GDPR được hiểu là những quy định về bảo mật thông tin do liên minh Châu Âu (EU) đề ra. Nếu doanh nghiệp của bạn đang có ý định hợp tác với khối EU hoặc muốn tìm hiểu về GDPR thì bài viết dưới đây sẽ hướng dẫn đầy đủ về Luật GDPR, những yêu cầu cụ thể cũng như cách thức tổ chức có thể tuân thủ.
GDPR là gì?
GDPR là tên viết tắt của cụm từ General Data Protection Regulation dịch ra tiếng Việt là quy định chung về bảo mật thông tin. Đây là quy định yêu cầu các doanh nghiệp phải bảo mật dữ liệu cá nhân và quyền riêng tư của công dân thuộc khối EU khi thực hiện giao dịch giữa các nước thành viên EU.
Tháng 4/2016 quy định GDPR được thông qua thay thế cho các luật bảo mật dữ liệu đã lỗi thời từ năm 1995. Hiện tại, quy định GDPR được sử dụng đồng bộ trên khắp 28 thành viên EU. Để hiểu rõ về GDPR doanh nghiệp cần phải bỏ thời gian, công sức để nghiên cứu, đáp ứng và thực hiện sao cho hiệu quả nhất.
GDPR bảo vệ giữ liệu nào?
Các dữ liệu cá nhân hay chủ thể dữ liệu do GDPR quản lý là các thông tin như:
- Các thông tin định danh cơ bản về địa chỉ, số ID, tên tuổi
- Dữ liệu duyệt web, địa chỉ, địa chỉ IP, cookies và RFID tags
- Dữ liệu về sinh trắc học
- Thông tin sức khỏe và di truyền
- Quan điểm chính trị
- Chủng tộc/dân tộc
- Xu hướng tình dục
Nguyên tắc của GDPR
GDPR bao gồm 7 nguyên tắc cơ bản bao gồm các quy định liên quan đến dữ liệu cá nhân như:
- Người dùng được phép theo dõi các dữ liệu hoạt động hợp pháp, rõ ràng và minh bạch nhất.
- Giới hạn các dữ liệu được thu thập sử dụng cho mục đích cụ thể.
- Giảm thiểu số lượng dữ liệu được thu thập đáp ứng đủ yêu cầu cho quá trình xử lý.
- Các dữ liệu khi thu thập cần đảm bảo chính xác và được nâng cấp.
- Giới hạn dữ liệu được thu thập chỉ được lưu trữ ở khoảng thời gian nhất định.
- An toàn và bảo mật thông tin dữ liệu cá nhân chống lại các hành vi đáng ngờ.
- Người thu thập dữ liệu cần tuân thủ các quy định của GDPR.
GDPR áp dụng cho tất cả các tổ chức thành lập tại EU và các tổ chức, dù có thành lập tại EU hay không, xử lý dữ liệu cá nhân của người dân EU liên quan đến việc cung cấp hàng hóa hoặc dịch vụ cho chủ thể dữ liệu tại EU hay việc giám sát hành vi diễn ra bên trong EU. Dữ liệu cá nhân là bất kỳ thông tin nào liên quan đến một thể nhân đã xác định hoặc có thể xác định được danh tính, bao gồm tên, địa chỉ email và số điện thoại.
Các bước để đảm bảo tuân thủ GDPR
Các quy tắc của GDPR luôn hướng đến chất lượng và trách nhiệm đối với dữ liệu cá nhân của người dùng.
GDPR mô tả kết quả mong đợi của việc quản lý dữ liệu tốt và có trách nhiệm, nhưng nó không xác định bất kỳ biện pháp kỹ thuật cụ thể nào mà người thu thập dữ liệu phải sử dụng để đạt được mục tiêu đó.
6 bước đảm bảo tuân thủ GDPR bao gồm:
- Luôn hỏi trước khi thu thập bất kỳ dữ liệu cá nhân nào.
- Chỉ thu thập những dữ liệu cần thiết để sử dụng cho mục đích cụ thể và phải chịu trách nhiệm về những dữ liệu đó.
- Không được phép chia sẻ dữ liệu cho bất kỳ bên nào nếu không được chủ sở hữu và cơ quan giám sát đồng ý.
- Mã hoá các dữ liệu cá nhân.
- Tạo các bản sao lưu cập nhật và an toàn của các dữ liệu cá nhân.
- Sử dụng các công cụ hỗ trợ thao tác chỉnh sửa dữ liệu cá nhân như xác minh hoặc ghi lại lịch sử.
Tiền phạt và hình phạt cho việc không tuân thủ GDPR
GDPR áp dụng các hình phạt cho bất kỳ người dùng hay tổ chức nào vi phạm dữ liệu dựa theo các tiêu chí như mức độ nghiêm trọng, khoảng thời gian vi phạm, số lượng dữ liệu bị ảnh hưởng bởi vi phạm và mức độ thiệt hại mà vi phạm gây ra.
Hoặc phụ thuộc vào một số yếu tố khác như:
- Sơ xuất hoặc cố ý vi phạm dữ liệu.
- Thông tin dữ liệu cá nhân của người dùng không được thu thập và xử lý đầy đủ sẽ bị phạt số tiền lên tới 10 triệu euro hoặc 2% doanh thu hàng năm.
- Không thực hiện các quy định của cơ quan giám sát bị phạt 20 triệu euro hoặc 4% tổng doanh thu.
Xem thêm:
