Luật gdpr là gì

Một thành phần nhỏ nhưng rất quan trọng trong GDPR: Luôn tương thích với USB mã hóa Kingston

Quản lý nguy cơ và giảm rủi ro

Các tùy chọn sẵn có đáp ứng mọi nhu cầu từ cá nhân, doanh nghiệp đến chính phủ.

• Lưu trữ dữ liệu trên USB mã hóa tuân thủ 100%
• Đơn giản, dễ dùng, không cần phần mềm hoặc trình điều khiển
• Được thiết kế để triển khai nhanh và hiệu quả

EU GDPR: 5 lĩnh vực chính cần chú ý

1. Mã hóa - Tính bảo mật của các tiêu chuẩn xử lý dữ liệu [Điều 32, Tính bảo mật của quá trình xử lý]
2. Bổ nhiệm Viên chức Bảo vệ Dữ liệu [DPO]
3. Thiết lập Chương trình An ninh Mạng
4. Trách nhiệm giải trình được ghi thành văn bản
5. Đồng ý là đã hiểu

Có hình phạt nào khi không tuân thủ không?

• Theo GDPR, những tổ chức nào vi phạm GDPR có thể bị phạt lên đến 4% tổng doanh thu toàn cầu hàng năm hoặc khoảng 21,952 triệu USD [€20 triệu - tùy theo con số nào lớn hơn].
• Công ty có thể bị phạt 2% nếu không có hồ sơ hợp lệ [điều 28], không thông báo với cơ quan giám sát và chủ thể dữ liệu về một sự cố xâm phạm hoặc không thực hiện đánh giá tác động.
• Cũng cần phải lưu ý rằng những quy định này áp dụng với cả người kiểm soát và người xử lý - nghĩa là "đám mây" sẽ không được miễn thực hiện GDPR.

Tôi cần biết những gì?

Đề án này ảnh hưởng thế nào đến công ty của tôi?

• Bất kỳ công ty nào làm việc với thông tin liên quan đến công dân EU đều sẽ phải tuân thủ
• Cũng cần phải lưu ý rằng những quy định này áp dụng với cả người kiểm soát và người xử lý - nghĩa là "đám mây" sẽ không được miễn thực hiện GDPR
• Áp dụng đối với tất cả mọi công ty ─ thuộc EU và/hoặc không thuộc EU ─ xử lý dữ liệu của công dân EU
• Yêu cầu các công ty xử lý hoặc lưu giữ thông tin nhận dạng cá nhân thực thi đầy đủ các biện pháp bảo mật để bảo vệ dữ liệu cá nhân khỏi bị đánh cắp.

Công ty của tôi cần làm gì để bảo đảm sự tuân thủ?

• Tự đánh giá - Những công ty có từ 250 nhân viên trở lên cần có một Viên chức Bảo vệ Dữ liệu. Các công ty cần thực hiện đánh giá nội bộ việc xử lý thông tin nhận dạng cá nhân của nhân viên và khách hàng
• Lập sơ đồ các sản phẩm / thiết bị nội bộ và bên ngoài có lưu trữ dữ liệu - Lập sổ theo dõi và yêu cầu các thiết bị mà công ty sử dụng phải thực hiện theo chính sách bảo mật dữ liệu của công ty bạn và bảo đảm rằng dữ liệu được mã hóa. Các thiết bị, bao gồm nhưng không chỉ là: máy chủ, ổ cứng, SSD, thẻ USB Flash, máy tính và thiết bị di động
• Phân tích kho dữ liệu - Đánh giá tổng lượng dữ liệu cá nhân
• Thanh lọc - Loại bỏ các hồ sơ thông tin nhận dạng cá nhân không cần thiết [PII]
• Người kiểm soát thông tin - Đánh giá các nguy cơ về bảo mật thông tin cá nhân và đánh giá tác động
• Hợp đồng - Bảo vệ tương lai công ty bạn bằng cách thực thi ngay từ bây giờ các chính sách sẽ trở thành bắt buộc sau ngày bắt đầu có hiệu lực vào tháng 5 năm 2018
• Xâm phạm dữ liệu - Quy định yêu cầu thông báo trong vòng 72 giờ

Giải pháp - Thực thi các biện pháp bảo vệ phù hợp, tiêu chuẩn và chính sách kỹ thuật như: mã hóa dữ liệu cá nhân / thông tin nhận dạng cá nhân [PII] để giảm thiểu nguy cơ không tuân thủ [Tìm hiểu thêm – Các thực hành tốt nhất về tiêu chuẩn USB mã hóa]

Mã hóa dữ liệu

• Một ổ USB mã hóa Kingston và IronKey là một trong những giải pháp để chuẩn hóa việc tuân thủ mã hóa dữ liệu
• Thực thi “các biện pháp kỹ thuật và tổ chức phù hợp để bảo đảm một mức độ bảo mật phù hợp đối với rủi ro, bao gồm…mã hóa dữ liệu cá nhân" [Điều 32, Tính bảo mật của quá trình xử lý]
• Đề xuất yêu cầu các công ty mã hóa dữ liệu nhạy cảm cả trong lúc di chuyển và lúc nghỉ.
• Yêu cầu các công ty xử lý hoặc lưu giữ thông tin nhận dạng cá nhân của công dân EU thực thi đầy đủ các biện pháp bảo mật để bảo vệ dữ liệu cá nhân khỏi bị đánh cắp.
• Yêu cầu các công ty phải thực hiện những tiêu chuẩn xử lý dữ liệu mạnh hơn này trong hợp đồng với các nhà cung cấp dịch vụ bên thứ ba.

Mở rộng phạm vi lãnh thổ [áp dụng với cả bên ngoài lãnh thổ]

Đây có lẽ là thay đổi lớn nhất về tình trạng quy định về bảo mật thông tin cá nhân.

• Phạm vi mở rộng của GDPR được áp dụng cho tất cả các công ty xử lý dữ liệu cá nhân của các chủ thể dữ liệu cư ngụ tại Liên minh, bất kể địa điểm của công ty ở đâu.

Thông báo xâm nhập

Phải thông báo về việc dữ liệu bị xâm nhập trong vòng 72 giờ kể từ khi biết được sự cố đó, nếu khả thi mặc dù không cần phải thông báo với DPA nếu việc đó khó có khả năng gây rủi ro cho quyền hoặc tự do của các cá nhân.

Quyền lợi mới của người tiêu dùng

Lợi ích của người tiêu dùng

• Có thêm phương tiện bảo vệ nhờ GDPR và khả năng tiếp tục được ẩn danh
• Trao quyền cho người tiêu dùng bằng cách trao cho họ quyền lựa chọn nếu họ không muốn chia sẻ dữ liệu
• Những quyền mới mạnh hơn cho người tiêu dùng - ’quyền được lãng quên’ - là quyền về việc di chuyển dữ liệu yêu cầu các công ty thôi không sử dụng dữ liệu của họ nữa
• Những công ty không tuân thủ những quyền này của người tiêu dùng sẽ bị người tiêu dùng và pháp nhân kiện nhiều hơn

Sự đồng ý

Các điều kiện về đồng ý đã được siết chặt thêm nên các công ty sẽ không còn có thể sử dụng những điều khoản và điều kiện dài dòng khó hiểu chứa đầy những thuật ngữ luật vì nội dung xin đồng ý phải được viết dưới dạng dễ hiểu và dễ tiếp cận và phải ghi cả mục đích xử lý dữ liệu đi kèm với sự đồng ý đó.

• Nội dung đồng ý phải rõ ràng và phân biệt với các vấn đề khác và được trình bày dưới dạng dễ hiểu và dễ tiếp cận, bằng ngôn ngữ rõ ràng và đơn giản. Việc rút lại nội dung đồng ý cũng phải được thực hiện dễ dàng như khi đồng ý vậy.

Quyền được quên lãng

Cũng được gọi là xóa dữ liệu, quyền được quên lãng cho phép chủ thể dữ liệu yêu cầu người kiểm soát dữ liệu xóa dữ liệu cá nhân của mình, ngưng phổ biến dữ liệu thêm nữa và có thể yêu cầu bên thứ ba ngưng xử lý dữ liệu. Điều kiện xóa, được ghi rõ trong [điều 17], bao gồm việc dữ liệu không còn liên quan đến mục đích xử lý ban đầu, hoặc chủ thể dữ liệu rút lại sự đồng ý.

Cũng cần chú ý rằng quyền này yêu cầu người kiểm soát dữ liệu so sánh quyền của chủ thể với "sự quan tâm của công chúng khi dữ liệu được công bố" khi xem xét những yêu cầu đó.

Thông tin nhận dạng cá nhân [PII] là gì?

Thông tin nhận dạng cá nhân [PII] chỉ những dữ liệu được lưu giữ về công dân EU mà nếu bị tiết lộ có thể gây tổn hại đến những người mà thông tin của họ đã bị rò rỉ. PII bao gồm hồ sơ y tế, dữ liệu sinh trắc, số hộ chiếu và thông tin nhận dạng tài chính cá nhân [PIFI] như các chi tiết về an sinh xã hội và thẻ tín dụng. Những thông tin có thể không được coi là PII như họ và tên có thể sẽ trở thành PII nếu được liên kết với những dữ liệu khác.

• Tài sản dữ liệu của một công ty cần phải được xác định là một phần của đánh giá rủi ro, bao gồm cách dữ liệu được lưu trữ và truy cập, mức độ của nguy cơ bị lộ và liệu nó có chứa PII hay không. Tài sản dữ liệu có thể được lưu trữ trong các cơ sở dữ liệu ứng dụng, hệ thống tập tin máy chủ và trên các thiết bị của người dùng trực tiếp.

Những phần cần lưu ý

• Một bộ quy tắc duy nhất trên toàn EU — một bộ luật duy nhất trên toàn EU về bảo vệ dữ liệu ước tính sẽ tiết kiệm được €2,3 tỷ mỗi năm
• Một viên chức bảo vệ dữ liệu, chịu trách nhiệm về bảo vệ dữ liệu, sẽ được các cơ quan công quyền và các công ty xử lý dữ liệu trên quy mô lớn chỉ định
• Cơ chế một cửa – các công ty chỉ phải làm việc với một cơ quan giám sát duy nhất [tại quốc gia EU nơi mà công ty chủ yếu hoạt động]
• Quy định của EU cho các công ty không thuộc EU – các công ty nằm ngoài EU phải áp dụng các quy định tương tự khi cung cấp dịch vụ hoặc hàng hóa, hoặc giám sát hành vi của các cá nhân thuộc EU
• Quy định hỗ trợ đổi mới sáng tạo – một bảo đảm rằng các biện pháp bảo vệ dữ liệu được tích hợp vào các sản phẩm và dịch vụ từ giai đoạn phát triển sớm nhất [bảo vệ dữ liệu từ khâu thiết kế và là mặc định]
• Kỹ thuật hỗ trợ sự riêng tư như biệt danh hóa [khi các trường định danh trong một bản ghi dữ liệu được thay thế bằng một hoặc nhiều mã định danh nhân tạo] và mã hóa [khi dữ liệu được mã hóa theo cách mà chỉ các bên được cấp quyền mới có thể đọc được]
• Đánh giá tác động – các công ty sẽ phải thực hiện các đánh giá tác động khi quá trình xử lý dữ liệu có thể gây ra rủi ro cao cho các quyền và tự do của cá nhân
• Lưu giữ hồ sơ – các doanh nghiệp nhỏ và vừa không phải lưu giữ hồ sơ về các hoạt động xử lý, trừ phi việc xử lý diễn ra thường xuyên hoặc có khả năng gây ra rủi ro đối với các quyền và tự do của người có dữ liệu đang được xử lý

Xem thêm

Những mốc thời gian quan trọng trong Quy định chung về Bảo vệ Dữ liệu [GDPR]

• 31 tháng 1 năm 2018 PCI-DSS v3.2 – Yêu cầu về xác thực nhiều bước [8.3.1] - Ảnh hưởng đến các công ty toàn cầu
• 30 tháng 6 năm 2018 PCI-DSS v3.2 – Yêu cầu về nâng cấp mã hóa SSL [2.2.3, 2.3, 4.1] - Ảnh hưởng đến các công ty toàn cầu
• Tháng 4 năm 2018 PSD2 – Chỉ thị Dịch vụ Thanh toán 2 - Ảnh hưởng đến các công ty châu Âu
• Tháng 5 năm 2018 GDPR – Quy định chung về bảo vệ dữ liệu - Ảnh hưởng đến các công ty toàn cầu

Thông tin bổ sung

• Sử dụng và khuyến khích sử dụng thẻ USB Flash mã hóa trong công ty của bạn
  
• Cảnh báo USB: Khóa dữ liệu của bạn
• Vô hiệu hóa mối đe dọa USB
• //www.eugdpr.org
• //www.eugdpr.org/gdpr-faqs.html