Doanh nghiệp cần làm gì để tuân thủ Luật Bảo vệ dữ liệu GDPR?

Theo GSMA, vào tháng 3/2020, hãng hàng không Cathay Pacific đã bị phạt 500.000 bảng Anh vì vi phạm luật bảo vệ dữ liệu của Vương Quốc Anh khi không tuân thủ đầy đủ việc bảo mật dữ liệu danh tính cá nhân của hành khách liên quan đến các thông tin hộ chiếu. Nếu xem xét đến quy mô hoạt động của hãng này thì khoản phạt đó là quá nhỏ, nhất là khi đối chiếu với mức phạt 20 triệu euro hoặc 4% doanh thu toàn cầu theo luật GDPR của Liên minh châu Âu.

Chuỗi khách sạn Marriott gần đây đã bị phạt gần 100 triệu bảng Anh vì để lọt lộ dữ liệu của 339 triệu khách hàng của họ khi GDPR được đưa vào áp dụng. Tương tự, hãng hàng không Anh British Airways bị phạt tới 183 triệu bảng Anh - cũng từ việc lọt lộ thông tin khách hàng.

Để tránh thiệt hại, DN/tổ chức cần làm gì để tuân thủ đến Luật bảo vệ dữ liệu chung GDPR của Liên minh châu Âu? Tuân thủ GDPR không chỉ đơn giản là giao hết trách nhiệm cho nhà thầu, lập trình thêm vài dòng code, mà thực tế nó bao gồm cả công tác chuẩn bị nhân sự và quy trình.

Trước tiên, cần phải hiểu rõ 7 nguyên tắc khi xử lý dữ liệu của GDPR cùng định nghĩa các dữ liệu cần được bảo vệ, rất có thể DN và tổ chức của bạn đang mặc nhiên thu thập mà không hỏi ý kiến người dùng những dữ liệu như như vị trí truy cập, địa chỉ IP, dữ liệu cookie, cùng các thông tin định danh người dùng. Cần phải làm rõ những dữ liệu bạn đang thu thập và dự định thu thập để tránh trường hợp vi phạm GDPR. 

Trong các dữ liệu cá nhân cần bảo vệ, dữ liệu cá nhân nhạy cảm được quy định dưới dạng hạng mục dữ liệu cá nhân đặc biệt trong GDPR như sau: “Bất kỳ dữ liệu nào tiết lộ chủng tộc hoặc sắc tộc, tư tưởng chính trị, đức tin tôn giáo, quan niệm triết lý, thành viên công đoàn, việc xử lý dữ liệu di truyền và sinh trắc nhằm mục đích định danh, hoặc dữ liệu liên quan đến sức khỏe, tình trạng sinh dụng và xu hướng tính dục”. Việc xử lý và phân tích các dữ liệu nhạy cảm hoàn toàn bị GDPR cấm. 

Kế đến, việc tuân thủ GDPR đòi hỏi phải xây dựng kế hoạch, lập quy trình tác nghiệp trong tổ chức, cho việc tuân thủ một cách kỹ lưỡng với nhiều yếu tố cần được xem xét như: (i) Định kỳ lập tài liệu tuân thủ và thực thi tài liệu đó; (ii) Bằng chứng đã được ghi chép về việc tuân thủ; (iii) Bằng chứng đã được ghi chép về việc bảo vệ dữ liệu của khách hàng,… cùng nhiều yếu tố khác như kiểm soát việc truy cập dữ liệu và công khai sự kết hợp tạo tác ra dữ liệu mới từ dữ liệu thô thu thập của khách hàng.

Trong nhiều trường hợp, DN hoặc tổ chức cần bổ nhiệm cán bộ bảo vệ dữ liệu chuyên trách (DPO). Chức năng nhiệm vụ mục tiêu của DPO là bám sát các giao thức, thủ tục, quy trình tuân thủ của GDPR để xác định xem DN/tổ chức của mình đang sử dụng và xử lý dữ liệu cá nhân như thế nào, bảo vệ nó ra sao theo đúng hướng dẫn. 

Tóm lại, các thủ tục đó đảm bảo rằng DN hay tổ chức đã tuân thủ GDPR một cách hợp pháp.

Lộ trình 5 bước xây dựng quy trình tuân thủ GDPR

Bước 1: Xây dựng bản đồ tham chiếu dữ liệu 

Không thể nói đến chuyện đảm bảo tính bảo mật nếu cán bộ chuyên trách DPO không biết dữ liệu của DN/tổ chức nằm ở đâu, hoặc không biết nội dung dữ liệu đó là gì.

Nếu bản đồ tham chiếu dữ liệu của tổ chức là không đầy đủ, chưa hoàn chỉnh thì DPO cần thảo luận với các bên có liên quan trong lĩnh vực công nghệ thông tin (CNTT) của tổ chức mình. Từ đó, phối hợp giữa các bộ phận chức năng, CNTT, quản lý và pháp lý để xây dựng một kế hoạch quản trị dữ liệu đầy đủ - đây là bước đầu tiên trong việc tuân thủ GDPR. 

Cần lưu ý rằng: nếu tổ chức có thuê và chuyển giao dữ liệu cá nhân cho các nhà thầu, hay bên cung cấp dịch vụ thứ ba như dịch vụ điện toán đám mây, cũng như các công ty lưu trữ dữ liệu; khi đó, bản đồ tham chiếu dữ liệu và yêu cầu tuân thủ GDPR cần phải được áp dụng cho cả nhà thầu.

Bước 2: Hiểu về nội dung của dữ liệu cá nhân 

Ngoài việc biết rõ dữ liệu cá nhân của khách hàng được phục vụ hiện được lưu trữ ở đâu, các tổ chức/DN  cần phải hiểu rõ bản chất dữ liệu cá nhân mà họ lưu trữ. Các tổ chức/DN cần phải hiểu và đảm bảo rằng dữ liệu cá nhân mà họ đang lưu trữ phải thỏa mãn tính chất ràng buộc tự nhiên về mặt pháp lý (có hợp đồng hoặc thỏa thuận), hoặc phải được cho phép xử lý bởi các cơ sở ràng buộc pháp lý khác ngoài hợp đồng.

Bước 3: Đảm bảo được sự đồng ý của khách hàng 

Sự đồng thuận của mỗi cá thể là yếu tố căn bản trong việc lưu trữ và chuyển giao dữ liệu cá nhân của cá thể đó. Tổ chức/DN buộc phải cung cấp các nội dung rõ ràng và minh bạch tới khách hàng, tới đối tượng phục vụ của họ để xin phép sự đồng thuận cho việc lưu trữ, xử lý dữ liệu cá nhân. 

Đồng thời, mỗi cá thể có quyền được biết dữ liệu cá nhân của mình được lưu trữ ở đâu và nó được xử lý như thế nào. Cá nhân đó cũng có quyền khiếu nại khiển trách tổ chức về việc lưu trữ thông tin không chính xác, yêu cầu sửa chữa hoặc xóa thông tin đã được lưu trữ. 

Lưu ý rằng việc đồng thuận không chỉ dừng ở khâu xử lý dữ liệu cá nhân. Tuân thủ GDPR đòi hỏi phải có sáu sở cứ pháp lý liên quan đến dữ liệu cá nhân, bao gồm: sự đồng thuận, hợp đồng cùng các điều khoản pháp lý ràng buộc cũng như các yêu cầu tuân thủ khác của khu vực hành chính công, có xem xét đến các yêu cầu hợp pháp của đương sự. Tóm lại, bộ phận pháp chế của doanh nghiệp cần tham gia vào quá trình xây dựng quy trình tuân thủ, không đơn giản là giao hết trách nhiệm cho bộ phận CNTT.

Bước 4: Sẵn sàng ứng phó, gửi cảnh báo an ninh an toàn thông tin 

Các DN/tổ chức cần phải có các hoạt động hỗ trợ kỹ thuật để đảm bảo an ninh an toàn thông tin, phòng và tránh lọt lộ thông tin cá nhân của đối tượng phục vụ. 

Tuy nhiên, nếu có việc lọt lộ thông tin, thì sự cố đó cần phải được thông báo cho cả tổ chức/DN lẫn cá nhân chịu tác động hay bị ảnh hưởng. Doanh nghiệp/tổ chức cần có khả năng thông báo cho khách hàng bị ảnh hưởng về nội dung thông tin nào đã bị lọt lộ. 

Yêu cầu của GDPR quy định trách nhiệm của các tổ chức/DN về việc báo cáo vụ việc lọt lộ thông tin lên các cơ quan hữu trách có thẩm quyền và việc này phải được thực thi trong vòng 72 giờ kể từ khi sự việc lọt lộ thông tin được phát hiện.

Bước 5: Giám sát việc chuyển giao dữ liệu 

GDPR đặt ra những đòi hỏi cao về việc hạn chế chuyển giao dữ liệu cá nhân. Các tổ chức/DN cần có quy định và chế tài để phòng và chống việc chuyển giao dữ liệu không hợp pháp. 

Ngay cả việc chuyển giao dữ liệu ngoài lãnh thổ Liên minh châu Âu vẫn buộc phải tuân thủ quy định của GDPR. Các quy định liên quan đến việc truy xuất nội dung dữ liệu cần phải được áp dụng. 

Nếu dữ liệu là rất nhạy cảm, thì các quy định nội bộ trong tổ chức/DN về việc hạn chế truy xuất, chuyển giao dữ liệu càng phải được áp dụng chặt chẽ hơn. Trong trường hợp cần thiết, cần có các quy trình cho phép thu hồi dữ liệu đã hoặc đang trong quá trình chuyển giao. 

Bất kỳ tổ chức/DN nào xử lý dữ liệu của mình thông qua một nhà thầu phụ đều phải lập một hợp đồng; qua đó, xác định mục đích và thời hạn xử lý, việc hủy dữ liệu (nếu có), bản chất và mục đích của việc xử lý, loại dữ liệu cá nhân, phân loại chủ đề dữ liệu cũng như quyền và nghĩa vụ của người kiểm soát.

Trong thực tiễn, tổ chức/DN phải đảm bảo rằng mỗi hợp đồng được ký bởi các nhà thầu phụ của họ cần bao gồm các thông tin bắt buộc được quy định trong GDPR.

Riêng với những hợp đồng ký kết trước ngày GDPR có hiệu lực, cần có sự rà soát, kiểm tra đặc biệt đối với các Điều khoản và Điều kiện trên hợp đồng với nhà thầu phụ, để đảm bảo rằng chúng đã được sửa đổi kể từ ngày 25/5/2018 và chúng đã bao gồm các điều khoản bắt buộc theo quy định của châu Âu. 

Ngoài ra, nếu một nhà thầu phụ tuyển dụng một nhà thầu phụ khác, các nghĩa vụ tương tự như quy định trong hợp đồng giữa tổ chức/DN và nhà thầu phụ phải được áp dụng đối với nhà thầu phụ thứ cấp đó thông qua hợp đồng.

Kết luận 

Tuân thủ GDPR không phải là một việc dễ làm, đó không đơn thuần là việc thêm vài dòng code vào trang web của tổ chức hoặc yêu cầu nhà thầu phụ lập trình website theo hướng tuân thủ GDPR. Đây là một quy trình tổng hòa về kinh tế, kỹ thuật, nhân sự và pháp lý. 

Rất nhiều DN/tổ chức có thể cần phải phân bổ nguồn ngân sách tương đối lớn cho việc tuân thủ GDPR, đặc biệt trong trường hợp trước đây chưa có các quy trình. Dù chi phí tuân thủ GDPR lớn, những quy định bắt buộc về việc tuân thủ vẫn phải được thực thi từ việc thu thập dữ liệu, lưu trữ, đến xử lý thông tin cá nhân của người dùng trên Internet. 

Việc bố trí ngân sách, xây dựng lộ trình và kế hoạch tuân thủ GDPR đối với công cụ chuyển đổi số của các tập đoàn, tổng công ty và tổ chức lớn ở Việt Nam là không quá khó do nhiều DN CNTT và truyền thông ở Việt Nam đã và đang phát triển, quản trị và vận hành các công cụ số cho nhiều tập đoàn nước ngoài. Lực lượng lao động tri thức này hiểu biết về các dịch vụ phụ trợ như tư vấn pháp lý, tư vấn kỹ thuật, kiểm tra tuân thủ./.

(Bài đăng ấn phẩm in Tạp chí TT&TT số 5 tháng 5/2022)