GDPR là gì? Tầm quan trọng của GDPR trong bảo vệ dữ liệu

PDPR là gì? Thực tế  đối với những doanh nghiệp có ý định hợp tác cùng các công ty thuộc khối EU hay thu thập dữ liệu công dân Châu Âu thì khá quen thuộc với thuật ngữ này. Thế nhưng không phải bất kỳ ai cũng hiểu rõ được, nhất là đối với những ai không thuộc lĩnh vực. Vậy nên đang làm việc có liên quan tới GDPR thì hãy cùng FPTCloub tổng hợp các kiến thức cụ thể.

GDPR là gì?

PDPR là gì? Cơ bản thuật ngữ này được viết tắt từ cụm tiếng Anh đầy đủ là General Data Protection Regulation. Bạn có thể hiểu đây là quy định chung về vấn đề bảo mật thông tin của Liên minh Châu Âu. Quy định được phát triển với đầy đủ các điều luật về quyền riêng tư dữ liệu gắn kết trên toàn Châu Âu. Mục đích chính là giúp bảo vệ tất cả người dân của Liên Minh Châu Âu trong giao dịch giữa những nước thành viên EU.

Nghị viên Châu Âu đã chính thức công nhận và thông qua quy định GDPR vào tháng 4 năm 2016. Quy định chính thức thay thế cho luật bảo mật dữ liệu đã lỗi thời từ năm 1995. Trong đó  GPDR được sử dụng đồng bộ ở khắp 28 nước thành viên EU. Trong đó, GPDR có một số điểm khác so với quy luật trước như:

• Thẩm quyền lớn hơn: Áp dụng cho mọi công ty xử lý dữ liệu cá nhân của mọi người đang sinh sống ở khu vực EU và bất kể vị trí công ty.
• Khoản phạt: Bị phạt tối đa tới 4% doanh thu toàn cầu hàng năm hoặc €20 Triệu.
• Sự đồng thuận: Phải được yêu cầu một cách rõ ràng, có thể tiếp cận dễ dàng và phải có khả năng phân biệt cùng những vấn đề khác.
• Thông báo phạm vi: Bắt buộc và phải được hoàn thành trong 72 giờ làm việc
• Quyền riêng tư: Yêu cầu bảo vệ dữ liệu phải được bao gồm từ khi bắt đầu thiết kế hệ thống.

Lịch sử ra đời của GDPR

Một khi hiểu được GDPR là gì vậy quy định bảo vệ này từ đâu mà có? Chi tiết diễn biến và lịch sử ra đời của GDPR sẽ cho bạn cái nhìn cụ thể nhất.

Căn cứ để GDPR hình thành

Trước khi GDPR ra đời, EU đã có nhiều quy định nghiêm ngặt trong việc các công ty sử dụng dữ liệu cá nhân của công dân. Ví dụ như Chỉ Thị bảo vệ dữ liệu vào năm 1995. Thế nhưng khi Internet  đang trở thành môi trường kinh doanh sôi động như hiện nay thì chỉ thị này đã lỗi thời. Chỉ thị không còn đáp ứng được các yêu cầu về lưu trữ thu thập và giao dịch từ liệu  như hiện nay.

Đứng trước tình trạng đó công dân ở các quốc gia EU và Hoa Kỳ rất lo ngại về vấn đề rò rỉ thông tin cá nhân. Đặc biệt nhất là đối với những thông tin liên quan đến vấn đề tài chính và ngân hàng. Một thực tế khảo sát ở 75.000 công dân từ các nước Pháp, Đức, Ý, Anh và Hoa Kỳ về vấn đề rò rỉ thông tin. Trong đó kết quả phân tích có đến gần 62% người cho biết nếu bị lộ thông tin cá nhân họ sẽ đổ lỗi cho công ty thay vì các hacker.

Chính vì vậy nên nhiều người khi đăng ký các dịch vụ Online thường khai báo thông tin giả. Mục đích chính là để giảm thiểu tình trạng bị lộ hoặc bán lại thông tin. Nhiều người còn cho biết họ sẽ thực hiện tẩy chay các công ty có những hành động tiết lộ thông tin cá nhân. Còn riêng những nơi thực hiện nghiêm túc các biện pháp bảo mật họ sẽ ủng hộ. 

GDPR ra đời

Trước những lo ngại về quyền riêng tư và sự phát triển của công nghệ internet, EU nhận thấy sự cần thiết của biện pháp bảo vệ quyền riêng tư con người. Vì vậy GDPR ra đời và có hiệu lực từ năm 2016 sau khi thông qua nghị viện châu Âu từ tháng 5 năm 2018. Quy định bắt buộc tất cả các tổ chức phải tuân chủ và làm theo.

>>> Xem thêm: Web services là gì? Cấu trúc và chức năng của web services

GDPR hỗ trợ bảo vệ những gì?

Giá trị cốt lõi của quy định GDPR là bảo vệ quyền riêng tư. Vậy nên GDPR chủ yếu bảo vệ những thông tin riêng tư là chính. Trong đó bao gồm như:

• Những thông tin định danh cơ bản. Ví dụ như tên tuổi, địa chỉ, số ID
• Hệ thống dữ liệu duyệt web. Ví dụ như địa điểm, địa chỉ IP, cookies hay RFID Tags. 
• Những thông tin về sức khỏe và di truyền
• Những tư liệu liên quan về sinh trắc học. Ví dụ là dấu vân tay, giọng nói, khuôn mặt.
• Dữ liệu về dân tộc hay chủng tộc
• Quan điểm tác động tới chính trị
• Khuynh hướng về tình dục 

Đối tượng doanh nghiệp cần thực hiện GDPR

Dựa vào khái niệm PDPR là gì có thể thấy những quy định chung về đối tượng doanh nghiệp. Cụ thể là tất cả các công ty lưu trữ hay sở hữu thông tin cá nhân của công dân EU đều phải thực hiện đúng quy định GDPR. Chi tiết hơn, là các công ty đáp ứng các điều kiện sau:

• Công ty sở hữu trụ sở tại EU
• Cty có hơn 250 lao động
• Công ty có ít hơn 250.000 đồng như quá trình xử lý dữ liệu tác động tới quyền và tự do của chủ thể dữ liệu. Trong đó bao gồm cả những loại dữ liệu cá nhân nhạy cảm. 

Dựa vào những tiêu chí này đơn vị Propeller Insight đã thực hiện một nghiên cứu trên các doanh nghiệp và kết quả cho thấy rằng:

• Khoảng 53% các doanh nghiệp công nghệ sẽ bị tác động bởi GDPR
• Khoảng 45% là các ngành bán lẻ
• Khoảng 44% là những công ty phần mềm
• Khoảng 37% là những công ty dịch vụ tài chính
• Chiếm 34% là dịch vụ Online/SaaS
• Cuối cùng 33% thuộc về những những công ty hàng hóa đóng gói bán lẻ và tiêu dùng. 

Cách để mỗi doanh nghiệp không vi phạm GDPR

Trên thực tế nếu không tuân thủ quy định GDPR thì công ty sẽ phải chịu những khoản phạt nhất định từ phía EU. Trong đó tính đến ngày 29 tháng 5 năm 2020 thì  tổ chức đã xử phạt tới 282 trường hợp. Và Google sở hữu mức phạt lớn nhất với 50 triệu Euro tức 1.300 tỷ đồng. Vậy nên để không bị vi phạm quy định thì mỗi doanh nghiệp phải:

Phổ cập GDPR đến mọi phòng ban

Phổ cập PDPR là gì? Bạn có thể hiểu là không chỉ bộ phận IT mới cần chú ý và tuân thủ GDPR. Thay vào đó, tất cả các bộ phận khác đều cần nắm rõ và tuân thủ GDPR. Ví dụ như Marketing, tài chính, điều hành, sale,.... Miễn là bộ phận liên quan tới thu thập, phân tích hay dùng thông tin cá nhân. Mục đích là để các ban biết cách chia sẻ thông tin sao cho phù hợp và sẵn sàng giải quyết các vấn đề.

Thêm vào đó các phòng ban cần lưu ý đến  những thiết bị làm việc cẩn thận, nhất là điện thoại thoại. Đa phần mọi người thường không quan tâm đến các ứng dụng cài đặt cá nhân phục vụ mục đích công việc. Thế nhưng nếu các ứng dụng này truy cập và lưu trữ thông tin cá nhân thì cũng phải tuân thủ đúng GDPR. 

Đánh giá nguy cơ một cách định kỳ

Một thống kê cho thấy, ước tính có đến hơn 39.000 ứng dụng sử dụng và thu thập thông tin cá nhân. Đội ngũ IT và bảo mật trong doanh nghiệp  của bạn thực tế không thể nắm bắt được hết tất cả các ứng dụng này. Vì vậy để giảm thiểu tình trạng vi phạm GDPR các đánh giá nguy cơ định kỳ là hợp lý. Đây sẽ là cách giúp chỉ ra được những góc khuất còn thiếu sót. Hơn nữa qua đó còn có thể dễ dàng tìm ra phương án để giải quyết nguy cơ tiềm ẩn.

Xây dựng kế hoạch bảo vệ dữ liệu hiệu quả

Cách để mỗi doanh nghiệp không vi phạm GDPR là gì? Đáp án tiếp theo dành cho bạn chính là xây dựng kế hoạch bảo vệ dữ liệu sao cho hiệu quả nhất. Nhìn chung hầu hết các công ty đều lập cho mình kế hoạch bảo vệ dữ liệu. Thế nhưng để không xảy ra bất kỳ một sai sót nào những kế hoạch này cần được đánh giá, xem xét và cập nhật định kỳ.

Không những thế các doanh nghiệp cần phải thực hiện lưu trữ những bộ hồ sơ thể hiện quá trình tuân thủ GDPR.  Bao gồm những tài liệu thể hiện quá trình xử lý dữ liệu, các cá nhân chịu trách nhiệm hai nơi lưu trữ dữ liệu,...

>>> Xem thêm: Internal Server Error là lỗi gì? Nguyên nhân và cách khắc phục

Doanh nghiệp được quyền sử dụng dữ liệu người dùng?

Trên thực tế doanh nghiệp vẫn có thể được quyền sử dụng dữ liệu cá nhân của người dùng. Tuy nhiên để làm được điều này doanh nghiệp cần phải cá tính các điều kiện cần và đủ sau đây:

• Được cá nhân đồng ý cho phép sử dụng dữ liệu với mục đích minh bạch, rõ ràng. Ví dụ như khách hàng cho phép cửa hàng dùng thông tin để giới thiệu những chương trình khuyến mãi.
• Thực hiện ký kết biên bản cho phép sử dụng dữ liệu trong khi xử lý. Hoặc thực hiện các biên bản hợp đồng mà cá nhân là một bên. Ví dụ bạn cần thực hiện kiểm tra thông tin lý lịch trước khi tiến hành cho thuê sản phẩm hay dịch vụ.
• Thực hiện theo đúng những yêu cầu  nghĩa vụ pháp lý từ tòa án về dữ liệu cá nhân. Ví dụ như cung cấp thông tin có tác động trực tiếp hoặc gián tiếp đến phiên xét xử của tòa án.
• Những thông tin Dữ liệu cần thiết có ảnh hưởng trực tiếp đến tính mạng của một cá nhân nào đó. Ví dụ chẳng hạn như bằng chứng ngoại phạm của người nào đó bị tình nghi liên quan đến vụ án mạng.
• Khi thực hiện trách nhiệm hay nhiệm vụ liên quan tới lợi ích xã hội. Ví dụ là cung cấp thông tin những hộ nghèo trong địa phương để họ có thể nhận được sự giúp đỡ.
• Sử dụng thông tin dựa trên lợi ích hợp pháp. Điều kiện này không có những quy chuẩn riêng vì nó được quyết định bởi nhiều yếu tố liên quan tới trường hợp. 

Những bài viết liên quan:

• Joomla là gì? Hướng dẫn cài đặt & sử dụng mã nguồn mở Joomla
• Drupal là gì? Khám phá nền tảng phát triển web Drupal từ A – Z
• WordPress Localhost là gì? Hướng dẫn cách cài đặt chi tiết
• Theme WordPress là gì? Hướng dẫn cách add theme WordPress chi tiết

Vậy về cơ bản  bạn đã hiểu được GDPR là gì.  Nói tóm lại GDPR không chỉ giúp người dùng có thể bảo vệ được thông tin dữ liệu mà còn đem tới tính cân bằng ở môi trường kinh doanh. Hy vọng rằng với những chia sẻ của FPT Cloud bạn sẽ có được cho mình thông tin hữu ích nhất.