Hôm nay chắc bạn nhận được nhiều email thông báo cập nhập chính sách bảo mật từ các dự án ICO mà mình đã tham gia phải không? trong email đề cấp đến GDPR, vậy GDPR là gì?
GDPR là viết tắt của General Data Protection Regulation – Quy định chung về Bảo vệ Dữ liệu. Nó sẽ chính thức có hiệu lực tính từ ngày 25/05/2018.GDPR được tạo ra với mục đích tăng cường và thống nhất bảo vệ dữ liệu cho toàn bộ Liên Minh Châu Âu (EU). Nó thay thế Chỉ thị Bảo vệ Dữ liệu 96/46, đã được ban hành trước khi sự gia tăng của Internet và theo dõi đám mây.
Quy định Chung về Bảo vệ Dữ liệu (GDPR) của Liên minh Châu Âu đã được phát triển để tạo ra các luật về quyền riêng tư dữ liệu gắn kết trên khắp Châu Âu nhằm phục vụ bảo vệ tất cả người dân của Liên minh Châu Âu. Quy định này sẽ thay thế Chỉ thị Bảo vệ Dữ liệu 95/46/EC và có sự khác biệt về một số cách đáng kể, như:
Thẩm quyền lớn hơn. Quy định Chung về Bảo vệ Dữ liệu sẽ áp dụng cho mọi công ty xử lý dữ liệu cá nhân của bất kỳ ai đang sinh sống trong khu vực Liên minh Châu Âu, bất kể vị trí của công ty.
Khoản phạt. Các tổ chức, bao gồm công ty kiểm soát và công ty xử lý, không tuân thủ GDPR có thể bị phạt tối đa lên đến 4 % doanh thu toàn cầu hàng năm hoặc €20 Triệu (tùy vào mức nào nhiều hơn).
Sự đồng thuận. Sự đồng thuận phải được yêu cầu theo một cách rõ ràng, có thể tiếp cận dễ dàng – và phải có khả năng phân biệt với các vấn đề khác. Ngoài ra, việc rút lại sự đồng thuận cũng phải dễ dàng như khi cung cấp.
Thông báo Vi phạm: Thông báo vi phạm sẽ là bắt buộc – và phải được hoàn thành trong vòng 72 giờ làm việc của tổ chức đầu tiên nhận biết vi phạm.
Quyền riêng tư. GDPR yêu cầu bảo vệ dữ liệu phải được bao gồm từ khi bắt đầu thiết kế hệ thống, chứ không phải dưới dạng bổ sung.
Để biết danh sách đầy đủ những thay đổi quan trọng nhất giữa Quy định Chung về Bảo vệ Dữ liệu và Chỉ thị Bảo vệ Dữ liệu 95/46/EC, hãy truy nhập http://www.eugdpr.org/key-changes.html.
Ai bị Ảnh hưởng?
GDPR áp dụng cho các tổ chức trong Liên minh Châu Âu, cũng như các công ty đặt bên ngoài EU. Về cơ bản, bất kỳ tổ chức nào cung cấp hàng hóa hoặc các dịch vụ cho hoặc giám sát các hành vi của đối tượng dữ liệu EU, đều bị ảnh hưởng bởi GDPR. Quy định áp dụng cho cả công ty kiểm soát lẫn công ty xử lý, nghĩa là “điện toán đám mây” không được miễn trừ khỏi việc thực thi GDPR.
Tại sao phải quan tâm?
Đối với những người làm việc trong môi trường pháp luật, GDPR đã nổi lên xung quanh các cuộc thảo luận văn phòng với một giai điệu đáng lo ngại. Nếu tôi muốn diễn giải những gì tôi nghe về GPDR đến từ các đồng nghiệp và khách hàng, các phản hồi nghe có vẻ như: “Tránh né hình phạt sẽ không thể!” Hoặc “Chúng tôi không có giải pháp cho điều này!” Hầu hết những điều hoảng sợ phản ứng đến từ những người trong các rủi ro, quản trị, hoặc cộng đồng kiểm toán. Tôi thậm chí đã nghe nói GDPR tương đương với “thế hệ Y2K tiếp theo.”
Các cộng đồng kiểm toán và tuân thủ đang xáo trộn điên cuồng để hiểu các quy định mới đòi hỏi sự hiểu biết tốt hơn về dữ liệu. Việc thiếu toàn bộ ngành công nghiệp nhân viên có trình độ kỹ thuật và kiến thức về dữ liệu lớn tạo ra tình huống mà hầu hết các tổ chức không chuẩn bị để tuân thủ các quy định GDPR.
Khi nói đến ngành công nghiệp kiểm toán, thay đổi thường gắn liền với tiền phạt. Các kiểm soát có thể ức chế và hạn chế sự thay đổi, làm cho các nhà quản lý sự tuân thủ trước đây nhận thức được sự thay đổi là xấu và đe dọa.
Với GDPR là quy tắc tuân thủ dữ liệu đúng thực sự đầu tiên, cần phải có một sự thay đổi mạnh mẽ đối với các tổ chức tuân thủ để theo kịp tương lai. Sự thay đổi có vẻ như đe dọa đến cách hoạt động kinh doanh của bạn, nhưng GDPR có thể quản lý được với sự chuẩn bị và nguồn lực thích hợp.
Làm thế nào bạn có thể nắm bặt kịp với nguồn dữ liệu lớn?
Với các quy định tuân thủ liên quan mật thiết đến an ninh không gian mạng, bạn cần phải hiểu sâu hơn về dữ liệu nào cho GDPR. Hãy xem các bài viết về GDPR chọn sau đây:
- Điều 17: Quyền xóa
- Điều 18: Quyền hạn chế chế biến
- Điều 35: Đánh giá tác động bảo vệ dữ liệu
Ngay cả trong nháy mắt, rõ ràng là những bài báo này đòi hỏi sự hiểu biết khá tiên tiến về những khía cạnh cơ bản nhất của mạng lưới công ty. Các doanh nghiệp phải đảm bảo rằng các quyền của cá nhân và dữ liệu của họ được thực thi và quản lý trên cơ sở liên tục.
Các tiêu chuẩn kiểm toán và kiểm toán được thực hiện một thập kỉ trước, chẳng hạn như Chỉ thị Bảo vệ Dữ liệu 96/46, đã không trang bị cho kiểm toán viên để chuẩn bị đầy đủ cho các quy định mới này. Để kết thúc này, LogRhythm Labs đã làm việc chăm chỉ để giúp bạn chuẩn bị cho GDPR.
Theo: Kenhdaututienao.com