Quy chế Bảo vệ dữ liệu chung của châu Âu tốt cho hoạt động của doanh nghiệp

Thực tế là hiện nay nhiều người đang còn chưa biết rằng đến ngày 25 tháng 5 năm 2018 là khi Quy chế Bảo vệ Dữ liệu Tổng thể (GDPR) có hiệu lực; thì giai đoạn khởi động đã bắt đầu từ hai năm trước vào tháng 5 năm 2016 và nó được hoạch định thực hiện trong ba năm.

Ngoài ra, còn có một quan niệm sai lầm giữa các doanh nghiệp rằng khi GDPR được áp dụng thì sẽ có một khoảng thời gian ân hạn, nhưng thực tế là các tổ chức cần phải chuẩn bị ngay từ bây giờ.

Sự phản kháng xảy ra sau khi Chính phủ Vương quốc Anh công bố Dự luật Bảo vệ Dữ liệu với những khoản tiền phạt khổng lồ là 17 triệu bảng hoặc 4% doanh thu toàn cầu hàng năm về sự không tuân thủ, có thể làm cho các tiêu đề thú vị, nhưng nó không phản ánh tình hình thực tế.

Trong số 17.300 trường hợp được đưa ra trước Văn phòng Ủy viên Thông tin (ICO) vào năm 2016, chỉ có 16 trường hợp bị kết luận phạt tiền do chống lại một tổ chức.

Mặc dù việc tăng tiền phạt chắc chắn sẽ là tâm điểm chú ý của nhiều tổ chức, nhưng có một bộ quy định mức độ trừng phạt có thể bị áp đặt, chẳng hạn như khiển trách và lệnh trừng phạt, sẽ là những hình phạt thông thường hơn.

ICO đã củng cố vị trí tích cực của mình về ủng hộ luật pháp sắp ra với những lời khuyên và nội dung tư vấn có sẵn miễn phí để giúp hỗ trợ các doanh nghiệp thông qua quá trình này.

Thực tế trên cho thấy ICO không phải là một tổ chức đối kháng với lập pháp mà là một cơ quan hỗ trợ, cố gắng bảo vệ thông tin cá nhân của công dân nước Anh và giúp các doanh nghiệp thực hiện các biện pháp bảo vệ dữ liệu tốt hơn.

Các tổ chức cần thay đổi "tâm lý doanh nghiệp"

Luật Bảo vệ Dữ liệu tăng cường sức mạnh cho GDPR và cho tầm quan trọng của việc bảo vệ dữ liệu giữa các doanh nghiệp của nước Anh. Nếu bạn đọc GDPR, nó chủ yếu dựa trên nguyên tắc về dữ liệu tư và bảo mật mà các tổ chức cần phải tuân thủ - Đạo luật Bảo vệ Dữ liệu đã có hiệu lực kể từ năm 1998.

Để các tổ chức chuẩn bị cho việc thực hiện luật thì cần phải có sự thay đổi về tinh thần doanh nghiệp về cách họ xử lý thông tin cá nhân.

Các tổ chức cần phải chăm sóc cẩn thận tối đa các tài sản thông tin của họ bởi vì họ có trách nhiệm giữ an toàn với tư cách là người lưu ký.

GDPR là một khuyến cáo nhắc nhở cho các doanh nghiệp mà mọi người cho vay thông tin của họ và các tổ chức có trách nhiệm chăm sóc nó. Nó không chỉ là về sự bảo mật, về tính toàn vẹn, độ chính xác và tính sẵn sàng – mà đó còn là thực hiện kinh doanh tốt.

Nếu bạn quản lý thông tin khách hàng một cách phù hợp và thích hợp, thì yêu cầu thông tin đó - được gọi là các yêu cầu truy cập theo chủ đề - không đáng sợ. GDPR dự kiến ​​sẽ đem đến sự gia tăng đáng kể người tiêu dùng gửi yêu cầu truy cập đối tượng, yêu cầu các doanh nghiệp tiết lộ bản sao của dữ liệu mà họ giữ cho cá nhân.

Nếu một công ty đã làm tất cả các công việc đúng đắn, thì việc tìm kiếm và tiết lộ thông tin cho một yêu cầu truy cập chủ đề sẽ được dễ dàng để làm, và cần có một cách tiếp cận hợp lý cho việc này.

Cần có một sự thay đổi văn hoá trong toàn bộ doanh nghiệp. Bảo vệ dữ liệu cần được đối xử theo cách tương tự như sức khoẻ và sự an toàn, và các nhà quản lý cần phải quan tâm đến việc bảo vệ dữ liệu của họ nhiều như họ quan tâm đến việc bảo vệ nhân viên của họ.

Kêu gọi cho tính minh bạch

Các tổ chức đã dùng nhanh và quản lý lỏng lẻo với thông tin của người dân quá lâu. Là công dân, chúng tôi sở hữu thông tin này và nó rất có giá trị và ảnh hưởng đến phúc lợi của chúng tôi.

Do tình trạng gian lận trước đây trong luật pháp, các doanh nghiệp đã tìm thấy những sơ hở để lợi dụng nó cho lợi ích của họ, cuối cùng khai thác những người tin tưởng họ với nó.

Một số công ty lớn đã thu thập thông tin từ các nhân viên hoặc khách hàng của họ, và được in lại dưới quyền nhỏ của họ để tái sử dụng thông tin đó cho các mục đích mà ban đầu không dự định - và điều này không được tốt.

Nếu các doanh nghiệp sẽ lạm dụng thông tin cho một cái gì đó ngoài mục đích ban đầu của nó, họ ít nhất phải minh bạch về nó và để cho mọi người biết.

Quyền của công dân trước hết

Miễn là các doanh nghiệp có thể chứng minh một ý tưởng thực tiễn và khả thi để thực thi các thực tiễn bảo mật dữ liệu, họ không nên sợ các quy định mới về bảo vệ dữ liệu và các khoản tiền phạt lớn của Liên minh châu Âu (EU) / ICO.

Trong Kế hoạch Chiến lược, ICO tuyên bố rằng họ đảm bảo rằng những người chịu trách nhiệm về thông tin có tất cả sự hỗ trợ và hướng dẫn cần thiết để đảm bảo quản lý thông tin có hiệu quả. Do đó, lo lắng về GDPR nên được đặt sang một bên để nhận ra rằng trung tâm của nó là mong muốn đảm bảo quyền của công dân trước hết trong thời đại kỹ thuật số này.

Việc ra mắt của nhân viên bảo vệ dữ liệu (DPO) giữa các tổ chức sẽ giúp giảm thiểu những rủi ro liên quan đến GDPR và Dự luật Bảo vệ Dữ liệu.

DPO, người chịu trách nhiệm về dữ liệu của công ty và sự bảo vệ của công ty, nên sở hữu tất cả trách nhiệm và trách nhiệm giải trình cho thông tin và dữ liệu của khách hàng.

Họ nên biết câu trả lời cho mọi thứ, từ "Chúng tôi có gì?" Đến "Có ích cho chúng tôi không?". Những câu trả lời này cũng nên được biết đến ở cấp độ điều hành, ngay cho nhân viên mới. Bảo vệ dữ liệu không chỉ là vấn đề về CNTT - trách nhiệm của mọi người.

Tại sao chấp nhận thay đổi?

 Một khoản chi phí ban đầu trong các nguồn lực có thể là cần thiết để đảm bảo các nguyên tắc cơ bản về thông tin của bạn là đúng, nhưng lợi ích lâu dài của việc này có thể dẫn đến không chỉ việc tuân thủ chính sách và pháp luật tốt hơn mà còn có thể mang lại cho một tổ chức một lợi thế cạnh tranh. Các hội đồng quản trị thể hiện họ cam kết thực hiện các quyền về dữ liệu cá nhân của công dân một cách nghiêm túc có thể có tác động tích cực đối với sự lựa chọn của một cá nhân mà họ muốn đặt hàng của họ về lâu về dài.

 Thông tin rõ ràng, minh bạch và có thể tiếp cận được về cách bạn xử lý dữ liệu cá nhân sẽ dẫn đến sự tự tin của công chúng vào tổ chức của bạn.

 Rà soát việc nắm giữ thông tin và lưu trữ chính xác và lập chỉ mục dữ liệu cá nhân sẽ cho phép một cơ sở dễ dàng hơn để cung cấp cho cá nhân thông tin sau khi yêu cầu dữ liệu. Nó cũng cho phép bạn dễ dàng sửa đổi bất kỳ sự khác biệt về dữ liệu nào liên quan đến cá nhân, cũng như dễ dàng xác định và xóa dữ liệu cá nhân khi cần thiết.

 Cam kết tuân thủ GDPR cũng có thể dẫn đến việc xem lại các chính sách lưu trữ dữ liệu có thể dẫn đến việc nhận ra rằng các tổ chức có thể giảm chi phí đầu vào lưu trữ, giảm kích thước tổng thể của dấu chân kỹ thuật số của họ.