GDPR là gì? Ý nghĩa và những quy định chung mà bạn cần lưu ý

Trong thời đại số hóa ngày nay, việc bảo vệ thông tin cá nhân của người dùng trở nên ngày càng quan trọng hơn bao giờ hết. Và để đáp ứng nhu cầu này, General Data Protection Regulation, viết tắt là GDPR, đã xuất hiện như một bộ luật quy định mạnh mẽ về bảo vệ dữ liệu tại Liên minh châu Âu (EU). 

GDPR không chỉ là một bộ luật, mà nó còn đóng vai trò là bức tranh tổng quan về quyền riêng tư và bảo vệ dữ liệu của người dùng trong môi trường số hóa. Nhưng điều gì chính xác là GDPR? Điều này đồng nghĩa với việc gì cho doanh nghiệp và cá nhân? Hãy cùng Top 10 phần mềm điểm qua một số điều cơ bản về GDPR cũng như những quy định chung mà mọi tổ chức và cá nhân cần lưu ý.

GDPR là gì?

Vậy GDPR là gì? GDPR là viết tắt của General Data Protection Regulation, hay còn gọi là Quy định Bảo vệ Dữ liệu Chung của EU. Đây là một quy định mang tính bước ngoặt do Ủy ban Châu Âu ban hành vào năm 2016 và có hiệu lực từ ngày 25/05/2018. Mục đích của GDPR là bảo vệ quyền riêng tư và dữ liệu cá nhân của công dân EU trong kỷ nguyên số.

GDPR là một bộ luật của Liên minh châu Âu.

Mục đích của GDPR

Quy định Bảo vệ Dữ liệu Chung của EU (GDPR) được ban hành với mục đích chính là bảo vệ quyền riêng tư và dữ liệu cá nhân của công dân EU trong kỷ nguyên số. Có thể tóm tắt các mục đích chính của GDPR như sau:

• Bảo vệ quyền kiểm soát dữ liệu cá nhân.
• Tăng cường an ninh dữ liệu.
• Thúc đẩy tính minh bạch trong cách thu thập, sử dụng và bảo vệ dữ liệu cá nhân.
• Khuyến khích đổi mới.
• Nâng cao nhận thức về quyền riêng tư.

Những quy định chung của GDPR

Nguyên tắc của GDPR

GDPR dựa trên 7 nguyên tắc chính, bao gồm:

1. Hợp pháp, minh bạch và minh bạch
2. Hạn chế mục đích và tối thiểu dữ liệu
3. Chính xác và cập nhật dữ liệu
4. Hạn chế lưu trữ dữ liệu
5. Bảo mật và bảo mật dữ liệu
6. Trách nhiệm giải trình
7. Tính riêng tư từ khi thiết kế và mặc định

Những guyên tắc và yêu cầu cơ bản của GDPR để bảo vệ quyền riêng tư và dữ liệu cá nhân.

Nền tảng của GDPR

GDPR dựa trên hai nền tảng chính:

• Quyền của chủ thể dữ liệu: Chủ thể dữ liệu có một số quyền đối với dữ liệu cá nhân của họ, bao gồm quyền truy cập, chỉnh sửa, xóa, hạn chế xử lý, phản đối xử lý và yêu cầu chuyển dữ liệu.
• Trách nhiệm của chủ sở hữu dữ liệu: Chủ sở hữu dữ liệu có trách nhiệm tuân thủ các nguyên tắc GDPR và bảo vệ dữ liệu cá nhân của chủ thể dữ liệu.

GDPR áp dụng cho đối tượng nào?

Bất kỳ tổ chức nào thu thập và xử lý dữ liệu cá nhân của công dân EU đều phải tuân thủ GDPR, bất kể vị trí địa lý hay quốc tịch của tổ chức đó. Điều này bao gồm:

• Doanh nghiệp
• Các tổ chức phi lợi nhuận
• Cơ quan chính phủ
• Các tổ chức khác thu thập và xử lý dữ liệu cá nhân của công dân EU

GDPR áp dụng cho mọi tổ chức và doanh nghiệp hoạt động trong Liên minh châu Âu (EU).

Các thông tin được bảo vệ bởi GDPR

GDPR bảo vệ một loạt các thông tin cá nhân, bao gồm:

• Tên, địa chỉ, email, số điện thoại
• Ngày sinh, giới tính, quốc tịch
• Thông tin tài chính, thẻ tín dụng
• Thông tin về sức khỏe
• Thông tin về vị trí địa lý
• Thông tin về chủng tộc, tôn giáo, xu hướng tình dục

Các quy định chung của GDPR

Lawful basis and transparency (Cơ sở pháp lý và tính minh bạch)

• Dữ liệu cá nhân chỉ được thu thập và xử lý dựa trên cơ sở pháp lý hợp pháp, bao gồm:
  • Sự đồng ý của chủ thể dữ liệu
  • Thực hiện hợp đồng
  • Tuân thủ nghĩa vụ pháp lý
  • Bảo vệ các lợi ích hợp pháp của chủ sở hữu dữ liệu hoặc bên thứ ba
• Chủ sở hữu dữ liệu phải minh bạch về cách họ thu thập, sử dụng và bảo vệ dữ liệu cá nhân. Điều này bao gồm việc cung cấp thông tin cho chủ thể dữ liệu về các mục đích xử lý dữ liệu, các quyền của họ và cách thức liên hệ với chủ sở hữu dữ liệu.

Data Security (Bảo mật dữ liệu)

• Các biện pháp kỹ thuật và tổ chức phù hợp phải được áp dụng để bảo vệ dữ liệu cá nhân khỏi truy cập trái phép, sử dụng trái phép, tiết lộ, thay đổi hoặc phá hủy.
• Các biện pháp bảo mật phải được cập nhật thường xuyên để phản ánh các mối đe dọa và rủi ro mới.

Các quy định chung của GDPR.

Accountability and governance (Trách nhiệm giải trình và quản trị)

• Chủ sở hữu dữ liệu phải chịu trách nhiệm về việc tuân thủ các nguyên tắc GDPR.
• Chủ sở hữu dữ liệu phải chỉ định một cán bộ bảo vệ dữ liệu (DPO) để giám sát việc tuân thủ GDPR.
• Chủ sở hữu dữ liệu phải thực hiện đánh giá tác động bảo vệ dữ liệu (DPIA) cho các

Privacy rights (Quyền của chủ thể dữ liệu)

Bên cạnh trách nhiệm giải trình và quản trị, GDPR còn nhấn mạnh các quyền của chủ thể dữ liệu (cá nhân mà dữ liệu liên quan đến). Các quyền này cho phép chủ thể dữ liệu kiểm soát tốt hơn dữ liệu cá nhân của họ. Các quyền chính của chủ thể dữ liệu theo GDPR bao gồm:

• Quyền truy cập
• Quyền chỉnh sửa
• Quyền xóa
• Quyền hạn chế xử lý
• Quyền phản đối
• Quyền yêu cầu chuyển dữ liệu

Ai bị ảnh hưởng bởi GDPR?

Quy định chung về bảo vệ dữ liệu (GDPR) ảnh hưởng đến bất kỳ tổ chức nào thu thập và xử lý dữ liệu cá nhân của công dân EU, bất kể vị trí địa lý hay quốc tịch của tổ chức đó. Điều này bao gồm:

• Doanh nghiệp: Doanh nghiệp thuộc mọi quy mô, từ tập đoàn đa quốc gia đến doanh nghiệp nhỏ và vừa, đều phải tuân thủ GDPR.
• Các tổ chức phi lợi nhuận: Các tổ chức phi lợi nhuận, tổ chức từ thiện và hiệp hội cũng phải tuân thủ GDPR.
• Cơ quan chính phủ: Các cơ quan chính phủ thu thập dữ liệu cá nhân của công dân EU cũng phải tuân thủ GDPR.
• Bất kỳ tổ chức nào khác: Bất kỳ tổ chức nào khác thu thập và xử lý dữ liệu cá nhân của công dân EU đều phải tuân thủ GDPR.

Mọi tổ chức và doanh nghiệp hoạt động trong EU đều bị ảnh hưởng bởi GDPR

GDPR ảnh hưởng như thế nào đến doanh nghiệp?

GDPR có tác động đáng kể đến cách thức hoạt động của doanh nghiệp, bao gồm:

• Thu thập dữ liệu: Doanh nghiệp phải có cơ sở pháp lý hợp pháp để thu thập dữ liệu cá nhân và chỉ thu thập dữ liệu cần thiết cho mục đích cụ thể.
• Lưu trữ dữ liệu: Doanh nghiệp chỉ được lưu trữ dữ liệu cá nhân trong khoảng thời gian cần thiết cho mục đích thu thập hoặc xử lý dữ liệu.
• Bảo mật dữ liệu: Doanh nghiệp phải thực hiện các biện pháp bảo mật phù hợp để bảo vệ dữ liệu cá nhân khỏi truy cập trái phép, sử dụng trái phép, tiết lộ, thay đổi hoặc phá hủy.
• Minh bạch: Doanh nghiệp phải minh bạch về cách họ thu thập, sử dụng và bảo vệ dữ liệu cá nhân. Điều này bao gồm việc cung cấp thông tin cho chủ thể dữ liệu về các quyền của họ và cách thức liên hệ với doanh nghiệp.
• Quyền của chủ thể dữ liệu: Doanh nghiệp phải tôn trọng các quyền của chủ thể dữ liệu, bao gồm quyền truy cập, chỉnh sửa, xóa, hạn chế xử lý, phản đối xử lý và yêu cầu chuyển dữ liệu.
• Vi phạm dữ liệu: Doanh nghiệp phải báo cáo vi phạm dữ liệu cho cơ quan chức năng trong vòng 72 giờ kể từ khi biết về vi phạm.

Các công ty đã bị phạt vì vi phạm GDPR

Kể từ khi có hiệu lực vào năm 2018, GDPR đã được áp dụng để xử phạt các công ty vi phạm quy định. Một số vụ phạt đáng chú ý bao gồm:

Google: Năm 2019, Google bị phạt 50 triệu EURO vì vi phạm quy định về minh bạch.

• British Airways: Năm 2020, British Airways bị phạt 204 triệu EURO vì vi phạm dữ liệu.
• Marriott International: Năm 2020, Marriott International bị phạt 118 triệu EURO vì vi phạm dữ liệu.
• Amazon: Năm 2021, Amazon bị phạt 875 triệu EURO vì vi phạm quy định về bảo mật dữ liệu.
• Việc tuân thủ GDPR có thể tốn kém và phức tạp, nhưng điều quan trọng là doanh nghiệp phải tuân thủ để tránh bị phạt và bảo vệ danh tiếng của họ.

Cách thức thực hiện tuân thủ GDPR

Cách thức giúp doanh nghiệp tuân thủ GDPR

Việc tuân thủ GDPR có thể là một quá trình phức tạp đối với doanh nghiệp, nhưng có một số bước chính mà doanh nghiệp có thể thực hiện để đảm bảo tuân thủ:

• Xác định dữ liệu cá nhân mà doanh nghiệp thu thập và xử lý
• Đánh giá tính hợp pháp của việc thu thập và xử lý dữ liệu
• Thực hiện các biện pháp bảo mật phù hợp
• Cung cấp thông tin cho chủ thể dữ liệu
• Tôn trọng các quyền của chủ thể dữ liệu
• Báo cáo vi phạm dữ liệu

Phổ biến GDPR đến tất cả phòng ban

Việc tuân thủ GDPR là trách nhiệm của toàn bộ doanh nghiệp, không chỉ bộ phận pháp lý hoặc bộ phận CNTT. Doanh nghiệp cần phổ biến kiến thức về GDPR đến tất cả nhân viên để họ hiểu rõ các yêu cầu của quy định và cách thức tuân thủ. Doanh nghiệp có thể thực hiện việc này thông qua đào tạo, hội thảo và tài liệu hướng dẫn.

Cần nghiêm chỉnh tuân thủ chấp hành quy định GDPR.

Tiến hành các đánh giá nguy cơ định kỳ

Doanh nghiệp cần tiến hành các đánh giá nguy cơ định kỳ để xác định các rủi ro đối với việc tuân thủ GDPR. Các đánh giá này phải xem xét các yếu tố như loại dữ liệu được thu thập và xử lý, cách thức dữ liệu được xử lý và các biện pháp bảo mật được áp dụng.

Tạo và duy trì kế hoạch bảo vệ dữ liệu

Doanh nghiệp cần tạo và duy trì một kế hoạch bảo vệ dữ liệu nêu rõ cách thức doanh nghiệp sẽ tuân thủ GDPR. Kế hoạch này phải bao gồm các biện pháp bảo mật kỹ thuật và tổ chức, quy trình xử lý dữ liệu và các thủ tục để báo cáo vi phạm dữ liệu.

Lời kết 

Việc tuân thủ GDPR Việt Nam hay ở bất cứ ở quốc gia nào, đó không chỉ là một trách nhiệm pháp lý, mà còn là một cơ hội để tạo dựng lòng tin từ khách hàng, cải thiện quản lý dữ liệu và nâng cao uy tín của doanh nghiệp. Sự hiểu biết sâu sắc về GDPR cũng giúp chúng ta thấu hiểu hơn về ý nghĩa của việc bảo vệ quyền riêng tư và dữ liệu cá nhân trong một thế giới số đang ngày càng phát triển.

Hãy tiếp tục đảm bảo rằng các tổ chức và doanh nghiệp của bạn tuân thủ đúng các quy định của GDPR, đồng thời không ngừng nỗ lực để bảo vệ quyền riêng tư và dữ liệu cá nhân của người dùng, góp phần vào sự phát triển bền vững của một môi trường số an toàn và minh bạch.