp nhân, quyền sở hữu, dịch vụ đại lý đăng ký, điều lệ hoạt động, ngân hàng và đăng ký thuế. Đây cũng là thời điểm thích hợp để nghĩ về:

• Doanh nghiệp sẽ thu thập dữ liệu gì
• Nhà cung cấp nào sẽ xử lý dữ liệu đó
• Doanh nghiệp sẽ nhắm đến thị trường khách hàng nào
• Doanh nghiệp có người truy cập hoặc khách hàng ở EU hay không
• Chính sách nội bộ nào nên có trước khi ra mắt

Zenind hỗ trợ các doanh nhân trong quá trình thành lập công ty, và việc sẵn sàng về quyền riêng tư cũng phù hợp với cùng một cách tiếp cận kỷ luật: xây dựng doanh nghiệp đúng cách ngay từ đầu để tăng trưởng sau này không tạo ra rủi ro có thể tránh được.

Khi nào nên tìm hỗ trợ pháp lý

GDPR khá chi tiết, và nhiều doanh nghiệp cần hỗ trợ pháp lý để đánh giá nghĩa vụ cụ thể của mình. Bạn nên cân nhắc tư vấn chuyên môn nếu:

• Công ty của bạn có khách hàng hoặc người dùng ở EU
• Bạn thu thập dữ liệu cá nhân nhạy cảm
• Bạn phụ thuộc nhiều vào quảng cáo, theo dõi hoặc lập hồ sơ
• Bạn xử lý dữ liệu ở quy mô lớn
• Bạn không chắc căn cứ pháp lý nào áp dụng
• Bạn cần soạn thảo hoặc rà soát thỏa thuận với nhà cung cấp
• Bạn đã nhận được yêu cầu từ một cá nhân hoặc cơ quan quản lý ở EU

Bài viết này là tổng quan thực tiễn, không phải tư vấn pháp lý. Để đánh giá tuân thủ thực tế, hãy làm việc với luật sư đủ điều kiện hoặc chuyên gia về quyền riêng tư.

Điểm chính cần nhớ

• GDPR có thể áp dụng cho các công ty tại Hoa Kỳ và các công ty ngoài châu Âu.
• Luật tập trung vào cách bạn xử lý dữ liệu cá nhân, không chỉ nơi công ty của bạn được thành lập.
• Dữ liệu cá nhân được định nghĩa rất rộng và có thể bao gồm địa chỉ IP, cookie và các định danh hành vi.
• Doanh nghiệp nhỏ nên lập bản đồ luồng dữ liệu, cập nhật thông báo, kiểm soát nhà cung cấp và chuẩn bị cho yêu cầu của người dùng.
• Nếu công ty của bạn phục vụ khách hàng EU hoặc theo dõi người truy cập từ EU, GDPR nên là một phần trong kế hoạch vận hành của bạn.

Kết luận

Đối với doanh nghiệp tại Hoa Kỳ, GDPR không phải là một vấn đề xa xôi của châu Âu. Đây là một câu hỏi tuân thủ thực tế có thể ảnh hưởng đến cách website của bạn hoạt động, cách hợp đồng của bạn được soạn, cách marketing của bạn vận hành và cách dữ liệu của bạn được bảo mật.

Những công ty xử lý GDPR tốt nhất không phải là những công ty phớt lờ nó. Đó là những công ty nhận diện sớm, thu thập ít dữ liệu hơn, đặt ra quy tắc rõ ràng và tích hợp tuân thủ vào quy trình làm việc ngay từ đầu. Nếu doanh nghiệp của bạn đang được thành lập ngay bây giờ hoặc đang chuẩn bị mở rộng quốc tế, đây là thời điểm phù hợp để tổ chức mọi thứ một cách bài bản.