Những điều cần biết về GDPR dành cho các CIO thuộc khối ASEAN

Linh Le

Quy định chung về Bảo vệ Dữ liệu được áp dụng với bất kỳ tổ chức nào có các hoạt động xử lý dữ liệu trong liên minh châu Âu (EU), thậm chí ngay cả khi tổ chức đó nằm ngoài lãnh thổ EU

vulnerable gdpr breach security cyber attack 100747296 orig

Đã gần một năm từ khi có hiệu lực, Quy định chung về Bảo vệ Dữ liệu của EU (gọi tắt là GDPR) vẫn là một chủ đề sôi nổi với các tồ chức và doanh nghiệp chuyên xử lý dữ liệu cá nhân – hầu như là tất cả bọn họ đều quan tâm.

Mặc dù có bắt nguồn từ EU, nhưng GDPR được áp dụng cho bất cứ tổ chức nào cung cấp sản phẩm hay dịch vụ có liên quan tới các đối tượng dữ liệu trong EU hoặc giám sát đặc tính của các đối tượng đó, ngay cả khi các tổ chức này có trụ sở chính nằm ngoài EU. Điều này có nghĩa là các doanh nghiệp trong khối ASEAN cũng có trách nhiệm pháp lý phải tuân theo quy định nếu họ xử lý các đối tượng dữ liệu ở EU.

Không tuân thủ GDPR có thể dẫn đến việc bị phạt lên tới 20 triệu euro hoặc 4% doanh thu toàn cầu, tùy vào con số nào cao hơn. Mức phạt lớn nhất tính đến nay liên quan tới Google và Facebook, lần lượt mỗi công ty bị phạt 57 triệu đô la Mỹ (50 triệu euro) và 500.000 bảng Anh (581.000 euro) vì những vi phạm nghiêm trọng tới luật bảo vệ dữ liệu.

Tuy nhiên, cũng có những phần thưởng cho những công ty đảm bảo được rằng họ xử lý dữ liệu đúng đắn và hợp pháp. Các nhà chức trách về bảo vệ dữ liệu thật sự nhấn mạnh những mặt tích cực của quy định, chẳng hạn như doanh nghiệp có cơ hội vượt lên các đối thủ và chiếm được lòng tin của khách hàng và nhân viên.

Là đối tác thương mại lớn thứ hai và là nhà cung cấp đầu tư trực tiếp lớn nhất của EU, khối ASEAN chịu ảnh hưởng trực tiếp trước GDPR. Bài viết này điểm qua những điều mà các CIO trong khu vực này cần biết về GDPR.

GDPR ảnh hưởng như thế nào đến khu vực các nước trong khối ASEAN?

Mặc dù đã có những bước tiến lớn được thực hiện trong những năm gần đây để cải thiện luật bảo vệ dữ liệu trong khu vực đông nam Á, thì các quy định về dữ liệu hiện hành của ASEAN vẫn không có cùng mức đô bảo vệ như GDPR.

Vào tháng 11 năm 2016, các quốc gia trong khối này thực hiện theo khung quy định của ASEAN về việc Bảo vệ Dữ liệu Cá nhân, khung quy định này này có một bộ quy tắc nhằm hướng dẫn thực thi các phương pháp ở cấp độ khu vực lẫn quốc gia nhằm đẩy mạnh và củng cố việc bảo vệ dữ liệu trong khối.

Vài tháng sau đó, tháng 4 năm 2017, các nhà lãnh đạo khối ASEAN ban hành một điều khoản hợp tác an ninh mạng bên cạnh những hành động hiện thời nhằm khuyến khích việc hợp tác an ninh mạng trong khu vực, bao gồm cả hội nghị bộ Công nghệ thông tin và truyền thông của ASEAN (TELMIN), hội nghị  bộ trưởng an ninh mạng (AMCC) và  chương trình năng suất mạng ASEAN (ACCP).

Quy định tương đồng nhất với GDPR trong khu vực này là Đạo luật Bảo vệ Dữ liệu Cá nhân của Singapore năm 2012 (PDPA), có hiệu lực từ năm 2014. Tuy nhiên, PDPA có quy mô giới hạn và không áp dụng cho tất cả các hoạt động xử lý thông tin cá nhân. Đáng chú ý nhất là nó không áp dụng cho các hoạt động trong khu vực công hay bất cứ tổ chức nào hoạt động như một đại diện hay cơ quan công công trong việc xử lý dữ liệu cá nhân.

Các nước trong khối ASEAN có lẽ sẽ chọn thực hiện tương tự như các quy chuẩn GDPR khi Nhật Bản gần đây đã đồng ý thiết lập “sự tương thích” về việc truyền dữ liệu với EU.

Thỏa thuận giúp các công ty dễ dàng hơn trong việc truyền dữ liệu giữa Nhật và EU, từ đó các công ty ở cả hai khu vực địa lý này có thể quảng bá sản phẩm của họ với đối tác thương mại.

Trước khi các thỏa thuận như thế được thực hiện trong khối ASEAN thì các CIO trong khu vực sẽ phải tuân theo các quy luật của EU nếu họ xử lý dữ liệu tại đây.

Đảm bảo việc đồng thuận về GDPR diễn ra tốt đẹp

Các tổ chức khối ASEAN có hoạt động liên quan tới các đối tượng dữ liệu ở EU nên phác họa trước một bản kế hoạch tuân thủ GDPR dựa trên các lời khuyên pháp lý và dữ liệu nguồn từ nhân viên IT, HR và các bộ phận khác.

Kế hoạch cần thiết lập một hệ thống để xác định, dẫn chứng và theo dõi dữ liệu, dù cho dữ liệu đó được xử lý nội bộ hay qua các nhà thầu đi chăng nữa.

Hồ sơ cần có các thông tin như mục đích sử dụng dữ liệu, vị trí lưu trữ, tên của tất các những ai đã truy cập dữ liệu.

Các CIO cần biết đầy đủ những quan hệ trong bộ quyền lợi đối tượng dữ liệu mới của GDPR như sau:

  1. Quyền được thông báo
  2. Quyền truy cập
  3. Quyền sửa chữa
  4. Quyền xóa bỏ
  5. Quyền giới hạn xử lý
  6. Quyền di chuyển dữ liệu
  7. Quyền phản đối
  8. Các quyền lợi liên quan tới việc đưa ra quyết định và mô tả sơ lược dữ liệu tự động

“Các CIO cần hiểu tổ chức của họ đã sẵn sàng tới đâu, bởi vì làm giám đốc của một công ty trong thời đại này có nghĩa là họ có trách nhiệm cho vấn đề an ninh và bảo mật của tổ chức, và chúng ta biết rằng hậu quả của việc vi phạm các quy tắc này, hay nói chung là các vi phạm an ninh và bảo mật là to lớn vô cùng đối với các giám đốc,” Enza Iannopollo, nhà phân tích thuộc team an ninh và rủi ro của Forrester, đồng thời là chuyên gia bảo mật thông tin (CIPP) cho hay. “Đó không chỉ là vấn đề tiền phạt; mà còn là chuyện danh tiếng và lợi nhuận của cả công ty.”

Họ cần đảm bảo rằng họ có cơ sở pháp lý cho việc xử lý dữ liệu cá nhân. GDPR chỉ cho phép xử lý dữ liệu trong những trường hợp sau:

  • Có sự bằng lòng của các cá nhân có liên quan;
  • Trường hợp có trách nhiệm theo hợp đồng (một hợp đồng giữa công ty/tổ chức của bạn và khách hàng);
  • Đáp ứng một nghĩa vụ pháp lý theo luật của EU hay luật pháp quốc gia;
  • Khi xử lý là điều cần thiết cho việc thực hiện nhiệm vụ công ích theo luật của EU hoặc luật pháp quốc gia;
  • Bảo vệ quyền lợi thiết yếu của cá nhân;
  • Đem lại quyền lợi hợp pháp của tổ chức của bạn, nhưng chỉ sau khi kiểm tra rằng các quyền lợi và quyền tự do cơ bản của một người mà bạn đang xử lý dữ liệu của họ không bị ảnh hưởng nghiêm trọng. Nếu quyền của một cá nhân quan trọng hơn lợi ích của bạn, thì việc xử lý không thể được thực hiện dựa trên quyền lợi hợp pháp. Việc đánh giá liệu công ty/tổ chức của bạn có quyền hợp pháp trong việc xử lý dữ liệu của các cá nhân có quyền lợi cao hơn lợi ích của bạn tùy thuộc vào từng trường hợp riêng biệt. Các dữ liệu nhạy cảm phải được xử lý thận trọng.

Dữ liệu nhạy cảm yêu cầu được chú ý đặc biệt. Nếu việc xử lý có thể gây ra rủi ro cao với các quyền lợi và quyền tự do của cá nhân, thì tổ chức phải hoàn thành một bảng đánh giá ảnh hưởng của việc bảo vệ dữ liệu (DPIA), quá trình này nhằm xác định và giảm thiểu bất cứ rủi ro nào.

Bất cứ thay đổi nào xảy ra với các hoạt động liên quan tới dữ liệu cũng cần được phản ánh trong phần chính sách bảo mật cập nhật. Nếu vi phạm về dữ liệu xảy ra đe dọa tới quyền lợi và quyền tự do của cá nhân thì các tổ chức phải thông báo cho người giám sát trong vòng 72 giờ kể từ lúc phát hiện ra.

Nếu một tổ chức là bên xử lý dữ liệu thì tổ chức đó phải thông báo từng vi phạm về dữ liệu đã xảy ra cho nhà kiểm tra dữ liệu.

Chia sẻ bài viết ngay

Nguồn bài viết : https://www.cio.com