GDPR là gì? Những yêu cầu cần biết về GDPR

Gdpr là gì

GDPR là những quy định về bảo mật thông tin của liên minh châu Âu (EU). Vì vậy, nếu doanh nghiệp của bạn đang hoặc có ý định hợp tác với các công ty thuộc khối EU, hoặc thu thập dữ liệu từ công dân châu Âu. Cùng Bizfly Cloud tìm hiểu những kiến thức về GDPR là một việc làm hết sức cần thiết.

GDPR là gì?

GDPR là viết tắt của General Data Protection Regulation – Quy định chung về bảo mật thông tin. Quy định này yêu cầu các doanh nghiệp phải bảo mật các dữ liệu cá nhân và quyền riêng tư của công dân thuộc khối EU trong các giao dịch giữa những nước thành viên EU.

Nghị viện châu Âu thông qua quy định GDPR vào tháng 4/2016, thay thế cho các luật bảo mật dữ liệu đã lỗi thời từ năm 1995. GDPR được sử dụng đồng bộ trên khắp 28 thành viên EU. Và dĩ nhiên, tiêu chuẩn cho GDPR không hề đơn giản, đòi hỏi các doanh nghiệp phải bỏ thời gian và công sức để nghiên cứu, đáp ứng và thực hiện.

Quá trình tuân thủ GDPR sẽ đem đến không ít vấn đề cho đội ngũ bảo mật của các doanh nghiệp. Chẳng hạn, những yếu tố cấu thành nên thuật ngữ “thông tin định danh các nhân” của GDPR rộng hơn rất nhiều, bao gồm cả địa chỉ IP cá nhân hoặc cookies data.

Dĩ nhiên, có rất nhiều yêu cầu trong GDPR không liên quan trực tiếp đến việc bảo mật thông tin. Tuy nhiên các thay đổi về hệ thống và quy trình sẽ ảnh hưởng ít nhiều đến các hệ thống và giao thức bảo mật hiện có.

Vì sao GDPR ra đời?

Câu trả lời ngắn gọn nhất: vì các yêu cầu và lo ngại về quyền riêng tư.

Trước khi GDPR ra đời, Liên minh châu Âu đã có nhiều quy định nghiêm ngặt về việc các công ty sử dụng dữ liệu cá nhân của công dân, chẳng hạn Chỉ thị Bảo vệ Dữ liệu năm 1995. Tuy nhiên khi internet trở thành một môi trường kinh doanh sôi động như hiện nay, thì Chỉ thị này đã lỗi thời, không đáp ứng những yêu cầu về cách lưu trữ, thu thập và giao dịch dữ liệu như hiện nay.

Công dân ở các quốc gia EU và Hoa Kỳ rất lo ngại vấn đề rò rỉ thông tin cá nhân, đặc biệt những thông tin liên quan đến tài chính và ngân hàng. Trong một cuộc khảo sát 7500 công dân từ các nước Pháp, Đức, Ý, Anh và Hoa Kỳ, có đến 62% người tham gia cho biết nếu bị lộ thông tin cá nhân, họ sẽ đổ lỗi cho các công ty, thay vì các hacker.

Chính vì quan niệm này, nhiều người khi đăng ký các dịch vụ online thường khai báo thông tin giả để tránh bị lộ hoặc bán lại thông tin. Không chỉ vậy, nhiều người cho biết sẽ tẩy chay các công ty có những hành động tiết lộ thông tin cá nhân, cũng như ủng hộ những nơi thực hiện nghiêm túc các biện pháp bảo mật.

GDPR bảo vệ những loại thông tin riêng tư nào?

– Các thông tin định danh cơ bản như tên tuổi, địa chỉ, số ID

– Dữ liệu duyệt web, chẳng hạn địa điểm, địa chỉ IP, cookies và RFID tags.

– Thông tin sức khỏe và di truyền

– Dữ liệu sinh trắc học

– Chủng tộc/ dân tộc

– Quan điểm chính trị

– Xu hướng tính dục

Những công ty nào cần thực hiện GDPR?

Tất cả các công ty lưu trữ hoặc sở hữu thông tin cá nhân của công dân EU. Cụ thể hơn, các công ty cần tuân thủ GDPR nếu:

– Công ty có trụ sở tại EU

– Có hơn 250 lao động

– Ít hơn 250 lao động nhưng, nhưng quá trình xử lý dữ liệu ảnh hưởng đến quyền và tự do của chủ thể dữ liệu, hoặc bao gồm một số loại dữ liệu cá nhân nhạy cảm.

Với những tiêu chí này, đơn vị Propeller Insights đã tiến hành một nghiên cứu và chỉ ra rằng 53% các doanh nghiệp công nghệ sẽ bị ảnh hưởng bởi GDPR, theo sau là các ngành bán lẻ online (45%), công ty phần mềm (44%), dịch vụ tài chính (37%), dịch vụ online/SaaS (34%) và hàng hóa đóng gói bán lẻ/tiêu dùng (33%)

GDPR ảnh hưởng như thế nào đến doanh nghiệp?

Với GDPR, trách nhiệm của bên kiểm soát dữ liệu (đơn vị sở hữu dữ liệu) và bên xử lý dữ liệu (đơn vị bên ngoài giúp quản lý dữ liệu) ngang bằng nhau. Nếu bên xử lý dữ liệu không tuân thủ GDPR, tức là doanh nghiệp của bạn cũng không tuân thủ. Không chỉ vậy, bất kỳ một tổ chức nào trong chuỗi quản lý dữ liệu cũng sẽ bị liên đới nếu một mắt xích (một đơn vị) không thực hiện đúng GDPR. Ngoài ra, các đơn vị cần phổ biến cho khách hàng quyền lợi của họ trong GDPR.

Hay nói cách khác, trong các thỏa thuận/hợp đồng (mới hoặc làm mới) với những bên xử lý dữ liệu (chẳng hạn công ty dịch vụ điện toán đám mây, SaaS,…) và với khách hàng, đơn vị của bạn cần nêu rõ quyền hạn và trách nhiệm. Không chỉ vậy, các vấn đề như quá trình quản lý và bảo vệ dữ liệu, hoặc cách thức báo cáo sai phạm cũng cần được đề cập.

GDPR còn đòi hỏi các lãnh đạo, bộ phận IT và bộ phận bảo mật thông tin thấu hiểu cách thức lưu trữ và xử lý dữ liệu, đưa ra các quy trình báo cáo thống nhất, chẳng hạn dữ liệu nào cần thiết cho doanh nghiệp, dữ liệu cần được lưu trữ ở đâu, dữ liệu được xuất ra bên ngoài như thế nào.

Không chỉ vậy, GDPR còn thay đổi tư duy của doanh nghiệp đối với dữ liệu. Trước đây, rất nhiều doanh nghiệp xem dữ liệu là tài sản riêng. Thế nhưng hiện nay, “các tài sản riêng” này còn buộc doanh nghiệp phải có trách nhiệm pháp lý nhất định.

Dĩ nhiên, nếu không tuân thủ GDPR, công ty của bạn sẽ phải chịu những khoản phạt nhất định từ EU. Tính đến 29/5/2020, EU đã xử phạt 282 trường hợp, trong đó lớn nhất là Google với mức phạt 50 triệu Euro (hơn 1300 tỷ VNĐ)

Những bí quyết giúp doanh nghiệp không vi phạm GDPR

Phổ biến GDPR đến tất cả phòng ban

Không chỉ có bộ phận IT mới cần để ý và tuân thủ GDPR. Tất cả các bộ phận khác như marketing, tài chính, sale, điều hành (miễn sao dính đến việc thu thập, phân tích và sử dụng thông tin cá nhân) đều cần nắm rõ và tuân thủ GDPR; từ đó biết cách chia sẻ thông tin phù hợp và sẵn sàng giải quyết các vấn đề liên quan.

Bên cạnh đó, các phòng ban cần chú ý đến những thiết bị làm việc, đặc biệt là điện thoại. Đa số các nhân viên kinh thường cài đặt những ứng dụng cá nhân phục vụ mục đích công việc. Nếu các ứng dụng này truy cập và lưu trữ thông tin cá nhân, thì cũng phải đảm bảo tuân thủ GDPR.

Tiến hành các đánh giá nguy cơ định kỳ

Theo thống kê, có đến hơn 39.000 các ứng dụng sử dụng và thu thập các thông tin cá nhân. Đội ngũ IT và bảo mật trong doanh nghiệp của bạn có thể chưa nắm bắt được hết những ứng dụng này. Do đó, các đánh giá nguy cơ cần chỉ ra được những “góc khuất” này, đồng thời kèm thêm các phương án để giải quyết nguy cơ.

Tạo và duy trì kế hoạch bảo vệ dữ liệu

Đa số các công ty đều có kế hoạch bảo vệ dữ liệu. Tuy nhiên để không xảy ra bất kỳ sai sót nào, các kế hoạch này cần được xem xét và cập nhật định kỳ.

Không chỉ vậy, các doanh nghiệp cần lưu trữ những hồ sơ thể hiện quá trình thực hiện GDPR, với những tài liệu thể hiện quy trình xử lý dữ liệu, nơi lưu trữ dữ liệu và các cá nhân chịu trách nhiệm.

Bài viết trên đây đã giới thiệu và đúc kết những kiến thức cơ bản nhất về GDPR cho các doanh nghiệp. Tuân thủ GDPR không chỉ là việc làm thiết thực để tránh những hình phạt từ cơ quan chức năng, mà còn là cách để nâng cao hình ảnh và uy tín của doanh nghiệp trong mắt đối tác và khách hàng.

Theo BizFly Cloud tìm hiểu