Bài học 1Quyền của chủ thể dữ liệu (truy cập, chỉnh sửa, xóa, hạn chế, di chuyển, phản đối, quyết định tự động) và quy trình hoạt động tuân thủPhần này chi tiết từng quyền GDPR, cách chúng áp dụng cho SaaS và AI, và cách thiết kế quy trình tiếp nhận, xác minh, phản hồi, ghi log để các đội ngũ pháp lý, sản phẩm, kỹ thuật xử lý yêu cầu chủ thể dữ liệu quy mô lớn một cách đáng tin cậy.
Catalog of GDPR rights and legal scopeIdentity verification and fraud prevention stepsStandard operating procedures for DSR handlingAutomation, ticketing, and response templatesLogging, metrics, and continuous process reviewBài học 2Hình phạt, xu hướng thực thi, và các quyết định GDPR/CNIL mang tính bước ngoặt gần đây ảnh hưởng đến triển khai phân tích và AIPhần này xem xét quyền thực thi GDPR và CNIL, tiêu chí tính phạt, và các quyết định mang tính bước ngoặt gần đây ảnh hưởng đến phân tích, cookie, theo dõi, và AI, rút ra bài học thực tiễn cho nhà cung cấp SaaS về khẩu vị rủi ro và ưu tiên tuân thủ.
Administrative powers and sanction typesFine calculation criteria and aggravating factorsRecent CNIL cases on cookies and trackingEU decisions on AI, profiling, and scoringUsing case law to guide product risk choicesBài học 3Ghi chép và trách nhiệm giải trình: Hồ sơ Hoạt động Xử lý (RoPA), chính sách nội bộ, và bằng chứng cho cơ quan giám sátPhần này giải thích nghĩa vụ trách nhiệm giải trình, cách duy trì Hồ sơ Hoạt động Xử lý, và xây dựng chính sách nội bộ, quản trị, bằng chứng chứng minh tuân thủ cho cơ quan giám sát trong kiểm toán hoặc điều tra.
Core elements of a compliant RoPA entryMapping data flows and systems for recordsDesigning internal privacy policies and chartersEvidence files, dashboards, and audit trailsGovernance roles: DPO, legal, and productBài học 4Luật Bảo vệ Dữ liệu Pháp (Loi Informatique et Libertés) và hướng dẫn CNIL liên quan đến phân tích và AIPhần này trình bày Luật Bảo vệ Dữ liệu Pháp và hướng dẫn CNIL liên quan đến phân tích và AI, nhấn mạnh đặc thù quốc gia, quy tắc ngành, và kỳ vọng thực tiễn cho cookie, đo lường khán giả, và hệ thống thuật toán.
Structure of the French Data Protection ActCNIL powers, soft law, and recommendationsCNIL guidance on cookies and audience metricsNational rules on biometrics and sensitive dataCNIL positions on AI, scoring, and profilingBài học 5Bảo vệ Dữ liệu theo Thiết kế và Mặc định: biện pháp kỹ thuật và tổ chức cho sản phẩm SaaSPhần này giải thích nghĩa vụ Bảo vệ Dữ liệu theo Thiết kế và Mặc định và cách chuyển chúng thành các biện pháp kỹ thuật và tổ chức cụ thể cho SaaS, bao gồm kiến trúc, kiểm soát truy cập, mặc định, và thực hành phát triển an toàn.
Embedding privacy in product lifecycle stagesData minimization and privacy-friendly defaultsRole-based access control and logging designSecure development and code review practicesVendor selection and integration risk controlsBài học 6Tổng quan cấu trúc GDPR và nguyên tắc chính (tính hợp pháp, hạn chế mục đích, giảm thiểu, chính xác, hạn chế lưu trữ, toàn vẹn, bảo mật, trách nhiệm giải trình)Phần này giới thiệu cấu trúc GDPR và các nguyên tắc chính, bao gồm tính hợp pháp, hạn chế mục đích, giảm thiểu, chính xác, hạn chế lưu trữ, toàn vẹn, bảo mật, trách nhiệm giải trình, với ví dụ phù hợp cho SaaS và AI.
Regulation structure, scope, and key actorsLawfulness, fairness, and transparency dutiesPurpose limitation and compatibility analysisData minimization and accuracy in practiceStorage limits, security, and accountabilityBài học 7Các loại dữ liệu đặc biệt, ẩn danh hóa, tiêu chuẩn ẩn danh và rủi ro tái nhận dạngPhần này làm rõ các loại dữ liệu đặc biệt theo GDPR, cách triển khai ẩn danh hóa và ẩn danh trong SaaS và AI, và cách đánh giá, ghi chép, giảm thiểu rủi ro tái nhận dạng trong phân tích và học máy.
Defining special categories and sensitive dataPseudonymization techniques in SaaS databasesAnonymization standards and risk-based approachesRe-identification risk assessment and controlsContractual and policy safeguards for high-risk dataBài học 8Cơ sở hợp pháp xử lý dữ liệu cá nhân: đồng ý, hợp đồng, lợi ích hợp pháp, lợi ích công cộng — kiểm tra và ghi chépPhần này phân tích cơ sở hợp pháp xử lý, bao gồm sự đồng ý, hợp đồng, lợi ích hợp pháp, lợi ích công cộng, và giải thích cách chọn, ghi chép, bảo vệ cơ sở phù hợp cho trường hợp sử dụng SaaS và AI và phân tích hành vi.
Overview of lawful bases and exclusivity rulesWhen consent is required and validly obtainedContract necessity in B2B SaaS scenariosLegitimate interest tests and balancingDocumenting legal basis choices and changesBài học 9Đánh giá Tác động Bảo vệ Dữ liệu (DPIA): khi nào yêu cầu, phương pháp, mẫu, và biện pháp giảm thiểu cho phân tích hành vi quy mô lớnPhần này chi tiết khi nào DPIA bắt buộc, cách xác định phạm vi và thực hiện cho phân tích quy mô lớn và AI, mẫu sử dụng, và cách xác định thực hiện biện pháp giảm thiểu hiệu quả và phê duyệt rủi ro còn lại.
Triggers for DPIA and high-risk criteriaStep-by-step DPIA methodology and rolesTemplates, tools, and documentation tipsIdentifying risks in profiling and trackingMitigation plans and DPO or CNIL consultationBài học 10Minh bạch và nghĩa vụ thông tin với chủ thể dữ liệu: thông báo bảo mật, thông báo phân tầng, và tiết lộ theo dõi hành viPhần này bao quát nghĩa vụ minh bạch, bao gồm thông báo bảo mật, thông báo phân tầng, và tiết lộ theo dõi hành vi, và hướng dẫn cách soạn thảo, cấu trúc, cung cấp chúng trong giao diện SaaS và AI đáp ứng kỳ vọng GDPR và CNIL.
Mandatory information under GDPR Articles 12–14Designing layered and just-in-time noticesDisclosing cookies, SDKs, and tracking toolsCommunicating AI use, logic, and key impactsTesting clarity and comprehension with users
