Ngày cập nhật 2024-06-13 10:46:39

GDPR Là Gì? Điều Cần Biết Liên Quan Đến Quy Định Chung Về Bảo Vệ Dữ Liệu

GDPR là gì? chính là câu hỏi mà các doanh nghiệp cần phải nắm rõ thật chi tiết, đặc biệt là các doanh nghiệp có đang có ý định hợp tác với các công ty thuộc khối liên minh Châu Âu (EU). Theo dõi bài viết sau của Tanca để trang bị thêm kiến thức liên quan đến vấn đề này.

GDPR là gì?

GDPR

Quy định chung về Bảo vệ Dữ liệu (GDPR) của Liên minh Châu Âu đã được phát triển nhằm tạo ra các quy định liên quan đến quyền riêng tư dữ liệu nhằm bảo vệ tất cả người dân trong Liên minh Châu Âu. GDPR sẽ thay thế Chỉ thị Bảo vệ Dữ liệu 95/46/EC và có những khác biệt đáng kể như sau:

1. Thẩm quyền mở rộng: GDPR sẽ áp dụng cho tất cả các công ty xử lý dữ liệu cá nhân của những người đang sinh sống trong Liên minh Châu Âu, bất kể vị trí của công ty.

2. Khoản phạt: Những tổ chức, bao gồm cả công ty kiểm soát và công ty xử lý, nếu vi phạm GDPR có thể bị phạt tối đa lên đến 4% doanh thu toàn cầu hàng năm hoặc €20 triệu (tuỳ thuộc vào con số nào lớn hơn).

3. Sự đồng thuận: Sự đồng thuận cần phải được yêu cầu một cách rõ ràng và dễ tiếp cận, và phải có khả năng phân biệt với các vấn đề khác. Ngoài ra, việc rút lại sự đồng thuận cũng phải dễ dàng như khi cung cấp.

4. Thông báo vi phạm: Thông báo vi phạm là bắt buộc và phải được hoàn thành trong vòng 72 giờ làm việc kể từ khi tổ chức đầu tiên nhận biết vi phạm.

5. Quyền riêng tư: GDPR yêu cầu bảo vệ dữ liệu phải được tích hợp từ giai đoạn thiết kế hệ thống, thay vì chỉ được thêm vào sau đó.

Xem thêm:

GDPR có vai trò gì?

bảo mật dữ liệu

Sự xuất hiện của GDPR đã giúp giải quyết một cách hiệu quả các yêu cầu và lo ngại về quyền riêng tư. Trước khi GDPR được thiết lập, Liên minh Châu Âu đã áp dụng các quy định nghiêm ngặt liên quan đến việc sử dụng dữ liệu cá nhân của người dân, đặc biệt là thông qua chỉ thị Bảo vệ Dữ liệu ban hành vào năm 1995. Tuy nhiên, khi internet trở thành một môi trường kinh doanh tiềm năng, chỉ thị này đã trở nên lạc hậu và không thể đáp ứng đủ yêu cầu về lưu trữ, thu thập và giao dịch dữ liệu.

Công dân tại Hoa Kỳ và các quốc gia thuộc Liên minh Châu Âu đều có lo ngại về việc thông tin cá nhân của họ bị rò rỉ, đặc biệt là thông tin về tài chính và ngân hàng. Theo một khảo sát gồm 7.500 công dân từ Pháp, Ý, Anh, Đức và Hoa Kỳ, gần 62% người tham gia cho biết nếu thông tin cá nhân của họ bị rò rỉ, họ sẽ đổ lỗi cho công ty chứ không chỉ trích hacker.

Vì vậy, nhiều người dân khi đăng ký các dịch vụ trực tuyến đã cung cấp thông tin giả để tránh rủi ro thông tin bị lộ hoặc bị bán đi.

GPPR bảo vệ những dữ liệu gì?

  • Các thông tin định danh cơ bản như tên tuổi, địa chỉ, số ID
  • Dữ liệu duyệt web, chẳng hạn địa điểm, địa chỉ IP, cookies và RFID tags
  • Thông tin sức khỏe và di truyền
  • Dữ liệu sinh trắc học
  • Chủng tộc/ dân tộc
  • Quan điểm chính trị
  • Xu hướng tính dục

GDPR áp dụng cho đối tượng nào?

Tất cả các công ty phải lưu trữ hoặc sở hữu thông tin cá nhân của công dân Liên minh Châu Âu (EU) phải tuân thủ GDPR. Các yêu cầu này áp dụng trong các trường hợp sau:

  • Công ty có trụ sở tại EU.
  • Công ty có hơn 250 nhân viên.
  • Công ty có ít hơn 250 nhân viên, nhưng quá trình xử lý dữ liệu của họ ảnh hưởng đến quyền riêng tư và tự do của chủ thể dữ liệu, hoặc bao gồm một số loại dữ liệu cá nhân nhạy cảm.

Theo một nghiên cứu của đơn vị Propeller Insights, các ngành công nghiệp sau sẽ chịu ảnh hưởng của GDPR: công nghệ (53%), bán lẻ trực tuyến (45%), công ty phần mềm (44%), dịch vụ tài chính (37%), dịch vụ trực tuyến/SaaS (34%), và hàng hóa đóng gói bán lẻ/tiêu dùng (33%).

Sức ảnh hưởng của GDPR đến doanh nghiệp?

Với GDPR, trách nhiệm của bên kiểm soát dữ liệu (tức là đơn vị sở hữu dữ liệu) và bên xử lý dữ liệu (tức là đơn vị bên ngoài giúp quản lý dữ liệu) được coi là ngang nhau. Nếu bên xử lý dữ liệu không tuân thủ GDPR, điều đó đồng nghĩa với việc doanh nghiệp của bạn cũng không tuân thủ. Điều quan trọng là bất kỳ tổ chức nào trong chuỗi quản lý dữ liệu cũng sẽ chịu liên đới nếu một mắt xích (tức là một đơn vị) không tuân thủ đúng GDPR. Đồng thời, các đơn vị cần phổ biến cho khách hàng về quyền lợi của họ trong GDPR.

Nói cách khác, trong các thỏa thuận/hợp đồng (mới hoặc gia hạn) với các bên xử lý dữ liệu (như công ty dịch vụ điện toán đám mây, SaaS,...) và với khách hàng, đơn vị của bạn cần rõ ràng nêu quyền hạn và trách nhiệm. Ngoài ra, các vấn đề như quy trình quản lý và bảo vệ dữ liệu, cũng như cách thức báo cáo vi phạm cần được đề cập.

GDPR cũng yêu cầu các nhà lãnh đạo, bộ phận Công nghệ thông tin và bộ phận Bảo mật thông tin hiểu rõ cách lưu trữ và xử lý dữ liệu, đồng thời đề ra quy trình báo cáo thống nhất, bao gồm việc xác định dữ liệu cần thiết cho doanh nghiệp, nơi lưu trữ dữ liệu và cách xuất dữ liệu ra bên ngoài. Hơn nữa, GDPR thúc đẩy sự thay đổi tư duy của doanh nghiệp về dữ liệu. Trước đây, nhiều doanh nghiệp coi dữ liệu là tài sản riêng. Tuy nhiên, hiện nay, "tài sản riêng" này còn buộc doanh nghiệp phải chịu trách nhiệm pháp lý nhất định.

Tất nhiên, nếu không tuân thủ GDPR, công ty của bạn sẽ phải đối mặt với những khoản phạt từ EU. Đến ngày 29/5/2020, EU đã áp dụng khoản phạt đối với 282 trường hợp, trong đó phạt lớn nhất là Google với số tiền 50 triệu Euro (tương đương hơn 1.300 tỷ VNĐ).

Cách thức giúp các doanh nghiệp tuân thủ GDPR

Để tuân thủ hiệu quả GDPR, các doanh nghiệp cần thực hiện những bước sau:

1. Gửi thông báo về quy định GDPR đến các phòng ban: Ngoài bộ phận Công nghệ thông tin, các phòng ban khác như Marketing, Bán hàng, Tài chính và Quản lý cũng cần được thông báo về quy định GDPR và tuân thủ nó. Điều này giúp đảm bảo rằng tất cả các phòng ban đều hiểu cách chia sẻ thông tin và sẵn sàng giải quyết các sự cố liên quan. Ngoài ra, cần lưu ý đến các thiết bị làm việc như điện thoại di động, đảm bảo rằng các ứng dụng cá nhân được sử dụng trong công việc tuân thủ GDPR.

2. Đánh giá các nguy cơ định kỳ: Thống kê cho thấy có hơn 39.000 ứng dụng sử dụng và thu thập thông tin cá nhân của người dùng. Đội ngũ Công nghệ thông tin của doanh nghiệp có thể không thể kiểm soát hoàn toàn tất cả các ứng dụng này. Do đó, việc đánh giá các nguy cơ định kỳ là cách để xác định những vấn đề tiềm ẩn và đưa ra các phương án giải quyết nguy cơ một cách hiệu quả.

3. Lên kế hoạch bảo vệ dữ liệu: Hầu hết các công ty đều có kế hoạch bảo vệ dữ liệu, tuy nhiên, để đảm bảo không có sai sót xảy ra, các kế hoạch này cần được xem xét và cập nhật thường xuyên. Điều này đảm bảo rằng các biện pháp bảo vệ dữ liệu đang được thực hiện đúng cách và phù hợp với yêu cầu mới nhất của GDPR.

Việc thực hiện các bước trên sẽ giúp doanh nghiệp nắm vững quy định GDPR và đảm bảo tuân thủ hiệu quả, từ đó bảo vệ thông tin cá nhân của khách hàng và tránh những vi phạm pháp lý có thể xảy ra.

Kết luận

Trên đây là những kiến thức cơ bản và vô cùng chi tiết mà Tanca đã tổng hợp để gửi đến quý doanh nghiệp để giải đáp cho câu hỏi GDPR là gì? Hy vọng các thông tin này sẽ giúp bạn tránh được những hình phạt không đáng có để nâng cao uy tín của quý doanh nghiệp.

Lê Thị Thuỳ Vi