GDPR là gì?

GDPR là luật bảo vệ dữ liệu toàn diện cung cấp cho cư dân EU quyền kiểm soát dữ liệu cá nhân của họ. Nó áp dụng cho bất kỳ tổ chức nào -- ở bất kỳ đâu trên thế giới -- xử lý dữ liệu của cư dân EU. Quy định bao gồm việc thu thập, lưu trữ, xử lý và chia sẻ dữ liệu.

Các Nguyên tắc Cốt lõi của GDPR

GDPR Áp dụng cho Ai?

GDPR áp dụng cho bất kỳ tổ chức nào xử lý dữ liệu cá nhân của các cá nhân ở EU, bất kể tổ chức đó có trụ sở ở đâu. Điều này bao gồm các công ty ở Mỹ, châu Á hoặc bất kỳ đâu có khách hàng EU, khách truy cập trang web hoặc nhân viên.

Quyền Cá nhân theo GDPR

• Quyền truy cập: Người dùng có thể yêu cầu bản sao dữ liệu của họ.
• Quyền chỉnh sửa: Người dùng có thể sửa dữ liệu không chính xác.
• Quyền xóa: "Quyền được lãng quên".
• Quyền di chuyển dữ liệu: Người dùng có thể chuyển dữ liệu của họ sang dịch vụ khác.
• Quyền phản đối: Người dùng có thể phản đối một số loại xử lý nhất định.
• Quyền hạn chế xử lý: Người dùng có thể giới hạn cách sử dụng dữ liệu của họ.

Hình phạt khi Không tuân thủ

GDPR và Đạo luật Thị trường Kỹ thuật số (DMA)

Từ năm 2024, Đạo luật Thị trường Kỹ thuật số của EU hoạt động cùng với GDPR để điều chỉnh cách các nền tảng lớn xử lý dữ liệu người dùng. DMA yêu cầu các "người gác cổng" được chỉ định (như Google, Apple và Meta) phải có được sự đồng ý rõ ràng trước khi kết hợp dữ liệu người dùng trên các dịch vụ. Điều này có tác động trực tiếp đến cách thu thập và truyền sự đồng ý qua chuỗi cung ứng quảng cáo.

GDPR và Cookie: Vai trò của Quản lý Sự đồng ý

Theo GDPR và Chỉ thị ePrivacy, các trang web phải có được sự đồng ý rõ ràng trước khi đặt cookie không cần thiết. Điều này có nghĩa là một banner cookie tuân thủ không phải là tùy chọn -- đó là yêu cầu pháp lý. Các khía cạnh chính bao gồm:

• Cookie không cần thiết (phân tích, marketing, quảng cáo) phải bị chặn cho đến khi người dùng đồng ý rõ ràng
• Sự đồng ý phải được tự do đưa ra -- không có hộp kiểm được đánh dấu sẵn hoặc tường cookie buộc phải chấp nhận
• Người dùng phải có thể rút lại sự đồng ý dễ dàng như khi họ đã đồng ý
• Hồ sơ đồng ý phải được lưu trữ và sẵn sàng để kiểm tra

Google Consent Mode V2 và GDPR

Từ tháng 3 năm 2024, Google yêu cầu các trang web phục vụ quảng cáo trong Khu vực Kinh tế Châu Âu (EEA) sử dụng CMP được Google Chứng nhận và triển khai Consent Mode V2. Sự tích hợp này đảm bảo rằng các tín hiệu đồng ý được truyền đến các dịch vụ Google một cách chính xác, cho phép phục vụ quảng cáo tuân thủ trong khi vẫn bảo tồn khả năng đo lường thông qua mô hình hóa an toàn quyền riêng tư.

IAB TCF 2.3 và Tuân thủ GDPR

Khung Minh bạch và Đồng ý IAB (TCF) phiên bản 2.3 cung cấp cách tiêu chuẩn hóa để thu thập và truyền đạt sự đồng ý trong hệ sinh thái quảng cáo kỹ thuật số. Sử dụng CMP tuân thủ TCF 2.3 như FlexyConsent đảm bảo rằng các tín hiệu đồng ý được định dạng và truyền đúng cách đến tất cả các nhà cung cấp quảng cáo trong chuỗi cung ứng.

Cách Tuân thủ GDPR vào năm 2026

• Kiểm tra các hoạt động thu thập và xử lý dữ liệu của bạn
• Triển khai CMP được Google Chứng nhận như FlexyConsent
• Đảm bảo CMP của bạn hỗ trợ IAB TCF 2.3 và Google Consent Mode V2
• Tạo chính sách quyền riêng tư và cookie rõ ràng, dễ tiếp cận
• Kích hoạt yêu cầu truy cập của chủ thể dữ liệu (DSAR)
• Đào tạo nhóm của bạn về trách nhiệm bảo vệ dữ liệu
• Bổ nhiệm Cán bộ Bảo vệ Dữ liệu (DPO) nếu cần thiết
• Triển khai các quy trình thông báo vi phạm dữ liệu (quy tắc 72 giờ)
• Tiến hành Đánh giá Tác động Bảo vệ Dữ liệu (DPIA) thường xuyên