Danh sách kiểm tra tuân thủ GDPR – Blog IBM

Quy định chung về bảo vệ dữ liệu (GDPR) là luật của Liên minh Châu Âu (EU) chi phối cách các tổ chức thu thập và sử dụng dữ liệu cá nhân. Bất kỳ công ty nào hoạt động tại EU hoặc xử lý dữ liệu của cư dân EU đều phải tuân thủ các yêu cầu của GDPR.

Tuy nhiên, việc tuân thủ GDPR không nhất thiết phải là vấn đề đơn giản. Luật quy định một bộ dữ liệu riêng tư quyền cho người dùng và một loạt nguyên tắc xử lý dữ liệu cá nhân. Các tổ chức phải duy trì các quyền và nguyên tắc này, nhưng GDPR dành một số chỗ cho mỗi công ty quyết định cách thực hiện.

Rủi ro rất cao và GDPR áp dụng các hình phạt đáng kể đối với việc không tuân thủ. Những vi phạm nghiêm trọng nhất có thể bị phạt lên tới 20,000,000 EUR hoặc 4% doanh thu toàn cầu của tổ chức trong năm trước. Cơ quan quản lý GDPR cũng có thể chấm dứt các hoạt động xử lý dữ liệu bất hợp pháp và buộc các tổ chức thực hiện thay đổi.

Danh sách kiểm tra dưới đây bao gồm các quy định cốt lõi của GDPR. Cách tổ chức đáp ứng các quy định này sẽ tùy thuộc vào hoàn cảnh riêng của tổ chức đó, bao gồm các loại dữ liệu tổ chức thu thập và cách tổ chức sử dụng dữ liệu đó.

Thông tin cơ bản về GDPR

GDPR áp dụng cho mọi tổ chức có trụ sở tại Khu vực Kinh tế Châu Âu (EEA). EEA bao gồm tất cả 27 quốc gia thành viên EU cùng với Iceland, Liechtenstein và Na Uy.

GDPR cũng áp dụng cho các tổ chức bên ngoài EEA nếu:

• Công ty thường xuyên cung cấp hàng hóa hoặc dịch vụ cho cư dân EEA, ngay cả khi không đổi tiền.
• Công ty thường xuyên giám sát hoạt động của cư dân EEA, chẳng hạn như bằng cách sử dụng cookie theo dõi.
• Công ty xử lý dữ liệu thay mặt cho một công ty có trụ sở tại EEA.

GDPR không chỉ áp dụng cho các doanh nghiệp sử dụng dữ liệu khách hàng cho mục đích thương mại. Nó áp dụng cho hầu hết mọi tổ chức xử lý dữ liệu của cư dân EEA cho bất kỳ mục đích nào. Trường học, bệnh viện và các cơ quan chính phủ đều thuộc thẩm quyền của GDPR.

Các hoạt động xử lý dữ liệu duy nhất được miễn GDPR là các hoạt động thực thi pháp luật hoặc an ninh quốc gia và việc sử dụng dữ liệu thuần túy cho mục đích cá nhân.

Định nghĩa hữu ích

GDPR sử dụng một số thuật ngữ cụ thể. Để hiểu các yêu cầu tuân thủ, các tổ chức phải hiểu ý nghĩa của các thuật ngữ này trong bối cảnh này.

GDPR định nghĩa dữ liệu cá nhân như bất kỳ thông tin nào liên quan đến một con người có thể nhận dạng được. Mọi thứ từ địa chỉ email đến quan điểm chính trị đều được coi là dữ liệu cá nhân.

A chủ đề dữ liệu con người là người sở hữu dữ liệu. Nói cách khác, đó là người mà dữ liệu liên quan đến. Giả sử một công ty thu thập số điện thoại để gửi tin nhắn tiếp thị qua SMS. Chủ sở hữu của những số điện thoại đó sẽ là chủ thể dữ liệu.

Khi GDPR đề cập đến chủ thể dữ liệu, điều đó có nghĩa là chủ thể dữ liệu cư trú tại EEA. Các đối tượng không cần phải là công dân EU để có quyền bảo mật dữ liệu theo GDPR. Họ chỉ cần là cư dân EEA.

A người điều khiển dữ liệu là bất kỳ tổ chức, nhóm hoặc cá nhân nào lấy dữ liệu cá nhân và xác định cách sử dụng dữ liệu đó. Quay lại ví dụ trước, một công ty thu thập số điện thoại cho mục đích tiếp thị sẽ là bên kiểm soát. 

Xử lí dữ liệu là bất kỳ hành động nào được thực hiện đối với dữ liệu, bao gồm thu thập, lưu trữ hoặc phân tích dữ liệu. MỘT bộ xử lý dữ liệu là bất kỳ tổ chức hoặc tác nhân nào thực hiện các hành động đó.

Một công ty có thể vừa là người kiểm soát vừa là người xử lý, giống như một công ty vừa thu thập số điện thoại vừa sử dụng chúng để gửi thông điệp tiếp thị. Bộ xử lý cũng bao gồm các bên thứ ba xử lý dữ liệu thay mặt cho bộ điều khiển, chẳng hạn như dịch vụ lưu trữ đám mây lưu trữ cơ sở dữ liệu số điện thoại cho một doanh nghiệp khác.

Cơ quan giám sát là các cơ quan quản lý thực thi các yêu cầu GDPR. Mỗi quốc gia EEA có cơ quan giám sát riêng.

Khám phá các giải pháp bảo vệ và bảo mật dữ liệu

Danh sách kiểm tra tuân thủ GDPR

Ở cấp độ cao, một tổ chức tuân thủ GDPR nếu tổ chức đó:

• Tuân thủ các nguyên tắc xử lý dữ liệu
• Bảo vệ quyền của chủ thể dữ liệu
• Áp dụng các biện pháp bảo mật dữ liệu thích hợp
• Tuân theo các quy tắc truyền dữ liệu và chia sẻ dữ liệu

Danh sách kiểm tra sau đây sẽ chia nhỏ các yêu cầu này hơn nữa. Các bước thực tế mà tổ chức thực hiện để đáp ứng các yêu cầu này sẽ phụ thuộc vào vị trí, nguồn lực và hoạt động xử lý dữ liệu của tổ chức, cùng nhiều yếu tố khác.

Nguyên tắc xử lý dữ liệu

GDPR tạo ra một bộ nguyên tắc mà các tổ chức phải tuân theo khi xử lý dữ liệu cá nhân. Các nguyên tắc như sau.

Tổ chức có cơ sở hợp pháp để xử lý dữ liệu.

GDPR xác định các trường hợp mà các công ty có thể xử lý dữ liệu cá nhân một cách hợp pháp. Tổ chức phải thiết lập và ghi lại cơ sở pháp lý của mình trước khi thu thập bất kỳ dữ liệu nào. Tổ chức phải truyền đạt cơ sở này cho người dùng tại thời điểm thu thập dữ liệu. Nó không thể thay đổi cơ sở sau khi thực tế trừ khi có sự đồng ý của người dùng để làm như vậy.

Các căn cứ hợp pháp có thể bao gồm:

• Tổ chức có sự đồng ý của chủ thể để xử lý dữ liệu của họ. Lưu ý rằng sự đồng ý của người dùng chỉ có giá trị nếu nó được thông báo, khẳng định và đưa ra một cách tự do.
  • Sự đồng ý có nghĩa là công ty giải thích rõ ràng dữ liệu nào họ đang thu thập và cách sử dụng dữ liệu đó.
  • Sự đồng ý khẳng định có nghĩa là người dùng phải thực hiện một số hành động có chủ ý để thể hiện sự đồng ý, chẳng hạn như bằng cách ký vào tuyên bố hoặc đánh dấu vào ô. Sự đồng ý không thể là tùy chọn mặc định.
  • Được tự do đồng ý có nghĩa là công ty không cố gắng gây ảnh hưởng hoặc ép buộc đối tượng dữ liệu. Chủ thể phải có khả năng rút lại sự đồng ý của mình bất cứ lúc nào.

• Tổ chức có nghĩa vụ pháp lý phải xử lý dữ liệu.

• Tổ chức phải xử lý dữ liệu để bảo vệ tính mạng của chủ thể dữ liệu hoặc người khác.

• Tổ chức đang xử lý dữ liệu vì lý do lợi ích công cộng, chẳng hạn như báo chí hoặc y tế công cộng.

• Tổ chức là cơ quan công quyền xử lý dữ liệu để thực hiện chức năng chính thức.

• Tổ chức đang xử lý dữ liệu để theo đuổi lợi ích hợp pháp.
  • A lợi ích chính đáng là lợi ích mà bên kiểm soát hoặc bên khác có thể đạt được bằng cách xử lý dữ liệu. Ví dụ bao gồm tiến hành kiểm tra lý lịch nhân viên hoặc theo dõi địa chỉ IP trên mạng công ty để tìm an ninh mạng mục đích. Để yêu cầu cơ sở lợi ích chính đáng, tổ chức phải chứng minh việc xử lý là cần thiết và không xâm phạm quyền lợi của chủ thể. 

Tổ chức thu thập dữ liệu cho một mục đích cụ thể và chỉ sử dụng dữ liệu đó cho mục đích đó.

Theo nguyên tắc giới hạn mục đích của GDPR, bên kiểm soát phải có mục đích được xác định và ghi lại để thu thập dữ liệu. Bộ điều khiển phải thông báo mục đích này cho người dùng tại thời điểm thu thập và chỉ có thể sử dụng dữ liệu cho mục đích được nêu tên này.

Tổ chức chỉ thu thập lượng dữ liệu tối thiểu cần thiết.

Đơn vị kiểm soát chỉ có thể thu thập lượng dữ liệu tối thiểu cần thiết để hoàn thành mục đích đã nêu của họ.

Tổ chức giữ cho dữ liệu chính xác và cập nhật.

Bên kiểm soát phải thực hiện các bước hợp lý để đảm bảo dữ liệu cá nhân họ nắm giữ là chính xác và cập nhật. 

Tổ chức xóa dữ liệu khi không còn cần thiết.

GDPR yêu cầu các chính sách lưu giữ và xóa dữ liệu nghiêm ngặt. Các công ty chỉ có thể lưu giữ dữ liệu cho đến khi hoàn thành mục đích quy định là thu thập dữ liệu đó và họ phải xóa dữ liệu khi không còn cần đến dữ liệu đó nữa.

Tổ chức thực hiện các biện pháp phòng ngừa bổ sung khi xử lý dữ liệu của trẻ em hoặc dữ liệu danh mục đặc biệt.

Người kiểm soát và người xử lý phải áp dụng các biện pháp bảo vệ bổ sung cho một số loại dữ liệu cá nhân nhất định.

Danh mục đặc biệt dữ liệu bao gồm dữ liệu có độ nhạy cảm cao như chủng tộc và sinh trắc học của một người. Các tổ chức chỉ có thể xử lý dữ liệu danh mục đặc biệt trong những trường hợp rất hạn chế, chẳng hạn như để ngăn chặn các mối đe dọa nghiêm trọng về sức khỏe cộng đồng. Các công ty cũng có thể xử lý dữ liệu danh mục đặc biệt với sự đồng ý rõ ràng của chủ thể.

Dữ liệu kết án hình sự chỉ có thể được kiểm soát bởi cơ quan công quyền. Người xử lý chỉ có thể xử lý thông tin này theo chỉ dẫn của cơ quan công quyền.

Người kiểm soát phải được sự đồng ý của cha mẹ trước khi xử lý dữ liệu của trẻ em. Họ phải thực hiện các bước hợp lý để xác minh độ tuổi của đối tượng và danh tính của cha mẹ. Nếu thu thập dữ liệu từ trẻ em, người kiểm soát phải trình bày các thông báo về quyền riêng tư bằng ngôn ngữ thân thiện với trẻ em.

Mỗi tiểu bang EEA đặt ra định nghĩa riêng về “trẻ em” theo GDPR. Những phạm vi này từ “bất kỳ ai dưới 13 tuổi” đến “bất kỳ ai dưới 16 tuổi”. 

Tổ chức ghi lại tất cả các hoạt động xử lý dữ liệu.

Các tổ chức có trên 250 nhân viên phải lưu giữ hồ sơ xử lý dữ liệu. Các tổ chức có dưới 250 nhân viên phải lưu giữ hồ sơ nếu họ xử lý dữ liệu có độ nhạy cảm cao, xử lý dữ liệu thường xuyên hoặc xử lý dữ liệu theo cách gây rủi ro đáng kể cho chủ thể dữ liệu.

Người kiểm soát phải ghi lại những thứ như dữ liệu họ thu thập, những gì họ làm với dữ liệu đó, bản đồ luồng dữ liệu và các biện pháp bảo vệ dữ liệu. Bộ xử lý phải ghi lại các bộ điều khiển mà họ làm việc, loại xử lý họ thực hiện cho từng bộ điều khiển và các biện pháp kiểm soát bảo mật mà họ sử dụng.

Bộ điều khiển chịu trách nhiệm cuối cùng trong việc đảm bảo tuân thủ. 

Theo GDPR, trách nhiệm cuối cùng về việc tuân thủ thuộc về người kiểm soát dữ liệu. Điều này có nghĩa là đơn vị kiểm soát phải đảm bảo—và có thể chứng minh—rằng các đơn vị xử lý bên thứ ba đáp ứng tất cả các yêu cầu liên quan của GDPR. 

Quyền của chủ thể dữ liệu

GDPR cấp cho chủ thể dữ liệu một số quyền nhất định đối với dữ liệu của họ. Đơn vị kiểm soát và đơn vị xử lý phải tôn trọng các quyền này.

Tổ chức cung cấp cho chủ thể dữ liệu những cách dễ dàng để thực hiện quyền của họ.

Các tổ chức phải cung cấp cho chủ thể dữ liệu một phương tiện đơn giản để khẳng định quyền đối với dữ liệu của mình. Những quyền này bao gồm:

• Quyền truy cập: Các đối tượng phải có khả năng yêu cầu và nhận bản sao dữ liệu của họ cũng như thông tin liên quan về cách công ty sử dụng dữ liệu.

• Quyền sửa chữa: Các đối tượng phải có khả năng sửa hoặc cập nhật dữ liệu của họ.

• Quyền xóa: Các đối tượng phải có khả năng yêu cầu xóa dữ liệu của họ. 

• Quyền hạn chế xử lý: Các đối tượng phải có khả năng hạn chế cách sử dụng dữ liệu của họ nếu họ nghi ngờ dữ liệu đó không chính xác, không còn cần thiết hoặc bị sử dụng sai mục đích. 

• Quyền phản đối: Các đối tượng phải có khả năng phản đối việc xử lý. Các đối tượng đã đồng ý trước đó phải có thể dễ dàng rút lại bất cứ lúc nào.

• Quyền chuyển đổi dữ liệu: Các chủ thể có quyền truyền dữ liệu của mình và người kiểm soát cũng như bộ xử lý phải tạo điều kiện thuận lợi cho việc truyền dữ liệu này.

Nói chung, các tổ chức phải phản hồi tất cả các yêu cầu truy cập của chủ thể dữ liệu trong vòng 30 ngày. Các công ty thường phải tuân thủ yêu cầu của đối tượng trừ khi công ty có thể chứng minh rằng mình có lý do chính đáng và quan trọng hơn để không làm như vậy.

Nếu một tổ chức từ chối một yêu cầu, tổ chức đó phải giải thích lý do. Tổ chức cũng phải cho đối tượng biết cách kháng cáo quyết định với nhân viên bảo vệ dữ liệu của công ty hoặc cơ quan giám sát có liên quan.

Tổ chức cung cấp cho các chủ thể dữ liệu một cách để phản đối các quyết định tự động.

Theo GDPR, chủ thể dữ liệu có quyền không bị ràng buộc bởi các quy trình ra quyết định tự động có thể có tác động đáng kể đến họ. Điều này bao gồm lập hồ sơ, mà GDPR định nghĩa là sử dụng tự động hóa để đánh giá một số khía cạnh của một người, chẳng hạn như dự đoán hiệu suất công việc của họ.

Nếu một tổ chức sử dụng các quyết định tự động, tổ chức đó phải cung cấp cho chủ thể dữ liệu một cách để phản đối các quyết định đó. Các đối tượng cũng có thể yêu cầu nhân viên xem xét bất kỳ quyết định tự động nào có tác động đến họ.

Tổ chức minh bạch về cách sử dụng dữ liệu cá nhân.

Người kiểm soát và người xử lý phải thông báo chủ động và rõ ràng cho chủ thể dữ liệu về các hoạt động xử lý dữ liệu, bao gồm dữ liệu họ thu thập, những gì họ làm với dữ liệu đó và cách chủ thể có thể thực hiện quyền của mình đối với dữ liệu.

Thông tin này thường phải được truyền đạt thông qua thông báo về quyền riêng tư được trình bày cho chủ thể trong quá trình thu thập dữ liệu. Nếu công ty không thu thập dữ liệu cá nhân trực tiếp từ các đối tượng, thông báo về quyền riêng tư phải được gửi cho các đối tượng trong vòng một tháng. Các công ty cũng có thể đưa những chi tiết này vào chính sách quyền riêng tư có thể truy cập công khai trên trang web của họ. 

Các biện pháp bảo vệ và bảo mật dữ liệu

GDPR yêu cầu bên kiểm soát và bộ xử lý thực hiện các bước để ngăn chặn việc lạm dụng dữ liệu cá nhân và bảo vệ chủ thể dữ liệu khỏi bị tổn hại.

Tổ chức đã triển khai các biện pháp kiểm soát an ninh mạng thích hợp.

Bộ điều khiển và bộ xử lý phải triển khai các biện pháp an ninh để bảo vệ tính bảo mật và toàn vẹn của dữ liệu cá nhân. GDPR không yêu cầu bất kỳ biện pháp kiểm soát cụ thể nào nhưng có quy định rằng các công ty phải áp dụng cả biện pháp kỹ thuật và tổ chức.

Các biện pháp kỹ thuật bao gồm các giải pháp công nghệ, chẳng hạn như quản lý danh tính và truy cập (IAM), sao lưu tự động và công cụ bảo mật dữ liệu. Mặc dù GDPR không bắt buộc rõ ràng mã hóa data, nó khuyến nghị các tổ chức nên sử dụng bút danh và ẩn danh bất cứ khi nào có thể.

Các biện pháp tổ chức bao gồm đào tạo nhân viên, liên tục đánh giá rủi ro và các chính sách và quy trình bảo mật khác. Các công ty cũng phải tuân theo nguyên tắc bảo vệ dữ liệu theo thiết kế và theo mặc định khi tạo hoặc triển khai các hệ thống và sản phẩm mới.

Tổ chức tiến hành đánh giá tác động bảo vệ dữ liệu (DPIA) theo yêu cầu.

Nếu một công ty có kế hoạch xử lý dữ liệu theo cách có rủi ro cao đối với quyền của chủ thể thì trước tiên công ty đó phải tiến hành đánh giá tác động bảo vệ dữ liệu (DPIA). Các loại xử lý có thể kích hoạt PPIA bao gồm lập hồ sơ tự động và xử lý trên quy mô lớn các danh mục dữ liệu cá nhân đặc biệt, cùng nhiều loại khác.

PPIA phải mô tả dữ liệu đang được sử dụng, mục đích xử lý và mục đích xử lý. Nó phải xác định các rủi ro trong quá trình xử lý và cách giảm thiểu những rủi ro đó. Nếu tồn tại rủi ro đáng kể không thể giảm thiểu, tổ chức phải tham khảo ý kiến ​​cơ quan giám sát trước khi tiếp tục.

Tổ chức đã chỉ định một nhân viên bảo vệ dữ liệu (DPO) nếu được yêu cầu.

Tổ chức phải chỉ định nhân viên bảo vệ dữ liệu (DPO) nếu tổ chức giám sát các đối tượng trên quy mô lớn hoặc xử lý dữ liệu danh mục đặc biệt làm hoạt động cốt lõi. Tất cả các cơ quan công quyền cũng phải bổ nhiệm DPO.

DPO chịu trách nhiệm đảm bảo tổ chức luôn tuân thủ GDPR. Các nhiệm vụ chính bao gồm phối hợp với các cơ quan bảo vệ dữ liệu, tư vấn cho tổ chức về các yêu cầu của GDPR và giám sát các Sở KHĐT.

DPO phải là một cán bộ độc lập, báo cáo trực tiếp cho cấp quản lý cao nhất. Tổ chức không thể trả đũa DPO vì đã thực hiện nhiệm vụ của họ.

Tổ chức thông báo cho cơ quan giám sát và chủ thể dữ liệu khi xảy ra vi phạm dữ liệu.

Các tổ chức phải báo cáo hầu hết vi phạm dữ liệu cá nhân cho cơ quan giám sát có liên quan trong vòng 72 giờ. Nếu hành vi vi phạm gây rủi ro cho chủ thể dữ liệu, tổ chức cũng phải thông báo cho chủ thể. Các tổ chức phải thông báo trực tiếp cho các đối tượng trừ khi việc liên lạc trực tiếp là không hợp lý, trong trường hợp đó thông báo công khai được chấp nhận.

Bộ xử lý bị vi phạm phải thông báo ngay cho cơ quan kiểm soát có liên quan.

Nếu nằm ngoài EEA, tổ chức đã chỉ định một đại diện trong EEA.

Bất kỳ công ty nào ngoài EEA thường xuyên xử lý dữ liệu của cư dân EEA hoặc xử lý dữ liệu đặc biệt nhạy cảm đều phải chỉ định một đại diện trong EEA. Người đại diện thay mặt công ty phối hợp với các cơ quan chính phủ và đóng vai trò là đầu mối liên hệ về các vấn đề tuân thủ GDPR.

Truyền dữ liệu và chia sẻ dữ liệu

GDPR đặt ra các quy tắc về cách các tổ chức chia sẻ dữ liệu cá nhân với các công ty khác trong và ngoài EEA.

Tổ chức sử dụng các thỏa thuận xử lý dữ liệu chính thức để quản lý mối quan hệ với các bộ xử lý.

Bên kiểm soát có thể chia sẻ dữ liệu cá nhân với bên xử lý và các bên thứ ba khác, nhưng những mối quan hệ này phải được điều chỉnh bởi các thỏa thuận xử lý dữ liệu chính thức. Các thỏa thuận này phải nêu rõ các quyền và trách nhiệm của tất cả các bên đối với GDPR.

Bộ xử lý của bên thứ ba chỉ có thể xử lý dữ liệu theo hướng dẫn của bộ điều khiển. Họ không thể sử dụng dữ liệu của bên kiểm soát cho mục đích riêng của mình. Bộ xử lý phải được bộ điều khiển phê duyệt trước khi chia sẻ dữ liệu với bộ xử lý phụ.

Tổ chức chỉ tiến hành truyền dữ liệu đã được phê duyệt bên ngoài EEA.

Đơn vị kiểm soát chỉ có thể chia sẻ dữ liệu với bên thứ ba nằm ngoài EEA nếu việc truyền dữ liệu đáp ứng ít nhất một trong các tiêu chí sau:

• Ủy ban Châu Âu đã coi luật bảo mật dữ liệu của quốc gia nơi bên thứ ba có trụ sở là đầy đủ.
• Ủy ban Châu Âu coi bên thứ ba có các chính sách và biện pháp kiểm soát bảo vệ dữ liệu đầy đủ.
• Bộ điều khiển đã thực hiện tất cả các bước cần thiết để đảm bảo tính bảo mật và quyền riêng tư của dữ liệu được truyền.

Khám phá các giải pháp tuân thủ GDPR

Việc tuân thủ GDPR là một quá trình diễn ra liên tục và các yêu cầu của tổ chức có thể thay đổi khi tổ chức thu thập dữ liệu mới và tham gia vào các loại hoạt động xử lý mới.

Các giải pháp tuân thủ và bảo mật dữ liệu như IBM Security® Guardium® có thể giúp đơn giản hóa quá trình đạt được—và duy trì—tuân thủ GDPR. Guardium có thể tự động khám phá dữ liệu do GDPR quản lý, thực thi các quy tắc tuân thủ cho dữ liệu đó, giám sát việc sử dụng dữ liệu và trao quyền cho các tổ chức ứng phó với các mối đe dọa đối với bảo mật dữ liệu.

Tìm hiểu thêm về bộ sản phẩm tuân thủ và bảo mật dữ liệu của IBM.