Các công ty châu Á - TBD cần sẵn sàng trước khi Quy định GDPR có hiệu lực

09:42 AM 17/05/2018 In bài viết

Quy định chung bảo vệ dữ liệu (General Data Protection Regulation - GDPR) của Liên minh châu Âu (EU) có hiệu lực vào ngày 25/5/2018, áp dụng cho các tổ chức trong EU, cũng như các công ty đặt bên ngoài EU nhằm phục vụ bảo vệ thông tin cá nhân của tất cả các công dân EU. Quy định sẽ được thực thi thông qua các hình phạt, trừng phạt và đền bù cho bên bị tổn hại. Quy định này sẽ thay thế Chỉ thị Bảo vệ Dữ liệu 95/46/EC và có sự khác biệt như:

Thẩm quyền lớn hơn: GDPR sẽ áp dụng cho mọi công ty xử lý dữ liệu cá nhân của bất kỳ ai đang sinh sống trong khu vực EU, bất kể vị trí của công ty.

Các khoản phạt: Các tổ chức, bao gồm công ty kiểm soát và công ty xử lý, không tuân thủ GDPR có thể bị phạt tối đa lên đến 4% doanh thu toàn cầu hàng năm hoặc 20 triệu euro (tùy vào mức nào nhiều hơn). Tiền phạt sẽ phụ thuộc vào mức độ nghiêm trọng của vi phạm và liệu tổ chức có được coi là tuân thủ các quy định về an ninh một cách nghiêm túc hay không. Mức phạt thấp hơn 10 triệu euro hoặc 2% doanh thu trên toàn thế giới sẽ được áp dụng cho các công ty xử lý dữ liệu theo các cách khác.

Thông báo vi phạm: Thông báo vi phạm sẽ là bắt buộc và phải được hoàn thành trong vòng 72 giờ làm việc của tổ chức đầu tiên nhận biết vi phạm.

Quyền riêng tư: GDPR yêu cầu bảo vệ dữ liệu phải được bao gồm từ khi bắt đầu thiết kế hệ thống, chứ không phải dưới dạng bổ sung.

Các ngành bị tác động bởi GDPR sẽ cần phải đánh giá tất cả các quy trình công việc liên quan đến thông tin nhận dạng cá nhân (personally identifiable information - PII) và đánh giá sự sẵn sàng của các tổ chức thuộc các ngành này để đáp ứng các yêu cầu báo cáo lỗ hổng dữ liệu trong 72 giờ.

GDPR sẽ cân bằng các quyền của các công dân EU một cách phù hợp để kiểm soát dữ liệu cá nhân dựa vào các trách nhiệm của các tổ chức để bảo vệ dữ liệu đó cả trong quá trình các hoạt động thông thường cũng như trong trường hợp có các lỗ hổng dữ liệu. Những nỗ lực bảo vệ thông tin cá nhân mới, quan trọng của EU có thể kể đến như quyền chấp thuận việc sử dụng dữ liệu cá nhân cụ thể và “quyền được lãng quên” (right to be forgotten), cho phép mọi người yêu cầu một tổ chức gỡ bỏ bất kỳ dữ liệu cá nhân nào về họ.

Trong khi các doanh nghiệp (DN) và các chính phủ hiện diện ở EU sẽ phải tuân thủ theo GDPR, đồng thời cũng áp dụng cho các công ty có số khách hàng hay cơ sở khách hàng EU lớn.

Mặc dù hạn chót GDPR có hiệu lực đang đến gần, phần lớn các DN châu Á - Thái Bình Dương hoạt động ở thị trường EU hoặc có các giao dịch lớn liên quan đến PII vẫn chưa hoàn toàn chuẩn bị đầy đủ. Theo khảo sát lần thứ 3 phân tích dữ liệu dự báo toàn cầu của Công ty Ernst & Young (EY Global Forensic Data Analytics Survey) diễn ra 2 năm 1 lần thì mới chỉ có12% các công ty ở châu Á - Thái Bình Dương có kế hoạch tuân thủ GDPR tại chỗ. Ernst & Young là công ty đa quốc gia chuyên cung cấp dịch vụ kiểm toán, tư vấn tài chính, tư vấn và kiểm soát rủi ro CNTT và thuế.

“Trong khi GDPR tác động đến các tổ chức thuộc cả khu vực công và tư nhân về PII, các ngành chủ chốt cũng sẽ phải rất chú ý đến lộ lọt thông tin do khối lượng dữ liệu PII họ xử lý cũng như bản chất công việc của họ. Các tổ chức cần chú ý có thể kể đến các tổ chức có nền tảng thương mại điện tử hoạt động quy mô quốc tế, cũng như các công ty du lịch có đông khách du lịch và lữ hành từ EU”, Giám đốc Fortinet khu vực châu Á - Thái Bình Dương và Hồng Kông Peeraping Jongvibool cho biết.

Theo Fortinet, ba ngành hàng đầu bị tác động bởi GDPR là:

Bán lẻ: Các DN bán lẻ phần lớn có thể có dữ liệu PII liên quan đến GDPR, trong đó bao gồm các hoạt động thương mại điện tử xuyên biên giới, các chuỗi bán lẻ ở nhiều địa điểm, các DN dịch vụ, du lịch và nhà hàng. Các DN truyền thống phục vụ khách hàng EU cũng phải tự nhận thấy có trách nhiệm trước các yêu cầu bảo vệ PII GDPR. Thanh toán bằng thẻ tín dụng hay thẻ ghi nợ, cung cấp thông tin địa chỉ chuyển hàng, tham gia vào một chương trình khách hàng trung thành đều nằm trong phạm vi bảo vệ của GDPR.

Y tế: GDPR mở rộng phạm vi sang cả các tổ chức không thuộc EU lưu trữ và xử lý thông tin y tế của những công dân EU. GDPR thực hiện bảo vệ và các quy trình vô cùng chặt chẽ để xử lý các loại thông tin y tế PII cụ thể. Nói chung, một tổ chức chỉ có thể thu thập, xử lý các thông tin y tế cá nhân nếu cần thiết cho việc điều trị, chẩn đoán bệnh của bệnh nhân và phải có sự đồng ý của bệnh nhân. GDPR cũng đề cập đến dữ liệu di truyền như là một phạm vi được đặc biệt quan tâm.

Các dịch vụ tài chính: Các tổ chức tài chính thường duy trì những kho dữ liệu PII lớn về về các chủ tài khoản. Các tổ chức này cũng sử dụng và tạo ra khối lượng lớn các dữ liệu tiếp thị cá nhân  để hỗ trợ bán các dịch vụ tài chính và đánh giá giá trị của các khách hàng thương mại, cá nhân.

Các tổ chức chuẩn bị cho GDPR phải tập trung cấu trúc lại các quy trình kinh doanh của các tổ chức, các kiến trúc CNTT, cũng như giảm lộ lọt dữ liệu PII.

Fortinet khuyến nghị các DN ở châu Á - Thái Bình Dương thực hiện các bước sau đây để tăng cường tuân thủ GDPR: Hợp tác với một công ty thứ ba để đánh giá các thực tiễn bảo vệ và lộ lọt dữ liệu theo các quy định GDPR; Tiến hành đánh giá dữ liệu một cách toàn diện để nắm bắt nguồn, thu thập và xử lý dữ liệu. Việc này cũng nên bao gồm lập hồ sơ dữ liệu bị tác động bởi GDPR được lưu trữ ở đâu, cách thức giao tiếp giữa các hệ thống trong cùng lĩnh vực, và bất cứ đám mây bên ngoài hay những người quản lý dữ liệu của bên thứ ba nào; Quyết định thời gian cần thiết để bảo vệ, giảm thiểu lỗ hổng dữ liệu và những gì cần thiết để cải tiến quy trình này đáp ứng các yêu cầu của GDPR. Thành phần của kế hoạch hành động này cũng cần có một đánh giá an ninh chi tiết.

“Cuối cùng, tuân thủ GDPR có thể là công việc cần thiết phải làm để bảo vệ sự riêng tư và các lợi ích của tất cả các cộng đồng liên quan đến một tổ chức. GDPR dường như là khó khăn, bởi nó đánh dấu một bước đi lớn hướng tới việc bảo đảm sự tin cậy của công chúng đối với khả năng của các DN để mang lại các lợi ích xã hội trong khi đồng thời hạn chế các rủi ro xã hội”, Giám đốc Fortinet khu vực châu Á - Thái Bình Dương Jongvibool nhấn mạnh.

Lan Phương (Theo enterpriseinnovation.net, products.office.com)