Bảo vệ dữ liệu cá nhân và các vấn đề trong triển khai thực tế

17/07/2018

(Taichinh) - Mặc dù đã được áp dụng kể từ ngày 25/5/2018, nhưng theo thống kê, việc tuân thủ Quy định chung về bảo vệ dữ liệu (GDPR) vẫn chưa đạt kết quả như kỳ vọng. Trong khi đó, theo quy định của Liên minh châu Âu, việc không tuân thủ GPDR sẽ bị phạt một khoản tiền đáng kể. 

qtsc-chia-se-nhung-quy-dinh-ve-bao-ve-du-lieu-ca-nhan-gdpr

Ông Đinh Công Chinh - Giám đốc công ty NashTech Việt Nam chia sẻ những quy định về bảo vệ dữ liệu cá nhân tại hội thảo. Ảnh KL

Ngày 13/7, Công viên phần mềm Quang Trung (QTSC) đã phối hợp với Liên minh các doanh nghiệp gia công phát triển công nghệ thông tin Việt Nam (VNITO) và Công ty NashTech Việt Nam tổ chức Hội thảo “GDPR - Giới thiệu chung và các vấn đề trong triển khai thực tế”.

Các dữ liệu cá nhân được bảo vệ theo GDPR

Tại buổi hội thảo, ông Đinh Công Chinh - Giám đốc công ty NashTech Việt Nam đã có những chia sẻ chi tiết và cụ thể về GDPR (Quy định chung về bảo vệ dữ liệu, được ban hành và bắt đầu có hiệu lực tại các nước thuộc Liên minh châu Âu (EU) từ ngày 25/5/2018), cho đại diện các doanh nghiệp công nghệ thông tin khi làm việc với những đối tác thuộc EU và cơ quan quản lý nhà nước.

Theo ông ông Đinh Công Chinh, việc tuân thủ GDPR yêu cầu phải có sự chấp thuận của các cá nhân trước khi sử dụng một số loại dữ liệu, đồng thời mở rộng quyền của các cá nhân trong việc truy cập và chuyển dữ liệu của họ. Một số những yêu cầu cụ thể cho việc xin phép sử dụng dữ liệu là người dùng phải được thông báo rõ ràng, chủ động và được yêu cầu xác nhận mà không phải là xác định trước; Yêu cầu xin phép phải được viết bằng ngôn ngữ đơn giản, dễ hiểu và đề cập rõ ràng về mục đích sử dụng dữ liệu... 

Việc không tuân thủ GPDR sẽ bị phạt một khoản tiền đáng kể. Cụ thể, sai phạm đối với các chuẩn mực cốt lõi về xử lý dữ liệu, vi phạm các quyền cá nhân hoặc chuyển dữ liệu ra khỏi EU mà không đảm bảo các bảo vệ tương đương sẽ bị phạt tới 4% doanh thu hàng năm trên toàn cầu.

Sai phạm trong việc tuân thủ với các yêu cầu về kỹ thuật và tổ chức như đánh giá tác động, thông báo sự cố mất an toàn thông tin sẽ bị phạt tới 2% doanh thu hàng năm trên toàn cầu.

Chủ động bảo mật thông tin khi tham gia vào mạng xã hội

Mặc dù đã được áp dụng kể từ ngày 25/5/2018, nhưng theo thống kê, việc tuân thủ GDPR vẫn chưa đạt kết quả như kỳ vọng. Tổng quan, mới có 96% doanh nghiệp bắt đầu tuân thủ, nhưng chỉ có 20% trong số đó xác nhận hoàn thành đầy đủ các quy định và yêu cầu của GDPR. Một số khó khăn thực tế trong việc triển khai có thể kể đến như: các cách hiểu khác biệt, hướng dẫn chưa rõ ràng, các bất cập trong quy trình hiện tại, các bất cập đối với công nghệ hiện tại, các khác biệt về pháp lý. 

Theo quy định của Luật An ninh mạng, cá nhân được bảo vệ khi tham gia hoạt động trên không gian mạng trước các thông tin xấu, độc, xâm phạm tới danh dự, uy tín, nhân phẩm, các hoạt động tấn công mạng, gián điệp mạng, khủng bố mạng hoặc các hành vi khác gây ảnh hưởng tới quyền và lợi ích hợp pháp của mình.

Tuy nhiên, với thời đại công nghệ số và mạng xã hội đang ngày càng phổ biến rộng rãi thì việc bảo mật thông tin người dùng ngày càng được quan tâm. Hầu hết các chức năng của mạng xã hội đều cần đến thông tin của người dùng để đưa ra những gợi ý tìm kiếm dữ liệu thông tin phù hợp và nhanh nhất. Nhưng điều đó cũng tiềm ẩn rất nhiều rủi ro nếu người dùng không cẩn trọng trước những yêu cầu truy cập vào điện thoại hay các thiết bị điện tử thông minh.

Vì vậy, ngoài việc hy vọng vào những công cụ bảo vệ thông tin an ninh mạng ngày càng được cải thiện hiệu quả thì người dùng cần có những hiểu biết về các quyền lợi, chính sách sử dụng và kỹ năng chủ động bảo mật thông tin khi tham gia vào mạng xã hội.

Quy định bảo vệ dữ liệu GDPR ra đời nhằm mục đích: Thiết lập một quy tắc chung cho các luật bảo vệ dữ liệu riêng tư của EU; tăng cường bảo vệ và trao quyền quản lý đối với các dữ liệu riêng tư của công dân EU; Áp dụng với tất cả các tổ chức có lưu trữ và xử lý dữ liệu riêng tư của công dân EU, không phụ thuộc vào vị trí địa lý; Áp dụng cả cho người quản lý dữ liệu và người xử lý dữ liệu; Các điều khoản và yêu cầu vẫn chưa được giải thích một cách chính thức và đầy đủ dẫn đến khó khăn trong việc tuân thủ. 
Các quyền cơ bản của cá nhân được GDPR bảo vệ bao gồm: Quyền được thông báo, quyền được truy cập, quyền chỉnh sửa, quyền xóa, quyền giới hạn/ ngừng xử lý, quyền trích xuất dữ liệu, quyền phản đối, quyền từ chối các xử lý phân nhóm và tự động ra quyết định.

Khánh Linh

Chuỗi QTSC

Thành viên QTSC