Quy định bảo vệ dữ liệu chung (GDPR), biểu tượng của Liên minh Châu Âu dữ liệu riêng tư luật, có hiệu lực vào năm 2018. Tuy nhiên, nhiều tổ chức vẫn gặp khó khăn trong việc đáp ứng các yêu cầu tuân thủ và các cơ quan bảo vệ dữ liệu của EU không ngần ngại đưa ra các hình phạt.

Ngay cả những doanh nghiệp lớn nhất thế giới cũng không tránh khỏi những rắc rối về GDPR. Cơ quan quản lý Ireland tấn công Meta với mức phạt 1.2 tỷ EUR vào năm 2023. Chính quyền Ý đang điều tra OpenAI vì nghi ngờ vi phạm, thậm chí còn cấm ChatGPT trong thời gian ngắn.

Nhiều doanh nghiệp cảm thấy khó thực hiện các yêu cầu của GDPR vì luật pháp không chỉ phức tạp mà còn có nhiều quyền tùy ý quyết định. GDPR đưa ra một loạt quy tắc về cách các tổ chức trong và ngoài Châu Âu xử lý dữ liệu cá nhân của cư dân EU. Tuy nhiên, nó mang lại cho các doanh nghiệp một số quyền tự do trong cách họ ban hành các quy tắc đó.

Chi tiết về kế hoạch tuân thủ đầy đủ GDPR của bất kỳ tổ chức nào sẽ khác nhau dựa trên dữ liệu mà tổ chức đó thu thập và những gì tổ chức đó làm với dữ liệu đó. Điều đó có nghĩa là có một số bước cốt lõi mà tất cả các công ty có thể thực hiện khi triển khai GDPR: 

• Kiểm kê dữ liệu cá nhân
• Xác định và bảo vệ dữ liệu danh mục đặc biệt 
• Kiểm toán hoạt động xử lý dữ liệu
• Cập nhật biểu mẫu chấp thuận của người dùng  
• Tạo một hệ thống lưu trữ hồ sơ
• Chỉ định khách hàng tiềm năng tuân thủ
• Soạn thảo chính sách bảo mật dữ liệu
• Đảm bảo các đối tác bên thứ ba tuân thủ
• Xây dựng quy trình đánh giá tác động bảo vệ dữ liệu
• Thực hiện kế hoạch ứng phó vi phạm dữ liệu
• Giúp chủ thể dữ liệu dễ dàng thực hiện quyền của mình
• Triển khai thông tin các biện pháp an ninh

Tôi có cần triển khai GDPR không? 

GDPR áp dụng cho bất kỳ tổ chức nào xử lý dữ liệu dữ liệu cá nhân của cư dân châu Âu, bất kể tổ chức đó có trụ sở ở đâu. Do tính chất liên kết và quốc tế của nền kinh tế kỹ thuật số, nền kinh tế đó bao gồm nhiều—thậm chí có thể là hầu hết—các doanh nghiệp ngày nay. Ngay cả các tổ chức không thuộc phạm vi quản lý của GDPR cũng có thể áp dụng các yêu cầu của nó để tăng cường bảo vệ dữ liệu.

Cụ thể hơn, GDPR áp dụng cho tất cả các bên kiểm soát dữ liệu và bên xử lý dữ liệu có trụ sở tại Khu vực Kinh tế Châu Âu (EEA). EEA bao gồm tất cả 27 quốc gia thành viên EU cùng với Iceland, Liechtenstein và Na Uy. 

A người điều khiển dữ liệu là bất kỳ tổ chức, nhóm hoặc cá nhân nào thu thập dữ liệu cá nhân và xác định cách sử dụng dữ liệu đó. Hãy suy nghĩ: một nhà bán lẻ trực tuyến lưu trữ địa chỉ email của khách hàng để gửi thông tin cập nhật về đơn hàng.

A bộ xử lý dữ liệu là bất kỳ tổ chức hoặc nhóm nào tiến hành các hoạt động xử lý dữ liệu. GDPR định nghĩa rộng rãi “xử lý” là bất kỳ hành động nào được thực hiện trên dữ liệu: lưu trữ, phân tích, thay đổi dữ liệu, v.v. Đơn vị xử lý bao gồm các bên thứ ba xử lý dữ liệu cá nhân thay mặt cho đơn vị kiểm soát, chẳng hạn như công ty tiếp thị phân tích dữ liệu người dùng để giúp doanh nghiệp hiểu được thông tin nhân khẩu học chính của khách hàng.

GDPR cũng áp dụng cho các đơn vị kiểm soát và đơn vị xử lý nằm ngoài EEA nếu họ đáp ứng ít nhất một trong các điều kiện sau: 

• Công ty thường xuyên cung cấp hàng hóa và dịch vụ cho cư dân EEA, ngay cả khi không có tiền trao tay.
• Công ty thường xuyên giám sát hoạt động của cư dân EEA, chẳng hạn như bằng cách sử dụng cookie theo dõi. 
• Công ty xử lý dữ liệu cá nhân thay mặt cho các bên kiểm soát ở EEA. 
• Công ty có nhân viên ở EEA.

Có một số điều đáng chú ý nữa về phạm vi của GDPR. Đầu tiên, nó chỉ liên quan đến dữ liệu cá nhân của thể nhân, còn được gọi là chủ thể dữ liệu theo cách nói của GDPR. MỘT người tự nhiên là một con người sống. GDPR không bảo vệ dữ liệu của pháp nhân, như công ty hoặc người đã chết.

Thứ hai, một người không cần phải là công dân EU để được bảo vệ GDPR. Họ chỉ cần là cư dân chính thức của EEA.

Cuối cùng, GDPR áp dụng cho việc xử lý dữ liệu cá nhân vì hầu hết mọi lý do: thương mại, học thuật, chính phủ, v.v. Các doanh nghiệp, bệnh viện, trường học và cơ quan công quyền đều phải tuân theo GDPR. Các hoạt động xử lý duy nhất được miễn GDPR là các hoạt động thực thi pháp luật và an ninh quốc gia cũng như việc sử dụng dữ liệu thuần túy cho cá nhân.

Các bước triển khai GDPR 

Không có kế hoạch tuân thủ GDPR nào phù hợp cho tất cả mọi người, nhưng có một số phương pháp cơ bản mà các tổ chức có thể sử dụng để hướng dẫn các nỗ lực triển khai GDPR.

Để biết danh sách các yêu cầu chính của GDPR, hãy xem Danh sách kiểm tra tuân thủ GDPR. 

Kiểm kê dữ liệu cá nhân  

Mặc dù GDPR không yêu cầu rõ ràng việc kiểm kê dữ liệu nhưng nhiều tổ chức bắt đầu từ đây vì hai lý do. Đầu tiên, biết công ty có dữ liệu gì và cách xử lý dữ liệu đó sẽ giúp tổ chức hiểu rõ hơn về gánh nặng tuân thủ của mình. Ví dụ: doanh nghiệp thu thập dữ liệu sức khỏe người dùng cần có biện pháp bảo vệ mạnh mẽ hơn doanh nghiệp chỉ thu thập địa chỉ email.

Thứ hai, kho dữ liệu toàn diện giúp việc tuân thủ các yêu cầu chia sẻ, cập nhật hoặc xóa dữ liệu của người dùng trở nên dễ dàng hơn. 

Kiểm kê dữ liệu có thể ghi lại các chi tiết như:

• Các loại dữ liệu được thu thập (tên người dùng, dữ liệu duyệt web)
• Quần thể dữ liệu (khách hàng, nhân viên, sinh viên)
• Cách thu thập dữ liệu (đăng ký sự kiện, trang đích)
• Nơi lưu trữ dữ liệu (máy chủ tại chỗ, dịch vụ đám mây)
• Mục đích thu thập dữ liệu (chiến dịch tiếp thị, phân tích hành vi)
• Cách xử lý dữ liệu (tự động chấm điểm, tổng hợp)
• Ai có quyền truy cập vào dữ liệu (nhân viên, nhà cung cấp)
• Các biện pháp bảo vệ hiện có (mã hóa, xác thực nhiều yếu tố) 

Có thể khó theo dõi dữ liệu cá nhân nằm rải rác trên mạng của tổ chức trong nhiều quy trình công việc, cơ sở dữ liệu, điểm cuối và thậm chí cả bóng tối tài sản CNTT. Để làm cho việc kiểm kê dữ liệu trở nên dễ quản lý hơn, các tổ chức có thể xem xét sử dụng các giải pháp bảo vệ dữ liệu tự động phát hiện và phân loại dữ liệu. 

Tìm hiểu cách IBM Guardium® Data Protection tự động phát hiện, phân loại và bảo vệ dữ liệu nhạy cảm trên các kho lưu trữ chính như AWS, DBaaS và máy tính lớn tại chỗ.

Xác định và bảo vệ dữ liệu danh mục đặc biệt 

Khi kiểm kê dữ liệu, các tổ chức nên ghi chú lại mọi dữ liệu đặc biệt nhạy cảm cần được bảo vệ thêm. GDPR yêu cầu các biện pháp phòng ngừa bổ sung đối với ba loại dữ liệu cụ thể: dữ liệu danh mục đặc biệt, dữ liệu kết án hình sự và dữ liệu trẻ em.  

• Dữ liệu danh mục đặc biệt bao gồm sinh trắc học, hồ sơ sức khỏe, chủng tộc, dân tộc và các thông tin mang tính cá nhân cao khác. Các tổ chức thường cần có sự đồng ý rõ ràng của người dùng để xử lý dữ liệu danh mục đặc biệt. 

• Dữ liệu kết án hình sự chỉ có thể được kiểm soát bởi các cơ quan công quyền và xử lý theo chỉ đạo của họ. 

• Dữ liệu trẻ em không thể được xử lý nếu không có sự đồng ý của phụ huynh và các tổ chức cần có cơ chế xác minh độ tuổi của chủ thể dữ liệu và danh tính của cha mẹ họ. Mỗi tiểu bang EEA đặt ra định nghĩa riêng về “trẻ em” theo GDPR. Giới hạn dao động từ dưới 13 đến dưới 16 tuổi. Các công ty phải sẵn sàng tuân thủ các định nghĩa khác nhau này. 

Kiểm toán hoạt động xử lý dữ liệu 

Trong quá trình kiểm kê dữ liệu, các tổ chức ghi lại mọi hoạt động xử lý mà dữ liệu trải qua. Sau đó, các tổ chức phải đảm bảo rằng các hoạt động này tuân thủ các quy tắc xử lý GDPR. Một số nguyên tắc GDPR quan trọng nhất bao gồm:

• Tất cả quá trình xử lý phải có cơ sở pháp lý được thiết lập: Việc xử lý dữ liệu chỉ được chấp nhận nếu tổ chức có cơ sở pháp lý được phê duyệt cho việc xử lý đó. Các cơ sở pháp lý phổ biến bao gồm lấy sự đồng ý của người dùng, xử lý dữ liệu để thực hiện hợp đồng với người dùng và xử lý dữ liệu vì lợi ích công cộng. Các tổ chức phải ghi lại cơ sở pháp lý cho mọi hoạt động xử lý trước khi bắt đầu.

Để có danh sách đầy đủ các cơ sở pháp lý được phê duyệt, hãy xem Trang tuân thủ GDPR.

• Giới hạn mục đích: Dữ liệu phải được thu thập và sử dụng cho mục đích được xác định cụ thể. 

• Giảm thiểu dữ liệu: Các tổ chức nên thu thập lượng dữ liệu tối thiểu cần thiết cho mục đích cụ thể của mình. 

• Độ chính xác: Các tổ chức phải đảm bảo rằng dữ liệu họ thu thập là chính xác và cập nhật. 

• Giới hạn lưu trữ: Các tổ chức nên xử lý dữ liệu một cách an toàn ngay khi mục đích của nó được hoàn thành. 

Để biết danh sách đầy đủ các nguyên tắc xử lý GDPR, hãy xem Danh sách kiểm tra tuân thủ GDPR.

Cập nhật biểu mẫu chấp thuận của người dùng  

Sự đồng ý của người dùng là cơ sở pháp lý chung để xử lý. Tuy nhiên, sự đồng ý chỉ có hiệu lực theo GDPR nếu nó được thông báo, khẳng định và đưa ra một cách tự nguyện. Các tổ chức có thể cần cập nhật các biểu mẫu chấp thuận để đáp ứng các yêu cầu này.

• Để đảm bảo rằng sự đồng ý được đưa ra đầy đủ, tổ chức cần giải thích rõ ràng những gì tổ chức thu thập và cách tổ chức sẽ sử dụng dữ liệu đó tại thời điểm thu thập dữ liệu.

• Để đảm bảo rằng sự đồng ý là khẳng định, các tổ chức nên áp dụng phương pháp chọn tham gia, trong đó người dùng phải tích cực đánh dấu vào ô hoặc ký vào bản tuyên bố để báo hiệu sự đồng ý. Sự đồng ý cũng không thể được nhóm lại. Người dùng phải đồng ý với từng hoạt động xử lý riêng lẻ.  

• Để đảm bảo rằng sự đồng ý là miễn phí, các tổ chức chỉ có thể yêu cầu sự đồng ý đối với các hoạt động xử lý dữ liệu thực sự không thể thiếu đối với một dịch vụ. Nói cách khác, doanh nghiệp không thể buộc người dùng tiết lộ quan điểm chính trị của mình để mua áo phông. Người dùng phải có thể thu hồi sự đồng ý bất cứ lúc nào.  

Tạo một hệ thống lưu trữ hồ sơ 

Các tổ chức có hơn 250 nhân viên và các công ty thuộc mọi quy mô thường xuyên xử lý dữ liệu hoặc xử lý dữ liệu có rủi ro cao đều phải lưu giữ hồ sơ điện tử bằng văn bản về các hoạt động xử lý của mình. 

Tuy nhiên, tất cả các tổ chức đều có thể muốn lưu giữ những hồ sơ đó. Điều này không chỉ giúp theo dõi các nỗ lực về quyền riêng tư và bảo mật mà còn có thể chứng minh sự tuân thủ nếu xảy ra kiểm tra hoặc vi phạm. Các công ty có thể giảm bớt hoặc tránh bị phạt nếu họ có thể chứng minh rằng họ đã nỗ lực tuân thủ một cách thiện chí.  

Người kiểm soát dữ liệu có thể muốn lưu giữ các hồ sơ đặc biệt chắc chắn vì GDPR yêu cầu họ phải chịu trách nhiệm về sự tuân thủ của các đối tác và nhà cung cấp của mình. 

Chỉ định khách hàng tiềm năng tuân thủ GDPR  

Tất cả các cơ quan công quyền và bất kỳ tổ chức nào thường xuyên xử lý dữ liệu danh mục đặc biệt hoặc giám sát các đối tượng trên quy mô lớn đều phải chỉ định một nhân viên bảo vệ dữ liệu (DPO). DPO là một nhân viên công ty độc lập chịu trách nhiệm tuân thủ GDPR. Các trách nhiệm chung bao gồm giám sát đánh giá rủi ro, đào tạo nhân viên về các nguyên tắc bảo vệ dữ liệu và làm việc với các cơ quan chính phủ.

Mặc dù chỉ một số tổ chức được yêu cầu chỉ định DPO nhưng tất cả các tổ chức đều có thể cân nhắc việc này. Việc có một trưởng nhóm tuân thủ GDPR được chỉ định có thể giúp hợp lý hóa việc triển khai.

DPO có thể là nhân viên của một doanh nghiệp hoặc nhà tư vấn bên ngoài cung cấp dịch vụ của họ theo hợp đồng. DPO phải báo cáo trực tiếp lên cấp quản lý cao nhất. Công ty không thể trả đũa DPO vì đã thực hiện nhiệm vụ của họ. 

Các tổ chức bên ngoài EEA phải chỉ định một đại diện trong EEA nếu họ thường xuyên xử lý dữ liệu của cư dân EEA hoặc xử lý dữ liệu có độ nhạy cảm cao. Các đại diện EEA nhiệm vụ chính là thay mặt công ty phối hợp với các cơ quan bảo vệ dữ liệu trong quá trình điều tra. Người đại diện có thể là nhân viên, công ty liên kết hoặc dịch vụ thuê. 

DPO và đại diện EEA có những vai trò khác nhau với những trách nhiệm khác nhau. Đáng chú ý, người đại diện làm việc theo chỉ đạo của tổ chức, còn DPO phải là người độc lập. Một tổ chức không thể chỉ định một bên đóng vai trò là đại diện của cả DPO và EEA.

Nếu một tổ chức hoạt động ở nhiều quốc gia EEA, tổ chức đó phải xác định một cơ quan giám sát chủ trì. Cơ quan giám sát chính là cơ quan bảo vệ dữ liệu chính (DPA) giám sát việc tuân thủ GDPR của công ty đó trên khắp Châu Âu. 

Thông thường, cơ quan giám sát chính là DPA ở quốc gia thành viên nơi tổ chức đặt trụ sở chính hoặc tiến hành các hoạt động xử lý cốt lõi. 

Soạn thảo chính sách bảo mật dữ liệu 

GDPR yêu cầu các tổ chức thông báo cho mọi người về cách họ sử dụng dữ liệu của mình. Các công ty có thể đáp ứng yêu cầu này bằng cách soạn thảo các chính sách bảo mật mô tả rõ ràng hoạt động xử lý của họ, bao gồm những gì công ty thu thập, chính sách lưu giữ và xóa, quyền người dùng và các chi tiết liên quan khác.

Chính sách bảo mật nên sử dụng ngôn ngữ đơn giản mà bất cứ ai cũng có thể hiểu được. Việc ẩn thông tin quan trọng đằng sau thuật ngữ dày đặc có thể vi phạm GDPR. Các tổ chức có thể đảm bảo rằng người dùng xem chính sách của họ bằng cách chia sẻ thông báo về quyền riêng tư tại thời điểm thu thập dữ liệu. Các tổ chức cũng có thể lưu trữ chính sách quyền riêng tư của họ trên các trang công khai, dễ tìm trên trang web của họ. 

Đảm bảo các đối tác bên thứ ba tuân thủ 

Bên kiểm soát chịu trách nhiệm cuối cùng về dữ liệu cá nhân mà họ thu thập, bao gồm cả cách bộ xử lý, nhà cung cấp và các bên thứ ba khác sử dụng dữ liệu đó. Nếu đối tác không tuân thủ, người kiểm soát có thể bị phạt. 

Các tổ chức nên xem lại hợp đồng của họ với bất kỳ bên thứ ba nào có quyền truy cập vào dữ liệu của họ. Các hợp đồng này phải nêu rõ các quyền và trách nhiệm của tất cả các bên đối với GDPR theo cách ràng buộc về mặt pháp lý.

Nếu một tổ chức làm việc với các bộ xử lý bên ngoài EEA thì những bộ xử lý đó vẫn cần đáp ứng các yêu cầu của GDPR. Trên thực tế, việc truyền dữ liệu ra ngoài EEA phải tuân theo các tiêu chuẩn nghiêm ngặt. Các đơn vị kiểm soát ở EEA chỉ có thể chia sẻ dữ liệu với các đơn vị xử lý ngoài EEA nếu đáp ứng một trong các tiêu chí sau:

• Ủy ban Châu Âu coi luật riêng tư của nước này là đầy đủ
• Ủy ban Châu Âu coi bộ xử lý có đủ biện pháp bảo vệ dữ liệu
• Bộ điều khiển đã thực hiện các bước để đảm bảo dữ liệu được bảo vệ

Một cách để đảm bảo rằng tất cả các mối quan hệ đối tác và truyền dữ liệu đều tuân thủ GDPR là sử dụng các điều khoản hợp đồng tiêu chuẩn. Các điều khoản viết sẵn này đã được Ủy ban Châu Âu phê duyệt trước và được cung cấp miễn phí cho mọi tổ chức sử dụng. Việc chèn các điều khoản này vào hợp đồng sẽ làm cho hợp đồng tuân thủ GDPR, miễn là mỗi bên tuân thủ chúng. Để biết thêm thông tin về các điều khoản hợp đồng tiêu chuẩn, xem trang web của Ủy ban Châu Âu (liên kết nằm bên ngoài ibm.com).

Xây dựng quy trình đánh giá tác động bảo vệ dữ liệu

GDPR yêu cầu các tổ chức tiến hành đánh giá tác động bảo vệ dữ liệu (DPIA) trước bất kỳ quá trình xử lý có rủi ro cao nào. Mặc dù GDPR đưa ra một số ví dụ—sử dụng công nghệ mới, xử lý dữ liệu nhạy cảm trên quy mô lớn—nhưng nó không liệt kê đầy đủ mọi hoạt động có rủi ro cao.

Các tổ chức có thể cân nhắc việc tiến hành PPIA trước bất kỳ hoạt động xử lý mới nào để đảm bảo an toàn. Những người khác có thể sử dụng phương pháp sàng lọc trước đơn giản hóa để xác định xem rủi ro có đủ cao để đảm bảo phải thực hiện PPIA hay không.

Ở mức tối thiểu, PPIA phải mô tả quá trình xử lý và mục đích của nó, đánh giá sự cần thiết của quá trình xử lý, đánh giá rủi ro đối với chủ thể dữ liệu và xác định các biện pháp giảm thiểu. Nếu rủi ro vẫn ở mức cao sau khi giảm thiểu, tổ chức phải tham khảo ý kiến ​​của cơ quan bảo vệ dữ liệu trước khi tiếp tục. 

Tìm hiểu cách IBM Guardium® Insights có thể giúp hợp lý hóa hoạt động báo cáo tuân thủ bằng quy trình làm việc được cấu hình sẵn cho GDPR, CCPA và các quy định quan trọng khác.

Thực hiện kế hoạch ứng phó vi phạm dữ liệu 

Các tổ chức phải báo cáo hầu hết các thông tin cá nhân vi phạm dữ liệu cho cơ quan giám sát trong vòng 72 giờ. Nếu hành vi vi phạm gây rủi ro cho chủ thể dữ liệu, chẳng hạn như đánh cắp danh tính, công ty cũng phải thông báo cho chủ thể. Thông báo phải được gửi trực tiếp đến nạn nhân trừ khi việc làm đó không khả thi. Trong trường hợp đó, thông báo công khai là đủ.

Tổ chức cần có hiệu quả ứng phó sự cố các kế hoạch nhanh chóng xác định các vi phạm đang diễn ra, loại bỏ các mối đe dọa và thông báo cho cơ quan chức năng. Kế hoạch ứng phó sự cố nên bao gồm các công cụ và chiến thuật để khôi phục hệ thống và khôi phục bảo mật thông tin. Tổ chức giành lại quyền kiểm soát càng nhanh thì càng ít có khả năng phải chịu các biện pháp quản lý nghiêm trọng.

Các tổ chức cũng có thể nhân cơ hội này để tăng cường bảo mật dữ liệu đo. Nếu hành vi vi phạm không có khả năng gây hại cho người dùng—ví dụ: nếu dữ liệu bị đánh cắp được mã hóa mạnh đến mức tin tặc không thể sử dụng dữ liệu đó—công ty không cần phải thông báo cho chủ thể dữ liệu. Điều này có thể giúp tránh thiệt hại về danh tiếng và doanh thu có thể xảy ra sau khi vi phạm dữ liệu.

Giúp chủ thể dữ liệu dễ dàng thực hiện quyền của mình 

GDPR cấp cho chủ thể dữ liệu quyền về cách các tổ chức sử dụng dữ liệu của họ. Ví dụ: quyền cải chính cho phép người dùng sửa dữ liệu không chính xác hoặc lỗi thời. Quyền xóa cho phép người dùng xóa dữ liệu của họ.

Nói chung, các tổ chức phải tuân thủ yêu cầu của chủ thể dữ liệu trong vòng 30 ngày. Để làm cho các yêu cầu dễ quản lý hơn, các tổ chức có thể xây dựng các cổng tự phục vụ nơi các đối tượng có thể truy cập dữ liệu của họ, thực hiện các thay đổi và hạn chế việc sử dụng dữ liệu đó. Cổng nên bao gồm một cách để xác minh danh tính của đối tượng. GDPR đặt gánh nặng lên các tổ chức trong việc xác minh xem người yêu cầu có đúng như họ khai hay không.

Quyết định và lập hồ sơ tự động 

Chủ thể dữ liệu có các quyền đặc biệt về xử lý tự động. Cụ thể, các tổ chức không thể sử dụng tự động hóa để đưa ra những quyết định quan trọng mà không có sự đồng ý của người dùng. Người dùng có quyền phản đối các quyết định tự động và yêu cầu con người xem xét quyết định đó. 

Các tổ chức có thể sử dụng cổng thông tin tự phục vụ để cung cấp cho chủ thể dữ liệu một cách thức phản đối các quyết định tự động. Các công ty cũng phải sẵn sàng bổ nhiệm người đánh giá khi cần thiết. 

di chuyển dữ liệu 

Chủ thể dữ liệu có quyền chuyển dữ liệu của họ đến bất cứ nơi nào họ muốn và các tổ chức phải tạo điều kiện thuận lợi cho việc chuyển dữ liệu đó. 

Ngoài việc giúp người dùng dễ dàng yêu cầu chuyển, các tổ chức nên lưu trữ dữ liệu ở định dạng có thể chia sẻ được. Việc sử dụng các định dạng độc quyền có thể khiến việc chuyển giao trở nên khó khăn và cản trở quyền của người dùng. 

Để có danh sách đầy đủ các quyền của chủ thể dữ liệu, xem trang tuân thủ GDPR.

Triển khai các biện pháp bảo mật thông tin

GDPR yêu cầu các tổ chức sử dụng các biện pháp bảo vệ dữ liệu hợp lý để đóng các lỗ hổng hệ thống và ngăn chặn truy cập trái phép hoặc sử dụng bất hợp pháp. GDPR không yêu cầu các biện pháp cụ thể nhưng có nêu rõ rằng các tổ chức cần có cả biện pháp kiểm soát về mặt kỹ thuật và tổ chức.

Kiểm soát bảo mật kỹ thuật bao gồm phần mềm, phần cứng và các công cụ công nghệ khác, như SIEM và giải pháp ngăn ngừa mất dữ liệu. GDPR khuyến khích mạnh mẽ việc mã hóa và bút danh, vì vậy các tổ chức có thể muốn triển khai các biện pháp kiểm soát này một cách cụ thể. 

Các biện pháp tổ chức bao gồm các quy trình như đào tạo nhân viên về các quy tắc GDPR và thực hiện chính thức quản trị dữ liệu chính sách. 

GDPR cũng chỉ đạo các công ty áp dụng nguyên tắc bảo vệ dữ liệu theo thiết kế và theo mặc định. “Theo thiết kế” có nghĩa là các công ty nên xây dựng quyền riêng tư dữ liệu vào hệ thống và quy trình ngay từ đầu. “Theo mặc định” có nghĩa là cài đặt mặc định cho bất kỳ hệ thống nào phải là cài đặt duy trì quyền riêng tư của người dùng nhiều nhất. 

Tìm hiểu cách các giải pháp bảo vệ và bảo mật dữ liệu của IBM bảo mật dữ liệu trên các đám mây lai và đơn giản hóa các yêu cầu tuân thủ.

Tại sao việc tuân thủ GDPR lại quan trọng 

Bất kỳ tổ chức nào muốn hoạt động trong Khu vực Kinh tế Châu Âu (EEA) đều phải tuân thủ GPDR. Việc không tuân thủ có thể gây ra hậu quả nghiêm trọng. Những vi phạm nghiêm trọng nhất có thể bị phạt lên tới 20,000,000 EUR hoặc 4% doanh thu toàn cầu của tổ chức trong năm trước, tùy theo mức nào cao hơn.

Nhưng tuân thủ dữ liệu không chỉ là tránh hậu quả. Nó cũng có lợi ích. Ngoài thực tế là việc tuân thủ GDPR cho phép các tổ chức tiếp cận một trong những thị trường lớn nhất thế giới, các nguyên tắc GDPR có thể tăng cường đáng kể các biện pháp bảo mật dữ liệu. Các tổ chức có thể ngăn chặn nhiều vi phạm dữ liệu hơn trước khi chúng xảy ra, tránh được chi phí trung bình 4.45 triệu USD cho mỗi vi phạm

Việc tuân thủ GDPR cũng có thể nâng cao danh tiếng của doanh nghiệp và tạo dựng niềm tin với người tiêu dùng. Mọi người thường thích hợp tác kinh doanh với các tổ chức bảo vệ dữ liệu khách hàng một cách có ý nghĩa.

GDPR đã truyền cảm hứng cho các luật bảo vệ dữ liệu tương tự ở các khu vực khác, bao gồm cả Đạo luật bảo mật người tiêu dùng California và Đạo luật bảo vệ dữ liệu cá nhân kỹ thuật số của Ấn Độ. GDPR thường được coi là một trong những luật nghiêm ngặt nhất, do đó, việc tuân thủ luật này cũng có thể giúp các tổ chức tuân thủ các quy định khác.

Cuối cùng, nếu một công ty vi phạm GDPR, việc chứng minh mức độ tuân thủ nhất định có thể giúp giảm nhẹ hậu quả. Cơ quan quản lý cân nhắc các yếu tố như hiện tại kiểm soát an ninh mạng và hợp tác với cơ quan giám sát khi xác định hình phạt.

Khám phá Bảo vệ dữ liệu IBM Guardium