Trong bài này
Trang web của tôi có cần chính sách bảo mật không?Chính sách bảo mật của bạn sẽ bao gồm những gì?Có sự khác biệt trong các loại thông tin được thu thập không?Việc tôi không xuất bản Chính sách bảo mật trên trang web của mình có thể gây ra bất kỳ hậu quả nào không?Mẫu miễn phí về Chính sách bảo mật – Tuân thủ Quy định Chung về Bảo vệ Dữ liệu (GDPR)GDPR là gì?Ai bị Ảnh hưởng bởi GDPR?Loại Dữ liệu Nào Rơi vào GDPR?Tại sao các Công ty nên Tuân thủ GDPR?Chuyện gì sẽ Xảy ra Nếu có Vi phạm Dữ liệu?Các Chính sách Bảo mật Mới sẽ Như thế nào?
Trang web của tôi có cần chính sách bảo mật không?
Nếu trang web của bạn thu thập dữ liệu từ khách truy cập, hiển thị quảng cáo và/hoặc theo dõi khách truy cập thông qua phân tích, thì chắc chắn trang web của bạn sẽ cần có chính sách bảo mật. Nếu địa chỉ doanh nghiệp của bạn nằm ở EU và/hoặc bạn có kế hoạch kinh doanh với khách hàng ở EU, thì bạn không chỉ cần có chính sách bảo mật, MÀ nó còn cần phải tuân thủ GDPR.Chính sách bảo mật của bạn sẽ bao gồm những gì?
Chính sách bảo mật của bạn sẽ bao gồm giải thích về ba điều quan trọng:- Loại thông tin mà bạn thu thập
- Cách thu thập các thông tin này
- Cách thông tin được lưu trữ và bảo vệ
Có sự khác biệt trong các loại thông tin được thu thập không?
Có – chính sách bảo mật phân biệt giữa thông tin có thể nhận dạng với dữ liệu không riêng tư. Theo Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ, “thông tin nhận dạng cá nhân” được định nghĩa là: “Bất kỳ thông tin nào về một cá nhân được duy trì bởi một cơ quan, bao gồm (1) bất kỳ thông tin nào có thể được sử dụng để phân biệt hoặc theo dõi danh tính của cá nhân, chẳng hạn như tên, số bảo hiểm xã hội, ngày sinh và nơi sinh, tên thời con gái của mẹ hoặc hồ sơ sinh trắc học; và (2) bất kỳ thông tin nào khác được liên kết hoặc có thể liên kết với một cá nhân, chẳng hạn như thông tin y tế, giáo dục, tài chính và việc làm”. Trong khi đó, “dữ liệu không riêng tư” được định nghĩa là: “Thông tin có thể tương ứng với một người, tài khoản hoặc hồ sơ cụ thể, nhưng không đủ để xác định, liên hệ hoặc định vị người có liên quan đến thông tin đó”.Việc tôi không xuất bản Chính sách bảo mật trên trang web của mình có thể gây ra bất kỳ hậu quả nào không?
Có. Việc thu thập dữ liệu mà người dùng không biết là hành vi phạm tội có thể bị trừng phạt. Bạn cần nêu chính xác loại thông tin mà bạn đang thu thập và thường xuyên cập nhật chính sách bảo mật của bạn nếu thông tin này thay đổi. Nếu không, bạn sẽ phải đối mặt với mức phạt đáng kể là 20 triệu Euro hoặc 4% doanh thu toàn cầu của bạn.Mẫu miễn phí về Chính sách bảo mật – Tuân thủ Quy định Chung về Bảo vệ Dữ liệu (GDPR)
Tại WebsitePlanet.com chúng tôi muốn giúp bạn bắt đầu – và hy vọng sẽ giúp bạn tiết kiệm được một khoản chi phí pháp lý – cho nên chúng tôi đã chuẩn bị chính sách bảo mật mẫu như sau. Bạn được thoải mái tải nó xuống, chỉnh sửa nó, sử dụng nó trên website của bạn, và chia sẻ nó với bạn bè và đồng nghiệp của bạn. Hãy đảm bảo sửa đổi các phần xuất hiện trong dấu ngoặc ôm { … }, những chỗ mà bạn phải sửa đổi trong mẫu để phản ánh các chi tiết cụ thể về website của bạn. CHÚNG TÔI LÀ NGƯỜI TỐT, NHƯNG CHÚNG TÔI KHÔNG PHẢI LÀ LUẬT SƯ VÀ ĐÂY KHÔNG PHẢI LÀ TƯ VẤN PHÁP LÝ. CHÍNH SÁCH BẢO MẬT MẪU NÀY LÀ ĐIỂM BẮT ĐẦU VÀ KHUNG SƯỜN CHO BẠN SỬ DỤNG CÙNG VỚI CÁC LỜI KHUYÊN VÀ ĐIỀU CHỈNH TỪ CÁC CỐ VẤN PHÁP LÝ CÓ CHUYÊN MÔN VÀ KINH NGHIỆM. Sau đây là một bản chính sách bảo mật mẫu mà bạn có thể sửa đổi và sử dụng cho phù hợp với các nhu cầu cụ thể của công ty mình – hãy đảm bảo tham khảo ý kiến của các cố vấn pháp lý có kinh nghiệm:
A. Giới thiệu
Tài liệu này được tạo bằng một mẫu từ SEQ Legal (seqlegal.com)
và được sửa đổi bởi Website Planet (www.websiteplanet.com) C. Thu thập thông tin cá nhân Các loại thông tin cá nhân sau đây có thể được thu thập, lưu trữ và sử dụng:
- Quyền riêng tư của khách truy cập website của chúng tôi rất quan trọng đối với chúng tôi và chúng tôi cam kết bảo vệ nó. Chính sách này giải thích những gì chúng tôi sẽ làm với thông tin cá nhân của bạn.
- Việc đồng ý cho chúng tôi sử dụng cookie theo các điều khoản của chính sách này khi bạn truy cập website của chúng tôi lần đầu sẽ cho phép chúng tôi sử dụng cookie mỗi khi bạn truy cập website của chúng tôi.
Tài liệu này được tạo bằng một mẫu từ SEQ Legal (seqlegal.com)
và được sửa đổi bởi Website Planet (www.websiteplanet.com) C. Thu thập thông tin cá nhân Các loại thông tin cá nhân sau đây có thể được thu thập, lưu trữ và sử dụng:
- thông tin về máy tính của bạn bao gồm địa chỉ IP, vị trí địa lý, loại và phiên bản trình duyệt, hệ điều hành;
- thông tin về các lượt truy cập và sử dụng website này của bạn bao gồm nguồn giới thiệu, thời lượng truy cập, lượt xem trang và đường dẫn điều hướng website;
- thông tin chẳng hạn như địa chỉ email mà bạn nhập khi đăng ký với website của chúng tôi;
- thông tin bạn nhập khi tạo một hồ sơ trên website của chúng tôi—ví dụ như tên, hình ảnh hồ sơ, giới tính, ngày sinh, tình trạng mối quan hệ, sở thích và thú vui, thông tin học vấn và thông tin công việc;
- thông tin chẳng hạn như tên và địa chỉ email mà bạn nhập để thiết lập đăng ký nhận email và/hoặc bản tin của chúng tôi;
- thông tin mà bạn nhập trong khi sử dụng các dịch vụ trên website của chúng tôi;
- thông tin được tạo trong khi sử dụng website của chúng tôi, bao gồm thời gian, tần suất và những trường hợp bạn sử dụng nó;
- thông tin liên quan đến bất cứ thứ gì bạn mua, các dịch vụ bạn sử dụng hoặc các giao dịch bạn thực hiện thông qua website của chúng tôi, bao gồm tên, địa chỉ, số điện thoại, địa chỉ email và thông tin thẻ tín dụng của bạn;
- thông tin mà bạn đăng lên website của chúng tôi với mục đích công khai nó trên internet, bao gồm tên người dùng, hình ảnh hồ sơ và nội dung những bài đăng của bạn;
- thông tin có trong bất kỳ liên lạc nào mà bạn gửi cho chúng tôi bằng email hoặc thông qua website của chúng tôi, bao gồm nội dung liên lạc và siêu dữ liệu của nó;
- bất kỳ thông tin cá nhân nào khác mà bạn gửi cho chúng tôi.
- quản trị website và công việc của chúng tôi;
- cá nhân hóa website của chúng tôi cho bạn;
- cho phép bạn sử dụng các dịch vụ có sẵn trên website của chúng tôi;
- gửi cho bạn sản phẩm được mua thông qua website của chúng tôi;
- cung cấp các dịch vụ được mua thông qua website của chúng tôi;
- gửi các báo cáo, hóa đơn, nhắc nhở thanh toán cho bạn và thu các khoản thanh toán từ bạn;
- gửi cho bạn các thông tin thương mại không phải tiếp thị;
- gửi cho bạn các thông báo qua email mà bạn đã yêu cầu cụ thể;
- gửi cho bạn bản tin của chúng tôi qua email, nếu bạn đã yêu cầu nó (bạn có thể thông báo cho chúng tôi bất cứ lúc nào nếu bạn không có nhu cầu nhận bản tin nữa);
- gửi cho bạn các thông tin tiếp thị liên quan đến doanh nghiệp của chúng tôi hoặc doanh nghiệp của các bên thứ ba được lựa chọn cẩn thận mà chúng tôi nghĩ rằng có thể bạn quan tâm qua đường bưu điện, nơi bạn đã đồng ý cụ thể về điều này, hoặc bằng email hay công nghệ tương tự (bạn có thể thông báo cho chúng tôi bất cứ lúc nào nếu bạn không có nhu cầu nhận các thông tin tiếp thị nữa);
- cung cấp cho các bên thứ ba thông tin thống kê về người dùng của chúng tôi (nhưng các bên thứ ba đó sẽ không thể nhận dạng bất kỳ người dùng cá nhân nào từ thông tin đó);
- xử lý các yêu cầu và khiếu nại được thực hiện bởi hoặc về bạn liên quan đến website của chúng tôi;
- giữ cho website của chúng tôi bảo mật và ngăn chặn gian lận;
- xác minh việc tuân thủ các điều khoản và điều kiện quản lý việc sử dụng website của chúng tôi (bao gồm giám sát các tin nhắn riêng tư được gửi qua dịch vụ nhắn tin riêng tư trên website của chúng tôi); và
- các việc sử dụng khác.
- đến mức độ mà chúng tôi được yêu cầu phải làm như vậy theo pháp luật;
- liên quan đến bất kỳ thủ tục pháp lý nào đang hoặc có thể diễn ra trong tương lai;
- để thiết lập, thực hiện hoặc bảo vệ các quyền hợp pháp của chúng tôi (bao gồm việc cung cấp thông tin cho người khác với mục đích phòng chống gian lận và giảm rủi ro tín dụng);
- cho người mua (hoặc người mua tiềm năng) của bất kỳ doanh nghiệp hoặc tài sản nào mà chúng tôi đang (hoặc dự tính) bán; và
- cho bất kỳ ai mà chúng tôi khá tin tưởng có thể nộp đơn lên một tòa án hoặc cơ quan có thẩm quyền khác để yêu cầu tiết lộ về thông tin cá nhân đó theo quan điểm hợp lý của chúng tôi, nơi tòa án hoặc cơ quan này hầu như sẽ có khả năng ra lệnh tiết lộ thông tin cá nhân đó.
- Thông tin mà chúng tôi thu thập có thể được lưu trữ, xử lý và chuyển giao giữa bất kỳ quốc gia nào nơi chúng tôi hoạt động để cho phép chúng tôi sử dụng thông tin chiếu theo chính sách này.
- Thông tin mà chúng tôi thu thập có thể được chuyển giao đến các quốc gia sau, nơi không có các luật bảo vệ dữ liệu tương đương với các luật hiện hành trong Khu vực Kinh tế châu Âu: Hoa Kỳ, Nga, Nhật Bản, Trung Quốc và Ấn Độ.
- Thông tin cá nhân mà bạn công khai trên website của chúng tôi hoặc gửi để đăng lên website của chúng tôi có thể có sẵn qua internet trên toàn thế giới. Chúng tôi không thể ngăn chặn việc những người khác sử dụng hoặc lạm dụng thông tin đó.
- Bạn hoàn toàn đồng ý với việc chuyển giao thông tin cá nhân được mô tả trong Mục F.
- Mục G này đặt ra các chính sách và thủ tục lưu giữ dữ liệu của chúng tôi, chúng được thiết kế nhằm giúp đảm bảo rằng chúng tôi tuân thủ các nghĩa vụ pháp lý của mình về việc lưu giữ và xóa bỏ thông tin cá nhân.
- Thông tin cá nhân mà chúng tôi xử lý cho bất kỳ mục đích hoặc các mục đích nào đều sẽ không được giữ lại lâu hơn cần thiết cho mục đích đó hoặc các mục đích đó.
- Không ảnh hưởng đến điều G-2, chúng tôi thường sẽ xóa dữ liệu cá nhân thuộc các danh mục được liệt kê dưới đây vào ngày/giờ được nêu bên dưới:
- loại dữ liệu cá nhân sẽ bị xóa {NHẬP NGÀY/GIỜ}; và
- {NHẬP NGÀY/GIỜ BỔ SUNG}.
- Bất kể các quy định khác của Mục G này, chúng tôi vẫn sẽ giữ lại các tài liệu (bao gồm cả các tài liệu điện tử) có chứa dữ liệu cá nhân:
- đến mức độ mà chúng tôi được yêu cầu phải làm như vậy theo pháp luật;
- nếu chúng tôi tin rằng các tài liệu đó có thể liên quan đến bất kỳ thủ tục pháp lý nào đang hoặc có thể diễn ra; và
- để thiết lập, thực hiện hoặc bảo vệ các quyền hợp pháp của chúng tôi (bao gồm việc cung cấp thông tin cho người khác với mục đích phòng chống gian lận và giảm rủi ro tín dụng).
- Chúng tôi sẽ thực hiện các biện pháp phòng ngừa hợp lý về mặt kỹ thuật và tổ chức để ngăn chặn thất thoát, lạm dụng hoặc thay đổi thông tin cá nhân của bạn.
- Chúng tôi sẽ lưu trữ tất cả thông tin cá nhân mà bạn cung cấp trên các máy chủ (được bảo vệ bằng mật khẩu và tường lửa) bảo mật của chúng tôi.
- Tất cả các giao dịch tài chính điện tử được nhập thông qua website của chúng tôi sẽ được bảo vệ bởi công nghệ mã hóa.
- Bạn chấp nhận rằng việc chuyển giao thông tin qua internet vốn không an toàn và chúng tôi không thể đảm bảo tính bảo mật của dữ liệu được gửi qua internet.
- Bạn có trách nhiệm giữ kín mật khẩu mà mình sử dụng để truy cập website của chúng tôi; chúng tôi sẽ không hỏi bạn về mật khẩu của bạn (trừ khi bạn đăng nhập vào website của chúng tôi).
- thanh toán một khoản phí {NHẬP PHÍ NẾU PHÙ HỢP}; và
- cung cấp bằng chứng thích hợp về danh tính của bạn ({ĐIỀU CHỈNH VĂN BẢN PHẢN ÁNH CHÍNH SÁCH CỦA BẠN cho mục đích này, chúng tôi thường sẽ chấp nhận một bản sao hộ chiếu của bạn được chứng nhận bởi một công chứng viên cộng với bản gốc của một hóa đơn tiện ích có ghi rõ địa chỉ hiện tại của bạn}).
- Tên của các cookie mà chúng tôi sử dụng trên website của mình và các mục đích mà chúng được sử dụng được nêu ra dưới đây:
- chúng tôi sử dụng Google Analytics và Adwords trên website của mình để nhận ra một máy tính khi một người dùng {BAO GỒM TẤT CẢ VIỆC SỬ DỤNG CỦA CÁC COOKIE ĐÓ TRÊN WEBSITE CỦA BẠN truy cập website / theo dõi người dùng khi họ điều hướng website / cho phép sử dụng giỏ hàng trên website / cải thiện tính khả dụng của website / phân tích việc sử dụng website / quản trị website / ngăn ngừa gian lận và cải thiện tính bảo mật của website / cá nhân hóa website cho từng người dùng / nhắm mục tiêu các quảng cáo có thể là sở thích đặc biệt đối với những người dùng cụ thể / mô tả (các) mục đích};
- Hầu hết trình duyệt cho phép bạn từ chối chấp nhận cookie—ví dụ:
- trong Internet Explorer (phiên bản 10), bạn có thể chặn các cookie bằng cách sử dụng cài đặt ghi đè xử lý cookie có sẵn khi nhấp vào “Tools” (“Công cụ”), “Internet Options” (“Tùy chọn Internet”), “Privacy” (“Quyền riêng tư”) và “Advanced” (“Nâng cao”);
- trong Firefox (phiên bản 24), bạn có thể chặn tất cả cookie bằng cách nhấp vào “Tools”, “Options”, “Privacy”, chọn “Use custom settings for history” (“Sử dụng cài đặt tùy chỉnh cho lịch sử”) từ trình đơn thả xuống và bỏ chọn “Accept cookies from sites” (“Chấp nhận cookie từ các website”); và
- trong Chrome (phiên bản 29), bạn có thể chặn tất cả các cookie bằng cách truy cập trình đơn “Customize and control” (“Tùy chỉnh và kiểm soát”) rồi nhấp vào “Settings” (“Cài đặt”), “Show advanced settings” (“Hiển thị cài đặt nâng cao”) và “Content settings” (“Cài đặt nội dung”), sau đó chọn “Block sites from setting any data” (“Chặn các website cài đặt bất kỳ dữ liệu nào”) bên dưới tiêu đề “Cookies”.
- Bạn có thể xóa các cookie đã được lưu trữ trên máy tính của mình—ví dụ:
- trong Internet Explorer (phiên bản 10), bạn phải xóa thủ công các tệp cookie (bạn có thể tìm thấy hướng dẫn để làm điều đó tại http://support.microsoft.com/kb/278835);
- trong Firefox (phiên bản 24), bạn có thể xóa các cookie bằng cách nhấp vào “Tools”, “Options” và “Privacy”, sau đó chọn “Use custom settings for history”, nhấp vào “Show Cookies” (“Hiển thị cookie”), sau đó nhấp vào “Remove All Cookies” (“Xóa tất cả cookie”); và
- trong Chrome (phiên bản 29), bạn có thể xóa tất cả cookie bằng cách truy cập trình đơn “Customize and control” và nhấp vào “Settings”, “Show advanced settings” và “Clear browsing data” (“Xóa dữ liệu duyệt web”), sau đó chọn “Delete cookies and other site and plug-in data” (“Xóa các cookie và dữ liệu trình cắm và website khác”) trước khi nhấp vào “Clear browsing data”.
- Việc xóa cookie sẽ có tác động tiêu cực đến tính khả dụng của nhiều website.
GDPR là gì?
Quy định về Bảo vệ Dữ liệu Chung (GDPR) là một bộ luật được lập ra để bảo vệ dữ liệu cá nhân của các công dân Liên minh châu Âu (EU). Hội đồng Liên minh châu Âu, Nghị viện châu Âu và Ủy ban châu Âu đã hợp tác để giúp người dân kiểm soát tốt hơn các dữ liệu cá nhân của họ. Được Nghị viện châu Âu chính thức thông qua vào năm 2016, EU cho phép một giai đoạn ân hạn hai năm để các công ty và tổ chức tuân thủ các quy định mới. Do đó, kể từ ngày 25 tháng 05 năm 2018, bất kỳ doanh nghiệp nào không tuân thủ các luật GDPR mới sẽ vi phạm luật pháp.Ai bị Ảnh hưởng bởi GDPR?
Bất kỳ doanh nghiệp nào hoạt động trong EU và bất kỳ công ty nào hoạt động kinh doanh, hoặc có hy vọng làm kinh doanh, với các công dân của Liên minh châu Âu phải tuân thủ các luật mới. Ngay cả các công ty bên ngoài EU cũng bị ảnh hưởng nếu họ cung cấp hàng hóa hoặc dịch vụ cho công dân EU, và bất cứ ai nắm giữ dữ liệu cá nhân của công dân EU đều có thể bị phạt kể từ ngày 25 tháng 05 năm 2018.Loại Dữ liệu Nào Rơi vào GDPR?
Bất kỳ thông tin nào được phân loại là các thông tin chi tiết cá nhân có thể được sử dụng để xác định một công dân EU đều được bảo vệ bởi GDPR và bao gồm, nhưng không giới hạn, các dữ liệu sau:- Tên
- Hình ảnh
- Địa chỉ email
- Các bài đăng trên các phương tiện truyền thông xã hội
- Thông tin y tế cá nhân
- Các địa chỉ IP
- Thông tin ngân hàng
Tại sao các Công ty nên Tuân thủ GDPR?
Bất kỳ doanh nghiệp nào không tuân thủ GDPR kể từ ngày 25 tháng 05 sẽ phải chịu mức phạt nặng của EU lên tới 4% hoặc 20 triệu Euro doanh thu toàn cầu, tùy theo cái nào cao nhất. Và còn có nhiều hình phạt nặng hơn nữa, tùy thuộc vào sự vi phạm. Có lẽ quan trọng hơn, các công ty không tuân thủ các luật mới sẽ phải đối mặt với sự mất uy tín trên thị trường. Nói cách khác, việc tuân thủ các luật của GDPR giúp tạo niềm tin nơi khách hàng của công ty và khách truy cập vào website của họ. Một khi công chúng cảm thấy an toàn, họ càng sẵn sàng làm việc với tổ chức đó. Việc tuân thủ GDPR không chỉ là luật – nó là một việc làm tốt.Chuyện gì sẽ Xảy ra Nếu có Vi phạm Dữ liệu?
Nếu có một vi phạm dữ liệu, đó là khi một người ngoài có được truy cập vào dữ liệu của một cá nhân mà không được phép, GDPR yêu cầu các công ty thông báo cho các cơ quan bảo vệ dữ liệu thích hợp trong vòng 72 giờ. Công ty cũng phải thông báo cho các cá nhân bị ảnh hưởng càng nhanh càng tốt. Điều quan trọng cần lưu ý, mục tiêu chính của GDPR là bảo vệ thông tin cá nhân của người dùng.Các Chính sách Bảo mật Mới sẽ Như thế nào?
Bây giờ bạn đã hiểu lập luận của các luật và một số vấn đề cơ bản của các luật đó, sau đây là một số hướng dẫn để bạn viết cho mình một chính sách bảo mật theo cách tuân thủ GDPR:- Đảm bảo chính sách ngắn gọn và súc tích. Chính sách bảo mật phải có ba yếu tố cơ bản: phải súc tích và dễ tiếp cận; phải được viết rõ ràng bằng ngôn ngữ đơn giản mà ngay cả một đứa trẻ cũng có thể hiểu được; và phải miễn phí.
- Giải thích việc sử dụng dữ liệu của bạn. Mô tả những gì bạn sẽ làm với dữ liệu một khi bạn thu thập nó. Ví dụ: cho biết liệu bạn sẽ sử dụng nó cho các mục đích tiếp thị hoặc bán cho các bên thứ ba hay không.
- Giải thích việc sử dụng cookie của bạn. Nếu bạn sử dụng cookie cho quảng cáo hành vi trực tuyến, theo dõi sở thích và thói quen trực tuyến của khách truy cập, bạn sẽ cần để cho khách truy cập website của bạn biết.
- Minh bạch về chia sẻ dữ liệu với các bên thứ ba. Nêu rõ với người nào bạn sẽ chia sẻ dữ liệu đã thu thập được và cho mục đích gì. Mặc dù đúng luật khi chia sẻ thông tin của các cá nhân với, có thể kể ra một vài đối tượng như kiểm toán viên, mạng xã hội, và các nhà cung cấp dịch vụ khách hàng, việc này sẽ là bất hợp pháp nếu như không thông báo cho khách truy cập website của bạn.
- 5. Giải thích các quyền của cá nhân. Bạn bắt buộc phải giải thích những quyền riêng tư nào mà khách truy cập có. Các quyền của họ bao gồm như sau:
- Họ có thể yêu cầu xóa hoặc sửa dữ liệu của họ
- Họ có thể truy cập dữ liệu mà một công ty có về họ
- Họ có thể yêu cầu chuyển dữ liệu của họ cho bên khác
- Họ phải đồng ý cho phép sử dụng dữ liệu của họ