Mọi tổ chức đều bị ảnh hưởng bởi việc thực hiện Quy định bảo vệ dữ liệu chung (GDPR) vào ngày 25 tháng 5 năm nay và có khả năng nhiều người đã bị bắt phải vội vàng thay đổi quy trình của họ vào phút cuối.
Các quy định mới của EU thể hiện sự thay đổi lớn nhất đối trong việc bảo vệ dữ liệu, chuyển quyền lực từ những người kiểm soát và xử lý dữ liệu sang đối tượng dữ liệu. Các cá nhân giờ đây có tiếng nói lớn hơn về cách dữ liệu của họ được xử lý và dữ liệu nào được thu thập và lưu trữ.
GDPR áp dụng cho bất kỳ tổ chức nào hoạt động ở Anh hoặc EU hoặc các tổ chức xử lý dữ liệu thuộc về công dân EU. Các quy định nghiêm ngặt hơn và các khoản tiền phạt khắt khe hơn được thiết kế để bắt buộc các tổ chức đưa việc bảo vệ dữ liệu người dùng thành một ưu tiên. Điều này bao gồm tất cả dữ liệu mà một doanh nghiệp có thể xử lý, cho dù đó là cơ sở dữ liệu của khách hàng của một chiến dịch tiếp thị hay hồ sơ nhân sự về nhân viên.
Các tổ chức được yêu cầu phải liên tục chứng minh việc xử lý dữ liệu người dùng là đúng, đặt câu hỏi tại sao họ đang nắm giữ dữ liệu họ đã thu thập và liệu nó có cần thiết hay không.
Văn phòng Ủy viên Thông tin (ICO) là cơ quan quản lý dữ liệu quốc gia của Anh, được giao nhiệm vụ thực thi GDPR tại Anh, cũng như Đạo luật Bảo vệ Dữ liệu 2018, cung cấp các điều khoản cụ thể áp dụng tại Anh ngoài GDPR.
Cơ quan này, đã hoạt động cho đến nay theo các điều khoản của Đạo luật bảo vệ dữ liệu năm 1998, nêu rõ các nguyên tắc quan trọng một công ty cần tuân thủ khi xây dựng chính sách dữ liệu của mình để đảm bảo tuân thủ tối đa các tiêu chuẩn hiện đại về bảo vệ dữ liệu.
Tính hợp pháp, công bằng và minh bạch
Nguyên tắc đầu tiên có thể là quan trọng nhất. Tất cả các dữ liệu cá nhân cần được xử lý công bằng, hợp pháp và theo cách hoàn toàn minh bạch. Một tổ chức có trách nhiệm thông báo chính xác cho mọi cá nhân về dữ liệu họ thu thập, cách dữ liệu đó sẽ được sử dụng và dữ liệu đó được chuyển tiếp cho ai. Việc thu thập, xử lý và tiết lộ dữ liệu phải được thực hiện theo quy định của pháp luật.
Giới hạn mục đích
Thu thập dữ liệu phải dựa trên một mục đích hợp pháp và minh bạch, nó không được xử lý theo cách khác với mục đích ban đầu đó.
Giảm thiểu dữ liệu
Các tổ chức chịu trách nhiệm thu thập dữ liệu có nghĩa vụ đảm bảo thông tin đầy đủ, có liên quan và không vượt quá so với mục đích thu thập ban đầu. Chủ thể của dữ liệu cũng có quyền truy cập bất kỳ dữ liệu nào được lưu trữ về họ trong bất kỳ định dạng nào dữ liệu được lưu trữ, cho dù đó là ghi chú viết tay, email hay tài liệu chính thức.
Độ chính xác
Các tổ chức có nghĩa vụ đảm bảo dữ liệu cá nhân được giữ là chính xác và cập nhật. Điều này có nghĩa là một tổ chức nên xem xét thông tin được lưu trữ về các cá nhân đều đặn và sửa đổi thông tin lỗi thời hoặc không chính xác. Cá nhân có quyền xóa bỏ hoặc tiêu hủy dữ liệu không chính xác về họ.
Giới hạn lưu trữ
Khi dữ liệu về một cá nhân đã phục vụ xong mục đích, nó phải được xóa hoặc bị phá hủy, trừ khi có những cơ sở khác để giữ lại nó. Các tổ chức cần có quy trình xem xét để làm sạch cơ sở dữ liệu.
Tính toàn vẹn và bảo mật
Dữ liệu mà một tổ chức giữ phải được lữu trữ an toàn. Người kiểm soát dữ liệu có trách nhiệm thực hiện các bước thích hợp để đảm bảo độ tin cậy của bất kỳ nhân viên nào có quyền truy cập vào dữ liệu cá nhân. Nếu một bên thứ ba được sử dụng để xử lý dữ liệu, tổ chức phải đảm bảo hợp đồng tại chỗ với người xử lý dữ liệu cung cấp các biện pháp bảo mật thích hợp.
Các nguyên tắc khác
Xử lý dữ liệu tuân theo quyền của một cá nhân và việc chuyển dữ liệu sang nước ngoài là hai nguyên tắc đã được đề cập đến trong bộ luật trước đây nhưng giờ đây GDPR chi tiết hơn cách chúng được áp dụng theo luật.
Nguyên tắc 'trách nhiệm' cũng được áp dụng theo bộ quy định mới của EU. Người kiểm soát dữ liệu sẽ chịu trách nhiệm lớn hơn về những gì thực hiện với dữ liệu cá nhân và cách tuân thủ các nguyên tắc khác. Theo nguyên tắc này, các biện pháp thích hợp và hồ sơ phải được đưa ra để chứng minh sự tuân thủ khi phát sinh.
