gdpr là quy định về quyền riêng tư thông tin của Liên minh Châu Âu (eu). Vì vậy, nếu doanh nghiệp của bạn đang làm việc hoặc có kế hoạch làm việc với các công ty EU, hoặc thu thập dữ liệu từ các công dân châu Âu. Việc sử dụng bizfly cloud để tìm hiểu kiến thức về GDPR là rất cần thiết.
GDPR là gì?
gdpr là viết tắt của Quy định chung về bảo vệ dữ liệu. Quy định yêu cầu các công ty bảo vệ dữ liệu cá nhân và quyền riêng tư của công dân EU trong các giao dịch giữa các quốc gia thành viên EU.
Nghị viện Châu Âu đã thông qua quy định gdpr vào tháng 4 năm 2016, thay thế luật bảo mật dữ liệu lỗi thời có từ năm 1995. GDPR được sử dụng thống nhất trên 28 quốc gia thành viên EU. Tất nhiên, tiêu chuẩn GDPR không hề đơn giản và đòi hỏi các công ty phải dành thời gian và tâm sức để nghiên cứu, hài lòng và thực hiện.
Quá trình tuân thủ GDPR có thể gây ra nhiều vấn đề cho nhóm bảo mật của công ty. Ví dụ: các yếu tố tạo nên thuật ngữ GDPR “thông tin nhận dạng cá nhân” rộng hơn nhiều và bao gồm các địa chỉ IP hoặc dữ liệu cookie riêng lẻ.
Tất nhiên, có nhiều yêu cầu trong GDPR không liên quan trực tiếp đến bảo mật thông tin. Tuy nhiên, những thay đổi đối với hệ thống và quy trình ít nhiều sẽ ảnh hưởng đến các hệ thống và giao thức bảo mật hiện có.
Tại sao gdpr ra đời?
Câu trả lời ngắn gọn: Do những lo ngại và yêu cầu về quyền riêng tư.
Trước khi GDPR ra đời, Liên minh Châu Âu đã có nhiều quy định nghiêm ngặt về việc công ty sử dụng dữ liệu cá nhân của công dân, chẳng hạn như Chỉ thị bảo vệ dữ liệu năm 1995. Tuy nhiên, khi internet xuất hiện trong môi trường kinh doanh năng động ngày nay, chỉ thị này đã lỗi thời và không thể đáp ứng nhu cầu của cách lưu trữ, thu thập và giao dịch dữ liệu ngày nay.
Người dân Liên minh Châu Âu và Hoa Kỳ rất lo ngại về việc rò rỉ thông tin cá nhân, đặc biệt là thông tin liên quan đến tài chính, ngân hàng. Trong một cuộc khảo sát với 7.500 công dân từ Pháp, Đức, Ý, Anh và Mỹ, 62% người tham gia cho biết họ sẽ đổ lỗi cho công ty chứ không phải tin tặc nếu thông tin cá nhân của họ bị xâm phạm.
Vì nhận thức này, nhiều người thường khai báo thông tin sai lệch khi đăng ký dịch vụ trực tuyến để tránh bị lộ hoặc bán lại thông tin. Không chỉ vậy, nhiều người cho biết sẽ tẩy chay những công ty làm rò rỉ thông tin cá nhân và ủng hộ những nơi thực hiện nghiêm ngặt các biện pháp bảo mật.
Gdpr bảo vệ loại quyền riêng tư nào?
– Tên, địa chỉ, số chứng minh thư và các thông tin nhận dạng cơ bản khác
– Dữ liệu duyệt web như vị trí, địa chỉ IP, cookie và thẻ rfid.
– Thông tin về Sức khỏe và Di truyền
– Dữ liệu sinh trắc học
– Chủng tộc/Sắc tộc
– Quan điểm chính trị
– Xu hướng tình dục
Những công ty nào cần triển khai GDPR?
Tất cả các công ty lưu trữ hoặc nắm giữ thông tin cá nhân của công dân EU. Cụ thể hơn, các công ty cần tuân thủ gdpr nếu:
– Các công ty ở Liên minh Châu Âu
– Hơn 250 nhân viên
– có ít hơn 250 nhân viên, nhưng quá trình xử lý dữ liệu ảnh hưởng đến quyền và tự do của chủ thể dữ liệu hoặc chứa một số loại dữ liệu cá nhân nhạy cảm.
Dựa trên các tiêu chí này, Propeller Insights đã tiến hành một nghiên cứu và nhận thấy rằng 53% doanh nghiệp công nghệ sẽ bị ảnh hưởng bởi GDPR, tiếp theo là bán lẻ trực tuyến (45%), công ty phần mềm (44%), dịch vụ tài chính (37%), Dịch vụ trực tuyến/saas (34%) và bán lẻ/hàng tiêu dùng (33%)
Gdpr đã ảnh hưởng đến doanh nghiệp của bạn như thế nào?
Với GDPR, trách nhiệm của bên kiểm soát dữ liệu (chủ sở hữu dữ liệu) và bên xử lý dữ liệu (các thực thể bên ngoài giúp quản lý dữ liệu) là ngang nhau. Nếu bộ xử lý dữ liệu của bạn không tuân thủ gdpr, thì doanh nghiệp của bạn cũng không tuân thủ. Không chỉ vậy, nếu một mắt xích (đơn vị) không thực hiện đúng GDPR thì bất kỳ tổ chức nào trong chuỗi quản lý dữ liệu cũng sẽ bị liên lụy. Ngoài ra, các tổ chức cần thông báo cho khách hàng về các quyền của họ theo GDPR.
Nói cách khác, trong các thỏa thuận/hợp đồng (mới hoặc gia hạn) với bên xử lý dữ liệu (ví dụ: công ty dịch vụ điện toán đám mây, saas…) và với khách hàng, tổ chức của bạn nên nêu rõ quyền và trách nhiệm của mình . Không chỉ vậy, các vấn đề như quy trình quản lý và bảo vệ dữ liệu hay cách báo cáo vi phạm cũng cần được giải quyết.
GDPR cũng yêu cầu lãnh đạo, CNTT và infosec hiểu cách dữ liệu được lưu trữ và xử lý, đồng thời phát triển các quy trình báo cáo nhất quán, chẳng hạn như dữ liệu nào được yêu cầu. Đối với doanh nghiệp, dữ liệu nên được lưu trữ ở đâu và dữ liệu nên được xuất ra thế giới bên ngoài như thế nào.
Hơn thế nữa, gdpr đã thay đổi cách các doanh nghiệp nghĩ về dữ liệu. Trước đây, nhiều doanh nghiệp coi dữ liệu là tài sản riêng. Tuy nhiên, hiện nay, những “tài sản riêng” này cũng buộc doanh nghiệp phải chịu những trách nhiệm pháp lý nhất định.
Tất nhiên, nếu bạn không tuân thủ gdpr, công ty của bạn sẽ phải chịu một số hình phạt nhất định từ Liên minh Châu Âu. Tính đến ngày 29/5/2020, EU đã xử phạt 282 trường hợp, trong đó lớn nhất là Google bị phạt 50 triệu euro (hơn 1,3 nghìn tỷ đồng)
Giúp doanh nghiệp giữ bí mật với gdpr
Phân phối gdpr cho tất cả các lĩnh vực
Không chỉ bộ phận CNTT mới cần chú ý và tuân thủ GDPR. Tất cả các bộ phận khác như tiếp thị, tài chính, bán hàng, vận hành (liên quan đến việc thu thập, phân tích và sử dụng thông tin cá nhân) cần biết và tuân thủ gdpr; sau đó biết cách chia sẻ thông tin phù hợp và sẵn sàng giải quyết các vấn đề liên quan vấn đề.
Ngoài ra, các phòng ban cần quan tâm đến trang thiết bị làm việc, đặc biệt là điện thoại di động. Hầu hết nhân viên doanh nghiệp thường xuyên cài đặt các ứng dụng cá nhân phục vụ cho mục đích công việc. Nếu những ứng dụng này truy cập và lưu trữ thông tin cá nhân, chúng cũng phải đảm bảo tuân thủ GDPR.
Thường xuyên tiến hành đánh giá rủi ro
Theo thống kê, có hơn 39.000 ứng dụng sử dụng và thu thập thông tin cá nhân. Nhóm bảo mật và ứng dụng của bạn có thể không nhận thức đầy đủ về các ứng dụng này. Do đó, đánh giá rủi ro cần chỉ ra những “góc khuất” này và đưa ra các phương án xử lý rủi ro.
Phát triển và duy trì kế hoạch bảo vệ dữ liệu
Hầu hết các công ty đều có kế hoạch bảo vệ dữ liệu. Tuy nhiên, các kế hoạch này cần được xem xét và cập nhật thường xuyên để không mắc phải sai sót nào.
Hơn thế nữa, các doanh nghiệp cũng phải lưu giữ hồ sơ thể hiện việc triển khai GDPR, bao gồm các tài liệu cho biết cách dữ liệu được xử lý, nơi lưu trữ dữ liệu và người chịu trách nhiệm.
Bài viết trên giới thiệu và tổng hợp những kiến thức cơ bản nhất về GDPR cho doanh nghiệp. Tuân thủ GDPR không chỉ là việc làm thiết thực để tránh bị cơ quan chức năng xử phạt mà còn là cách nâng cao hình ảnh, uy tín của doanh nghiệp với đối tác, khách hàng.
Theo dõi bizfly cloud để tìm hiểu