Nền công nghệ 4.0 đã mở ra cánh cửa cho việc kết nối mọi người thông qua công nghệ, tuy nhiên điều này đồng thời đặt ra nhiều vấn đề pháp lý đặc biệt, nhất là việc bảo vệ thông tin cá nhân. Gần đây, người dùng trên các nền tảng như Spotify, Facebook, Twitter,… đã bắt đầu nhận được thông báo về việc thay đổi theo quy định của GDPR. Vậy thực chất, chính sách bảo vệ dữ liệu chung chung này là gì, và tại sao lại có tầm quan trọng đặc biệt như vậy? Hãy cùng khám phá thông tin chi tiết qua bài viết dưới đây để hiểu rõ hơn về vấn đề này nhé!

GDPR và Ưu Đãi Của Nó Cho Doanh Nghiệp
GDPR và Ưu Đãi Của Nó Cho Doanh Nghiệp

Khái niệm

GDPR là viết tắt của cụm từ General Data Protection Regulation dịch sang tiếng Việt có nghĩa là Quy định chung về bảo mật thông tin. Quy định này sẽ buộc các doanh nghiệp phải cam kết bảo mật thông tin, dữ liệu cá nhân cũng như quyền riêng tư của công dân châu Âu khi thực hiện các giao dịch giữa các quốc gia thuộc EU.

Quy định bảo vệ dữ liệu của Châu Âu được áp dụng kể từ ngày 25 tháng 5 năm 2018 ở tất cả các quốc gia thành viên để hài hòa luật bảo mật dữ liệu trên toàn Châu Âu. Dù vậy nhưng các công ty công nghệ và phần mềm lớn trên thế giới đều là tập đoàn toàn cầu, do đó chúng ta cũng cần tìm hiểu về những quy định này.

Mỗi doanh nghiệp cần phải nghiên cứu thật kỹ trước khi áp dụng quy định này, bởi lẽ quy trình cũng như thông tin định danh cá nhân tại mỗi doanh nghiệp tương đối phức tạp, bao gồm cả địa chỉ IP cá nhân hoặc cookies data.

General Data Protection Regulation
General Data Protection Regulation

Nguồn gốc hình thành

Lo ngại về việc đánh cắp dữ liệu và thông tin cá nhân luôn thu hút sự quan tâm của các chính phủ và người dân trên toàn thế giới. Có nhiều quy định liên quan như Chỉ thị Bảo vệ Dữ liệu năm 1995, nhưng với sự bùng nổ của Internet, việc cập nhật luật lệ trở nên cấp bách hơn bao giờ hết.

Thực tế, hầu hết mọi khía cạnh của cuộc sống ngày nay đều xoay quanh dữ liệu. Từ các công ty mạng xã hội, ngân hàng, cửa hàng bán lẻ cho đến tổ chức chính phủ, tất cả đều phụ thuộc vào việc thu thập và phân tích dữ liệu cá nhân.

Việc khai thác thông tin cá nhân mang lại lợi ích vô cùng lớn, từ đó nhiều tổ chức luôn tìm kiếm cách tiếp cận / thông tin này. Vấn đề về việc lạm dụng dữ liệu cá nhân đã gây ra nhiều tranh cãi, và những hậu quả khó kiểm soát, dẫn đến sự gia tăng của tội phạm công nghệ.

Đáp ứng xu hướng đó, Liên minh châu Âu đã ban hành Nghị định về Bảo vệ Dữ liệu Chung (GDPR) vào tháng 4 năm 2016. Điều này đánh dấu một bước quan trọng trong việc bảo vệ dữ liệu cá nhân.

Bảo vệ dữ liệu cá nhân
Bảo vệ dữ liệu cá nhân

Đối tượng

Về bản chất, GDPR là một bộ quy tắc mới được thiết kế nhằm cung cấp cho công dân EU quyền kiểm soát cao hơn đối với thông tin cá nhân của họ. Mục tiêu của nó là làm đơn giản hóa môi trường pháp lý cho các hoạt động kinh doanh, giúp người dân và doanh nghiệp tại Liên minh Châu Âu tận dụng đầy đủ lợi ích của nền kinh tế số.

GDPR áp dụng cho mọi tổ chức hoạt động trong EU, cũng như bất kỳ tổ chức nào có hoạt động hoặc cung cấp sản phẩm/dịch vụ cho khách hàng hoặc doanh nghiệp tại EU.

Điều này có thể đề cập đến trách nhiệm của từng cá nhân trong một doanh nghiệp nhỏ, thậm chí của một nhóm nhỏ trong một tập đoàn đa quốc gia. Điều này đồng nghĩa rằng hầu hết các tập đoàn lớn trên thế giới đều cần phải có chiến lược tuân thủ GDPR.

Liên minh Châu Âu EU
Liên minh Châu Âu EU

Bảo vệ thông tin theo GDPR: Mức độ bảo vệ thông tin cá nhân

GDPR bảo vệ nhiều loại thông tin cá nhân, từ thông tin cơ bản như tên, địa chỉ, cho đến những thông tin nhạy cảm như dữ liệu di truyền và sinh trắc học. Luật GDPR mở rộng phạm vi định nghĩa dữ liệu cá nhân, bao gồm cả thông tin như địa chỉ IP, để đảm bảo mức độ bảo vệ cao nhất cho người dùng.

Dữ liệu di truyền và dữ liệu sinh trắc học
Dữ liệu di truyền và dữ liệu sinh trắc học

Quyền được thông báo

Nếu thông tin cá nhân như tên, địa chỉ, dữ liệu sinh, thông tin sức khỏe, chi tiết tài chính hoặc bất kỳ thông tin cá nhân hoặc riêng tư nào về khách hàng bị vi phạm, tổ chức có trách nhiệm thông báo cho những người bị ảnh hưởng cũng như cơ quan quản lý liên quan để có biện pháp hạn chế thiệt hại.

Đọc thêm:  ARN được tổng hợp từ mạch nào của gen? Nguyên tắc nào?

Quyền được truy cập

Bạn có quyền yêu cầu mọi tổ chức, cơ quan lưu trữ thông tin của mình cung cấp dữ liệu cho bạn xem xét trong vòng 30 ngày. Bất kỳ vi phạm nào phải được báo cáo cho cơ quan giám sát có liên quan trong vòng 72 giờ kể từ khi tổ chức biết được vi phạm đó lần đầu tiên.

Nếu vi phạm nghiêm trọng đến mức cần thông báo đến khách hàng hoặc công chúng, Luật GDPR quy định rằng khách hàng phải chịu trách nhiệm mà không có ‘sự chậm trễ quá mức’.

Quyền được cải chính

Những thông tin rò rỉ cần được chuyển tiếp thông qua một thông báo vi phạm, và điều này cần được gửi trực tiếp đến các nạn nhân. Thông tin này không thể chỉ được công bố thông qua các thông cáo báo chí, trên các kênh truyền thông xã hội hoặc trên trang web của tổ chức. Điều quan trọng là phải thiết lập một liên lạc trực tiếp, thông qua thư từ cá nhân, với những người bị ảnh hưởng.

Quyền được loại bỏ

Luật GDPR cung cấp một quy trình ‘loại bỏ’ rõ ràng, đem lại quyền lợi và sự tự do bổ sung cho những người không muốn dữ liệu cá nhân của mình tiếp tục được xử lý để yêu cầu xoá dữ liệu đó, miễn là không có lý do hợp lệ để giữ lại dữ liệu.

Quyền bị Hạn Chế trong Việc Xử Lý

Các tổ chức, không phân biệt quy mô hay lĩnh vực, thường gửi email tới khách hàng, yêu cầu họ lựa chọn nếu muốn tiếp tục nhận thông báo và các tài liệu tiếp thị khác. Đa phần, nếu khách hàng không muốn thông tin cá nhân của mình được sử dụng, họ chỉ cần nhấp vào phần email để yêu cầu hạn chế việc xử lý dữ liệu của họ.

Quyền bị Hạn Chế trong Việc Xử Lý
Quyền bị Hạn Chế trong Việc Xử Lý

Quyền Luân Chuyển Dữ Liệu

Kỳ thị tối đa 20 triệu euro hoặc bốn phần trăm tổng doanh thu trên toàn thế giới – tùy thuộc vào con số nào lớn hơn – sẽ được áp dụng đối với hành vi vi phạm quyền của cá nhân dữ liệu. Điều này bao gồm việc chuyển dữ liệu cá nhân ra nước ngoài một cách trái phép và vi phạm các quy trình hoặc bỏ qua các yêu cầu truy cập từ phía cá nhân liên quan đến dữ liệu của họ.

Quyền phản đối

Khi người dùng bị lạm dụng khi thu thập dữ liệu hoặc không đồng ý, họ có quyền phản đối các hoạt động này của tổ chức thu thập dữ liệu. Tổ chức thu thập dữ liệu phải ngừng hoạt động ngay lập tức cho đến khi có bằng chứng về sự hợp pháp cũng như lý do hợp lý và sự đồng ý từ phía người dùng.

Quyền liên quan đến việc tự ra quyết định

Trong trường hợp dữ liệu của công ty bị mất, có thể do bị tấn công mạng, lỗi người dùng hoặc nguyên nhân khác, công ty cần phải gửi thông báo vi phạm. Thông báo này cần cung cấp thông tin chi tiết về vi phạm, bao gồm các loại thông tin và số lượng cá nhân bị ảnh hưởng bởi sự cố, cũng như các loại và số lượng dữ liệu cá nhân liên quan bị tác động.

Luật GDPR sẽ đưa ra các biện pháp bảo vệ để đảm bảo rằng cá nhân có dữ liệu được thu thập có quyền phản đối hoặc yêu cầu giải thích về những quyết định tự động (do các tổ chức/ công ty thu thập dữ liệu) ảnh hưởng như thế nào đến họ và dữ liệu của họ.

GDPR cũng bảo đảm rằng cá nhân có dữ liệu được thu thập có thể phản đối hoặc yêu cầu giải thích về cách những quyết định tự động ảnh hưởng đến họ và dữ liệu cá nhân của họ.

Tự ra quyết định
Tự ra quyết định

Ảnh hưởng của GDPR đối với doanh nghiệp

Các tổ chức cần phải hiểu rõ về những hậu quả tiềm ẩn có thể xảy ra do việc vi phạm dữ liệu như đánh cắp thông tin cá nhân hay lừa đảo danh tính, và cần có kế hoạch cụ thể để xử lý tình huống này cũng như ngăn chặn những tác động tiêu cực đối với cả người tiêu dùng.

Theo GDPR, việc thúc đẩy trách nhiệm giải trình và quản trị là điểm cần được quan tâm. Các công ty cần thực hiện các biện pháp kỹ thuật và tổ chức phù hợp để đảm bảo tuân thủ. Điều này có thể bao gồm việc đào tạo nhân viên về bảo vệ dữ liệu, đánh giá nội bộ quá trình xử lý dữ liệu, và xem xét chính sách nhân sự, cũng như lưu giữ hồ sơ về các hoạt động xử lý dữ liệu.

Cơ quan giám sát dữ liệu ICO nêu rõ rằng các tổ chức có thể áp dụng các chiến lược giảm thiểu dữ liệu và ẩn danh thông tin, hoặc cho phép cá nhân giám sát quá trình xử lý thông tin cá nhân.

Ảnh hưởng của GDPR đối với doanh nghiệp
Ảnh hưởng của GDPR đối với doanh nghiệp

Đến tháng 5 năm 2019, mức phạt GDPR cao nhất từ trước đến nay đã được áp dụng lên tới 50 triệu euro. Cơ quan bảo vệ dữ liệu của Pháp, CNIL, đã ra quyết định xử phạt Google vào tháng 1 vì vi phạm các quy định về minh bạch theo GDPR và không có cơ sở pháp lý hợp lệ trong việc xử lý dữ liệu cá nhân cho mục đích quảng cáo.

Đọc thêm:  90% Các bạn không hiểu về thiên thạch

Phổ Biến GDPR đến Toàn Bộ Phòng Ban

Việc bảo vệ dữ liệu không chỉ là trách nhiệm của bộ phận Công Nghệ Thông Tin, mà đó là nhiệm vụ của tất cả các phòng ban trong doanh nghiệp. Để đảm bảo giảm thiểu các ảnh hưởng của GDPR, quy định này cần được thông báo rộng rãi tới các bộ phận như Tài Chính, Marketing, Nhân Sự, Nghiên Cứu và Phát Triển…

Không chỉ giới hạn ở con người, mà các thiết bị di động và máy tính cá nhân cũng phải tuân thủ theo các quy định của GDPR. Đối với những ứng dụng mà tiếp xúc và lưu trữ thông tin cá nhân, việc tuân thủ GDPR là điều bắt buộc và không thể phớt lờ.

Tiến hành rà soát các nguy cơ

Khi tham gia trực tuyến, bạn sẽ phải đối mặt với nhiều rủi ro liên quan đến việc mất dữ liệu cá nhân. Có nhiều công cụ và nền tảng tiềm ẩn nguy cơ đánh cắp thông tin cá nhân từ người dùng. Để đảm bảo an toàn cho mình, bạn cần thực hiện việc kiểm tra và rà soát định kỳ để phát hiện kịp thời các nguy cơ, lỗ hổng dữ liệu và ngăn chặn các hành vi xấu từ tin tặc, giữ cho dữ liệu của bạn được bảo vệ an toàn nhất

Công nghệ 4.0 và Thách thức Pháp lý của GDPR

Công nghệ 4.0 đang kết nối mọi người thông qua các công nghệ tiên tiến, tuy nhiên điều này đã đem đến nhiều vấn đề pháp lý đặc biệt, đặc biệt là vấn đề bảo vệ thông tin cá nhân. Gần đây, người dùng của các dịch vụ như Spotify, Facebook, Twitter,… đang nhận được các email thông báo về các thay đổi liên quan đến GDPR. Vậy thì thực chất GDPR là gì và tại sao lại quan trọng đến vậy? Hãy cùng khám phá thông qua bài viết dưới đây nhé!

GDPR là gì?

Khái niệm

GDPR viết tắt của cụm từ “General Data Protection Regulation” được dịch sang tiếng Việt có nghĩa là Quy định chung về bảo vệ dữ liệu. Quy định này đặt ra yêu cầu các doanh nghiệp phải cam kết bảo vệ thông tin, dữ liệu cá nhân cũng như quyền riêng tư của công dân châu Âu khi thực hiện giao dịch với các quốc gia thuộc Liên minh Châu Âu. Quy định bảo vệ dữ liệu của châu Âu đã có hiệu lực từ ngày 25 tháng 5 năm 2018 trên toàn bộ các quốc gia thành viên nhằm đảm bảo sự thống nhất về luật bảo vệ dữ liệu trên lãnh thổ châu Âu. Để tuân thủ quy định này, mỗi doanh nghiệp cần phải tìm hiểu kỹ lưỡng vì quy trình và thông tin định danh cá nhân tại mỗi doanh nghiệp là khá phức tạp, bao gồm cả địa chỉ IP cá nhân hoặc dữ liệu cookies.

Nguồn gốc hình thành

Vấn đề về việc bảo vệ dữ liệu và thông tin cá nhân đã lâu được chính phủ và người dân của nhiều quốc gia quan tâm. Mặc dù có nhiều luật quy định về vấn đề này như Chỉ thị Bảo vệ Dữ liệu năm 1995, tuy nhiên do sự phát triển không ngừng của Internet đã làm cho các quy định này trở nên lỗi thời và cần phải được cập nhật ngay lập tức. Thực tế, hầu hết các khía cạnh trong cuộc sống của chúng ta liên quan đến dữ liệu. Từ các công ty mạng xã hội, ngân hàng, cửa hàng bán lẻ cho đến chính phủ – hầu hết mọi dịch vụ mà chúng ta sử dụng đều liên quan đến việc thu thập và phân tích dữ liệu cá nhân. Khả năng khai thác lợi ích từ thông tin cá nhân là rất lớn, do đó không ít tổ chức luôn tìm cách để có được / dữ liệu này. Vấn đề lạm dụng dữ liệu cá nhân đã tạo ra nhiều tranh cãi, dẫn đến những hệ lụy không kiểm soát được và tội phạm công nghệ cao cũng ngày càng gia tăng. Vì vấn đề trên, Liên minh châu Âu đã quyết định ban hành GDPR và được Nghị viện châu Âu thông qua quy định này vào tháng 4 năm 2016. Đây được coi là một bước ngoặt mới trong việc bảo vệ dữ liệu cá nhân.

Đối tượng

Về bản chất, GDPR là một bộ quy tắc mới được thiết kế để cung cấp nhiều quyền kiểm soát hơn đối với dữ liệu cá nhân của công dân Liên minh châu Âu. Mục tiêu của GDPR là đơn giản hóa môi trường pháp lý cho doanh nghiệp để cả người dân và doanh nghiệp trong Liên minh châu Âu có thể hưởng lợi đầy đủ từ nền kinh tế số. GDPR có hiệu lực đối với bất kỳ tổ chức nào hoạt động trong Liên minh Châu Âu cũng như bất kỳ tổ chức nào hoạt động bên ngoài Liên minh Châu Âu nhưng cung cấp hàng hoặc dịch vụ cho khách hàng hoặc doanh nghiệp tại Liên minh Châu Âu. Điều này có thể áp dụng cho một cá nhân trong một doanh nghiệp nhỏ, hoặc thậm chí là một bộ phận trong một tập đoàn đa quốc gia. Điều này có nghĩa là hầu hết các tập đoàn lớn trên toàn thế giới đều cần phải có chiến lược tuân thủ GDPR.

Đọc thêm:  Dateline là gì? Cách phân biệt giữa Deadline và Dateline

GDPR bảo vệ loại thông tin nào?

Các loại dữ liệu được coi là cá nhân theo luật hiện hành bao gồm tên, địa chỉ và hình ảnh. GDPR mở rộng định nghĩa về dữ liệu cá nhân để bao gồm như địa chỉ IP có thể được xem là dữ liệu cá nhân. Nó cũng bao gồm các dữ liệu cá nhân nhạy cảm như dữ liệu di truyền và dữ liệu sinh trắc học.

Các quyền lợi của GDPR

Quyền được thông báo

Nếu dữ liệu cá nhân của khách hàng bị vi phạm bao gồm tên, địa chỉ, dữ liệu sinh, hồ sơ sức khỏe, chi tiết ngân hàng,… tổ chức có trách nhiệm thông báo cho những người bị ảnh hưởng cũng như cơ quan quản lý liên quan để hạn chế thiệt hại.

Quyền được truy cập

Chủ thể của thông tin có quyền yêu cầu mọi tổ chức, cơ quan lưu trữ dữ liệu của họ cung cấp dữ liệu đó để kiểm tra trong thời gian 30 ngày. Mọi việc vi phạm phải được báo cáo cho cơ quan giám sát có liên quan trong vòng 72 giờ kể từ khi tổ chức biết được vi phạm đó lần đầu tiên. Nếu vi phạm đủ nghiêm trọng để yêu cầu thông báo cho khách hàng hoặc công chúng, luật GDPR yêu cầu người vi phạm phải chịu trách nhiệm mà không có sự chậm trễ.

Quyền được sửa đổi

Thông tin rò rỉ cần được thông qua một thông báo vi phạm, thông báo này phải được gửi trực tiếp đến những nạn nhân. Thông tin này không được chỉ truyền đạt thông qua thông cáo báo chí, trên phương tiện truyền thông xã hội hoặc trên trang web của công ty mà phải là thông báo cá nhân trực tiếp.

Quyền được xóa bỏ

GDPR cung cấp một quy trình “xóa bỏ” rõ ràng, cung cấp quyền tự do cho những người không muốn dữ liệu cá nhân của họ được xử lý để yêu cầu xóa dữ liệu đó, với điều kiện không có lý do để giữ lại dữ liệu đó.

Quyền được giới hạn xử lý

Mọi tổ chức bất kể kích thước trong mọi lĩnh vực đều cần gửi email cho khách hàng, yêu cầu họ chọn việc đồng ý tiếp tục nhận tin tức và các tài liệu tiếp thị khác. Đối với hầu hết các trường hợp, nếu khách hàng không muốn tiếp tục được liệt kê trong danh sách đó, họ chỉ cần nhấp vào liên kết trong email để yêu cầu được giới hạn xử lý dữ liệu của họ.

Quyền được chuyển giao dữ liệu

Mức phạt tối đa có thể lên đến 20 triệu euro hoặc bốn phần trăm doanh thu toàn cầu – tùy thuộc vào con số nào lớn hơn – đối với hành vi vi phạm quyền của chủ thể dữ liệu, chuyển giao trái phép dữ liệu cá nhân ra nước ngoài và không thực hiện các thủ tục hoặc bỏ qua yêu cầu truy cập của chủ thể đối với dữ liệu của họ.

Quyền phản đối

Khi người dùng bị lạm dụng trong việc thu thập dữ liệu hoặc không đồng ý, họ có quyền phản đối hoạt động của tổ chức thu thập dữ liệu. Việc thu thập phải dừng lại cho đến khi có chứng minh về tính hợp lý và sự cho phép của người dùng.

Quyền liên quan đến việc ra quyết định

Trong trường hợp công ty mất dữ liệu, có thể do tấn công mạng, lỗi của con người hoặc các nguyên nhân khác, công ty phải gửi thông báo vi phạm. Thông báo này phải bao gồm thông tin chính xác về vi phạm, bao gồm các loại thông tin và số lượng cá nhân bị ảnh hưởng bởi sự cố, cũng như các dữ liệu cá nhân liên quan.

Cách hạn chế tác động của GDPR

Phổ biến GDPM đến mọi phòng ban

Bảo vệ dữ liệu không chỉ cần quan tâm từ phòng IT mà mỗi phòng ban trong doanh nghiệp cần phải hiểu và thực thi các quy định của GDPR. Ngoài việc quan trọng về con người, các thiết bị di động và người dùng cá nhân cũng cần tuân thủ các quy định của GDPR. Nếu các ứng dụng này yêu cầu truy cập và lưu trữ thông tin cá nhân, họ cũng phải đảm bảo tuân thủ GDPR.

Tiến hành rà soát các rủi ro

Có nhiều công cụ và nền tảng tiềm ẩn nguy cơ lợi dụng thông tin từ người dùng. Do đó, việc kiểm tra và rà soát định kỳ các rủi ro, lỗ hổng dữ liệu để ngăn chặn kẻ xấu là điều cần thiết để bảo vệ dữ liệu an toàn nhất.

Duy trì và cập nhật bảo vệ dữ liệu

Hoạt động kiểm tra cần được lên kế hoạch và thực hiện định kỳ. Các công ty cần phải ghi lại và đánh giá kỹ càng quá trình này để đảm bảo tuân thủ và bảo mật thông tin tối đa, tránh vi phạm pháp lý.

Tóm lại, GDPR đóng vai trò quan trọng trong việc bảo vệ thông tin cá nhân và đảm bảo quyền lợi của người dùng trong môi trường số hóa ngày càng phát triển. Để tránh vi phạm pháp lý và bảo vệ dữ liệu hiệu quả, mọi tổ chức cần nắm vững và tuân thủ các quy định của GDPR.

Hãy tham khảo thêm:

  • Vùng đặc quyền kinh tế là gì và những quy định đối với các quốc gia
  • WIP là gì? Tìm hiểu các thông tin cơ bản về WIP
  • Team là gì? Khám phá ý nghĩa, lợi ích và lưu ý của việc lập Team

Chúng ta hy vọng rằng bài viết này đã giải đáp một số thắc mắc của bạn và giúp bạn hiểu rõ hơn về GDPR và tầm quan trọng của nó trong môi trường kinh doanh ngày nay. Để biết thêm thông tin chi tiết, vui lòng truy cập website của chúng tôi.