Hướng dẫn tuân thủ quy chế bảo vệ dữ liệu chung GDPR

Đăng vào: 25-05-2018

GDPR là gì?

Quy định Chung về Bảo vệ Dữ liệu (GDPR) của Liên minh Châu Âu đã được phát triển để tạo ra các luật về quyền riêng tư dữ liệu gắn kết trên khắp Châu Âu nhằm phục vụ bảo vệ tất cả người dân của Liên minh Châu Âu. 

Mục tiêu của GDPR

Mục tiêu GDPR nhằm làm cho việc tuân thủ dễ dàng hơn bằng cách cung cấp một bộ quy tắc chung cho toàn EU. Việc không đạt được các tiêu chuẩn mới này có thể dẫn đến việc bị phạt tiền. GDPR được thông qua vào ngày 27 tháng 4 năm 2016. Quy định mới này có hiệu lực từ 25 tháng 5 năm 2018.

GDPR yêu cầu các bộ điều khiển và bộ xử lý dữ liệu thực hiện các biện pháp bảo vệ kỹ thuật và tổ chức nhằm đảm bảo quyền và tự do của dữ liệu không bị ảnh hưởng. Các biện pháp bảo vệ kỹ thuật bao gồm mã hoá, xác định và ngăn chặn các vi phạm dữ liệu, bảo đảm an toàn dữ liệu và xác định và phân loại dữ liệu cá nhân. Một “vi phạm dữ liệu” bao gồm “phá hủy, mất mát, thay đổi, tiết lộ trái phép, hoặc truy cập vào, dữ liệu cá nhân được truyền, lưu trữ hoặc xử lý khác”. Sự xác thực nhiều yếu tố mạnh đóng một vai trò rất quan trọng trong việc đáp ứng các yêu cầu tuân thủ GDPR như ngăn ngừa sử dụng hoặc truy cập trái phép cùng với việc bảo vệ dữ liệu là cần thiết

Quy tắc của GDPR

Quy định này sẽ thay thế Chỉ thị Bảo vệ Dữ liệu 95/46/EC và gồm các quy tắc cốt lõi như sau:

1) GDPR yêu cầu bạn phải có cơ sở pháp lý để kiểm soát và xử lý dữ liệu cá nhân như sự đồng ý trực tiếp từ chủ thể dữ liệu, về việc thực hiện hợp đồng với chủ thể dữ liệu, tuân thủ nghĩa vụ pháp lý của người kiểm soát, bảo vệ các lợi ích quan trọng của một chủ thể dữ liệu, và các quyền lợi hợp pháp của người kiểm soát.

2) Chỉ định một Nhân viên Bảo vệ Dữ liệu có thể là nhân viên của một tổ chức, một đại diện cho một nhóm các tổ chức hoặc một chuyên gia tư vấn bên ngoài. DPO phải “trực tiếp báo cáo lên cấp quản lý cao nhất.” Các nghĩa vụ bao gồm thông tin và tư vấn cho người kiểm soát, người chế biến và nhân viên về các nghĩa vụ của họ theo GDPR, theo dõi sự tuân thủ và là người liên lạc với cơ quan giám sát.

3) Chỉ thu thập và xử lý dữ liệu cá nhân cho các mục đích hợp pháp và luôn bảo vệ dữ liệu cá nhân. Các yêu cầu bảo vệ bao gồm việc ngăn ngừa sự phá hủy, mất mát, xử lý, tiết lộ, truy cập và thay đổi bất hợp pháp.

4) Ghi lại tất cả các hoạt động xử lý dữ liệu bao gồm mục đích xử lý, các loại dữ liệu và dữ liệu cá nhân liên quan, các loại người nhận, các biện pháp bảo vệ đối với bất kỳ dữ liệu nào, và nếu có thể, thời hạn để xóa. Các tài liệu về các biện pháp an ninh kỹ thuật và tổ chức cần phải được sản xuất cùng với các biên bản bằng văn bản hoặc dưới dạng điện tử có thể được kiểm toán bởi cơ quan giám sát theo yêu cầu. Nếu một tổ chức có dưới 250 nhân viên, họ không cần làm phần tài liệu.

5) Sự đồng ý phải được ghi chép. Phải cung cấp cho mỗi hoạt động và mục đích xử lý cụ thể và chủ thể dữ liệu phải có khả năng thu hồi sự đồng ý cũng dễ dàng như họ đã đưa ra.

6) Chứng minh sự tuân thủ với GDPR thông qua các biện pháp kỹ thuật và tổ chức với đánh giá tính phù hợp của các biện pháp này. Điều này bao gồm việc có các chính sách về cách bảo vệ dữ liệu dưới sự kiểm soát của bạn, đánh giá rủi ro đối với dữ liệu cá nhân, các biện pháp kỹ thuật khả thi thực thi bảo vệ như xác thực đa năng, hướng dẫn chuyển dữ liệu đến các nước khác, phương tiện để có thể xác định và điều tra các vi phạm dữ liệu và khả năng phản hồi kịp thời các yêu cầu truy cập dữ liệu của đối tượng dữ liệu.

7) Thực hiện đánh giá rủi ro đối với các quyền và tự do trong việc kiểm soát và xử lý dữ liệu cá nhân bằng cách phát triển các biện pháp giảm thiểu tổ chức và tổ chức cho các rủi ro được xác định bao gồm bất kỳ mối quan hệ bên thứ ba nào đối với dữ liệu được xử lý thay cho tổ chức của bạn.

8) Cần ngăn chặn việc chuyển dữ liệu bên ngoài EU sang “nước thứ ba hoặc một tổ chức quốc tế”, trừ khi các biện pháp bảo vệ cụ thể được áp dụng. Các biện pháp bảo vệ này có thể là một quyết định đầy đủ của Ủy ban châu Âu, theo đó các đối tượng mục tiêu có mức độ bảo vệ dữ liệu phù hợp hoặc bộ điều khiển hoặc bộ xử lý có các biện pháp bảo vệ thích hợp tại chỗ và các biện pháp pháp lý sẵn có, chẳng hạn như Binding Corporate Rules.

9) Thông báo cho cơ quan giám sát về sự vi phạm dữ liệu trong vòng 72 giờ sau khi nhận thức được sự vi phạm. Tùy thuộc vào tình huống, hãy thông báo cho mọi đối tượng dữ liệu có dữ liệu bị vi phạm. Thông báo vi phạm không bắt buộc đối với cơ quan giám sát hoặc đối tượng dữ liệu nếu các vi phạm “không gây nguy cơ cho các quyền và tự do của cá nhân”

10) Đánh giá Tác động Bảo vệ Dữ liệu (DPIA) cần phải được thực hiện ở những nơi mà việc xử lý “sẽ dẫn tới nguy cơ cao đối với các quyền và tự do.” Tự động xử lý và lập hồ sơ, xử lý “các loại dữ liệu đặc biệt” các ảnh hưởng pháp lý đối với con người và “giám sát có hệ thống đối với một khu vực tiếp cận công cộng trên quy mô lớn” tất cả đều cần được đánh giá theo DPIA này. Các tổ chức phải tham khảo ý kiến ​​với cơ quan giám sát trước khi tự thực hiện việc xử lý và đợi cho đến khi cơ quan giám sát ra quyết định rằng hoạt động chế biến phải hợp pháp trong một số trường hợp.

11) Giảm thiểu số lượng dữ liệu cá nhân được xử lý là một nguyên tắc được gọi là giảm thiểu dữ liệu. Dữ liệu cá nhân không bắt buộc đối với một hoạt động xử lý cụ thể không được thu thập hoặc xử lý. Khi dữ liệu cá nhân không còn cần thiết, nó phải được giảm thiểu bằng cách giả mạo là một quá trình thay thế các số nhận dạng với các giá trị gần như vô nghĩa hoặc dữ liệu phải được xóa vĩnh viễn.

12) Bảo vệ dữ liệu phải được đảm bảo trong suốt quá trình gia công, thông qua việc thực hiện “các biện pháp kỹ thuật và tổ chức phù hợp.” Các biện pháp bảo vệ này sẽ được thực hiện khi xác định làm thế nào để tiến hành chế biến và tại thời điểm thực hiện hoạt động chế biến . Các biện pháp an ninh kỹ thuật và tổ chức là mã hoá, bí mật bảo mật hệ thống xử lý giả mạo, tính toàn vẹn và khả năng phục hồi và quy trình kiểm tra thông thường.

13) Các điều kiện khi xử lý các loại dữ liệu đặc biệt như “xử lý dữ liệu cá nhân tiết lộ nguồn gốc chủng tộc hoặc dân tộc, quan điểm chính trị, niềm tin tôn giáo hoặc triết học hoặc thành viên công đoàn và xử lý dữ liệu di truyền, dữ liệu sinh trắc học để xác định một cách tự nhiên người, dữ liệu về sức khoẻ hoặc dữ liệu liên quan đến cuộc sống tình dục của một người tự nhiên hoặc khuynh hướng tình dục sẽ bị cấm. “

14) Khắc phục các phản hồi đối với các yêu cầu từ các đối tượng dữ liệu về dữ liệu cá nhân bạn kiểm soát, xử lý hoặc chuyển về anh ta hoặc cô ấy. Đối tượng dữ liệu có quyền truy cập để biết mục đích xử lý, loại dữ liệu cá nhân được xử lý, người nhận hoặc loại người nhận dữ liệu sẽ hoặc đã được tiết lộ, dữ liệu sẽ được lưu trữ trong bao lâu và quyền sửa chữa hoặc xoá . Yêu cầu đầu tiên của một chủ thể dữ liệu phải được hoàn thành miễn phí, mặc dù “phí hợp lý dựa trên chi phí hành chính” có thể được áp dụng cho “các bản sao khác”. Đối tượng dữ liệu phải có khả năng “tập thể dục một cách dễ dàng và hợp lý theo khoảng thời gian để biết và xác minh sự hợp pháp của việc xử lý “. Cần có một” hệ thống an toàn “để cho đối tượng dữ liệu truy cập trực tiếp vào dữ liệu cá nhân của họ.

15) Cập nhật và chỉnh sửa bất kỳ dữ liệu cá nhân không chính xác nào được lưu trữ về chủ thể dữ liệu, bằng nhiều cách khác nhau bao gồm cả việc tiết lộ bổ sung từ chủ thể dữ liệu. Các tổ chức sẽ cần tích hợp chặt chẽ trên tất cả các hệ thống và quy trình dữ liệu để đảm bảo dữ liệu được cập nhật trong một hệ thống được tự động cập nhật chính xác trên tất cả các địa điểm khác.

16) Xóa vĩnh viễn bất kỳ dữ liệu cá nhân nào về chủ thể dữ liệu trong các điều kiện cụ thể như thu hồi sự đồng ý của đối tượng dữ liệu, dữ liệu đã được xử lý trái pháp luật và chủ thể dữ liệu phản đối việc xử lý dữ liệu cá nhân của họ và không có hợp pháp nào khác căn cứ để tiếp tục xử lý dữ liệu. Nếu dữ liệu đã được công bố bởi bộ điều khiển hoặc bộ xử lý, “các bước hợp lý” cần phải được thực hiện để thông báo cho bộ điều khiển và bộ vi xử lý khác về yêu cầu xóa.

17) Tạm thời hạn chế việc xử lý dữ liệu cá nhân theo yêu cầu từ đối tượng dữ liệu trong các điều kiện nhất định bao gồm tính chính xác, xử lý bất hợp pháp nhưng không yêu cầu xóa và nhu cầu của đối tượng dữ liệu về dữ liệu cá nhân cho các yêu cầu pháp lý nhưng không cần thiết phải xử lý thêm “ cần được chỉ rõ trong hệ thống. “

18) Cung cấp dữ liệu cá nhân liên quan đến yêu cầu của một chủ thể dữ liệu trong một “định dạng có cấu trúc, thường sử dụng và có thể đọc được bằng máy”. Điều này giới hạn trong dữ liệu cá nhân mà chủ thể dữ liệu “đã cung cấp cho một bộ điều khiển” và chủ thể dữ liệu có thể yêu cầu bộ điều khiển để truyền dữ liệu tới bộ điều khiển dữ liệu mới “không có trở ngại” Có nhiều loại trừ khác nhau như các căn cứ hợp pháp khác áp dụng cho các hoạt động xử lý trong tương lai.

19) Dữ liệu cá nhân của trẻ em cần có các biện pháp bảo vệ bổ sung khi dịch vụ được cung cấp trực tiếp cho trẻ em và bất kỳ ngôn ngữ nào được sử dụng phải được “trong một ngôn ngữ rõ ràng và rõ ràng mà đứa trẻ có thể dễ dàng hiểu được.” Đồng ý từ “ đối với trẻ em “đối với trẻ em dưới 16 tuổi, mặc dù các quốc gia thành viên có thể giảm mức này xuống còn 13 năm.

20) Các phương pháp thay thế có sẵn để đưa ra quyết định về con người thay vì chỉ xử lý và xử lý tự động, chẳng hạn như sự can thiệp của con người. Ngoại lệ là sự cần thiết của việc xử lý liên quan đến các vấn đề hợp đồng, miễn thuế theo luật Liên minh hoặc của Quốc gia Thành viên và khi đối tượng dữ liệu được chấp thuận rõ ràng nhưng phải bảo vệ các quyền và tự do của đối tượng dữ liệu.