Công nghệ 4.0 kết nối mọi người bằng công nghệ, điều đó kéo theo nhiều vấn đề pháp lý đặc biệt là bảo vệ thông tin của minh. Gần đây người dùng Spotify, Facebook, Twitter,… nhận được các mail về thay đổi GDPR. Vậy thực chất GDPR là gì, tại sao lại quan trọng như vậy. Cùng khám phá qua bài viết này nhé!
Nội dung bài viết
GDPR là gì?
Khái niệm
GDPR là viết tắt của cụm từ General Data Protection Regulation dịch sang tiếng Việt có nghĩa là Quy định chung về bảo mật thông tin. Quy định này sẽ buộc các doanh nghiệp phải cam kết bảo mật thông tin, dữ liệu cá nhân cũng như quyền riêng tư của công dân châu Âu khi thực hiện các giao dịch giữa các quốc gia thuộc EU.
Quy định bảo vệ dữ liệu của Châu Âu được áp dụng kể từ ngày 25 tháng 5 năm 2018 ở tất cả các quốc gia thành viên để hài hòa luật bảo mật dữ liệu trên toàn Châu Âu. Dù vậy nhưng các công ty công nghệ và phần mềm lớn trên thế giới đều là tập đoàn toàn cầu, do đó chúng ta cũng cần tìm hiểu về những quy định này.
Mỗi doanh nghiệp cần phải nghiên cứu thật kỹ trước khi áp dụng quy định này, bởi lẽ quy trình cũng như thông tin định danh cá nhân tại mỗi doanh nghiệp tương đối phức tạp, bao gồm cả địa chỉ IP cá nhân hoặc cookies data.
Nguồn gốc hình thành
Mối lo ngại về đánh cắp dữ liệu và thông tin cá nhân từ lâu đã được các chính phủ cũng như công dân nhiều nước quan tâm. Có nhiều luật quy định về vấn đề này như Chỉ thị Bảo vệ Dữ liệu năm 1995, tuy nhiên với sự phát triển không ngừng của Internet chỉ thị này có phần lỗi thời và cần đổi mới ngay lập tức.
Về cơ bản, hầu hết mọi khía cạnh trong cuộc sống của chúng ta đều xoay quanh dữ liệu. Từ các công ty truyền thông xã hội, đến ngân hàng, nhà bán lẻ và chính phủ – hầu hết mọi dịch vụ chúng tôi sử dụng đều liên quan đến việc thu thập và phân tích dữ liệu cá nhân.
Khả năng khai thác lợi ích từ thông tin cá nhân là khổng lồ, do đó mà không ít các tổ chức vẫn luôn tìm cách để có được nguồn dữ liệu này. Vấn đề lạm dụng dữ liệu cá nhân đã tạo ra rất nhiều cuộc tranh cãi, kéo theo những hệ lụy khó kiểm soát được hết, tội phạm công nghệ cao cũng tăng cao.
Vì thực trạng trên, Liên minh châu Âu EU đã quyết định cho ra đời GDPR và được Nghị viện châu Âu thông qua quy định GDPR vào tháng 4/2016. Đây là bước ngoặt mới cho việc bảo vệ dữ liệu cá nhân.
Đối tượng
Về cốt lõi, GDPR là một bộ quy tắc mới được thiết kế để cung cấp cho công dân EU nhiều quyền kiểm soát hơn đối với dữ liệu cá nhân của họ. Nó nhằm mục đích đơn giản hóa môi trường pháp lý cho kinh doanh để cả người dân và doanh nghiệp trong Liên minh châu Âu có thể hưởng lợi đầy đủ từ nền kinh tế kỹ thuật số.
GDPR áp dụng cho bất kỳ tổ chức nào hoạt động trong EU, cũng như bất kỳ tổ chức nào bên ngoài EU cung cấp hàng hóa hoặc dịch vụ cho khách hàng hoặc doanh nghiệp ở EU.
Đó có thể là trách nhiệm của một cá nhân trong một doanh nghiệp nhỏ, hoặc thậm chí là của cả một bộ phận trong một tập đoàn đa quốc gia. Điều đó cuối cùng có nghĩa là hầu hết mọi tập đoàn lớn trên thế giới đều cần có chiến lược tuân thủ GDPR.
GDPR bảo vệ những loại thông tin nào?
Các loại dữ liệu được coi là cá nhân theo luật hiện hành bao gồm tên, địa chỉ và ảnh. GDPR mở rộng định nghĩa về dữ liệu cá nhân để một thứ như địa chỉ IP có thể là dữ liệu cá nhân. Nó cũng bao gồm dữ liệu cá nhân nhạy cảm như dữ liệu di truyền và dữ liệu sinh trắc học.
Các quyền lợi của GDPR
Quyền được thông báo
Nếu tên, địa chỉ, dữ liệu sinh, hồ sơ sức khỏe, chi tiết ngân hàng hoặc bất kỳ dữ liệu cá nhân hoặc riêng tư nào về khách hàng bị vi phạm, tổ chức có nghĩa vụ thông báo cho những người bị ảnh hưởng cũng như cơ quan quản lý liên quan để mọi thứ có thể được thực hiện để hạn chế thiệt hại.
Quyền được truy cập
Chủ thể của thông tin có thể yêu cầu mọi tổ chức, cơ quan đang lưu trữ dữ liệu của mình cung cấp dữ liệu ấy để bạn xem xét trong thời gian là 30 ngày. Sự vi phạm phải được báo cáo cho cơ quan giám sát có liên quan trong vòng 72 giờ kể từ khi tổ chức biết được nó lần đầu tiên.
Trong khi đó, nếu vi phạm đủ nghiêm trọng để khách hàng hoặc công chúng phải được thông báo, luật GDPR quy định khách hàng phải chịu trách nhiệm mà không có ‘sự chậm trễ quá mức’.
Quyền được cải chính
Những thông tin rò rỉ cần được thực hiện thông qua một thông báo vi phạm, thông báo này phải được gửi trực tiếp đến các nạn nhân. Thông tin này không được chỉ được truyền đạt trong thông cáo báo chí, trên phương tiện truyền thông xã hội hoặc trên trang web của công ty. Nó phải là thư từ 1-1 với những người bị ảnh hưởng.
Quyền được xóa bỏ
GDPR cũng mang đến một quy trình ‘xóa bỏ’ được làm rõ, cung cấp các quyền và tự do bổ sung cho những người không còn muốn dữ liệu cá nhân của họ được xử lý để xóa dữ liệu đó, với điều kiện không có căn cứ để giữ lại dữ liệu đó.
Quyền được giới hạn xử lý
Các tổ chức thuộc mọi quy mô trong tất cả các lĩnh vực đều gửi cho khách hàng email, yêu cầu họ chọn tham gia để tiếp tục nhận tin nhắn và các tài liệu tiếp thị khác. Đối với hầu hết các phần, nếu khách hàng không muốn tiếp tục có tên trong danh sách, họ chỉ cần nhấp vào phần của email cho biết công ty họ muốn được giới hạn xử lý dữ liệu đó.
Quyền được luân chuyển dữ liệu
Mức phạt tối đa 20 triệu euro hoặc bốn phần trăm doanh thu trên toàn thế giới – tùy theo mức nào lớn hơn – đối với hành vi vi phạm quyền của chủ thể dữ liệu, chuyển giao trái phép dữ liệu cá nhân ra quốc tế và không thực hiện các thủ tục hoặc bỏ qua các yêu cầu truy cập của chủ thể đối với dữ liệu của họ.
Quyền được phản đối
Khi người dùng bị lạm dụng thu thập dữ liệu hoặc không đồng ý thì có quyền phản đối hoạt động này của tổ chức thu thập dữ liệu. Hoạt động thu thập phải ngưng cho đến khi chứng minh được hoạt động hợp pháp cũng như lý do chính đáng, sự cho phép của người dùng.
Quyền liên quan đến việc tự ra quyết định
Trong trường hợp công ty bị mất dữ liệu, có thể là do tấn công mạng, lỗi của con người hoặc bất cứ điều gì khác, công ty có nghĩa vụ gửi thông báo vi phạm. Điều này phải bao gồm dữ liệu gần đúng về vi phạm, bao gồm các loại thông tin và số lượng cá nhân bị xâm phạm do sự cố, cũng như các loại và số lượng gần đúng của hồ sơ dữ liệu cá nhân có liên quan.
GDPR sẽ đưa ra các biện pháp bảo vệ để cá nhân có dữ liệu được thu thập có thể phản đối hoặc được giải thích về những quyết định tự động (do những tổ chức/công ty thu thập dữ liệu) đưa ra ảnh hưởng thế nào đến họ và dữ liệu của họ.
GDPR sẽ đưa ra các biện pháp bảo vệ để cá nhân có dữ liệu được thu thập có thể phản đối hoặc được giải thích về những quyết định tự động đưa ra ảnh hưởng thế nào đến họ và dữ liệu của họ.
Ảnh hưởng của GDPR đối với doanh nghiệp
Các tổ chức cũng cần cung cấp mô tả về hậu quả tiềm ẩn của việc vi phạm dữ liệu, chẳng hạn như trộm cắp tiền hoặc gian lận danh tính và mô tả về các biện pháp đang được thực hiện để đối phó với vi phạm dữ liệu và để chống lại bất kỳ tác động tiêu cực nào có thể được các cá nhân phải đối mặt.
Theo các điều khoản GDPR thúc đẩy trách nhiệm giải trình và quản trị, các công ty cần thực hiện các biện pháp kỹ thuật và tổ chức thích hợp. Chúng có thể bao gồm các điều khoản bảo vệ dữ liệu (đào tạo nhân viên, đánh giá nội bộ hoạt động xử lý và xem xét các chính sách nhân sự), cũng như lưu giữ tài liệu về các hoạt động xử lý.
ICO cho biết các chiến thuật khác mà các tổ chức có thể xem xét bao gồm giảm thiểu dữ liệu và đặt bút danh hoặc cho phép các cá nhân giám sát quá trình xử lý.
Kể từ tháng 5 năm 2019, mức phạt GDPR lớn nhất được ban hành cho đến nay là 50 triệu euro. Cơ quan giám sát bảo vệ dữ liệu của Pháp CNIL đã đưa ra án phạt đối với Google vào tháng 1 sau khi đưa ra kết luận rằng “gã khổng lồ” công cụ tìm kiếm đã vi phạm các quy tắc GDPR về tính minh bạch và có cơ sở pháp lý hợp lệ khi xử lý dữ liệu của mọi người cho mục đích quảng cáo.
Cách hạn chế quy phạm GDPR
Phổ biến GDPR đến toàn phòng ban
Bảo vệ dữ liệu không chỉ ưu tiên ở phòng IT, mà tất cả các phòng ban đều làm việc trên số liệu. Do đó để hạn chế những ảnh hưởng quy định GDPR cần được phổ biến đến tất cả các phòng ban: Tài chính, marketing, HR, R&D,…
Không chỉ về yếu tố con người, mà các thiết bị di động, cá nhân truy cập mạng cũng cần tuân thủ theo các quy định của GDPR. Nếu các ứng dụng này truy cập và lưu trữ thông tin cá nhân, thì cũng phải đảm bảo tuân thủ GDPR.
Tiến hành rà soát các nguy cơ
Có rất nhiều công cụ và nền tảng ẩn chứa nguy cơ đánh cắp dữ liệu từ người dùng. Thế nên cần định kỳ kiểm tra rà soát các nguy cơ, lỗ hổng dữ liệu để kịp thời ngăn chặn tin tặc, nhằm bảo vệ dữ liệu an toàn nhất.
Duy trì và cập nhật bảo vệ dữ liệu
Các hoạt động kiểm tra cần phải lên kế hoạch và thực hiện đều đặn. Các công ty, doanh nghiệp cần ghi lại và đánh giá quá trình này một cách tỉ mỉ và tuân thủ quy tắc. Có như vậy mới đảm bảo được thông tin được bảo mật tối đa, tránh những rắc rối vi phạm pháp lý.
Xem thêm:
- Vùng đặc quyền kinh tế là gì và những quy định đối với các quốc gia
- WIP là gì? Tìm hiểu các thông tin cơ bản về WIP
- Team là gì? Khám phá ý nghĩa, lợi ích và lưu ý của việc lập Team
Trên đây là tổng hợp những thông tin liên quan đến GDPR, các quyền lợi của GDPR, ảnh hưởng cũng như hạn chế của luật này. Hy vọng có thể giải đáp những thắc mắc của các bạn.