Có hiệu lực từ tháng 5 năm 2016, được triển khai từ tháng 5 năm 2018 - Quy định bảo vệ dữ liệu chung của EU (GDPR) vẫn khiến nhiều công ty băn khoăn: Chúng tôi có bị ảnh hưởng không? Và nếu vậy: Làm thế nào để chúng tôi đạt được sự chắc chắn về mặt pháp lý? Và chúng ta có thể làm gì để tuân thủ bảo vệ dữ liệu?
Loading...
Kể từ tháng 5 năm 2018, các công ty xử lý dữ liệu cá nhân - và có khá nhiều công ty trong số đó - phải sẵn sàng chịu một khoản tiền phạt khổng lồ. Các hình phạt cho vi phạm dữ liệu có thể là đáng kể. Và điều này luôn xảy ra nếu họ không tuân thủ đầy đủ các yêu cầu của GDPR mới. Ngoài ra, phiên bản mới của luật bảo vệ dữ liệu liên bang Đức (BDSG) bổ sung và GDPR. Tuy nhiên, ở đây, sự không chắc chắn chiếm ưu thế ở mọi nơi:
- "Dữ liệu cá nhân" là gì?
- Chúng tôi có phải là "thực thể chịu trách nhiệm" theo GDPR không?
- "Chủ thể dữ liệu" là ai?
- Chính xác thì "xử lý tự động" dữ liệu cá nhân nghĩa là gì?
- Chúng tôi có phải chỉ định một nhân viên bảo vệ dữ liệu không?
Những biện pháp nào phải được thực hiện
Danh sách các câu hỏi tuân thủ bảo vệ dữ liệu cần được giải quyết còn dài.
Đúng là định nghĩa của các thuật ngữ được sử dụng trong quy định có thể được tìm thấy trong danh sách Câu hỏi thường gặp. Tuy nhiên, điều này không nhất thiết đảm bảo sự rõ ràng về ý nghĩa cụ thể đối với từng công ty. Chậm nhất là khi việc thực hiện và tuân thủ các biện pháp và nhiệm vụ cần thiết (vì bắt buộc) của nhân viên đang chờ xử lý, phải có câu trả lời đúng cho những câu hỏi đó, ví dụ:
- "biện pháp tổ chức-kỹ thuật" là gì?
- Khi nào chúng cần thiết?
- Còn mức độ "tương xứng" thì sao?
- Còn nhiều "kiểm soát" theo yêu cầu của GDPR, chẳng hạn như "kiểm soát truy cập hoặc tiết lộ" thì sao?
- Làm thế nào có thể đảm bảo tuân thủ bảo vệ dữ liệu?
Bảo vệ dữ liệu so với bảo mật thông tin
Trong mọi trường hợp, bước đi đúng đắn đối với một công ty bị ảnh hưởng là thiết lập một hệ thống quản lý bảo vệ dữ liệu hiệu quả - phù hợp với nhu cầu cá nhân của công ty, nếu cần thiết nhằm đạt được chứng nhận được công nhận.
Điều thường bị nhầm lẫn ở đây: Bảo vệ dữ liệu và bảo mật thông tin là hai đôi giày, ngay cả khi có sự chồng chéo (ví dụ: các biện pháp kiểm soát khác nhau). Ví dụ: các công ty có hệ thống quản lý bảo mật thông tin toàn diện (ISMS) theo tiêu chuẩn ISO 27001 đề cập đến chủ đề bảo vệ dữ liệu ở một mức độ nhất định.
Nhưng ngay cả ở đây, vẫn có một vùng delta có thể được phát hiện và đóng lại dù có hoặc không có ISMS bằng cách sử dụng phân tích gap.
"Sự khác biệt cơ bản giữa hai chủ đề: Bảo mật thông tin bảo vệ dữ liệu của công ty khỏi bị bên thứ ba lạm dụng; bảo vệ dữ liệu nhằm bảo vệ dữ liệu cá nhân."
Vào tháng 8 năm 2019, với ISO 27701, một tiêu chuẩn mới đã được xuất bản nhằm xây dựng các yêu cầu về bảo vệ dữ liệu trong quản lý bảo mật thông tin. Do đó, ISO 27701 chỉ định hệ thống quản lý bảo vệ dữ liệu dựa trên ISO 27001, ISO 27002 (hướng dẫn về các biện pháp bảo mật thông tin) và ISO 29100 (khung bảo vệ dữ liệu). ISO 27701 là phần bổ sung cho ISO 27001. Chứng nhận theo tiêu chuẩn mới là không thể.
Tuân thủ bảo vệ dữ liệu - lợi ích
Bạn nhận được
- Thông tin đáng tin cậy về các lĩnh vực hành động
- Kiến thức về tiềm năng tiềm ẩn
- Bảo mật hơn về hành động và sự chắc chắn về mặt pháp lý trong việc xử lý dữ liệu sau khi thực hiện các biện pháp thích hợp
Về mặt an toàn - với đánh giá bảo vệ dữ liệu của DQS
Do đó, các công ty đang cố gắng tuân thủ việc bảo vệ dữ liệu nên thực hiện hai việc: làm quen với chủ đề này hoặc các nhân viên tuân thủ của họ về chủ đề này càng nhanh càng tốt và để một cơ quan độc lập như DQS xác định hiện trạng dưới dạng phân tích lỗ hổng.
Trọng tâm của cuộc đánh giá bảo vệ dữ liệu như vậy là tự đánh giá với việc xem xét tài liệu. Sau đó, công ty được kiểm tra tại chỗ để xác định xem nó có tuân thủ các khía cạnh bảo vệ dữ liệu thiết yếu hay không. Báo cáo cho biết liệu có cần phải hành động hay không và nếu có thì hành động nào là cần thiết.
Loading...
Bảo vệ dữ liệu phân tích lỗ hổng DQS
Bạn cần làm bao nhiêu công việc để phân tích GAP? Cùng tìm hiểu các thông tin miễn phí
Bản tin DQS
Luôn cập nhật thông tin và đăng ký nhận bản tin của chúng tôi!
Tác giả
Gert Krueger
Chuyên gia và quản lý dự án về bảo mật thông tin, BSI-KritisV, bảo vệ dữ liệu tại DQS. Ngoài ra, đánh giá viên lâu năm về quản lý chất lượng và môi trường.
Loading...