Những “nguyên tắc vàng” để bảo vệ dữ liệu

Hầu như sẽ không có khả năng là bạn hoặc doanh nghiệp của bạn không chịu sự tác động của Quy định bảo vệ dữ liệu chung của Liên minh châu Âu (GDPR) trước khi nó có hiệu lực vào ngày 25 tháng 5 năm nay.

Bộ luật bảo vệ dữ liệu khó khăn nhất của EU thiết lập cách dữ liệu cá nhân được thu thập, xử lý và sử dụng sao cho phù hợp với các nguyên tắc và tiêu chuẩn bảo vệ dữ liệu hiện đại. Các nguyên tắc củng cố luật pháp có thể không thay đổi nhiều, nhưng luật dữ liệu thứ ba của châu Âu đã hiện đại hóa rất nhiều ứng dụng của nó.

Áp dụng cho các tổ chức, doanh nghiệp hoạt động không chỉ ở Vương quốc Anh hoặc EU mà trên toàn thế giới, các quy định được xây dựng dựa trên các phương pháp hay nhất để xử lý dữ liệu, với quyền và lợi ích của công dân được ưu tiên. Mặc dù chúng có thể chịu chi phí tài chính ngắn hạn cho các tổ chức, song các nguyên tắc củng cố các quy định được thiết kế cho các doanh nghiệp trong tương lai, nơi vi phạm hoặc bất kỳ sự mất mát có thể được xử lý kịp thời.

Ngoài các vấn đề như sử dụng cơ sở dữ liệu của khách hàng để khởi chạy một chiến dịch tiếp thị, các nguyên tắc này liên quan đến việc bảo vệ việc xử lý dữ liệu nội bộ như hồ sơ nhân viên. Điều quan trọng để đảm bảo liệu dữ liệu bạn giữ có tuân thủ GDPR hay không chính là luôn đặt câu hỏi tại sao bạn phải giữ dữ liệu này và liệu bạn có cần giữ chúng hay không.

Văn phòng Ủy viên Thông tin (ICO) là cơ quan điều chỉnh dữ liệu có trách nhiệm giám sát việc thực thi GDPR ở Vương quốc Anh và cả Đạo luật Bảo vệ Dữ liệu năm 2018 hầu như giống hệt GDPR khi Vương quốc Anh rời khỏi EU vào năm 2019.

Tổ chức này đã hoạt động cho đến nay theo các điều khoản của Đạo luật bảo vệ dữ liệu năm 1998, đã nêu rõ các nguyên tắc nằm ở trung tâm của mọi hoạt động tại công ty nên cấu trúc chính sách dữ liệu của họ như thế nào để đảm bảo tuân thủ tối đa các tiêu chuẩn hiện đại nhằm có khả năng bảo vệ hệ thống dữ liệu.

Tính hợp pháp, công bằng và minh bạch

Nguyên tắc đầu tiên có thể là quan trọng nhất. Tất cả các dữ liệu cá nhân cần được xử lý một cách công bằng và hợp pháp, và đảm bảo hoàn toàn minh bạch. Một tổ chức có trách nhiệm thông báo cho mọi cá nhân rằng họ thu thập dữ liệu và chính xác cách dữ liệu đó sẽ được sử dụng và ai sẽ được chuyển truy cập. Việc thu thập, xử lý và tiết lộ dữ liệu phải được thực hiện theo quy định của pháp luật.

Giới hạn mục đích

Lý do thu thập dữ liệu phải được nêu rõ là hợp pháp và minh bạch, nó sẽ không được thực hiện nếu có mục đích khác với mục đích đề ra ban đầu.

Truy cập dữ liệu

Các tổ chức chịu trách nhiệm thu thập dữ liệu có nghĩa vụ đảm bảo thông tin đầy đủ, có liên quan và không quá nhiều so với lý do ban đầu được thu thập. Chủ thể của dữ liệu cũng có quyền truy cập bất kỳ dữ liệu nào được lưu trữ về họ, trong bất kỳ định dạng nào dữ liệu được lưu trữ, cho dù đó là ghi chú viết tay, email hoặc tài liệu chính thức.

Độ chính xác

Các tổ chức có nghĩa vụ đảm bảo dữ liệu cá nhân được giữ là chính xác và cập nhật. Điều này có nghĩa là một tổ chức nên xem xét thông tin được thu thập về các cá nhân một cách thường xuyên và sửa đổi thông tin ngay khi chúng không chính xác. Cá nhân có quyền yêu cầu xóa hoặc hủy những dữ liệu không chính xác về họ.

Giới hạn lưu trữ

Khi dữ liệu trên lưu trữ một cá nhân đã phục vụ mục đích của nó, nó phải được xóa hoặc bị phá hủy, trừ khi có những cơ sở khác để giữ lại nó. Các tổ chức cần có quy trình xem xét để làm sạch cơ sở dữ liệu.

Tính toàn vẹn và bảo mật

Dữ liệu mà một tổ chức phải lưu trữ phải được giữ an toàn. Bộ điều khiển dữ liệu có trách nhiệm thực hiện các bước hợp lý để đảm bảo độ tin cậy của bất kỳ nhân viên nào có quyền truy cập vào dữ liệu cá nhân. Nếu một bên thứ ba được sử dụng để xử lý dữ liệu, thì tổ chức phải đảm bảo rằng một hợp đồng tại chỗ với bên thứ ba xử lý dữ liệu đó phải cung cấp các biện pháp bảo mật thích hợp.

Các nguyên tắc khác

Sự cần thiết để xử lý dữ liệu đảm bảo quyền của cá nhân, và việc có thể chuyển dữ liệu sang các nước ở nước ngoài là hai nguyên tắc được đề ra theo các hoạt động trước đó, nhưng hiện nay, theo GDPR, họ đã dành các chương riêng để quy định chi tiết cách thức áp dụng theo luật với hai nguyên tắc này.

Nguyên tắc “trách nhiệm” cũng được áp dụng theo bộ quy định mới của EU, với bộ điều khiển dữ liệu dự kiến sẽ chịu trách nhiệm lớn hơn về những gì được thực hiện với dữ liệu cá nhân và cách tuân thủ các nguyên tắc khác. Theo nguyên tắc này, các biện pháp thích hợp và hồ sơ, phải được đưa ra để chứng minh sự tuân thủ khi yêu cầu.