Làm thế nào tăng doanh số?
Tư vấn MIỄN PHÍ! Thông tin về chúng tôi.

----/----

GDPR là gì? Mọi thứ bạn cần biết về các quy định bảo vệ dữ liệu chung mới EU & Thế giới

 

GDPR hiện viết tắt cho điều gì?

Quy định bảo vệ dữ liệu chung.

Nó đã xảy ra như thế nào?

Vào tháng 1 năm 2012, Ủy ban châu Âu đã vạch ra các kế hoạch cải cách bảo vệ dữ liệu trên toàn Liên minh châu Âu nhằm làm cho châu Âu phù hợp với thời đại số. Gần bốn năm sau, thỏa thuận đã đạt được về những gì liên quan và nó sẽ được thi hành như thế nào?

 

Một trong những thành phần chính của cải cách là giới thiệu Quy định bảo vệ dữ liệu chung (GDPR). Khuôn khổ mới của EU này áp dụng cho các tổ chức ở tất cả các quốc gia thành viên và có ý nghĩa đối với các doanh nghiệp và cá nhân trên khắp châu Âu, và hơn thế nữa.

Andrus Ansip, phó chủ tịch của Digital Single Market, cho biết: “Tương lai kỹ thuật số của châu Âu chỉ có thể được xây dựng dựa trên sự tin tưởng. Với tiêu chuẩn chung để bảo vệ dữ liệu, mọi người có thể chắc chắn rằng họ kiểm soát thông tin cá nhân của họ”. các cải cách đã được thống nhất vào tháng 12 năm 2015.

 

GDPR là gì?

General Data Protection Regulation (GDPR) padlock on european union flag

WhatsApp, Facebook phải đối mặt với lực lượng bảo vệ dữ liệu của EU

WhatsApp và công ty mẹ Facebook của nó đã được mời để đáp ứng một lực lượng bảo vệ dữ liệu sau khi bị cáo buộc không tuân thủ luật dữ liệu châu Âu.

 

Theo cốt lõi, GDPR là một bộ quy tắc mới được thiết kế để cung cấp cho công dân EU quyền kiểm soát nhiều hơn đối với dữ liệu cá nhân của họ. Nó nhằm mục đích đơn giản hóa môi trường pháp lý cho doanh nghiệp để cả công dân và doanh nghiệp trong Liên minh châu Âu hoàn toàn có thể hưởng lợi từ nền kinh tế kỹ thuật số.

Các cải cách được thiết kế để phản ánh thế giới mà chúng ta đang sống hiện nay, và mang luật và nghĩa vụ – bao gồm những điều xung quanh dữ liệu cá nhân, quyền riêng tư và sự đồng ý – trên khắp châu Âu với tốc độ kết nối internet.

Về cơ bản, hầu như mọi khía cạnh của cuộc sống của chúng tôi xoay quanh dữ liệu. Từ các công ty truyền thông xã hội, đến các ngân hàng, nhà bán lẻ và chính phủ – hầu như mọi dịch vụ chúng tôi sử dụng đều liên quan đến việc thu thập và phân tích dữ liệu cá nhân của chúng tôi. Tên, địa chỉ, số thẻ tín dụng của bạn và nhiều thứ khác được thu thập, phân tích và, có lẽ quan trọng nhất, được lưu trữ bởi các tổ chức.

 

Tuân thủ GDPR là gì?

Vi phạm dữ liệu chắc chắn xảy ra. Thông tin bị mất, bị đánh cắp hoặc được giải phóng vào tay những người không bao giờ có ý định nhìn thấy nó – và những người đó thường có mục đích xấu.

Theo các điều khoản của GDPR, không chỉ các tổ chức phải đảm bảo rằng dữ liệu cá nhân được thu thập hợp pháp và trong điều kiện nghiêm ngặt, nhưng những người thu thập và quản lý nó sẽ có nghĩa vụ bảo vệ nó khỏi lạm dụng và khai thác, cũng như tôn trọng quyền chủ sở hữu dữ liệu – hoặc phải đối mặt với hình phạt vì không làm như vậy.

 

GDPR áp dụng cho ai?

GDPR áp dụng cho bất kỳ tổ chức nào hoạt động trong EU, cũng như bất kỳ tổ chức nào ngoài EU cung cấp hàng hóa hoặc dịch vụ cho khách hàng hoặc doanh nghiệp ở EU. Điều đó cuối cùng có nghĩa là hầu hết các tập đoàn lớn trên thế giới sẽ cần phải sẵn sàng khi GDPR có hiệu lực và phải bắt đầu thực hiện chiến lược tuân thủ GDPR của họ.

Có hai loại trình xử lý dữ liệu khác nhau mà pháp luật áp dụng cho: ‘bộ xử lý’ và ‘bộ điều khiển’. Các định nghĩa của từng được trình bày trong Điều 4 của Quy định bảo vệ dữ liệu chung.

 

Bộ điều khiển là “người, cơ quan công quyền, cơ quan hoặc cơ quan khác, một mình hoặc cùng với người khác, xác định mục đích và phương tiện xử lý dữ liệu cá nhân”, trong khi bộ xử lý là “người, cơ quan công quyền, cơ quan hoặc cơ quan khác xử lý cá nhân thay mặt cho bộ điều khiển “. Ví dụ: nếu bạn hiện đang tuân theo Đạo luật bảo vệ dữ liệu của Vương quốc Anh, có khả năng bạn cũng sẽ phải xem xét tuân thủ GDPR.

“Trách nhiệm của người chế biến là yêu cầu mới theo GDPR”, Văn phòng Ủy viên Thông tin của Vương quốc Anh, cơ quan có trách nhiệm đăng ký bộ điều khiển dữ liệu, thực hiện hành động bảo vệ dữ liệu và xử lý các mối quan tâm và xử lý dữ liệu sai.

GDPR cuối cùng đặt nghĩa vụ pháp lý lên một bộ xử lý để lưu giữ hồ sơ dữ liệu cá nhân và cách xử lý dữ liệu cá nhân, cung cấp mức trách nhiệm pháp lý cao hơn nhiều nếu tổ chức bị vi phạm.

Bộ điều khiển cũng sẽ bị buộc phải đảm bảo rằng tất cả các hợp đồng với bộ vi xử lý đều tuân thủ GDPR.

 

Dữ liệu cá nhân theo GDPR là gì?

Các loại dữ liệu được coi là cá nhân theo pháp luật hiện hành bao gồm tên, địa chỉ và ảnh. GDPR mở rộng định nghĩa của dữ liệu cá nhân để một cái gì đó giống như một địa chỉ IP có thể là dữ liệu cá nhân. Nó cũng bao gồm dữ liệu cá nhân nhạy cảm như dữ liệu di truyền và dữ liệu sinh trắc học có thể được xử lý để nhận dạng duy nhất một cá nhân.

 

Khi nào GDPR có hiệu lực?

GDPR sẽ được áp dụng trên toàn Liên minh châu Âu từ ngày 25 tháng 5 năm 2018 và tất cả các quốc gia thành viên được dự kiến sẽ chuyển nó thành luật quốc gia của riêng họ trước ngày 6 tháng 5 năm 2018.

Sau bốn năm chuẩn bị và tranh luận, GDPR đã được Quốc hội Châu Âu phê chuẩn vào tháng 4 năm 2016 và các văn bản chính thức và quy định của chỉ thị đã được xuất bản bằng tất cả các ngôn ngữ chính thức của EU vào tháng 5 năm 2016.

Hạn chót tuân thủ GCPR là gì?

Kể từ ngày 25 tháng 5 năm 2018, tất cả các tổ chức dự kiến sẽ tuân thủ GDPR.

Brexit ảnh hưởng như thế nào đến GDPR?

Vương quốc Anh được thiết lập rời khỏi EU vào ngày 29 tháng 3 năm 2019, một ít hơn mười tháng sau khi GDPR có hiệu lực. Chính phủ Anh cho biết điều này sẽ không ảnh hưởng đến GDPR đang được thi hành trong nước, và rằng GDPR sẽ làm việc vì lợi ích của Anh mặc dù đất nước không còn là thành viên của EU nữa. Vì vậy, Brexit dường như không có bất kỳ tác động nào đến yêu cầu tuân thủ GDPR của tổ chức.

GDPR có ý nghĩa gì đối với doanh nghiệp?

GDPR thiết lập một luật trên khắp lục địa và một bộ quy tắc áp dụng cho các công ty kinh doanh trong các quốc gia thành viên EU. Điều này có nghĩa là phạm vi của pháp luật mở rộng xa hơn biên giới của châu Âu, như các tổ chức quốc tế ở ngoài khu vực. hoạt động trên ‘đất châu Âu’ sẽ vẫn cần phải tuân thủ.

Hy vọng rằng bởi luật dữ liệu với GDPR, nó có thể mang lại lợi ích cho doanh nghiệp. Ủy ban châu Âu tuyên bố rằng bằng cách có một cơ quan giám sát duy nhất cho toàn bộ EU, nó sẽ làm cho nó đơn giản và rẻ hơn cho các doanh nghiệp hoạt động trong khu vực. Thật vậy, Ủy ban tuyên bố GDPR sẽ tiết kiệm 2,3 tỷ euro mỗi năm trên khắp châu Âu

“Bằng cách thống nhất các quy tắc của châu Âu về bảo vệ dữ liệu, các nhà lập pháp đang tạo ra một cơ hội kinh doanh và khuyến khích sự đổi mới”, Ủy ban nói.

Điều đó có nghĩa là, quy định sẽ đảm bảo các biện pháp bảo vệ dữ liệu được xây dựng thành các sản phẩm và dịch vụ từ giai đoạn phát triển sớm nhất, cung cấp ‘bảo vệ dữ liệu theo thiết kế’ trong các sản phẩm và công nghệ mới.

GDPR có ý nghĩa gì đối với người tiêu dùng / công dân?

Do số lượng dữ liệu vi phạm và đột nhập đã xảy ra trong nhiều năm, thực tế không may cho nhiều người là một số dữ liệu của họ – có thể là địa chỉ email, mật khẩu, số an sinh xã hội hoặc hồ sơ y tế bí mật – tiếp xúc trên internet.

Một trong những thay đổi lớn mà GDPR mang lại là cung cấp cho người tiêu dùng quyền được biết khi dữ liệu của họ bị tấn công. Các tổ chức sẽ được yêu cầu thông báo cho các cơ quan quốc gia thích hợp càng sớm càng tốt để đảm bảo công dân EU có thể áp dụng các biện pháp thích hợp để ngăn chặn dữ liệu của họ bị lạm dụng.

Người tiêu dùng cũng được hứa truy cập dễ dàng hơn vào dữ liệu cá nhân của họ về cách xử lý dữ liệu, với các tổ chức nói rằng họ cần chi tiết cách họ sử dụng thông tin khách hàng một cách rõ ràng và dễ hiểu.

Một số tổ chức đã di chuyển để đảm bảo trường hợp này, ngay cả khi nó cơ bản như gửi email cho khách hàng với thông tin về cách dữ liệu của họ được sử dụng và cung cấp cho họ tùy chọn không tham gia nếu họ không đồng ý tham gia của nó. Nhiều tổ chức, chẳng hạn như các tổ chức trong lĩnh vực bán lẻ và tiếp thị, đã liên hệ với khách hàng để hỏi xem họ có muốn trở thành một phần của cơ sở dữ liệu của họ hay không.

Trong những trường hợp này, khách hàng nên có cách dễ dàng để chọn không tham gia chi tiết của họ trong danh sách gửi thư. Trong khi đó, một số ngành khác đã được cảnh báo rằng họ có nhiều việc phải làm để đảm bảo tuân thủ GDPR – đặc biệt khi có sự đồng ý.

GDPR cũng được thiết lập để mang lại một quy trình “được quên lãng” rõ ràng, cung cấp các quyền và quyền tự  bổ sung cho những người không còn muốn thông tin cá nhân được xử lý & không giữ nó nữa.

Thông báo vi phạm GDPR là gì?

Khi GDPR có hiệu lực, nó sẽ giới thiệu một nhiệm vụ cho tất cả các tổ chức để báo cáo một số loại vi phạm dữ liệu liên quan đến việc truy cập trái phép hoặc mất dữ liệu cá nhân đến cơ quan giám sát có liên quan. Trong một số trường hợp, các tổ chức cũng phải thông báo cho các cá nhân bị ảnh hưởng bởi vi phạm.

Các tổ chức sẽ buộc phải báo cáo bất kỳ vi phạm nào có khả năng dẫn đến rủi ro đối với quyền và quyền tự do của cá nhân và dẫn đến phân biệt đối xử, thiệt hại về danh tiếng, mất mát tài chính, mất bí mật hoặc bất kỳ bất lợi kinh tế hoặc xã hội nào khác.

 

Nói cách khác, nếu tên, địa chỉ, dữ liệu sinh, hồ sơ y tế, chi tiết ngân hàng hoặc bất kỳ dữ liệu cá nhân hoặc cá nhân nào về khách hàng bị vi phạm, tổ chức có nghĩa vụ nói với những người bị ảnh hưởng cũng như cơ quan quản lý liên quan để mọi thứ có thể được thực hiện để hạn chế thiệt hại.

Điều này sẽ cần phải được thực hiện thông qua một thông báo vi phạm, mà phải được gửi trực tiếp cho các nạn nhân. Thông tin này có thể không được truyền đạt chỉ trong một thông cáo báo chí, trên phương tiện truyền thông xã hội, hoặc trên trang web của công ty. Nó phải là sự tương ứng một-một với những người bị ảnh hưởng.

Theo GDPR, khi nào tổ chức cần thông báo về vi phạm?

Việc vi phạm phải được báo cáo cho cơ quan giám sát có liên quan trong vòng 72 giờ kể từ khi tổ chức đầu tiên biết được điều đó. Trong khi đó, nếu vi phạm là nghiêm trọng, đủ để có nghĩa là khách hàng hoặc công chúng phải được thông báo, pháp luật GDPR nói rằng khách hàng phải được thực hiện trách nhiệm mà không có ‘chậm trễ quá mức’.

 

Các khoản phạt và tiền phạt GDPR là gì đối với việc không tuân thủ?

Việc không tuân thủ GDPR có thể dẫn đến mức phạt từ 10 triệu euro đến bốn phần trăm doanh thu toàn cầu hàng năm của công ty, một con số có thể có nghĩa là hàng tỷ.

Tiền phạt sẽ phụ thuộc vào mức độ nghiêm trọng của vi phạm và liệu công ty có được coi là tuân thủ và các quy định về an ninh một cách nghiêm túc hay không.

Phạt tiền tối đa 20 triệu euro hoặc bốn phần trăm doanh thu trên toàn thế giới – tùy theo điều kiện nào lớn hơn – là vi phạm quyền của chủ thể dữ liệu, chuyển giao dữ liệu cá nhân quốc tế trái phép và không đặt thủ tục hoặc bỏ qua quyền truy cập chủ đề yêu cầu cho dữ liệu của họ.

Mức phạt thấp hơn 10 triệu euro hoặc hai phần trăm doanh thu trên toàn thế giới sẽ được áp dụng cho các công ty xử lý dữ liệu theo các cách khác. Chúng bao gồm, nhưng không giới hạn, không báo cáo vi phạm dữ liệu, không xây dựng tính bảo mật theo thiết kế và đảm bảo bảo vệ dữ liệu được áp dụng trong giai đoạn đầu của dự án và tuân thủ bằng cách chỉ định một nhân viên bảo vệ dữ liệu – tổ chức là một trong những yêu cầu của GDPR.

Có gì trong thông báo vi phạm tuân thủ GDPR?

Trong trường hợp một công ty mất dữ liệu, có thể là do kết quả của một cuộc tấn công mạng, lỗi của con người hay bất kỳ điều gì khác, công ty sẽ có nghĩa vụ cung cấp thông báo vi phạm.

 

Điều này phải bao gồm dữ liệu gần đúng về vi phạm, bao gồm các loại thông tin và số lượng cá nhân bị xâm phạm do sự cố và các danh mục và số lượng hồ sơ dữ liệu cá nhân gần đúng có liên quan. Sau này tính đến cách có thể có nhiều bộ dữ liệu liên quan đến chỉ một cá nhân.

Các tổ chức cũng sẽ cần cung cấp mô tả về các hậu quả tiềm ẩn của vi phạm dữ liệu, như trộm cắp tiền hoặc gian lận danh tính và mô tả các biện pháp đang được thực hiện để xử lý vi phạm dữ liệu và chống lại bất kỳ tác động tiêu cực nào có thể phải đối mặt với các cá nhân.

Các chi tiết liên lạc của nhân viên bảo vệ dữ liệu, hoặc điểm tiếp xúc chính đối phó với vi phạm, cũng sẽ cần được cung cấp.

Khi nào chúng ta cần chỉ định một Nhân viên Bảo vệ Dữ liệu?

Theo các điều khoản của GDPR, một tổ chức phải chỉ định một Cán bộ bảo vệ dữ liệu (DPO) nếu nó thực hiện xử lý quy mô lớn các loại dữ liệu đặc biệt, thực hiện giám sát quy mô lớn các cá nhân như theo dõi hành vi hoặc là cơ quan công quyền.

Trong trường hợp của các cơ quan nhà nước, một DPO có thể được chỉ định trong một nhóm các tổ chức. Khi các tổ chức ngoài những người nêu trên chỉ định một DPO, tất cả các tổ chức sẽ cần đảm bảo họ có các kỹ năng và nhân viên cần thiết để tuân thủ luật pháp GDPR.

Không có tiêu chuẩn đặt ra về ai là DPO hoặc những tiêu chuẩn nào họ cần, nhưng theo Văn phòng Ủy viên Thông tin, họ cần có kinh nghiệm chuyên môn và luật bảo vệ dữ liệu tương ứng với những gì tổ chức thực hiện.

Việc không chỉ định một nhân viên bảo vệ dữ liệu, nếu được GDPR yêu cầu, có thể được coi là không tuân thủ và dẫn đến bị phạt.

Tuân thủ GDPR trông như thế nào?

GDPR có vẻ phức tạp, nhưng sự thật của vấn đề là phần lớn, luật pháp là củng cố các nguyên tắc hiện đang là một phần của Đạo luật bảo vệ dữ liệu của Vương quốc Anh.

Tuy nhiên, có các yếu tố của GDPR như thông báo vi phạm và đảm bảo rằng ai đó chịu trách nhiệm bảo vệ dữ liệu mà các tổ chức cần giải quyết hoặc có nguy cơ bị phạt tiền.

Không có phương pháp ‘một kích thước phù hợp với tất cả’ để chuẩn bị cho GDPR. Thay vào đó, mỗi doanh nghiệp sẽ cần phải kiểm tra những gì chính xác cần phải đạt được để tuân thủ và ai là người điều khiển dữ liệu đã chịu trách nhiệm đảm bảo điều đó xảy ra.

 

“Bạn dự kiến sẽ đưa ra các biện pháp quản trị toàn diện nhưng tương xứng,” ICO của Anh cho biết. Thực tế, điều này có thể có nghĩa là nhiều chính sách và thủ tục cho các tổ chức, mặc dù nhiều tổ chức sẽ có các biện pháp quản trị tốt tại chỗ ”.

Đó có thể là trách nhiệm của một cá nhân trong một doanh nghiệp nhỏ, hoặc thậm chí cả một bộ phận trong một tập đoàn đa quốc gia. Dù bằng cách nào, ngân sách, hệ thống và nhân sự tất cả sẽ cần phải được xem xét để làm cho nó hoạt động.

 

Theo các điều khoản của GDPR thúc đẩy trách nhiệm và quản trị, các công ty cần phải thực hiện các biện pháp kỹ thuật và tổ chức phù hợp. Chúng có thể bao gồm các điều khoản bảo vệ dữ liệu (đào tạo nhân viên, kiểm toán nội bộ các hoạt động chế biến và đánh giá các chính sách nhân sự), cũng như lưu giữ tài liệu về các hoạt động chế biến. Các chiến thuật khác mà các tổ chức có thể xem xét bao gồm giảm thiểu dữ liệu và bút danh, hoặc cho phép các cá nhân theo dõi việc xử lý, ICO cho biết.

Khi chuẩn bị cho GDPR, các cơ quan như ICO đưa ra hướng dẫn chung về những gì cần được xem xét. Tất cả các tổ chức sẽ cần phải đảm bảo rằng họ đã thực hiện tất cả các đánh giá tác động cần thiết và tuân thủ GDPR đến ngày 25 tháng 5 năm 2018 hoặc có nguy cơ bị trục trặc về các chỉ thị mới.

 

 

Source: https://www.zdnet.com

 

Leave a Reply

Your email address will not be published. Required fields are marked *