Tuân thủ GDPR cho cộng đồng số riêng biệt

Trần Minh Tân, Nguyễn Quang Hưng| 26/12/2022 13:45
Theo dõi ICTVietnam trên

Kỳ trước chúng tôi đã nói đến việc xây dựng cộng đồng số riêng biệt như là chìa khóa giải quyết các bài toán đang nổi lên trong sự chuyển dịch của ngành truyền thông, quảng cáo số khi hiệu lực của Luật bảo vệ dữ liệu chung GDPR đã được xác quyết cùng các biện pháp chế tài diễn ra ở khắp mọi nơi, tác động đến mọi ngành trên qui mô toàn cầu.

Công cụ công nghệ và các nền tảng cho thuê (platform-as-a-service) hiện nay đã sẵn có trên toàn thế giới và ở Việt Nam cũng có nhiều nhà cung cấp công nghệ đã bước chân vào lĩnh vực này. Công nghệ không còn là rào cản đối với các doanh nghiệp (DN), mà nắm bắt khâu tổ chức vận hành mới là rào cản trong quá trình chuyển đổi, bớt phụ thuộc vào mạng xã hội. Vậy trước khi thiết kế mạng cộng đồng riêng của mình, người chủ cộng đồng cần lưu ý những gì?

1. Đối tượng phục vụ: mỗi một DN  có những tập đối tượng phục vụ khác nhau đều mang tính chất con người là trọng tâm, bao gồm: (i) các nhà đầu tư; (ii) khách hàng cuối cùng; (iii) người lao động; (iv) các nhà cung cấp, và (v) mạng lưới đại lý. Khi xác định được đối tượng phục vụ chính trong cộng đồng riêng biệt thì người chủ cộng đồng xác định được bước kế tiếp là hình thức giao tiếp trên cộng đồng.

2. Hình thức giao tiếp trên cộng đồng: hình dung thử các thành viên cộng đồng của bạn họ giao tiếp với nhau như thế nào? Họ giao tiếp với tổ chức của bạn như thế nào, họ nhìn thấy gì, nghe thấy gì và muốn có cảm giác gì? Hình thức giao tiếp sẽ quy định các phương tiện kỹ thuật, công nghệ cần có trên mạng cộng đồng dùng riêng như News Feed, truyền hình trực tiếp, hội nghị truyền hình, nhắn tin, gọi điện, video call, tham gia diễn đàn, mua sắm trưng bày,... và giao tiếp online có liên đới trực tiếp tới giao tiếp thực tế ngoài cửa hàng hay không (ví dụ tích hợp thẻ tích điểm mua sắm, thẻ thành viên ưu đãi hoặc vé mời tham gia các sự kiện đặc biệt của DN?). Trả lời đủ các câu hỏi này sẽ giúp bạn rõ ràng hơn về mong muốn của mình khi xây dựng cộng đồng.

3. Ngân sách, tự phát triển, đầu tư mua sắm hay thuê sử dụng: các nhà thầu trong ngành ICT trước đây chủ yếu phục vụ khách hàng DN, tổ chức bằng việc cung cấp lắp đặt, tích hợp thiết bị hạ tầng, phần mềm, ngày nay với điện toán đám mây, nhiều hình thức khác đã xuất hiện, dễ dàng cho tổ chức của bạn lựa chọn tùy thuộc ngân sách và chiến lược cho việc xây dựng cộng đồng. Đơn cử bạn có thể bắt đầu xây dựng cộng đồng nhỏ từ 50 thành viên và phát triển nó lớn dần trên một nền tảng hạ tầng đi thuê. Có nghĩa rằng quy mô thành viên cộng đồng bạn sử dụng đến đâu thì trả tiền đến đó, việc này đảm bảo được bảng cân đối kế toán của bạn luôn rõ ràng và việc thuê sử dụng hạ tầng (Platform-as-a-service) cho phép bạn tận hưởng được tối đa tất cả các công nghệ mới nhất, tiên tiến nhất trên toàn thế giới, dẫn đầu trong xu hướng công nghệ thay vì đầu tư mua sắm, vài năm mới nâng cấp một lần khi phát hiện hệ thống của mình đã lạc hậu.

Khi đã xác định được các điểm nói trên, DN hay tổ chức của bạn thực ra đang bước chân vào một lĩnh vực mới - lĩnh vực truyền thông nội dung và quảng cáo số - bởi bạn đang sở hữu một mạng cộng đồng riêng biệt, có thể thậm chí hay ho và hấp dẫn hơn Facebook. 

Một số điểm lưu ý sau đây cần phải quan tâm trong quá trình lựa chọn nhà thầu cũng như tạo quy trình vận hành tuân thủ GDPR nếu bạn không muốn làm các thành viên cộng đồng của mình phật lòng hoặc phát sinh các hậu quả thiệt hại về kinh tế không mong muốn sau này.

Xin phép đồng thuận về việc thu thập dữ liệu 

Thu thập dữ liệu người dùng vẫn là hoạt động chủ yếu trong lĩnh vực tiếp thị số. Bạn không thể phục vụ khách hàng tốt hơn được nếu bạn không có dữ liệu trong tay. Điểm khác biệt của việc trước và sau khi GDPR có hiệu lực là: 

Nếu trước đây, bạn có thể thu thập bất kỳ dữ liệu nào bạn cần (hoặc mong muốn) từ bất kỳ nguồn nào, thì nay bạn không còn được phép thu thập dữ liệu tùy theo ý của bạn nữa. Có ba điểm trọng yếu trong việc tuân thủ GDPR khi bạn muốn thu thập dữ liệu người dùng là:

- Sở cứ pháp lý cho việc thu thập xử lý dữ liệu 

- Bằng chứng về việc nhận được sự đồng ý tường minh của người dùng 

- Người dùng có quyền Opt-out (quyền không chấp nhận)

Sở cứ pháp lý của việc thu thập dữ liệu người dùng đến từ một trong sáu yếu tố, bao gồm: sự đồng thuận, có ràng buộc bằng hợp đồng, do yêu cầu của pháp luật sở tại, do yêu cầu chung, thực hiện nhiệm vụ ở khu vực hành chính công và theo nhu cầu hợp pháp của đương sự. Những người làm truyền thông tiếp thị chỉ có thể hoạt động dựa trên yếu tố thứ nhất: sự đồng thuận. Tại sao thế, bạn không cần phải tiếp thị với ai bằng cách dí vào tay họ hợp đồng với các điều khoản cho phép bạn tiếp thị. Và công việc của bạn cũng không phải là nhiệm vụ chính trị do khu vực hành chính công yêu cầu. Truyền thông tiếp thị là hoạt động bên lề, nên bạn cần phải xin phép. 

Có nghĩa là, bạn cần phải xin phép sự đồng thuận của khách hàng với những dữ liệu của họ mà bạn định sử dụng cho việc tiếp thị. Nếu bạn chủ động liên hệ với một chủ thể dữ liệu, người trước đó chưa đồng ý việc chia sẻ dữ liệu, mà bạn vốn đã thu thập dữ liệu về người ta chưa có cơ sở pháp lý, bạn đã vi phạm hai điểm trong GDPR. Lưu ý rằng các điều khoản trong Chính sách về Quyền riêng tư trên mạng dùng riêng của bạn cần phải được cập nhật, ngoài việc xin phép người dùng thu thập dữ liệu, bạn cần phải nói rõ dữ liệu đó được sử dụng cho việc gì.

Tuân thủ GDPR cho cộng đồng số riêng biệt - Ảnh 2.

(Hình minh họa)

Xin phép đồng thuận về việc tiếp thị 

Trong quá khứ, những người làm tiếp thị có thể thoải mái tiếp thị dựa trên những điều khoản mang tính bao hàm ngụ ý chung chung về sự đồng thuận của người dùng. Hành vi này thường thấy trong hoạt động tiếp thị qua tin nhắn điện thoại SMS hoặc email. Bạn có thể xây dựng một danh sách email từ những khách hàng cũ đã mua hàng của DN, hoặc dựa trên những khách hàng đánh dấu ô check-box đồng ý nhận email tiếp thị theo kiểu cũ trước đây. Cả hai hành vi này đều được coi là vi phạm Luật GDPR.

Bởi vì sở cứ pháp lý của bạn là sự đồng thuận, bạn cần phải tuân thủ những nguyên tắc đồng thuận mới của luật. Luật quy định sự đồng thuận phải là quả quyết, chi tiếttự do về mặt ý chí của người dùng. Lý tưởng nhất, nếu bạn muốn một khách hàng đồng ý tham gia chiến dịch tiếp thị email hay SMS, bạn cần phải hỏi xin phép sự đồng thuận của khách hàng cá nhân đó bằng một cơ chế chấp thuận, ví dụ một ô check-box. 

Yêu cầu tối thiểu của GDPR, sự đồng thuận cho việc tiếp thị cần phải được phân biệt rõ ràng, tách rời khỏi sự đồng thuận trong văn bản “Điều kiện và Điều khoản người dùng” hoặc văn bản “Chính sách về Quyền riêng tư”.

Ai đó muốn tiếp thị cho bạn, người đó cần phải dựa trên sự đồng thuận trước đó của bạn, có nghĩa rằng bạn có quyền nhấp chuột nói rằng Đồng ý hoặc Không, xin cảm ơn.

Tiếp thị được phân biệt khỏi Điều kiện hoặc Chính sách Mua hàng, thường được hiểu là “hợp đồng”. Hợp đồng chỉ quy định thời điểm bạn cần xử lý dữ liệu để thực hiện các nghĩa vụ trên hợp đồng với khách hàng. 

Ví dụ, nền tảng bán vé sự kiện Ticketmaster cần phải có địa chỉ email của khách hàng để gửi vé điện tử tới cho họ, khi họ đặt vé trên nền tảng. Nếu không có địa chỉ email, Ticketmaster không thể thực hiện nghĩa vụ hợp đồng của họ, đồng nghĩa với việc họ không cần phải xin phép khách hàng trong việc thu thập địa chỉ email của khách hàng.

Tuy nhiên Ticketmaster không cần thiết phải gửi thông tin về các sự kiện kế tiếp sẽ diễn ra cho khách hàng trong quá trình gửi vé của nó. Thông tin tiếp thị này là thông tin tùy chọn, có nghĩa rằng Ticketmaster cần phải xin phép sự đồng thuận của khách hàng về việc họ đồng ý cho Ticketmaster sử dụng email của họ vào mục đích tiếp thị.

Mở một lựa chọn cho phép rời bỏ (Opt-out) 

Khi đã xin phép được sự đồng thuận của khách hàng rồi, thì cũng không đồng nghĩa họ tự động trở thành tài sản riêng của bạn mãi mãi sau khi đồng ý Opt-in. Kỷ nguyên sử dụng kỹ thuật tiếp thị email không ngừng nghỉ tới khách hàng đã chính thức chấm dứt. 

GDPR yêu cầu các nhà tiếp thị phải tạo menu rời bỏ chiến dịch tiếp thị (Opt-out) cũng dễ dàng như menu tham gia (Opt-in). Nói một cách khác, sự đồng thuận phải được khách hàng tự do chấp thuận trong bất kỳ điểm chạm nào, ở mọi thời điểm duy trì quan hệ với khách hàng, không phải chỉ cứ một lần đăng ký tham gia là xong. Với các chiến dịch tiếp thị trực tiếp bằng email/SMS, người làm tiếp thị phải quản lý đồng thuận thông qua việc thêm nút Unsubscribe để dẫn khách hàng về nơi họ lựa chọn thiên hướng của họ, hoặc thu hồi lại sự đồng thuận trước đó họ đã trao cho DN.

GDPR thay đổi thị trường Quảng cáo trúng đích tới mục tiêu 

Quảng cáo trúng đích mục tiêu và quảng cáo hướng tới vị trí địa lý càng ngày càng trở nên phổ biến vì các dữ liệu thống kê nói rằng khách hàng thích chúng.

Mục tiêu dữ liệu, bao gồm hướng đích mục tiêu vị trí địa lý, cho phép người làm công tác tiếp thị sử dụng dữ liệu để phân phối quảng cáo đã được cá nhân hóa tới các mối quan tâm của từng khách hàng. Ví dụ, nếu bạn mua hàng của hệ thống siêu thị Target và Target đang có một chương trình giảm giá, Target có thể sử dụng dữ liệu địa lý trong lịch sử mua sắm của bạn để gửi chương trình khuyến mại. Thông thường, Target sẽ thu thập dữ liệu thông qua tài khoản bạn đăng ký với Target, còn trong trường hợp bạn không có tài khoản với Target, họ có thể tìm ra bạn nhờ việc bạn truy cập vào mạng WiFi miễn phí của họ.

Việc sử dụng dữ liệu kiểu trên sẽ càng ngày càng khó khăn hơn ở trong phạm vi Liên minh châu Âu. Kể cả trường hợp dữ liệu là phi danh tính (vẫn có trường dữ liệu định danh kèm theo đối tượng chủ thể dữ liệu), dữ liệu đó vẫn phải được thông qua quy trình đồng thuận về việc thu thập và xử lý tuân thủ GDPR. Yêu cầu tuân thủ này không áp dụng đối với trường hợp ngoài lãnh thủ hoặc không liên đới tới công dân, thường trú nhân của Liên minh châu Âu.

May mắn thay là không phải mọi loại quảng cáo mục tiêu đều bị buộc phải xin phép đồng thuận. Nếu bạn chạy chương trình quảng cáo dựa trên bối cảnh hành vi và hoàn toàn không sử dụng dữ liệu cá nhân của người tiêu dùng, thì bạn không bị ràng buộc bởi việc tuân thủ. Tuy nhiên, cho dù bạn chạy quảng cáo dựa trên bối cảnh, nhưng bạn có sử dụng dữ liệu nhân khẩu học hoặc dữ liệu vị trí địa lý của khách hàng, thì bạn nên suy nghĩ cẩn thận trước khi bạn thu thập dữ liệu của khách hàng nếu như bạn không có sự đồng thuận của họ.

Một ví dụ về việc xin phép quảng cáo trúng đích kể cả trong trường hợp tiếp thị theo bối cảnh, Starbuck đã thực hiện bằng cách cho bạn cửa sổ đồng ý tham gia chương trình tiếp thị email của họ, cũng như đồng ý về việc bạn có thể nhận được quảng cáo trúng đích của họ. 

Hãng thời trang khổng lồ H&M cũng đã tự bảo vệ bằng điều tương tự, việc xin phép hành vi đối với khách hàng phải là tường minh và rõ ràng.

Chốt lại, GDPR muốn lái ngành quảng cáo quay trở lại thời kỳ tiếp thị theo bối cảnh chứ không chấp nhận việc tiếp thị dựa trên dữ liệu hành vi và dữ liệu nhân khẩu học. Tuy nhiên, điều đó không phải là tin xấu đối với DN: cá nhân hóa một cách quá mức thông điệp quảng cáo tới khách hàng không chỉ giới hạn tính hiệu quả mà còn có thể khiến khách hàng đó nổi giận vì đụng chạm tới quyền riêng tư của họ.

Chatbots và GDPR 

Chatbots đang trở thành một công cụ thịnh hành đối với những người làm tiếp thị số, một lần nữa bởi vì khách hàng thích chúng. Chatbots giảm chi phí đi 30% và người ta dự đoán rằng năm sau tới 85% giao dịch tương tác với khách hàng sẽ được thực hiện trên Chatbots thay vì với các tổng đài viên. Nếu DN của bạn cài đặt một Chatbot mới vào năm ngoái, thì rất có thể bạn đã cài đặt Chatbot tuân thủ GDPR. Nhiều nhà cung cấp đã cập nhật nội dung dịch vụ của họ cho phù hợp với các yêu cầu tuân thủ mới của Liên minh châu Âu.

Chatbots là công cụ chăm sóc khách hàng, nhưng nó cũng là công cụ quan trọng để thu thập dữ liệu khách hàng. Vấn đề lớn với Chatbots là bạn cần biết rõ bạn sẽ thu thập thông tin gì của khách hàng và vì sao bạn cần chúng. Thu thập cái gì và lý do thu thập chúng cần phải được thể hiện rõ ràng trên Chính sách Quyền riêng tư của bạn. 

Việc sử dụng Chatbot là tương đối khó nhằn về mặt kỹ thuật pháp lý. Một mặt DN  không nhất thiết phải thu thập dữ liệu của khách hàng từ Chatbot. Mặt khác, khách hàng của bạn không thể sử dụng Chatbot một cách có hiệu quả nếu họ không cung cấp thông tin cá nhân của họ. Nếu bạn giao tiếp với khách hàng thông qua Chatbots một cách chuyên sâu, bạn có thể phải xem xét bổ sung thêm Chính sách Riêng tư của việc sử dụng Chatbot. Một ví dụ là hãng Pricewater House Coupper yêu cầu toàn bộ khách hàng của họ phải đồng thuận chia sẻ dữ liệu trước khi sử dụng Chatbot. 

Ngoài ra, cần phải lưu ý rằng khách hàng của bạn có quyền truy cập vào dữ liệu riêng tư của họ, là quyền cơ bản của họ theo GDPR. Chatbot của bạn do đó cũng phải đáp ứng tuân thủ các chuẩn mực an ninh thông tin của GDPR, bao gồm phòng chống lọt lộ thông tin và các các biện pháp khắc phục khi xảy ra sự cố.

GDPR và tiếp thị liên kết 

Tiếp thị liên kết (affiliate marketing) thì sao? Liệu GDPR có điều khoản nào gây ảnh hưởng không thích ứng đối với các chương trình tiếp thị liên kết? 

Câu trả lời rằng không có điều khoản cụ thể nào nhắm đến các chương trình tiếp thị liên kết. Luật chỉ nhắm đến quy trình thu thập dữ liệu và xử lý dữ liệu một cách công bằng, cho dù bạn là người tham gia một chương trình tiếp thị liên kết hay bạn là nhà vận hành chương trình đó trên toàn cầu. Bạn cần phải đối xử với mỗi một thông tin định danh cá nhân của đối tác liên kết như hệt cách bạn đối xử thông tin đó đối với bất kỳ loại hình tiếp thị nào khác.

Có nghĩa rằng bạn: 

- Phải xác định sở cứ pháp lý cho việc thu thập thông tin của đối tác 

- Nhận được sự đồng ý của đối tác về việc cho phép bạn thu thập và xử lý thông tin 

- Cung cấp văn bản rõ ràng, tường minh và thường xuyên cập nhật về Chính sách Quyền riêng tư 

Bạn rất có thể phải có điều khoản riêng về Chính sách Quyền riêng tư cho mạng lưới tiếp thị liên kết bởi rất nhiều chương trình liên kết này cần phải tuân thủ các yêu cầu của GDPR. Ví dụ như chương trình tiếp thị liên kết của Amazon yêu cầu toàn bộ những người tham gia chương trình đó đồng ý Chính sách Quyền riêng tư trong đó nói rằng họ phải tiết lộ sự tham gia của họ trong chương trình cũng như các dữ liệu theo dõi của chương trình về họ khi tham gia.

Cần nhớ việc mở một lựa chọn thoát ra (Opt-out), và đó là điều khó nhằn đối với nhiều người quản lý các chương trình tiếp thị liên kết. Nếu một công dân hoặc thường trú nhân của EU muốn bạn loại chính họ ra khỏi danh sách tiếp thị của bạn, trình bày cho họ biết dữ liệu nào về họ mà bạn đang nắm giữ, và xóa toàn bộ dữ liệu đó ra khỏi cơ sở dữ liệu của bạn, thì bạn buộc phải tuân thủ theo yêu cầu của pháp luật, trừ phi bạn muốn mình bị người đó báo cáo lên cơ quan quản lý hành pháp, giám sát chế tài thực thi luật của họ.

Lời kết là tính minh bạch 

Có vô số cách thức để mô tả ngành truyền thông tiếp thị số buộc phải thay đổi để tuân thủ theo các quy định mới của GDPR như thế nào. Yêu cầu tuân thủ về sự đồng thuận có tính chất quả quyết và chi tiết của mỗi cá thể là một thách thức lớn, và việc chi tiết hóa, cập nhật thường xuyên Chính sách Quyền riêng tư để bảo vệ các hoạt động tiếp thị của bạn là thách thức lớn thứ hai.

Bài học lớn nhất cho các nhà làm công tác truyền thông tiếp thị số: tính minh bạch là chìa khóa.

- Bạn không được phép tiếp thị tới những người mà họ không biết rằng họ đang bị tiếp thị, và bạn cũng không thể tiếp thị cho những người chưa đồng ý để bạn mon men đến tiếp thị cho họ. 

- Bạn không những cần sự đồng thuận của lần giao tiếp đầu tiên với khách hàng, mà bạn cần phải nhận sự đồng thuận của họ trong suốt quá trình giao dịch với khách hàng trong cả chu kỳ vòng đời khách hàng ở lại với bạn.

- Bạn cần làm rõ tường minh cho khách hàng rằng họ đang đồng thuận cái việc gì. Một ví dụ đơn giản, nếu khách hàng của bạn đăng ký nhận email tin tức cập nhật hàng tháng, thì bạn không thể gửi các email khuyến mãi ngẫu nhiên tới họ được, trừ phi ở đâu đó họ đã đồng ý với bạn về việc này.

Cuối cùng, GDPR có xung lực nội hàm khiến cho rất nhiều người trong ngành truyền thông quảng cáo số buộc phải xem xét lại cách thức họ làm việc. Nếu tất cả những người trong ngành này ngồi lại với nhau và trân trọng các nguyên tắc của GDPR (cũng như các điều khoản chi tiết), thì khi đó bạn không chỉ có thêm mong muốnhướng tới và gắn kết đối tượng phục vụ của bạn mà bạn còn chủ động thực thi trách nhiệm của bạn trong việc bảo vệ quyền riêng tư và tự do của họ bằng việc bảo vệ dữ liệu của họ. Một cộng đồng riêng biệt có giá trị hơn nhiều một bảng danh sách email.

Luật bảo vệ dữ liệu chung (GDPR) của Liên minh châu Âu đã có hiệu lực từ ngày 25 tháng 5 năm 2018 và trong hơn hai năm qua, nó đã tác động sâu rộng tới tất cả các lĩnh vực, tất cả các ngành, một cách sâu rộng trên toàn cầu vì tính chất chặt chẽ của nó, chế tài cưỡng chế nặng và một khi các DN công nghệ Mỹ buộc phải chuyển mình thì cả thế giới sẽ chuyển động theo. Sự tác động của nó dẫn đến sự đổ vỡ của chuỗi dây chuyền quảng cáo trúng đích – mạng xã hội – thu thập hành vi người tiêu dùng, và từ đó tạo ra động lực phát sinh những giá trị mới trong ngành.

Cách thức các DN, tổ chức giao tiếp với đối tượng phục vụ của họ sẽ bị buộc phải thay đổi, vấn đề là bạn có sớm nhận ra sự thay đổi đó hay không? Hãy nhớ rằng, ngay từ cách đây 10 năm, nghiên cứu của Đại học Michigan đã chỉ rõ: DN nào sở hữu hoặc tài trợ mạng cộng đồng riêng biệt mà không lệ thuộc vào Facebook, DN đó sẽ hoạt động hiệu quả hơn./.

Tài liệu tham khảo:

https://www.privacypolicies.com/blog/gdpr-digital-marketing/

(Bài đăng ấn phẩm in Tạp chí TT&TT số 11 tháng 11/2022)

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Tuân thủ GDPR cho cộng đồng số riêng biệt
POWERED BY ONECMS - A PRODUCT OF NEKO