Thu thập số điện thoại, email khách hàng: checklist bảo vệ dữ liệu cá nhân cho SME
Số điện thoại, email, lịch sử mua hàng đều có thể là dữ liệu cá nhân. SME cần thông báo, xin đồng ý và kiểm soát cách dùng dữ liệu.
Dữ liệu khách hàng không chỉ là tài sản marketing. Nó còn là nghĩa vụ pháp lý, và càng nhiều điểm chạm bán hàng thì càng cần một cách quản lý rõ ràng.
Tóm tắt nhanh
- Nghị định 13/2023/NĐ-CP có hiệu lực từ ngày 01/07/2023 và quy định trách nhiệm bảo vệ dữ liệu cá nhân.
- Số điện thoại, mã số định danh, địa chỉ, hình ảnh, tài khoản số và dữ liệu phản ánh lịch sử hoạt động trên không gian mạng có thể thuộc dữ liệu cá nhân cơ bản.
- Việc xử lý dữ liệu cá nhân thường cần sự đồng ý và thông báo rõ mục đích, loại dữ liệu, cách xử lý, bên liên quan và thời gian xử lý, trừ trường hợp pháp luật có quy định khác.
Nội dung chính
Dữ liệu nào SME hay bỏ sót?
Với một cửa hàng hoặc công ty dịch vụ, dữ liệu cá nhân thường nằm rải rác ở form tư vấn, Zalo, fanpage, phần mềm bán hàng, file Excel chăm sóc khách, đơn vị giao hàng và công cụ email marketing. Chỉ cần một nhân sự tải file khách về máy cá nhân hoặc gửi nhầm danh sách cho đối tác không phù hợp, doanh nghiệp đã có vấn đề cần xử lý.
Căn cứ pháp lý chính
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân có hiệu lực từ ngày 01/07/2023.
- Bộ Thông tin và Truyền thông nêu các nhóm dữ liệu cá nhân cơ bản, dữ liệu cá nhân nhạy cảm, nguyên tắc đồng ý và thông báo xử lý dữ liệu.
- Hoạt động tiếp thị, giới thiệu sản phẩm quảng cáo chỉ được sử dụng dữ liệu cá nhân của khách hàng khi có sự đồng ý của chủ thể dữ liệu và doanh nghiệp phải chứng minh việc sử dụng đúng quy định.
Checklist bảo vệ dữ liệu cho SME
- Liệt kê toàn bộ nơi đang thu thập dữ liệu: website, form tư vấn, Zalo, fanpage, POS, CRM, file kế toán, đơn vị giao hàng.
- Ghi rõ mục đích xử lý: tư vấn, giao hàng, xuất hóa đơn, chăm sóc sau bán, gửi khuyến mại, khảo sát.
- Tách dữ liệu cần cho hợp đồng/dịch vụ với dữ liệu dùng cho marketing.
- Có thông báo xử lý dữ liệu trước khi thu thập hoặc trước khi dùng dữ liệu cho mục đích mới.
- Thiết kế ô đồng ý riêng cho marketing, không gộp mơ hồ vào một câu “tôi đồng ý mọi điều khoản”.
- Giới hạn người được xem, tải, xuất file hoặc chia sẻ danh sách khách hàng.
- Ký thỏa thuận xử lý dữ liệu hoặc điều khoản bảo mật với bên thứ ba như CRM, đơn vị giao hàng, agency quảng cáo.
- Có quy trình tiếp nhận khi khách yêu cầu rút đồng ý, cập nhật, hạn chế hoặc xóa dữ liệu.
Đồng ý và thông báo nên viết thế nào?
Một ví dụ dễ hình dung
Thay vì viết một câu rất rộng như “chúng tôi được sử dụng thông tin của bạn”, hãy nói rõ bạn thu thập dữ liệu nào, dùng để làm gì, ai có thể xử lý và khách có thể rút đồng ý bằng cách nào.
Marketing là vùng dễ vấp
Nếu dùng số điện thoại hoặc email khách hàng để gửi khuyến mại, giới thiệu sản phẩm, doanh nghiệp nên có bằng chứng về sự đồng ý và nội dung khách đã được biết: loại nội dung, phương thức gửi, tần suất gửi và cách từ chối nhận tiếp.
Quy trình gợi ý
Kiểm kê dữ liệu
Tìm xem dữ liệu khách đang nằm ở đâu, ai có quyền truy cập và bên thứ ba nào đang xử lý thay doanh nghiệp.
Viết lại thông báo và mẫu đồng ý
Dùng ngôn ngữ dễ hiểu, tách riêng mục đích bắt buộc cho dịch vụ và mục đích marketing.
Siết quyền truy cập
Hạn chế tải danh sách khách, bật xác thực hai lớp nếu có, đặt người phụ trách phê duyệt khi chia sẻ dữ liệu.
Lưu bằng chứng
Giữ log thời điểm khách gửi form, nội dung đồng ý tại thời điểm đó và lịch sử rút đồng ý nếu có.
Câu hỏi thường gặp
Chỉ xin số điện thoại để tư vấn thì có cần chính sách dữ liệu không?
Nên có tối thiểu một thông báo ngắn về mục đích thu thập, cách liên hệ lại, thời gian lưu và quyền của khách. Mẫu càng rõ thì càng dễ chứng minh doanh nghiệp dùng dữ liệu đúng mục đích.
Dùng dữ liệu để giao hàng có cần đồng ý riêng không?
Việc xử lý để thực hiện nghĩa vụ theo hợp đồng là một trường hợp cần được xem xét riêng. Dù vậy, doanh nghiệp vẫn nên thông báo rõ cho khách biết dữ liệu có thể được chuyển cho đơn vị giao hàng để thực hiện đơn.
Có thể mua danh sách số điện thoại để chạy quảng cáo không?
Đây là hoạt động rủi ro cao. Doanh nghiệp cần chứng minh nguồn dữ liệu hợp pháp và sự đồng ý phù hợp của chủ thể dữ liệu cho mục đích tiếp thị.
Cần rà chính sách dữ liệu khách hàng?
Luật Khởi Tín có thể giúp bạn kiểm tra form tư vấn, chính sách riêng tư và quy trình dùng dữ liệu cho marketing.
Rà soát dữ liệuCần áp dụng vào trường hợp cụ thể?
Mỗi tình huống có tài liệu, thời hạn và mức rủi ro khác nhau. Gửi câu hỏi để được định hướng phạm vi tư vấn phù hợp.
Gửi câu hỏi tư vấn