Vào năm 2018, Liên minh Châu Âu đã^{(European Union)} thực hiện một loạt các cải cách về bảo vệ dữ liệu được gọi là Quy định chung về bảo vệ dữ liệu^{(General Data Protection Regulation)} ( GDPR ). Về bản chất, GDPR đã^(GDPR) thay thế tất cả các luật bảo vệ dữ liệu khác nhau bằng một bộ quy tắc duy nhất áp dụng cho mọi quốc gia EU^{(EU state)} . Nhiều doanh nghiệp đã phải thay đổi chính sách của mình để tuân thủ GDPR^{(GDPR compliant)} , tuy nhiên, mặc dù đã qua giai đoạn chuyển đổi^{(transition period)} , vẫn còn rất nhiều nhầm lẫn về các quy định mới. 

Vậy GDPR là gì và làm thế nào để bạn có thể làm cho doanh nghiệp của mình tuân thủ^{(business compliant)} ?

Trong bài viết này, bạn sẽ học cách tuân thủ GDPR^{(GDPR compliant)} mà không cần phải đọc chỉ thị bảo vệ dữ liệu khô khan của Liên minh Châu Âu^{(EU data protection directive)} . Chúng tôi sẽ giúp bạn hiểu GDPR là gì và cho bạn biết những bước bạn cần thực hiện để làm cho trang web của bạn tuân thủ GDPR^{(GDPR compliant)} .

GDPR là gì?

GDPR là một chỉ thị bảo vệ dữ liệu^{(data protection directive)} ở Liên minh Châu Âu^{(European Union)} được thiết kế để bảo vệ quyền riêng tư trực tuyến^{(the online privacy)} của công dân EU. Nó quy định cách dữ liệu cá nhân được sử dụng và loại dữ liệu mà các trang web có thể thu thập về bạn. Mặc dù là quy định của Liên minh Châu Âu^{(EU regulation)} , nhưng GDPR áp dụng cho tất cả các trang web được người dùng từ Liên minh Châu Âu truy cập. Do đó, các trang web và doanh nghiệp phải tuân thủ GDPR hoặc chặn lưu lượng truy cập của Liên minh Châu Âu^{(GDPR compliant or block EU traffic)} .

Với ý nghĩ đó, đây là các khía cạnh chính của GDPR có thể ảnh hưởng đến doanh nghiệp của bạn:

• Trang web của bạn phải thông báo rõ ràng cho khách truy cập rằng dữ liệu cá nhân của họ đang được thu thập.
• Bạn cũng cần tiết lộ cách thức và lý do dữ liệu của họ được thu thập và lưu trữ.
• Nếu người dùng yêu cầu bạn xóa dữ liệu cá nhân^{(delete personal data)} mà bạn đã thu thập, bạn phải tuân thủ yêu cầu trong hầu hết các trường hợp.
• Người dùng cũng có thể yêu cầu một bản sao của tất cả thông tin cá nhân mà bạn lưu trữ.
• Nếu một trong những hoạt động chính của doanh nghiệp bạn là thu thập và lưu trữ dữ liệu cá nhân, bạn cần thuê nhân viên bảo vệ dữ liệu^{(data protection officer)} .
• Nếu trang web của bạn bị vi phạm và thông tin cá nhân của người dùng bị rò rỉ ra ngoài, bạn có 72 giờ để báo cáo vi phạm.
• Việc vi phạm quy định GDPR^{(GDPR regulation)} có thể dẫn đến khoản tiền phạt lên tới 20 triệu €^{(fines of up to €20 million)} (~ 24 triệu đô la) hoặc 4% doanh thu hàng năm của công ty bạn.

Mục đích chính của GDPR là bảo vệ mọi người và thông tin cá nhân của họ khỏi bị vi phạm dữ liệu^{(data breaches)} . Bây giờ câu hỏi là, những loại dữ liệu nào thuộc GDPR ?

Các loại dữ liệu được điều chỉnh bởi GDPR^{(Types of Data Regulated by GDPR)}

Cho dù bạn xây dựng trang web của mình từ đầu hay sử dụng chủ đề WordPress^{(WordPress theme)} , trang web của bạn sẽ thu thập các loại dữ liệu khác nhau. Các trang web thu thập thông tin theo nhiều cách khác nhau, bao gồm thông qua phân tích, biểu mẫu WordPress , biểu mẫu đăng ký, biểu mẫu liên hệ và các chiến dịch tiếp thị qua email.

Tóm lại, tất cả dữ liệu cá nhân đều thuộc GDPR , nhưng chúng tôi có thể chia dữ liệu đó thành các loại sau:

• Thông tin di truyền và sức khỏe.
• Dữ liệu sinh trắc học.
• Quan điểm chính trị và / hoặc tôn giáo.
• Chủng tộc, dân tộc và giới tính.
• Dữ liệu web như địa chỉ IP^{(IP address)} và dữ liệu cookie của bạn

Miễn là doanh nghiệp của bạn lưu trữ bất kỳ dữ liệu nào đã nói ở trên về công dân Liên minh Châu Âu, thì trang web của bạn cần phải tuân thủ GDPR^{(GDPR compliant)} . Hãy nhớ rằng điều này áp dụng ngay cả khi bạn không hiện diện trong biên giới của Liên minh Châu Âu.

Các bước bắt buộc để tuân thủ GDPR

Khi bạn đọc về trách nhiệm của mình với tư cách là chủ sở hữu trang web,^{(website owner)} bạn có thể cảm thấy choáng ngợp và quyết định chặn tất cả lưu lượng truy cập đến từ EU^{(EU traffic)} sẽ dễ dàng hơn . Đừng ^(Don)để^{(t let)} GDPR làm bạn nản lòng^{(GDPR discourage)} . Dưới đây là các bước chính bạn cần thực hiện để tuân thủ GDPR^{(GDPR compliant)} .

1. Cải thiện Chính sách Bảo mật của Bạn^{(1. Improve Your Privacy Policy)}

Minh bạch với việc thu thập, lưu trữ và chia sẻ dữ liệu. Trang web của bạn phải có chính sách bảo mật^{(privacy policy)} chi tiết giải thích rõ ràng các phương pháp thu thập dữ liệu, bảo vệ dữ liệu, việc sử dụng cookie và chia sẻ dữ liệu. Một chính sách bảo mật^{(privacy policy)} tốt ít nhất phải bao gồm các điểm sau:

• Bạn không bán dữ liệu cá nhân của người dùng của bạn.
• Bạn không chia sẻ^{(t share)} dữ liệu cá nhân trừ khi luật pháp bắt buộc bạn.
• Các loại dữ liệu bạn thu thập.
• Lý do tại sao bạn thu thập dữ liệu và cách bạn sử dụng dữ liệu đó.
• Cách bạn bảo vệ dữ liệu người dùng.
• Cách các plugin của bạn thu thập và sử dụng dữ liệu.

Hãy rõ ràng nhất có thể bằng cách sử dụng ngôn ngữ đơn giản không để lại bất kỳ khoảng trống nào để diễn giải và bạn sẽ có chính sách bảo mật^{(privacy policy)} minh bạch rõ ràng .

2. Tạo Thông báo Thu thập Cookie^{(2. Create a Cookie Collection Notice)}

Theo GDPR , cookie được tính là dữ liệu cá nhân, vì vậy bạn cần yêu cầu người dùng của mình đồng ý trước khi sử dụng dữ liệu cookie. Đặt^(Place) một thông báo thu thập cookie^{(cookie collection notice)} rõ ràng trên trang web của bạn và đảm bảo rằng bạn cho phép người dùng truy cập vào trang web của mình ngay cả khi họ không đồng ý. Người dùng của bạn cũng phải có một cách dễ dàng để rút lại sự đồng ý của họ bất kỳ lúc nào.

3. Hiển thị thông báo trên tất cả các biểu mẫu trang web^{(3. Display Notices On All Website Forms)}

Thông lệ tiêu chuẩn^{(standard practice)} là thu thập một số dữ liệu người dùng thông qua nhiều loại biểu mẫu gửi. Nếu bạn muốn tiếp tục thu thập địa chỉ email và các chi tiết khác, hãy đăng thông báo thu thập dữ liệu^{(data collection notice)} . Không thu thập bất kỳ dữ liệu nào trước thời điểm đó và không có sự xác nhận của người dùng. Nếu không^(Otherwise) , doanh nghiệp của bạn có thể bị phạt rất nặng vì vi phạm GDPR .

Hãy rõ ràng nhất có thể với từ ngữ của bạn và cung cấp tất cả các chi tiết quan trọng về việc thu thập dữ liệu. Bạn cũng nên tránh sử dụng các hộp đánh dấu được chọn trước. Người dùng cần hiểu rằng việc thu thập dữ liệu^{(data collection)} là tùy chọn và cần có sự đồng ý của họ.

4. Đảm bảo rằng tất cả các plugin đều tuân thủ GDPR^{(4. Make Sure All Plugins Are GDPR Compliant)}

Nếu bạn đang sử dụng các plugin của bên thứ ba để thu thập dữ liệu, chẳng hạn như Google Analytics , bạn cần ẩn danh dữ liệu. Điều này có thể khó thực hiện theo cách thủ công, nhưng bạn có thể tìm thấy các plugin tuân thủ GDPR xử lý quá trình này cho bạn. Chỉ cần tìm kiếm^{(Just search)} một công cụ có cài đặt tuân thủ GDPR^{(GDPR compliance)} .

5. Sử dụng Double Opt-in^{(5. Use the Double Opt-in)}

GDPR không^{(GDPR doesn)} bắt buộc chọn tham gia hai lần, nhưng bạn rất nên sử dụng chúng. Chọn tham gia hai lần có nghĩa là bạn đang yêu cầu người dùng hai lần xác nhận rằng họ đồng ý cho việc thu thập dữ liệu. Điều này đặc biệt quan trọng đối với đăng ký danh sách email. 

Để thêm chọn tham gia kép, trước tiên bạn cần yêu cầu sự đồng ý^{(request consent)} thông qua biểu mẫu đăng ký^{(subscription form)} của trang web . Sau đó, người dùng sẽ đồng ý lần thứ hai bằng cách nhấp vào liên kết mà họ nhận được qua email.

Sử dụng tính năng chọn tham gia kép cho thấy rằng bạn tận tâm với bảo vệ dữ liệu và quyền riêng tư^{(protection and privacy)} , đồng thời nó cũng cung cấp cho các cơ quan chức năng bằng chứng thêm rằng trang web của bạn tuân thủ GDPR.

6. Thêm liên kết hủy đăng ký^{(6. Add Unsubscribe Links)}

Bao gồm^(Include) các liên kết hủy đăng ký dễ đọc với mọi thông tin liên lạc bạn gửi cho người đăng ký của mình. Việc hủy đăng ký khỏi danh sách gửi thư của bạn phải là một quá trình dễ dàng và tức thì^{(process and instant)} .

7. Xóa dữ liệu cá nhân theo yêu cầu^{(7. Delete Personal Data on Request)}

GDPR cho phép người dùng có quyền được lãng quên. Điều này có nghĩa là họ có thể yêu cầu xóa dữ liệu của họ mọi lúc. Luôn làm theo yêu cầu. Điều này bao gồm việc xóa người dùng của bạn khỏi danh sách gửi thư, xóa tài khoản của họ và xóa mọi thông tin cá nhân mà bạn có về họ. Ngay cả các bài đăng trên blog và bình luận trên diễn đàn cũng được coi là dữ liệu cá nhân và cần được xóa nếu được yêu cầu.

8. Không mua danh sách gửi thư^{(8. Don’t Buy Mailing Lists)}

Bạn không nên mua danh sách gửi thư vì bạn có thể vi phạm GDPR . Trong hầu hết các trường hợp, bạn không thể chắc chắn liệu các địa chỉ email đó có được thu thập với sự đồng ý của người dùng hay không.

Điều đó nói lên rằng nếu bạn vẫn quyết tâm mua một danh sách gửi thư, hãy đảm bảo rằng bạn ít nhất bao gồm các liên kết hủy đăng ký với mỗi email bạn gửi.

Tuân thủ GDPR là điều đáng giá

Mở trang web và doanh nghiệp^{(website and business)} của bạn cho công dân EU bằng cách làm theo tất cả các bước ở trên. Tuân thủ GDPR thoạt đầu^{(GDPR compliant)} nghe có vẻ khó khăn, nhưng không khó lắm. Nó chủ yếu liên quan đến việc minh bạch về việc thu thập dữ liệu và yêu cầu sự đồng ý. Như một phần thưởng, người dùng không thuộc Liên minh Châu Âu sẽ thấy rằng doanh nghiệp của bạn quan tâm đến quyền riêng tư và bảo vệ dữ liệu^{(privacy and data protection)} và họ sẽ có nhiều khả năng tin tưởng bạn hơn.

8 Steps To Be GDPR Compliant With Your Website

In 2018, the European Union implemented a serіes of data protection reforms known as the General Data Proteсtion Regulation (GDPR). In еssence, GDPR replaced all the different data protection laws with a single set of rules that apрlіes to every EU state. Many busineѕsеs had to change their policieѕ to be GDPR compliant, however, despite the transitіon pеriod, there’s still a lot of confuѕion regarding the new rules. 

So what is GDPR and how can you make your business compliant?

In this article, you’ll learn how to be GDPR compliant without having to read the dry EU data protection directive. We’ll help you understand what GDPR is and tell you what steps you need to take to make your site GDPR compliant.

What Is GDPR?

GDPR is a data protection directive in the European Union designed to protect the online privacy of EU citizens. It regulates the way personal data is used and what type of data websites can collect about you. Despite being an EU regulation, GDPR applies to all websites accessed by users from the EU. As a result, websites and businesses have to be GDPR compliant or block EU traffic.

With that in mind, here are the key aspects of GDPR that might affect your business:

• Your site has to clearly inform the visitors that their personal data is being collected.
• You also need to disclose how and why their data is collected and stored.
• If users ask you to delete personal data you collected, you must comply with the request in most cases.
• Users can also request a copy of all the personal information you store.
• If one of your business’s main activities is to gather and store personal data, you need to hire a data protection officer.
• If your website is breached and the personal information of your users leaks out, you have 72 hours to report the breach.
• Breaking the GDPR regulation can lead to fines of up to €20 million (~$24 million) or 4% of your company’s annual turnover.

The main purpose of GDPR is to protect people and their personal information from data breaches. Now the question is, what types of data fall under GDPR?

Types of Data Regulated by GDPR

Whether you built your website from scratch or used a WordPress theme, your site gathers different types of data. Websites collect information in different ways, including through analytics, WordPress forms, subscription forms, contact forms, and email marketing campaigns.

In short, all personal data falls under GDPR, but we can break it down into the following types:

• Genetic and health information.
• Biometric data.
• Political and/or religious views.
• Race, ethnicity, and gender.
• Web data such as your IP address and cookie data

As long as your business stores any of the aforementioned data of EU citizens, your site needs to be GDPR compliant. Remember that this applies even if you don’t have a presence within the European Union’s borders.

Steps Required To be GDPR Compliant

When you read about your responsibilities as a website owner you might feel overwhelmed and decide it’s easier to block all incoming EU traffic. Don’t let GDPR discourage you. Below are the main steps you need to take to be GDPR compliant.

1. Improve Your Privacy Policy

Be transparent with collecting, storing, and sharing data. Your website should contain a detailed privacy policy that clearly explains data collection practices, data protection, the usage of cookies, and data sharing. A good privacy policy should at least include the following points:

• You don’t sell your users’ private data.
• You don’t share private data unless the law obligates you.
• The types of data you collect.
• The reasons why you collect data and how you use it.
• How you protect user data.
• How your plugins collect and use data.

Be as clear as possible by using simple language that doesn’t leave any room for interpretation and you’ll have a clear-cut transparent privacy policy.

2. Create a Cookie Collection Notice

According to the GDPR, cookies count as personal data, so you need to ask your users for consent before using cookie data. Place an explicit cookie collection notice on your website and make sure you allow users access to your website even if they don’t give consent. Your users should also have an easy way of withdrawing their consent at any time.

3. Display Notices On All Website Forms

It’s standard practice to collect some user data through various types of submission forms. If you want to continue collecting email addresses and other details, post a data collection notice. Don’t gather any data before that point and without the user’s acknowledgment. Otherwise, your business could receive a hefty fine for breaking GDPR.

Be as clear as possible with your wording and offer all the important details about collecting data. You should also avoid using pre-checked tick boxes. The user needs to understand that data collection is optional and that it requires their consent.

4. Make Sure All Plugins Are GDPR Compliant

If you’re using third-party plugins that collect data, like Google Analytics, you need to make the data anonymous. This can be challenging to do manually, but you can find GDPR-compliant plugins that handle this process for you. Just search for a tool with GDPR compliance settings.

5. Use the Double Opt-in

GDPR doesn’t make double opt-ins obligatory, but it’s highly recommended to use them. A double opt-in means you’re asking the user twice to acknowledge that they’re giving consent for data collection. This is particularly important for email list subscriptions. 

To add a double opt-in, you need to first request consent through the website’s subscription form. Then the user should consent a second time by clicking a link they receive through email.

Using the double opt-in shows that you’re dedicated to data protection and privacy, and it also gives the authorities further proof that your site is GDPR-compliant.

6. Add Unsubscribe Links

Include easy-to-read unsubscribe links with every communication you send to your subscribers. Unsubscribing from your mailing list should be an easy process and instant.

7. Delete Personal Data on Request

GDPR gives users the right to be forgotten. This means they can request at all times for their data to be deleted. Always do as requested. This includes removing your users from mailing lists, deleting their accounts, and wiping any personal information you have about them. Even blog posts and forum comments count as personal data and should be removed if requested.

8. Don’t Buy Mailing Lists

Buying mailing lists isn’t recommended because you might be in violation of GDPR. In most cases, you can’t be sure whether those email addresses were collected with the users’ consent.

That said if you’re still determined to buy a mailing list, make sure you at least include unsubscribe links with every email you send.

Being GDPR Compliant Is Worth It

Open your website and business to EU citizens by following all the steps above. Being GDPR compliant might sound challenging at first, but it’s not that hard. It mostly involves being transparent about collecting data and asking for consent. As a bonus, non-EU users will see that your business cares about privacy and data protection and they’ll be more likely to trust you.

Related posts

• 10 nơi hàng đầu để tìm hình ảnh và video HD miễn phí cho trang web của bạn

• 7 Proven Ways đến Increase Website Traffic

• Cách thêm Discord Widget vào Website của bạn

• Tạo một trang web cá nhân một cách nhanh chóng bằng cách sử dụng Google Sites

• Cách thiết lập trang web giống Twitter của riêng bạn bằng chủ đề P2 của WordPress

• Cách tải xuống toàn bộ danh sách phát trên YouTube

• Tạo lối tắt cho chế độ duyệt web riêng tư cho trình duyệt web của bạn

• 13 Best IFTTT Applets (Formerly Recipes) để tự động hóa Online Life của bạn

• Wix Vs Squarespace: Công cụ thiết kế web nào tốt hơn?

• Ai sở hữu các Internet? Web Architecture Explained

• Cách thiết lập cửa hàng thương mại điện tử nhanh chóng và dễ dàng

• Cách cài đặt Office Web apps là PWA trên Windows 10

• Best WhatsApp Web tips & tricks Bạn có thể sử dụng

• Cách tạo một trang web đơn giản miễn phí

• 3 tài khoản Bot giúp bạn lưu nội dung từ Twitter

• Làm thế nào để tìm ra ai lưu trữ một trang web (Công ty lưu trữ web)

• Cách tạo hình thu nhỏ YouTube tuyệt vời cho video của bạn

• Cách tạo trang web Wiki của riêng bạn

• Top 10 nặc danh Web Browsers cho Private Browsing

• Danh sách các mẹo, thủ thuật và lối tắt cơ bản trên YouTube