Quy định mới của EU về bảo vệ dữ liệu - tác động gì đến doanh nghiệp khu vực Trung và Đông Âu?

bảo vệ DL

Ngày 14/4/2016, Quy chế bảo vệ dữ liệu chung đã được Liên minh châu Âu thông qua. Đây là khuôn khổ bảo vệ dữ liệu duy nhất, toàn diện và được áp dụng trên toàn EU cũng như với các công ty ngoài EU nhưng hoạt động trên lãnh thổ thuộc liên minh EC.

Quy định mới đặt ra những nguyên tắc và yêu cầu cơ bản bắt buộc đối với các doanh nghiệp liên quan về quản lý dữ liệu và an ninh, bảo vệ quyền riêng tư và trách nhiệm xử lý, khắc phục khi dữ liệu bị vi phạm.

Quy định mới sẽ có hiệu lực sau 2 năm. Tuy nhiên, quy mô ảnh hưởng và các biện pháp kỹ thuật cần thiết theo các quy định này đòi hỏi sự chuẩn bị ngay từ bây giờ.

Những thay đổi lớn trong quy định bảo vệ dữ liệu mới là gì?

- Nhiều yêu cầu mới đặt ra đối với hoạt động thu thập và xử lý dữ liệu cá nhân: những căn cứ để doanh nghiệp có thể thu thập dữ liệu cá nhân phần lớn không thay đổi. Tuy nhiên, quy chế điều chỉnh và thu hẹp cách thức các doanh nghiệp thu thập dữ liệu. Hiện nay, dữ liệu chỉ có thể được lưu trữ cho các mục đích theo quy định của pháp luật hoặc do cá nhân đã đồng ý. Tuy nhiên, theo quy định mới sẽ không hợp lệ nếu có sự chấp thuận của cá nhân, các công ty chỉ được phép thu thập dữ liệu cá nhân nếu liên quan đến lợi ích hợp pháp và lợi ích phát sinh tại thời điểm hoặc được dự kiến một cách hợp lý trong bối cảnh cụ thể. Khi các công ty nhập liệu dữ liệu cá nhân hoặc thể hiện nó theo hợp đồng, họ chỉ được phép xử lý các thông tin cần thiết trong bối cảnh hợp đồng.

- Nhiều quyền cá nhân hơn được áp dụng: Thông thường, các công ty phải cung cấp thông tin nhất định (ví dụ tên công ty, chi tiết bên thứ ba tham gia vào hoạt động xử lý dữ liệu) khi thu thập dữ liệu cá nhân. Theo quy định mới, các công ty cũng phải thông báo cho công dân EU về lợi ích hợp pháp của họ khi công ty và các bên liên quan có được dữ liệu của họ cũng như thời hạn của quá trình xử lý thông tin này. Cá nhân phải biết về những khả năng mà thông tin về họ có thể được sử dụng và có quyền từ chối việc thông tin được xử lý tự động trong một số trường hợp nhất định. Các cá nhân cũng có quyền yêu cầu công ty liên quan ngừng sử dụng hoặc xóa dữ liệu cá nhân mình khi việc xử lý thông tin không còn cần thiết hoặc không còn hợp pháp (“quyền được lãng quên”). Nếu công ty có ý định chuyển dữ liệu cá nhân ra bên ngoài lãnh thổ EU, trước hết công ty đó phải thông báo cho cá nhân liên quan.

- Khả năng di chuyển dữ liệu: Dữ liệu cá nhân được lưu trữ hoặc xử lý bởi các nhà cung cấp dịch vụ điện toán đám mây, dịch vụ chia sẻ hình ảnh, phương tiện truyền thông xã hội… trên cơ sở của sự đồng ý của cá nhân có thể dịch chuyển dễ dàng hơn theo quy định về bảo vệ dữ liệu mới. Cá nhân có quyền yêu cầu các nhà cung cấp dịch vụ bàn giao dữ liệu có cấu trúc và có thể sử dụng được cho một bên thứ ba.

- Cách tiếp cận dựa trên rủi ro về bảo vệ dữ liệu: Các công ty phải thiết kế quản lý dữ liệu bằng hệ thống an ninh với sự hiểu biết về quyền riêng tư và bảo mật thông tin cũng như những rủi ro mà họ phải đối mặt. Điều này có nghĩa rằng doanh nghiệp phải thực hiện theo quy trình và có các biện pháp hạn chế rủi ro tương ứng trong hoạt động xử lý dữ liệu. Nếu sử dụng công nghệ mới hoặc các hình thức xử lý tự động, doanh nghiệp phải đánh giá trước tác động và các rủi ro bảo mật có liên quan và phải xác định các biện pháp xử lý thích hợp. Nếu việc xử lý dữ liệu có thể dẫn đến rủi ro cao do vấn đề công nghệ, doanh nghiệp phải tham vấn cơ quan bảo vệ dữ liệu có thẩm quyền để có biện pháp bảo vệ phù hợp.

- Quy định mới yêu cầu các công ty tuân thủ một cách toàn diện và chặt chẽ, đặt biệt là các công ty xử lý dữ liệu quy mô lớn: các công ty phải bổ nhiệm nhân viên bảo vệ dữ liệu - người sẽ giám sát tuân thủ, hỗ trợ đánh giá tác động và thực hiện các biện pháp sau đó, tư vấn cho công ty trên tất cả các khía cạnh về bảo vệ các dữ liệu khác trong quá trình hoạt động cũng như liên hệ với các cơ quan chức năng.

- Thông báo vi phạm dữ liệu: Các công ty phải thông báo cho Cơ quan bảo vệ dữ liệu quốc gia tương ứng nếu phát hiện tình trạng rò rỉ dữ liệu cá nhân (“vi phạm dữ liệu cá nhân”"). Các công ty phải làm điều này ngay trong vòng 72 giờ kể từ khi nhận thức được hành vi vi phạm. Trong thông báo công ty phải cung cấp thông tin về các loại dữ liệu bị xâm nhập và số lượng gần đúng của các cá nhân bị ảnh hưởng. Khi các vi phạm liên quan đến nguy cơ cao hoặc dữ liệu nhạy cảm (ví dụ tài khoản ngân hàng hoặc thông tin y tế…), các công ty phải thực hiện thông báo ngay lập tức đến cá nhân bị ảnh hưởng trực tiếp.

- Cơ chế thực thi một điểm: theo Quy chế mới, một công ty hoạt động tại nhiều quốc gia thành viên EU sẽ chỉ làm việc với một Cơ quan bảo vệ dữ liệu quốc gia duy nhất nơi đặt cơ sở chính. Trong các trường hợp quan trọng, nhiều Cơ quan bảo vệ dữ liệu quốc gia sẽ tham gia nhưng chỉ một quyết định duy nhất được đưa ra. Cá nhân vẫn có thể gửi khiếu nại đến Cơ quan bảo vệ dữ liệu quốc gia của mình nếu thông tin vi phạm diễn ra tại quốc gia cư trú hoặc ở nước ngoài.

- Phạm vi áp dụng của Quy chế mới: Các quy định mới sẽ được áp dụng trên lãnh thổ các nước thành viên EU. Tuy nhiên nó cũng sẽ áp dụng đối với các công ty ngoài EU nếu dữ liệu được sử dụng vì mục đích (i) nhắm đến cá nhân cư trú tại một nước thành viên EU nhằm cung cấp hàng hóa, dịch vụ cho họ; hoặc (ii) lập hồ sơ theo dõi hành vi trực tuyến của công dân EU.

- Phạt tiền đối với hành vi vi phạm: Bất kỳ công ty nào cũng có thể đối diện với mức phạt 20 triệu Euro hoặc 4% doanh số hàng năm trên toàn cầu nếu dữ liệu bị xâm phạm, mức phạt cao nhất hiện nay là 500.000 Euro.

Quy chế mới có ý nghĩa gì với các doanh nghiệp Trung và Đông Âu (CEE)?

Mức độ tuân thủ bảo vệ dữ liệu ở các nước khu vực CEE là khá chênh lệch. Các nước như Romania, Cộng hòa Séc và Slovakia đã thúc đẩy việc tuân thủ và thực thi một cách tương đối chủ động bằng những quy định nội bộ. Kết quả là, doanh nghiệp ở các nước này tiếp cận dữ liệu riêng tư một cách khá thận trọng.

Trong khi ở những khu vực khác như Bulgaria, các quy định nội bộ tương đối lỏng lẻo hơn và việc tuân thủ xuất phát chủ yếu từ các khiếu nại của công dân do các doanh nghiệp sử dụng không đúng mục đích thông tin của họ.

Trong tương lai gần, khi Quy chế mới có hiệu lực và được áp dụng triệt để nó sẽ tạo ra một sân chơi bình đẳng cho tất cả các nước thành viên EU. Các quyền mới được bổ sung đồng nghĩa với việc các công ty phải sắp xếp và giới thiệu những quy trình vận hành mới, phù hợp nhằm:

- Nắm rõ dữ liệu có cấu trúc và không có cấu trúc mà mình thu thập, xử lý và lưu trữ;

- Nắm rõ hơn cách thức dữ liệu được di chuyển và thông tin gì là cần thiết cho sự vận hành bên trong doanh nghiệp mình;

- Điều chỉnh quy trình và chính sách quản lý vòng đời dữ liệu bên trong tổ chức của mình. Quá trình này bao gồm mối quan hệ với khách hàng, nhà cung cấp công nghệ, các nhà thầu phụ cung cấp dịch vụ điện toán đám mây, di chuyển dữ liệu sang một phương tiện khác và truyền dữ liệu qua biên giới. Mục tiêu cuối cùng là đảm bảo tuân thủ Quy chế mới và hạn chế tăng chi phí.

- Quản lý dữ liệu vi phạm: Các công ty sẽ cần phải có các công cụ bảo mật hạn chế tối đa hành vi vi phạm và khả năng xác định rò rỉ dữ liệu cá nhân một cách nhanh chóng. Chỉ khi đó, các công ty mới có thể hạn chế rủi ro, giảm thiểu tác động và báo cáo sự cố cho Cơ quan bảo vệ dữ liệu tương ứng và cá nhân liên quan kịp thời.

Các công ty có hoạt động xử lý dữ liệu quy mô lớn cần phải lưu giữ và tích hợp đầy đủ thông tin nhân viên của mình vì chỉ như vậy mới có thể đảm bảo nhân viên của họ sẽ thực thi nghiêm túc mà không liên kết với một tổ chức bên ngoài.

Các doanh nghiệp chỉ có 2 năm để chuẩn bị cho quy định mới, trong khi tiến trình đánh giá tác động, ra quyết định, lập ngân sách tốn không ít thời gian và do vậy doanh nghiệp chỉ còn một vài tháng để đầu tư và triển khai các giải pháp công nghệ nhằm tuân thủ quy định mới này của EU.

Nguồn : http://www.lexology.com – HP

Từ khóa: Quy định mới, của EU, về bảo vệ dữ liệu, tác động gì, doanh nghiệp, Trung và Đông Âu.