GDPR là gì? Những yêu cầu cần biết về GDPR

GDPR là gì? GDPR được hiểu là những quy định về bảo mật thông tin do liên minh Châu Âu (EU) đề ra. GDPR bao gồm hàng trăm trang yêu cầu mới cho các tổ chức trên toàn thế giới. Bài viết này, SQC CERTIFICATION xin chia sẻ cho bạn về GDPR, những yêu cầu cần biết về GDPR và những công ty nào cần thực hiện GDPR.

Mục lục

GDPR là gì? – Quy định bảo vệ dữ liệu cá nhân của EU

Thuật ngữ GDPR, được viết tắt của General Data Protection Regulation, là bộ quy định do Liên minh châu Âu (EU) ban hành nhằm bảo vệ dữ liệu cá nhân và quyền riêng tư của công dân trong khối EU khi thực hiện các giao dịch xuyên biên giới giữa các quốc gia thành viên. GDPR được ra đời và thông qua vào tháng 4 năm 2016, GDPR thay thế các quy định cũ kỹ từ năm 1995 và hiện đang được áp dụng thống nhất trên toàn bộ 28 nước thành viên EU.

Trong những quy định của khối EU có đưa ra những yêu cầu các doanh nghiệp cần phải nghiêm túc đảm bảo thu thập, lưu trữ và xử lý dữ liệu cá nhân được thực hiện một cách minh bạch, an toàn và tuân thủ đầy đủ các nguyên tắc đã được đặt ra. Một trong những thách thức lớn của GDPR là khái niệm “thông tin định danh cá nhân” được mở rộng, bao gồm cả các yếu tố kỹ thuật như địa chỉ IP hay dữ liệu cookies – điều này khiến các doanh nghiệp cần phải điều chỉnh cả hệ thống bảo mật lẫn quy trình xử lý dữ liệu hiện có. Dù không phải tất cả yêu cầu trong GDPR đều trực tiếp liên quan đến an ninh mạng, nhưng tác động gián tiếp đến các cơ sở hạ tầng bảo mật là không nhỏ, đòi hỏi doanh nghiệp phải đầu tư nghiêm túc về thời gian và nguồn lực để đảm bảo tuân thủ.

Lịch sử của GDPR

Có thể thấy các quyền riêng tư cũng được đề cao tại Châu Âu rất nhiều. Đây là một phần trong công ước Châu Âu năm 1950 về Nhân quyền trong đó có nêu rõ: “Mọi người đều có quyền được tôn trọng đời sống riêng tư và gia đình, nhà cửa và thư tín của mình”. Trên cơ sở này, Liên minh Châu Âu đã tìm cách bảo đảm quyền này thông qua luật pháp.

Theo thời gian thì tiến bộ công nghệ thông tin và Internet được phát minh thì khối EU nhận ra được nhu cầu về các biện pháp bảo vệ hiện đại. Chính vì thế năm 1995, khối EU cũng đã cho thông qua chỉ thị bảo vệ dữ liệu của châu Âu giúp thiết lập ra các tiêu chuẩn bảo mật và quyền riêng tư dữ liệu tối thiểu, theo đó mỗi quốc gia thành viên dựa trên luật thực hiện của riêng mình. Vào năm 2006, Facebook mở cửa cho công chúng. Vào năm 2011, một người dùng Google đã kiện công ty này vì đã quét email của cô ấy. Hai tháng sau đó, cơ quan bảo vệ dữ liệu của châu Âu tuyên bố EU cần “một cách tiếp cận toàn diện về bảo vệ dữ liệu cá nhân” và bắt đầu công việc cập nhật chỉ thị năm 1995.

GDPR có hiệu lực vào năm 2016 sau khi được Nghị viện Châu Âu thông qua và tính đến ngày 25 tháng 5 năm 2018, tất cả các tổ chức đều phải tuân thủ.

Kết nối với chuyên gia

Phạm vi, hình phạt và định nghĩa chính

Xét theo phạm vi thì khi bạn xử lý dữ liệu cá nhân của công dân hoặc cư dân EU cũng như bạn tiến hành cung cấp hàng hóa hoặc dịch vụ cho những người như vậy. GDPR sẽ áp dụng cho bạn ngay cả khi bạn không ở EU. Với những doanh nghiệp tiến hành áp dụng GDPR cũng có thể có mức phạt vi phạm GDPR khá cao. Có 2 loại mức phạt và tối đa là khoảng 20 triệu EURO hoặc 4% doanh thu toàn cầu (tùy theo mức nào cao hơn).

Một số định nghĩa của GDPR

Dữ liệu cá nhân: Dữ liệu cá nhân là bất kỳ thông tin nào liên quan đến một cá nhân có thể được xác định trực tiếp hoặc gián tiếp. Tên và địa chỉ email rõ ràng là dữ liệu cá nhân. Thông tin vị trí, dân tộc, giới tính, dữ liệu sinh trắc học, tín ngưỡng tôn giáo, cookie web và quan điểm chính trị cũng có thể là dữ liệu cá nhân. Dữ liệu ẩn danh cũng có thể nằm trong định nghĩa nếu có thể dễ dàng xác định danh tính của ai đó từ dữ liệu đó.
Xử lý dữ liệu: Bất kỳ hành động nào được thực hiện trên dữ liệu, dù là tự động hay thủ công. Các ví dụ được trích dẫn trong văn bản bao gồm thu thập, ghi lại, sắp xếp, cấu trúc, lưu trữ, sử dụng, xóa… về cơ bản là bất kỳ điều gì.
Chủ thể dữ liệu: Người có dữ liệu được xử lý. Đây là khách hàng hoặc người truy cập trang web của bạn.
Bộ điều khiển dữ liệu: Người quyết định lý do và cách thức xử lý dữ liệu cá nhân. Nếu bạn là chủ sở hữu hoặc nhân viên trong tổ chức của mình, người xử lý dữ liệu, thì đây chính là bạn.
Bộ xử lý dữ liệu: Bên thứ ba xử lý dữ liệu cá nhân thay mặt cho bộ điều khiển dữ liệu. GDPR có các quy tắc đặc biệt cho những cá nhân và tổ chức này. Những bên này có thể bao gồm máy chủ đám mây, như Google Drive , Proton Drive hoặc Microsoft OneDrive, hoặc nhà cung cấp dịch vụ email, như Proton Mail .

GDPR bảo vệ những loại thông tin riêng tư nào?

Không chỉ dừng lại ở việc định nghĩa rõ ràng về quyền riêng tư, GDPR còn thiết lập phạm vi bảo vệ rộng đối với nhiều loại thông tin cá nhân nhạy cảm của công dân EU. Cụ thể, các loại dữ liệu được GDPR bảo vệ bao gồm:

Các thông tin định danh cơ bản của công dân (như số ID, tên tuổi, địa chỉ,…).
Dữ liệu duyệt web (bao gồm địa điểm, địa chỉ IP, cookies và RFID tags,…).
Thông tin sức khỏe và di truyền.
Dữ liệu sinh trắc học.
Chủng tộc/dân tộc.
Quan điểm chính trị.
Xu hướng tính dục.

Những doanh nghiệp nào bắt buộc phải tuân thủ GDPR?

Hiện nay các tổ chức, doanh nghiệp có tiến hành thu thập, lưu trữ hoặc xử lý dữ liệu cá nhân của công dân Liên minh châu Âu (EU) đều bắt buộc phải tuân thủ các quy định của GDPR – bất kể doanh nghiệp đó đặt trụ sở tại đâu. Với những tổ chức, doanh nghiệp cần phải đảm bảo tiến hành thực hiện GDPR trong các trường hợp sau:

Doanh nghiệp có văn phòng hoặc trụ sở đặt tại một quốc gia thuộc EU;
Doanh nghiệp có từ 250 nhân viên trở lên;
Doanh nghiệp có quy mô dưới 250 nhân viên nhưng các hoạt động xử lý dữ liệu có tác động đến quyền và tự do của cá nhân, hoặc liên quan đến dữ liệu nhạy cảm như sức khỏe, sinh trắc học, hoặc quan điểm cá nhân.

Theo nghiên cứu của Propeller Insights, ảnh hưởng của GDPR không chỉ giới hạn trong một vài lĩnh vực mà lan rộng trên nhiều ngành công nghiệp. Các ngành như công nghệ, thương mại điện tử, phần mềm, tài chính, dịch vụ trực tuyến (SaaS), và sản phẩm tiêu dùng đóng gói đều cần đặc biệt quan tâm đến việc tuân thủ quy định này nhằm đảm bảo an toàn thông tin cá nhân và tránh các rủi ro pháp lý.

Ngành bán lẻ online 45%
Công ty phần mềm 44%
Dịch vụ tài chính 37%
Dịch vụ online/Saas 34%
Hàng hóa đóng gói bán lẻ/tiêu dùng 33%.

Những cách giúp doanh nghiệp không vi phạm GDPR

Dưới đây là những bí quyết giúp doanh nghiệp không vi phạm GDPR:

Bạn cần phải tuyên truyền về việc áp dụng GDPR đến tất cả phòng ban của mình. Việc này giúp cho doanh nghiệp của bạn có thể điều hành và tuân thủ theo các tiêu chuẩn của GDPR. Điều này là vô cùng quan trọng để đảm bảo rằng tất cả mọi người đều hiểu và tuân thủ quy tắc GDPR.
Tiến hành các đánh giá nguy cơ định kỳ: Các đánh giá nguy cơ cần chỉ ra những “góc khuất” trong việc sử dụng dữ liệu và đưa ra các phương án để giải quyết nguy cơ vi phạm quy tắc GDPR.
Tạo và duy trì kế hoạch bảo vệ dữ liệu: Các kế hoạch này cần được xem xét và cập nhật định kỳ. Các hồ sơ thể hiện quá trình thực hiện GDPR cũng cần được lưu trữ để đề phòng những trường hợp không lường trước.

Việc tuân thủ GDPR không chỉ giúp tránh hình phạt từ cơ quan chức năng mà còn giúp nâng cao hình ảnh và uy tín của doanh nghiệp trong mắt đối tác và khách hàng. Điều này đặt ra một tiêu chuẩn cao về bảo vệ dữ liệu cá nhân và quyền riêng tư trong môi trường kinh doanh ngày nay.

>>> So sánh GDPR với các tiêu chuẩn như ISO 27001 hoặc PCI DSS

Lời kết

Trên đây là những thông tin giúp bạn hiểu được GDPR là gì? Việc tuân thủ GDPR không chỉ giúp doanh nghiệp bạn tránh những hình phạt từ cơ quan chức năng mà còn là cách để nâng cao hình ảnh và uy tín của doanh nghiệp trong mắt đối tác, khách hàng.

Đăng kí chứng nhận

Quy định GDPR là rất quan trọng vì nó tạo ra một khung pháp lý cho việc bảo vệ dữ liệu cá nhân và quyền riêng tư của công dân EU. Việc tuân thủ GDPR đòi hỏi các doanh nghiệp phải thay đổi quy trình và cách tiếp cận của họ đối với việc quản lý dữ liệu, nhưng đồng thời cũng có thể củng cố uy tín của họ và tạo niềm tin cho khách hàng và đối tác.