GDPR: Hướng dẫn tuân thủ

  • Created:
  • / Author: PACISOFT Help 24
Lượt xem: 239

1. GDPR là gì?

GDPR (Quy định chung về bảo vệ dữ liệu) là quy định chung của Liên minh Châu Âu, có hiệu lực vào ngày 25 tháng 5 năm 2018. Nó sẽ ảnh hưởng đến mọi doanh nghiệp hoạt động ở Liên minh Châu Âu hoặc giao dịch với khách hàng của Liên minh Châu Âu.

GDPR mở rộng định nghĩa về những gì cấu thành dữ liệu cá nhân, riêng tư để không chỉ bao gồm hồ sơ tài chính, chính phủ và y tế mà còn cả thông tin di truyền, văn hóa và xã hội.

Các doanh nghiệp hiện phải có được sự đồng ý cụ thể của một cá nhân trước khi sử dụng dữ liệu cá nhân của họ và cũng phải tôn trọng “quyền được lãng quên” (Right to be forgotten) của họ, được xóa tất cả dữ liệu cá nhân của doanh nghiệp theo yêu cầu của người dùng.

2. Định nghĩa và vai trò

GDPR mô tả các định nghĩa và vai trò sau:

  • Chủ thể dữ liệu:

    Công dân của Liên minh Châu Âu có thể nhận dạng được bằng dữ liệu cá nhân của họ.

  • Người kiểm soát:

    Một doanh nghiệp hoạt động trong EU – hoặc bên ngoài EU nhưng giao dịch với các cư dân EU – nắm bắt dữ liệu nhạy cảm về các cư dân EU trong quá trình hoạt động.

  • Người xử lý:

    Một doanh nghiệp thương mại thu thập dữ liệu nhạy cảm về các cá nhân ở Liên minh Châu Âu đóng vai trò là nhà thầu cho người kiểm soát. Ví dụ bao gồm các doanh nghiệp cung cấp dịch vụ đám mây, lưu trữ hoặc lưu trữ ứng dụng.

  • Dữ liệu cá nhân:

    Bất kỳ thông tin nào liên quan đến một thể nhân được xác định hoặc có thể nhận dạng được. Điều này được EU định nghĩa rộng hơn so với các chính phủ khác và bao gồm tên công dân EU, địa chỉ email, bài đăng trên mạng xã hội, thông tin thể chất, sinh lý hoặc di truyền, thông tin y tế, vị trí, chi tiết ngân hàng, địa chỉ IP, cookie, bản sắc văn hóa…

  • Vi phạm dữ liệu cá nhân:

    Vi phạm bảo mật dẫn đến việc vô tình hoặc bất hợp pháp phá hủy, mất mát, thay đổi, tiết lộ hoặc truy cập trái phép vào dữ liệu cá nhân được truyền, lưu trữ hoặc xử lý theo cách khác. Doanh nghiệp phải báo cáo mọi sự cố vi phạm dữ liệu cho “cơ quan giám sát” trong vòng 72 giờ kể từ khi biết được điều đó.

  • Quyền được lãng quên (Right to be forgotten):

    Quyền của mọi công dân EU được xóa và không còn xử lý dữ liệu cá nhân của mình. Dữ liệu cũng phải được xóa khỏi các bản sao lưu.

3. Các yêu cầu chính của GDPR

GDPR yêu cầu rằng dữ liệu cá nhân chỉ có thể được lưu trữ miễn là  nó được yêu cầu cho mục đích ban đầu và phải được bảo vệ theo các quy tắc mới.

Theo điều 32, cả bộ điều khiển và bộ xử lý được yêu cầu thực hiện các biện pháp kỹ thuật và tổ chức thích hợp để đảm bảo tính toàn vẹn và bảo mật của dữ liệu, khả năng phục hồi của hệ thống và khả năng khôi phục dữ liệu nhanh chóng, bao gồm cả mã hóa hoặc bút danh. Quy trình và công nghệ sao lưu rõ ràng là một yêu cầu gián tiếp của quy định.

GDPR tập trung vào khái niệm trách nhiệm giải trình, theo đó các doanh nghiệp sẽ phải “chứng minh” việc tuân thủ các nguyên tắc liên quan đến việc bảo vệ dữ liệu cá nhân. Điều này sẽ liên quan đến việc thực hiện nhiều quy trình có thể chứng minh được và duy trì một cách tiếp cận chủ động.

4. Tuân thủ GDPR và sao lưu

Chúng tôi đề xuất mô hình 5 bước để tuân thủ GPDR:

  • Biết dữ liệu của bạn và lập bản đồ vị trí của chúng

    Bước đầu tiên là về phân tích và xác định tất cả các quy trình thu thập và xử lý dữ liệu cá nhân, với mục đích lập bản đồ nơi chúng được lưu trữ, trong cả bộ nhớ của công ty hoặc bên thứ ba. Bản đồ này sẽ được bao gồm trong tài liệu.

  • Kiểm soát quyền truy cập vào dữ liệu

    Sau khi hoàn tất việc lập bản đồ, điều quan trọng là phải kiểm tra xem ai có quyền truy cập vào dữ liệu và vì lý do gì. Việc đánh giá sẽ cho phép bạn xác định điểm trọng yếu và cũng trong trường hợp này, thông tin thu thập được sẽ rất quý giá để làm tài liệu. Đừng quên xem xét các quản trị viên CNTT và các đối tác bên ngoài.

  • Bảo vệ dữ liệu

    Việc bảo vệ dữ liệu phải được đảm bảo thông qua bất kỳ hệ thống có sẵn nào như phần mềm chống phần mềm độc hại, tường lửa, chính sách bảo mật, đào tạo và tất nhiên, duy trì các bản sao lưu. Uranium Backup cho phép bạn bảo vệ tất cả dữ liệu cá nhân được thu thập bởi công ty của bạn vì nó có thể thực hiện sao lưu các tệp và thư mục, cơ sở dữ liệu, máy ảo, hình ảnh hệ thống và hộp thư Exchange. Kiểm tra trang này để khám phá các phương pháp hay nhất cho chiến lược sao lưu tuân thủ GDPR.

  • Tài liệu

    GPDR yêu cầu người kiểm soát và chủ sở hữu phải chứng minh việc áp dụng các biện pháp thích hợp để bảo vệ dữ liệu cá nhân, do đó, việc có một tài liệu sâu rộng về các quy trình và biện pháp bảo mật là vô cùng quan trọng. Chúng ta cũng cần nhớ báo cáo các vi phạm dữ liệu trong vòng 72 giờ kể từ khi phát hiện và quyền được quên, bao gồm cả các bản sao lưu.

  • Luôn cập nhật:

    Các công ty là những cơ thể sống, luôn luôn phát triển và điều tương tự là đối với bối cảnh nơi họ cạnh tranh. Để đảm bảo việc bảo vệ dữ liệu cá nhân có ý nghĩa, cần phải có phương pháp tiếp cận chủ động, phương pháp thụ động chỉ đơn giản là chưa đủ. Nhận thức về các công nghệ mới và các mối đe dọa là một yêu cầu để phản ứng và thích ứng.

Tagged: