Luật bảo vệ dữ liệu chung (General Data Protection Regulation - GDPR ) là quy định bảo mật và quyền riêng tư nghiêm ngặt nhất trên thế giới. Mặc dù được Liên minh Châu Âu (EU) soạn thảo và thông qua, nhưng luật này áp đặt nghĩa vụ cho các tổ chức ở bất kỳ đâu, miễn là họ tìm kiếm, thu thập dữ liệu liên quan đến người trong EU Quy định này có hiệu lực từ ngày 25/5/2018. GDPR sẽ áp dụng các khoản tiền phạt nặng đối với những người vi phạm các tiêu chuẩn bảo mật và quyền riêng tư, với mức phạt lên tới hàng chục triệu Euro.
CÁC ĐỊNH NGHĨA CHÍNH
Dữ liệu cá nhân: là bất kỳ thông tin nào liên quan đến một cá nhân có thể được xác định trực tiếp hoặc gián tiếp. Dữ liệu cá nhân bao gồm: tên, địa chỉ email, thông tin vị trí, dân tộc, giới tính, dữ liệu sinh trắc học, tín ngưỡng tôn giáo, cookie trang web và quan điểm chính trị. Dữ liệu ẩn danh cũng có thể nằm trong định nghĩa nếu có thể dễ dàng xác định danh tính của ai đó từ dữ liệu đó.
Xử lý dữ liệu: là bất kỳ hành động nào được thực hiện trên dữ liệu, dù là tự động hay thủ công. Các ví dụ được trích dẫn trong văn bản bao gồm thu thập, ghi lại, sắp xếp, cấu trúc, lưu trữ, sử dụng, xóa vân vân.
Chủ thể dữ liệu: Người có dữ liệu được xử lý. Đây là khách hàng hoặc người truy cập những thông tin hay trang web của bạn.
Người điều khiển dữ liệu: Người quyết định lý do và cách thức xử lý dữ liệu cá nhân. Nếu bạn là chủ sở hữu hoặc nhân viên trong tổ chức của mình, người xử lý dữ liệu, thì đây chính là bạn.
Bên xử lý dữ liệu: Bên thứ ba xử lý dữ liệu cá nhân thay mặt cho bên điều khiển dữ liệu. GDPR có các quy tắc đặc biệt cho những cá nhân và tổ chức này. Những bên này có thể bao gồm máy chủ đám mây, như Google Drive, Proton Drive hoặc Microsoft OneDrive, hoặc nhà cung cấp dịch vụ email, như Proton Mail .
PHẠM VI VÀ HÌNH PHẠT
GDPR sẽ áp dụng cho các tổ chức ngay cả khi họ không ở trong Liên minh Châu Âu nếu họ xử lý dữ liệu cá nhân của công dân hoặc cư dân EU, hoặc tổ chức đó cung cấp hàng hóa hoặc dịch vụ cho những công dân hoặc cư dân trong EU.
Mức phạt vi phạm GDPR rất cao. Có hai mức phạt, tối đa là 20 triệu euro hoặc 4% doanh thu toàn cầu (tùy theo mức nào cao hơn), cộng với chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại.
NGUYÊN TẮC BẢO VỆ DỮ LIỆU CỦA GDPR
Nếu bạn xử lý dữ liệu, bạn phải thực hiện theo bảy nguyên tắc bảo vệ và trách nhiệm giải trình được nêu trong Điều 5.1, mục 2 của GDPR như sau:
- Tính hợp pháp, công bằng và minh bạch: Việc xử lý phải hợp pháp, công bằng và minh bạch đối với chủ thể dữ liệu.
- Giới hạn mục đích: Bạn phải xử lý dữ liệu cho các mục đích hợp pháp được nêu rõ ràng với chủ thể dữ liệu khi bạn thu thập dữ liệu.
- Giảm thiểu dữ liệu: Bạn chỉ nên thu thập và xử lý lượng dữ liệu cần thiết cho các mục đích đã nêu.
- Độ chính xác: Bạn phải đảm bảo dữ liệu cá nhân luôn chính xác và cập nhật.
- Giới hạn lưu trữ: Bạn chỉ có thể lưu trữ dữ liệu nhận dạng cá nhân trong thời gian cần thiết cho mục đích đã chỉ định.
- Tính toàn vẹn và bảo mật: Việc xử lý phải được thực hiện theo cách đảm bảo tính bảo mật, toàn vẹn và bảo mật phù hợp (ví dụ bằng cách sử dụng mã hóa).
- Trách nhiệm giải trình: Người kiểm soát dữ liệu có trách nhiệm chứng minh việc tuân thủ GDPR với tất cả các nguyên tắc này.
TRÁCH NHIỆM GIẢI TRÌNH
GDPR quy định rằng bên kiểm soát dữ liệu phải có khả năng chứng minh rằng họ tuân thủ GDPR và đây không phải là điều bạn có thể làm sau khi sự việc đã xảy ra. Nếu bạn nghĩ rằng mình tuân thủ GDPR nhưng không thể chứng minh được cách thức, thì bạn đã không tuân thủ GDPR. Những cách bạn có thể làm để giúp minh chứng cho điều này là:
- Chỉ định trách nhiệm bảo vệ dữ liệu cho nhóm của bạn.
- Duy trì tài liệu chi tiết về dữ liệu bạn đang thu thập, cách sử dụng, nơi lưu trữ, nhân viên nào chịu trách nhiệm về dữ liệu, v.v.
- Đào tạo nhân viên của bạn và triển khai các biện pháp bảo mật về mặt kỹ thuật và tổ chức.
- Có hợp đồng Thỏa thuận xử lý dữ liệu với bên thứ ba mà bạn ký hợp đồng để xử lý dữ liệu cho bạn.
- Chỉ định một Cán bộ bảo vệ dữ liệu - DPO (mặc dù không phải tất cả các tổ chức đều cần một cán bộ như vậy).
BẢO MẬT DỮ LIỆU
- Bạn phải xử lý dữ liệu một cách an toàn bằng cách triển khai các biện pháp kỹ thuật và tổ chức phù hợp , có nghĩa là bất cứ điều gì từ yêu cầu nhân viên của bạn sử dụng xác thực hai yếu tố trên các tài khoản lưu trữ dữ liệu cá nhân cho đến ký hợp đồng với các nhà cung cấp dịch vụ đám mây sử dụng mã hóa đầu cuối
- Các biện pháp tổ chức bao gồm: đào tạo nhân viên, có chính sách bảo mật dữ liệu trong sổ tay nhân viên, quyền truy cập vào dữ liệu cá nhân chỉ trao cho những nhân viên được phân công trong tổ chức.
- Nếu bạn bị vi phạm dữ liệu, bạn có 72 giờ để thông báo cho chủ thể dữ liệu hoặc phải đối mặt với hình phạt. (Thông báo này có thể được miễn nếu bạn đã sử dụng các biện pháp bảo vệ như mã hóa đủ mạnh để khiến dữ liệu trở nên vô dụng đối với kẻ tấn công.)
BẢO VỆ DỮ LIỆU THEO THIẾT KẾ VÀ THEO MẶC ĐỊNH
Tổ chức phải cân nhắc các nguyên tắc bảo vệ dữ liệu trong quá trình thiết kế bất kỳ sản phẩm hoặc hoạt động mới nào. GDPR đề cập đến nguyên tắc này trong Điều 25 .
Ví dụ, Công ty đưa ra một ứng dụng mới, khi đó phải nghĩ về dữ liệu cá nhân nào mà ứng dụng có thể thu thập từ người dùng, sau đó cân nhắc các cách để giảm thiểu lượng dữ liệu và cách công ty sẽ bảo mật dữ liệu bằng công nghệ mới nhất.
KHI BẠN ĐƯỢC PHÉP XỬ LÝ DỮ LIỆU
Điều 6 của GDPR liệt kê các trường hợp mà việc xử lý dữ liệu cá nhân là hợp pháp, bao gồm:
- Chủ thể dữ liệu đã cung cấp cho bạn sự đồng ý cụ thể, rõ ràng để xử lý dữ liệu;
- Việc xử lý là cần thiết để thực hiện hoặc chuẩn bị ký kết hợp đồng mà chủ thể dữ liệu là một bên;
- Bạn cần xử lý nó để tuân thủ nghĩa vụ pháp lý của mình;
- Bạn cần xử lý dữ liệu để cứu mạng ai đó;
- Việc xử lý là cần thiết để thực hiện một nhiệm vụ vì lợi ích công cộng hoặc để thực hiện một số chức năng chính thức;
- Bạn có quyền lợi hợp pháp để xử lý dữ liệu cá nhân của ai đó. Đây là cơ sở pháp lý linh hoạt nhất, mặc dù "quyền cơ bản và quyền tự do của chủ thể dữ liệu" luôn vượt trội hơn quyền lợi của bạn, đặc biệt nếu đó là dữ liệu của trẻ em.
SỰ ĐỒNG Ý
Có những quy định mới nghiêm ngặt về việc thế nào là sự đồng ý của chủ thể dữ liệu để xử lý thông tin của họ.
- Sự đồng ý phải được “tự nguyện đưa ra, cụ thể, có thông tin đầy đủ và rõ ràng”.
- Yêu cầu đồng ý phải “có thể phân biệt rõ ràng với các vấn đề khác” và được trình bày bằng “ngôn ngữ rõ ràng và dễ hiểu”.
- Chủ thể dữ liệu có thể rút lại sự đồng ý đã đưa ra trước đó bất cứ khi nào họ muốn và bạn phải tôn trọng quyết định của họ. Bạn không thể chỉ đơn giản thay đổi cơ sở pháp lý của việc xử lý thành một trong những lý do biện minh khác.
- Trẻ em dưới 13 tuổi chỉ có thể đồng ý khi được sự cho phép của cha mẹ.
- Bạn cần phải lưu giữ bằng chứng tài liệu về sự đồng ý.
QUYỀN RIÊNG TƯ CỦA MỌI NGƯỜI
GDPR công nhận một loạt các quyền riêng tư mới cho chủ thể dữ liệu nhằm mục đích trao cho cá nhân quyền kiểm soát nhiều hơn đối với dữ liệu mà họ cho các tổ chức sử dụng, bao gồm:
- Quyền được thông báo;
- Quyền truy cập;
- Quyền sửa chữa;
- Quyền xóa bỏ;
- Quyền hạn chế xử lý;
- Quyền chuyển dữ liệu;
- Quyền phản đối;
- Quyền liên quan đến việc ra quyết định tự động và lập hồ sơ.
Nếu doanh nghiệp của bạn có chi nhánh ở EU, hay có mối quan hệ với những tổ chức, cá nhân tại EU, bạn nên tìm hiểu GDPR, đọc nó và tham khảo ý kiến luật sư để đảm bảo bạn tuân thủ đầy đủ GDPR.
Hoặc bạn có thể liên hệ với Công ty Tiêu chuẩn quốc tế ISC Việt Nam để được hỗ trợ, tư vấn. Chúng tôi sẵn sàng đáp ứng các yêu cầu của bạn nhanh chóng và hiệu quả nhất.
LIÊN HỆ VỚI #ISC_VIỆT_NAM ĐỂ ĐƯỢC HỖ TRỢ
· Đà Nẵng: Ms. Thảo Đỗ
#Hotline: 0707185165
#Email: thao.do@tcivietnam.com
· Hà Nội: Ms Lan Anh
#Hotline: 0824 647 279
#Email: anh.nguyen@iscvietnam.net
#Website: https://iscvietnam.net
#Zalo: https://zalo.me/3014216325814962649
#Likedln:https://www.linkedin.com/in/isc-vi%E1%BB%87t-nam-36a2352a2/
· Hồ Chí Minh: Ms. Vân Phạm
#Hotline: 0933 09 6426
#Email: van.pham@iscvietnam.net
#Văn_Phòng_ISC_Việt_Nam
=> Hà Nội: Số 18 Tam Trinh, Quận Hai Bà Trưng, Hà Nội.
=> Đà Nẵng: 498 Bùi Trang Chước, Cẩm Lệ, Đà Nẵng.
=> Hồ Chí Minh: 8/29 Hoàng Hoa Thám, Phường 7, Bình Thạnh, Hồ Chí Minh.