GDPR là gì? 6 bước để đảm bảo tuân thủ GDPR

Các quy định của GDPR có hiệu quả như thế nào đối với việc bảo vệ thông tin dữ liệu của EU? Các tổ chức hoặc doanh nghiệp có thể áp dụng các quy tắc của GDPR hay không? Hãy cùng Vina Aspire đi tìm hiểu về GDPR ở bài viết dưới đây.

GDPR là gì?

General Data Protection Regulation (GDPR) – Quy định chung về bảo mật dữ liệu bao gồm các yêu cầu về quyền riêng tư của dữ liệu thuộc khối EU và có hiệu lực hoạt động từ ngày 25/5/2018.

Nghị viện châu u phê duyệt GDPR vào 14/4/2016 thay thế cho các luật bảo mật dữ liệu của EU năm 1995. Luật GDPR mới tập trung hơn vào tính minh bạch và hỗ trợ mở rộng quyền riêng tư đối với các chủ thể dữ liệu.

Ví dụ: Nếu phát hiện một hoạt động dữ liệu đáng ngờ, công ty có nhiệm vụ thông báo lỗi đến toàn bộ người sử dụng và cơ quan giám sát trong thời gian 72 giờ để kịp thời xử lý.

Mục đích của GDPR là gì?

GDPR được phát minh ra với những quy định nghiêm ngặt và được vận hành có trách nhiệm nhằm mục đích bảo vệ các dữ liệu cá nhân được duy trì một cách an toàn hơn. Ngoài ra, một số quy định cá nhân của GDPR còn giúp cho các dữ liệu có thể chống lại việc xử lý trái phép, xâm nhập đánh cắp thông tin, phá hỏng dữ liệu…

GDPR được phép thu thập một số dữ liệu cá nhân nhất định và liên quan tới mục đích cần sử dụng. Đồng thời các dữ liệu được thu thập luôn đảm bảo độ chính xác và là thông tin được cập nhật mới nhất.

Các quy định của GDPR không cho phép các công ty xử lý dữ liệu cá nhân PII nếu không đáp ứng các điều kiện sau:

Xác nhận đồng ý của chủ thể dữ liệu.

Quá trình xử lý cần thiết để thực hiện các hợp đồng với chủ thể dữ liệu và một số quy định thực hiện nghĩa vụ pháp lý.

Thực hiện xử lý các quyền lợi của chủ thể dữ liệu hoặc các mục đích hợp pháp được thực hiện bởi bên thứ 3.

Thực hiện quá trình xử lý nhiệm vụ về lợi ích chung hoặc quyền riêng tư cụ thể.

Các quá trình xử lý dữ liệu với quy mô lớn sẽ được phân bổ một nhân viên chuyên nhiệm vụ bảo mật dữ liệu (DPO) tuân thủ các quy định của GDPR. Đồng thời, các DPO dựa theo các nguyên tắc đã được đề ra để duy trì dữ liệu cá nhân.

Chẳng hạn nếu phát hiện một tổ chức hoạt động dữ liệu trái phép với quy định của GDPR thì sẽ bị phạt số tiền 20 triệu euro.

Lịch sử của GDPR

GDPR được phát minh lần đầu tiên vào năm 1950 tại Công ước Nhân quyền của EU với các quyền cơ bản nhất đối với quyền riêng tư cá . Năm 1982, khi hệ thống máy tính phát triển mạnh và trở thành công cụ sử dụng phổ biến thì GDPR đã được nâng cấp thêm một số quy định như quyền riêng tư và quyền hợp pháp.Năm 1995 các quy định bảo mật dữ liệu của GDPR được xem là vấn đề cốt lõi quan trọng nhất.

GDPR bảo vệ dữ liệu nào?

Trước khi các dữ liệu cá nhân được thu thập thì các tổ chức phải nhận được sự xác minh đồng ý của chủ thể dữ liệu.

Các dữ liệu cá nhân hay chủ thể dữ liệu do GDPR quản lý là các thông tin như:

  • Thông tin cơ bản như tên, địa chỉ, số chứng minh thư.
  • Các đặc điểm nhận dạng về sức khỏe hoặc di truyền.
  • Dữ liệu trắc sinh học như dấu vân tay, nhận dạng khuôn mặt.
  • Thông tin về chủng tộc, dân tộc hoặc tôn giáo.
  • Quan điểm chính trị hoặc thành viên công đoàn.

Một số nguyên tắc và nền tảng của GDPR

Nguyên tắc của GDPR

GDPR bao gồm 7 nguyên tắc cơ bản bao gồm các quy định liên quan đến dữ liệu cá nhân như:

  1. Người dùng được phép theo dõi các dữ liệu hoạt động hợp pháp, rõ ràng và minh bạch nhất.
  2. Giới hạn các dữ liệu được thu thập sử dụng cho mục đích cụ thể.
  3. Giảm thiểu số lượng dữ liệu được thu thập đáp ứng đủ yêu cầu cho quá trình xử lý.
  4. Các dữ liệu khi thu thập cần đảm bảo chính xác và được nâng cấp.
  5. Giới hạn dữ liệu được thu thập chỉ được lưu trữ ở khoảng thời gian nhất định.
  6. An toàn và bảo mật thông tin dữ liệu cá nhân chống lại các hành vi đáng ngờ.
  7. Người thu thập dữ liệu cần tuân thủ các quy định của GDPR.

Nền tảng của GDPR

7 nguyên tắc này là nền tảng dành cho các quyền riêng tư của chủ thể dữ liệu với:

  • Quyền xoá bỏ cho phép người dùng là chủ thể yêu cầu xoá PII khỏi bộ nhớ hệ thống.
  • Quyền truy cập giúp theo dõi các dữ liệu đã được lưu trữ.
  • Quyền phản đối cho phép thực hiện hành động từ chối sử dụng hoặc xử lý dữ liệu cá nhân bất kỳ.
  • Quyền cải chính hỗ trợ sửa chữa các dữ liệu thông tin cá nhân.
  • Quyền luân chuyển cho phép truy cập và di chuyển dữ liệu cá nhân của chủ thể bất kỳ.

Đối tượng cần tuân thủ GDPR?

Các quy định của GDPR áp dụng cho mọi tổ chức cung cấp dịch vụ dữ liệu trong và ngoài khu vực Liên minh châu u. Đặc biệt, các quy định được sử dụng để thu thập các dữ liệu cá nhân bằng nhiều phương pháp khác nhau như website hoặc công cụ internet.

GDPR xác định 3 vai trò bao gồm:

  • Chủ thể dữ liệu cá nhân.
  • Bộ điều khiển dữ liệu xác định sự phù hợp với mục đích sử dụng.
  • Bộ xử lý dữ liệu cá nhân.

Thông báo vi phạm

Nếu xảy ra vi phạm bảo mật làm ảnh hưởng trực tiếp đến các dữ liệu cá nhân thì tổ chức quản lý cần thông báo cho cơ quan giám sát trong vòng 72 giờ để được khắc phục kịp thời.

Ngoài ra, còn có các yêu cầu khác liên quan đến thông báo vi phạm như:

  • Nếu như các thông báo lỗi vi phạm không được báo cáo trong thời gian 72 giờ đã quy định thì người quản lý dữ liệu cần cung cấp đầy đủ lý do chậm trễ cho cơ quan giám sát.
  • Thông báo vi phạm khi gửi đi cần đảm bảo các yếu tố về số lượng dữ liệu và loại dữ liệu đã bị xâm phạm.
  • Cơ quan kiểm soát dữ liệu có nhiệm vụ mô phỏng hậu quả của các vi phạm dữ liệu và các biện pháp khắc phục tốt nhất.
  • Thông báo vi phạm dữ liệu sẽ cần được gửi trực tiếp đến các chủ thể.
  • Người quản lý dữ liệu có nhiệm vụ ghi nhớ lại vi phạm, các biện pháp đã được áp dụng và tài liệu liên quan cho cơ quan giám sát để xác minh chi tiết.

Tiền phạt và hình phạt cho việc không tuân thủ

GDPR áp dụng các hình phạt cho bất kỳ người dùng hay tổ chức nào vi phạm dữ liệu dựa theo các tiêu chí như mức độ nghiêm trọng, khoảng thời gian vi phạm, số lượng dữ liệu bị ảnh hưởng bởi vi phạm và mức độ thiệt hại mà vi phạm gây ra.

Hoặc phụ thuộc vào một số yếu tố khác như:

  • Sơ xuất hoặc cố ý vi phạm dữ liệu.
  • Thông tin dữ liệu cá nhân của người dùng không được thu thập và xử lý đầy đủ sẽ bị phạt số tiền lên tới 10 triệu euro hoặc 2% doanh thu hàng năm.
  • Không thực hiện các quy định của cơ quan giám sát bị phạt 20 triệu euro hoặc 4% tổng doanh thu.

Một số ví dụ về các khoản tiền phạt đặc biệt mà GDPR đã thực hiện đối với các bên vi phạm như:

  • Hãng Hàng không Anh bị phạt mức tiền 200 triệu euro.
  • Khách sạn Marriott bị phạt mức tiền 100 triệu euro.
  • Google Inc bị phạt mức tiền 50 triệu euro.

GDPR và dữ liệu của bên thứ ba

Các quy định của GDPR được tích hợp với các quy định của bên thứ 3 nhằm bổ sung các quyền hạn và quyền riêng tư của các dữ liệu cá nhân bên ngoài EU.

Người quản lý dữ liệu cần được xác minh đồng ý trước khi thực hiện nhiệm vụ di chuyển dữ liệu đến vị trí khác.

Khi phát hiện ra một dữ liệu cá nhân đáng ngờ, người quản lý dữ liệu cần theo dõi và so sánh chúng với dữ liệu gốc sau đó gửi thông báo tới chủ sở hữu.

Sau khi Vương quốc Anh lựa chọn ra khỏi EU đã ngay lập tức cập nhật bổ sung Đạo luật bảo mật dữ liệu năm 2018. Đồng thời thực hiện tuân thủ chặt chẽ các quy tắc và đảm bảo cho việc sử dụng dữ liệu cá nhân không vi phạm GDPR.

6 bước để đảm bảo tuân thủ GDPR

Các quy tắc của GDPR luôn hướng đến chất lượng và trách nhiệm đối với dữ liệu cá nhân của người dùng.

GDPR mô tả kết quả mong đợi của việc quản lý dữ liệu tốt và có trách nhiệm, nhưng nó không xác định bất kỳ biện pháp kỹ thuật cụ thể nào mà người thu thập dữ liệu phải sử dụng để đạt được mục tiêu đó.

6 bước đảm bảo tuân thủ GDPR bao gồm:

  1. Luôn hỏi trước khi thu thập bất kỳ dữ liệu cá nhân nào.
  2. Chỉ thu thập những dữ liệu cần thiết để sử dụng cho mục đích cụ thể và phải chịu trách nhiệm về những dữ liệu đó.
  3. Không được phép chia sẻ dữ liệu cho bất kỳ bên nào nếu không được chủ sở hữu và cơ quan giám sát đồng ý.
  4. Mã hoá các dữ liệu cá nhân.
  5. Tạo các bản sao lưu cập nhật và an toàn của các dữ liệu cá nhân.
  6. Sử dụng các công cụ hỗ trợ thao tác chỉnh sửa dữ liệu cá nhân như xác minh hoặc ghi lại lịch sử.

Tổng kết về GDPR

Trên đây là những thông tin về GDPR, những quy định chung về bảo mật dữ liệu dành cho các tổ chức và doanh nghiệp. Việc tuân thủ các quy tắc của GDPR nhằm bảo vệ các dữ liệu được an toàn hơn đồng thời giúp nâng cao hình ảnh của doanh nghiệp đối với khách hàng.

Còn nếu bạn còn thắc mắc thêm về GDPR hoặc muốn tìm hiểu thêm những vấn đề khác về bảo mật thông tin, hãy liên hệ với chúng tôi, Vina Aspire sẽ trả lời bạn trong thời gian sớm nhất.

Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.

Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:

Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668


Vina Aspire – Vững bảo mật, trọn niềm tin


Bài viết liên quan

About Us

Learn More

Vina Aspire is a leading Cyber Security & IT solution and service provider in Vietnam. Vina Aspire is built up by our excellent experts, collaborators with high-qualification and experiences and our international investors and partners. We have intellectual, ambitious people who are putting great effort to provide high quality products and services as well as creating values for customers and society.

may ao thun Kem sữa chua May o thun May o thun đồng phục Định cư Canada Dịch vụ kế ton trọn gi sản xuất đồ bộ
Translate »