GDPR – Những điều bạn chưa biết và nên biết

EU GDPR, quy định bảo vệ dữ liệu mới bắt đầu có hiệu lực vào năm tới vẫn chưa được hiểu một cách rõ ràng. Dưới đây là một số điểm quan trọng giúp bạn định hướng trong bối cảnh mới này.

Về mặt kỹ thuật, GDPR đã có hiệu lực kể từ tháng 5 năm ngoái. Ngày 25/5/2018 là thời điểm bắt đầu thực thi. Sự khác biệt khó thể thấy nhưng quan trọng này có nghĩa là cơ quan bảo vệ dữ liệu có thể bắt đầu áp dụng mức phạt và hình phạt đối với bất kỳ tổ chức không tuân thủ nào kể từ ngày đó trở đi.

1. Vị trí, địa điểm

Quy định áp dụng cho bất kỳ tổ chức nào xử lý và kiểm soát dữ liệu về công dân Liên minh châu Âu – bất kể nơi vào trên thế giới và bất kể quy mô lớn nhỏ. Và rõ ràng là việc chuẩn bị cho GDPR đang là mối quan tâm cần thiết đối với các doanh nghiệp Anh

2. Nhân viên bảo vệ dữ liệu

Một nghiên cứu của Hiệp hội các chuyên gia bảo mật quốc tế cho thấy 80% các tổ chức tin rằng họ sẽ cần một nhân viên bảo vệ dữ liệu. Vai trò của người này là làm việc trực tiếp với đội ngũ quản lý cấp cao của tổ chức để đảm bảo họ nhận những được những gì họ cần làm để đáp ứng quy định.

Các tổ chức có thể thuê, ký hợp đồng hoặc chỉ định một nhân viên bảo vệ dữ liệu, những người có hiểu biết chi tiết về tính thực tiễn bảo vệ dữ liệu và các khía cạnh pháp lý của GDPR.

3. Bảo mật hàng đầu

Nhiều người sai lầm khi tin rằng quy định này tập trung vào vấn đề an ninh nhưng mục đích chính của nó là bảo vệ quyền riêng tư của công dân EU. Trên thực tế, cụn từ “bảo mật thông tin” chỉ xuất hiện một lần trong văn bản.

4. Lợi ích của chứng nhận

Phát biểu với một nhóm các viên chức bảo vệ giữ liệu ở Ý vào tháng 4, Giovanni Buttarelli – Giám sát bảo vệ dữ liệu của châu Âu – khuyến cáo rằng các chương trình chứng nhận “có thể mang lại nhiều lợi ích” trong việc giúp các tổ chức định hướng các khái niệm trong GDPR. Một bài báo về GDPR của công ty an ninh Tripwire đã đưa ra 3 khuôn khổ an ninh có thể có mà các tổ chức có thể sử dụng để so sánh: ISO/ IEC:27001, khuôn khổ an ninh mạng NIST hoặc CIS – Critical Sercurity Controls.

5. Các biện pháp bảo vệ

Các công ty bị mất dữ liệu thông qua các vụ vi phạm hay sự cố bảo mật có thể được giảm hình phạt nếu họ có thể chứng minh với nhà quản lý rằng họ “có các biện pháp thích hợp”, chẳng hạn như mã hóa, để đảm bảo tính bảo mật của hệ thống đang nắm giữ dữ liệu đó.

Nguồn: Cityam