GDPR (Quy định Bảo vệ Dữ liệu chung của EU) không chỉ áp dụng cho doanh nghiệp châu Âu — bất kỳ tổ chức nào xử lý dữ liệu của công dân EU đều thuộc phạm vi điều chỉnh. Doanh nghiệp Việt vươn ra quốc tế cần nắm rõ.
1. Cơ sở pháp lý để xử lý dữ liệu
Mọi hoạt động xử lý dữ liệu cá nhân phải có cơ sở pháp lý: sự đồng ý, thực hiện hợp đồng, nghĩa vụ pháp lý hoặc lợi ích hợp pháp. Đồng ý phải rõ ràng, tự nguyện và có thể rút lại.
2. Minh bạch và thông báo
Người dùng có quyền biết dữ liệu của họ được thu thập, dùng vào việc gì và lưu bao lâu. Chính sách bảo mật phải dễ hiểu, không che giấu trong điều khoản dài dòng.
3. Quyền của chủ thể dữ liệu
GDPR trao nhiều quyền: truy cập, chỉnh sửa, xóa (quyền được lãng quên), hạn chế xử lý và di chuyển dữ liệu. Doanh nghiệp cần quy trình đáp ứng các yêu cầu này trong thời hạn luật định.
4. Bảo mật theo thiết kế và mặc định
Privacy by Design yêu cầu tích hợp bảo vệ dữ liệu ngay từ khâu thiết kế hệ thống, không phải vá lỗi về sau. Mã hóa và giả danh hóa (pseudonymisation) là biện pháp được khuyến nghị.
5. Thông báo vi phạm dữ liệu
Khi xảy ra rò rỉ dữ liệu, doanh nghiệp phải thông báo cho cơ quan giám sát trong vòng 72 giờ, và cho người bị ảnh hưởng nếu rủi ro cao. Chuẩn bị quy trình ứng phó sự cố trước là bắt buộc.
6. Hợp đồng với bên xử lý dữ liệu
Khi thuê bên thứ ba (cloud, analytics), cần Data Processing Agreement ràng buộc trách nhiệm bảo mật. Chuyển dữ liệu ra ngoài EU phải có cơ chế bảo vệ phù hợp.
7. Trách nhiệm giải trình (accountability)
Doanh nghiệp phải chứng minh được sự tuân thủ qua hồ sơ xử lý, đánh giá tác động (DPIA) và — với quy mô lớn — bổ nhiệm DPO (Data Protection Officer).
Mức phạt GDPR có thể lên tới 20 triệu EUR hoặc 4% doanh thu toàn cầu. Tuân thủ không chỉ tránh phạt mà còn là lợi thế cạnh tranh về niềm tin.
Data Security Specialist & Information Security Auditor, chuyên Zero Trust, GDPR/ISO 27001 cho khối Tài chính – Ngân hàng. Chứng chỉ CISSP, CISA, CEH, OSCP. Xem hồ sơ chuyên môn tại trang chủ hoặc kết nối qua LinkedIn.