Việc Cambridge Analytica sử dụng sai dữ liệu của người dùng Facebook đã thu hút được sự chú ý của hàng triệu người trên toàn cầu. Nó khiến mọi người nhận ra tầm quan trọng của quyền riêng tư và bảo vệ dữ liệu hơn bao giờ hết. Với việc mọi người đang quan tâm rất nhiều đến việc tăng cường giám sát về quyền riêng tư và bảo mật dữ liệu. Xin chân thành cảm ơn Liên minh Châu Âu, những người đã hiểu rõ vấn đề về cách tổ chức lưu trữ, xử lý, phân tích và sử dụng dữ liệu cá nhân của khách hàng và đưa ra quy định chặt chẽ - GDPR xác định các quy tắc mới nghiêm ngặt về bảo vệ dữ liệu khách hàng.
Vậy quy định này nói lên điều gì, hãy cùng tìm hiểu trong bài viết này.
GDPR là gì?
GDPR hoặc Quy định chung về bảo vệ dữ liệu, là luật của liên minh châu Âu có thể tác động đến bất kỳ công ty nào nắm giữ hoặc xử lý dữ liệu cho công dân EU. Nó được đóng khung để đưa ra các điều khoản cho các doanh nghiệp để bảo vệ dữ liệu cá nhân của công dân EU trong quá trình giao dịch tại các quốc gia thành viên EU.
Các vấn đề về dữ liệu là tin tức quan trọng trong vài tháng qua, với việc các ông trùm công nghệ lớn đang bị sa thải vì quản lý và bảo mật dữ liệu kém. GDPR buộc các công ty phải quan tâm và xử lý dữ liệu cá nhân của công dân một cách hợp lý. Do đó, nó đảm bảo cách họ sử dụng dữ liệu, phù hợp với kỳ vọng của công chúng và quyền riêng tư. Theo luật này, các tổ chức cũng chỉ được lưu giữ và xử lý dữ liệu thực sự cần thiết.
GDPR nhằm mục đích bảo vệ quyền riêng tư của dữ liệu, bao gồm:
Thông tin cơ bản như tên, địa chỉ, số ID, chi tiết liên hệ, v.v.
- Dữ liệu sinh trắc học
- Dữ liệu chủng tộc / Dân tộc
- Ý kiến chính trị
- Dữ liệu web như Vị trí, Địa chỉ IP, Dữ liệu cookie, v.v.
Mặc dù GDPR sẽ được thực thi vào ngày 25 tháng 5 năm 2018, nhưng ý tưởng này đã có từ hai năm trước vào tháng 4 năm 2016.
Theo GDPR, Dữ liệu Cá nhân phải là:
- Được xử lý công bằng và minh bạch, khách hàng nên biết rõ về cách dữ liệu của họ được sử dụng hoặc sẽ được sử dụng.
- Chỉ được ghi lại cho mục đích cụ thể và hợp pháp.
- Được bảo quản chính xác, chỉ nên cập nhật và sử dụng khi cần thiết.
- Được chuẩn bị &xử lý theo cách đảm bảo bảo vệ dữ liệu.
Đọc thêm:5 bộ phim tài liệu truyền cảm hứng cho bạn trở nên an toàn hơn khi trực tuyến
Tại sao cần có GDPR?
Lý do đằng sau việc soạn thảo GDPR là mong muốn của Liên minh Châu Âu đưa ra luật Bảo vệ dữ liệu và quyền riêng tư của dữ liệu. Giống như cách dữ liệu của mọi người được sử dụng đặc biệt bởi các nền tảng như Amazon, Facebook, Google, Twitter, những người đóng gói người dùng với Phần mềm quảng cáo miễn là những gã khổng lồ công nghệ này đang bán thông tin của người dùng cho họ. Kết quả nguy hiểm của việc cho phép rộng rãi như vậy đã được minh họa rõ ràng trong trường hợp Cambridge Analytica, nơi hàng triệu hồ sơ được thu thập để ảnh hưởng đến cuộc bầu cử Tổng thống Hoa Kỳ năm 2016.
Lý do tiếp theo là khắc phục các vấn đề dữ liệu mà Internet &Cloud đang cho phép các nền tảng này sử dụng và lạm dụng dữ liệu cá nhân của công chúng.
Loại công ty nào tuân theo quy định này?
- Bất kỳ công ty nào lưu trữ hoặc kiểm soát dữ liệu công dân Liên minh Châu Âu trong các quốc gia thuộc Liên minh Châu Âu.
- Không cần biết công ty không thuộc ranh giới của Liên minh Châu Âu, ngay cả khi công ty có khách hàng Châu Âu &công ty lưu trữ dữ liệu của họ theo bất kỳ cách nào. Công ty cụ thể đó cũng sẽ khả thi theo GDPR.
- Công ty với hơn 250 nhân viên.
- Ít hơn 250 thành viên, nhưng hệ thống xử lý dữ liệu của nó ảnh hưởng đến chủ đề dữ liệu hoặc bao gồm thông tin nhạy cảm về cư dân châu Âu.
Về cơ bản, điều này có nghĩa là, hầu hết mọi công ty đều phải xem xét GDPR, ưu tiên hàng đầu trong số các mục tiêu và quy định của công ty họ.
GDPR có ý nghĩa gì đối với các tổ chức?
Bất kỳ tổ chức nào nắm giữ và sử dụng dữ liệu của Công dân Liên minh Châu Âu đều phải tuân thủ các quy định mới theo luật này, bất kể công ty có trụ sở ở đâu. Cho đến nay, các công ty đã từng khai thác dữ liệu bằng cách tích lũy nó thông qua nhiều phương tiện khác nhau. Nhưng điều này sẽ được chấm dứt ngay bây giờ. Tất cả các tổ chức sử dụng dữ liệu của người dùng bằng cách theo dõi hành vi trực tuyến của họ phải thu thập được sự đồng ý từ khách hàng bằng ngôn ngữ thân thiện với người dùng và họ có thể sử dụng bộ dữ liệu này trong một khoảng thời gian giới hạn.
Nó có ý nghĩa gì đối với một giáo dân?
Vì các tổ chức bắt buộc phải đồng ý với người dùng của họ trước khi tìm kiếm thông tin cá nhân của họ. Người dùng sẽ thường xuyên gặp phải cảnh báo và yêu cầu đồng ý. Đó là nỗ lực tập thể, vì vậy người dùng cũng được khuyên nên xem qua các điều khoản và điều kiện ít nhất một lần.
Doanh nghiệp phải thực hiện những thay đổi nào?
Do sắp có Quy định chung về bảo vệ dữ liệu, các công ty phải áp dụng nhiều cách tiếp cận khác nhau để lưu trữ và xử lý dữ liệu cá nhân với sự đồng ý của cá nhân.
- Đảm bảo rằng bạn có một nơi an toàn để lưu trữ tất cả dữ liệu nhạy cảm của mình. Đảm bảo dữ liệu là chính xác và bí mật. Có sẵn bất cứ khi nào được yêu cầu, được mã hóa và sao lưu tốt.
- Hãy nhớ rằng các nhà cung cấp của bạn cũng tuân thủ GDPR. Bất kỳ nhà cung cấp dịch vụ nào bạn sử dụng để xử lý dữ liệu đều phải tuân thủ các tiêu chuẩn GDPR.
- Báo cáo Văn phòng Ủy viên Thông tin (ISO) nếu xảy ra bất kỳ vi phạm dữ liệu nào, phải báo cáo trong vòng 72 giờ. Bạn chỉ cần một thao tác chạm có thể nhanh chóng phát hiện và phản hồi các vi phạm dữ liệu.
- Hãy cập nhật, vì nhiều truy vấn sẽ phát sinh, vì mọi người sẽ nhận thức rõ hơn về quyền riêng tư dữ liệu của họ. Họ có thể sẽ hỏi bạn đang nắm giữ và sử dụng dữ liệu như thế nào, vì vậy bạn cần phải tiếp thu rất nhanh những yêu cầu đó.
- Bạn sẽ cần chỉ định một DPO có thể đảm bảo việc bảo vệ PII mà không có xung đột lợi ích. Tùy thuộc vào tổ chức, không nhất thiết phải thuê DPO toàn thời gian. Bạn cũng có thể thuê một DPO ảo, người có thể hoạt động như một nhà tư vấn và làm việc khi bạn cần.
- Bạn bắt buộc phải tạo một kế hoạch bảo vệ dữ liệu đã được sửa đổi &cập nhật phù hợp với các yêu cầu của GDPR.
- Các công ty nhỏ có thể bị ảnh hưởng đáng kể bởi GDPR so với các công ty khác. Họ có thể không có nguồn lực thích hợp để đáp ứng các yêu cầu của GDPR - Các nguồn lực bên ngoài, cố vấn và chuyên gia kỹ thuật có thể là trợ thủ đắc lực cho họ trong suốt quá trình và giảm thiểu gián đoạn nội bộ.
- GDPR yêu cầu tính minh bạch hoàn toàn. Vì vậy, người dùng có thể yêu cầu xóa dữ liệu của họ bất cứ lúc nào, (tức là có quyền được quên). Thực hiện các chỉnh sửa với dữ liệu và thậm chí có thể kiểm soát dữ liệu của họ bằng cách tuân theo một cấu trúc chính thức. Và trong trường hợp vi phạm dữ liệu xảy ra, họ phải được thông báo càng sớm càng tốt.
Đọc thêm:7 xu hướng có thể Mời thêm các cuộc tấn công mạng
Công nghệ có thể giúp các doanh nghiệp tuân thủ GDPR như thế nào?
Với sự xuất hiện của GDPR, các công ty nên dành nguồn lực để bảo vệ dữ liệu khỏi vi phạm, quản lý rủi ro và tuân thủ. Ngay cả khi công ty của bạn không nằm trong Liên minh Châu Âu, GDPR bao gồm tất cả dữ liệu của công dân Liên minh Châu Âu trong trường hợp công ty của bạn xử lý dữ liệu đó, nó phải tuân thủ quy định. Do lượng dữ liệu được xử lý và xử lý quá nhiều, quy định này được báo cáo là một trong những quy định đắt nhất trong lịch sử. Điều quan trọng là các công ty phải xác định rõ ràng &đáp ứng các chính sách và thủ tục theo luật GDPR để tuân thủ. Vì vậy, các tổ chức nên rút lại tất cả trước khi luật này có hiệu lực, nếu không sẽ bị phạt 4% dựa trên doanh thu toàn cầu hoặc 20 triệu euro (tùy theo số tiền nào lớn hơn).
Dưới đây được đề cập là một số công nghệ tuyệt vời có thể giúp các công ty đáp ứng nhu cầu của GDPR.
Quản lý và bảo mật dữ liệu
Bảo vệ dữ liệu của một công ty có nghĩa là hạn chế việc truy cập trái phép vào nó. Dữ liệu dễ bị vi phạm ngay cả khi vị trí của nó là công khai, vì vậy, ban đầu để ngăn chặn những kẻ xâm nhập vi phạm là bảo vệ vị trí nơi dữ liệu được lưu trữ. Để bảo mật dữ liệu, cần phải mã hóa nó bằng các thuật toán nhất định để xây dựng bức tường chống lại sự xâm phạm dữ liệu. Kể từ khi áp dụng Điện toán đám mây, tổ chức có thể ổn định với suy nghĩ rằng dữ liệu của họ được lưu trữ được bảo vệ tốt và nằm ngoài tầm với của bất kỳ thiệt hại vật chất nào. Dữ liệu được mã hóa giúp nhân viên bảo vệ dữ liệu không cần phải theo dõi dữ liệu vì phải cung cấp khóa giải mã để đọc, chỉnh sửa và quản lý dữ liệu. Ngoài các phương tiện bảo mật, các tổ chức cần duy trì việc kiểm tra thông tin để theo dõi các giao dịch của dữ liệu như dữ liệu từ đâu đến, nó tồn tại trong cơ sở dữ liệu trong bao lâu và cách nó được chia sẻ, do đó giải quyết việc quản lý dữ liệu tốt hơn.
Chuỗi khối
Đây là một trong những công nghệ mới nổi nhất trong vài năm trở lại đây, chắc chắn bản thân nó đã nắm giữ rất nhiều sức mạnh và đã chứng tỏ giá trị của nó theo thời gian. Blockchain cho phép lưu trữ dữ liệu trong các sổ cái phân tán, nơi nó được lưu giữ bằng mật mã. Lưu trữ dữ liệu trong sổ cái phân tán có nghĩa là phân cấp dữ liệu giữa các vị trí địa lý khác nhau và những người đóng vai trò là “nhân chứng” trong trường hợp xảy ra tấn công mạng. Dữ liệu được lưu trữ trong các sổ cái này là bất biến, tức là không thể chỉnh sửa hoặc xóa. Nó giảm thiểu xác suất tấn công thành công xuống gần như không vì mọi bản sao được phân phối phải bị tấn công đồng thời.
Nền tảng hỗ trợ API
Mọi tổ chức phải tập trung vào kiến trúc quản lý API để áp dụng các quy tắc nhằm thu thập sự đồng ý cho việc thu thập nội dung và thông báo cho người dùng về các quy định truy cập dữ liệu. Đây là một nền tảng nhanh hơn và rẻ hơn, vì nó giảm thiểu lượng thời gian mà nhà phát triển yêu cầu để kết nối công nghệ với một tổ chức.
GDPR sẽ tác động như thế nào đến Ngành Công nghệ?
Theo các ngành công nghệ, GDPR là "thách thức tuân thủ thảm khốc nhất trong lịch sử". GDPR được thiết lập để thay đổi hệ thống thu thập và sử dụng dữ liệu người dùng. Nhiều công ty công nghệ khác nhau sẽ phải đối mặt với những thách thức để sẵn sàng tuân thủ GDPR. Thách thức lớn đối với tất cả các công ty gần đây đang thao túng thông tin người dùng là ghi lại tất cả “dữ liệu cá nhân” của người dùng. Có một số nguyên tắc mô tả tất cả những gì được phân loại trong “dữ liệu cá nhân”. Các công ty sẽ phải bàn giao dữ liệu ở định dạng có thể tải xuống hoặc xóa nó theo yêu cầu. Toàn bộ quy trình này sẽ cần nhiều nhân viên được thuê bởi các công ty sẽ không hề rẻ chút nào. Các công ty điện toán đám mây là những công ty sẽ bị ảnh hưởng nặng nề nhất vì người dùng có thể yêu cầu xóa toàn bộ dữ liệu của họ, đây sẽ là một vấn đề đối với việc lưu trữ đám mây cung cấp máy chủ lưu trữ và lưu trữ dữ liệu thay cho các công ty khác.
Chỉ một số công ty đã báo cáo về sự sẵn sàng tuân thủ quyền riêng tư của dữ liệu, số còn lại phải tốn rất nhiều tiền mới có thể trở thành một công ty.
GDPR và Truyền thông xã hội
Facebook sở hữu nền tảng chia sẻ ảnh “Instagram” sẽ sớm tung ra một công cụ giúp người dùng tải xuống dữ liệu cá nhân của họ, bao gồm ảnh, video và tin nhắn. Khi chuẩn bị cho GDPR của EU, công cụ này sẽ giúp người dùng tìm hiểu thông tin họ chia sẻ với Instagram. Theo báo cáo, Người phát ngôn của Instagram cho biết, “Chúng tôi đang xây dựng một công cụ di chuyển dữ liệu mới. Bạn sẽ sớm có thể tải xuống bản sao của những gì bạn đã chia sẻ trên Instagram, bao gồm ảnh, video và tin nhắn của bạn. ”
Vì GDPR nhằm trao quyền cho khách hàng - họ có thể yêu cầu xóa dữ liệu hoặc chọn không tham gia thu thập dữ liệu trong tương lai hoặc yêu cầu bản sao dữ liệu mà họ đang sử dụng để chuyển tiếp sang các nền tảng khác nhau. Sẽ sớm có thêm thông tin chi tiết về các công cụ, tính năng của nó. Nhưng hiện tại, nó sẽ cho phép bạn tải xuống và xuất những gì bạn đã chia sẻ với Instagram.
Đọc thêm:An ninh mạng đang cải thiện hay tệ hơn?
Hướng tới tương lai:
Thông điệp dành cho các tổ chức là phải biết về cơ sở dữ liệu của bạn như nơi lưu trữ thông tin hoặc dữ liệu nhạy cảm của bạn, ai có quyền truy cập và ai sẽ có quyền truy cập vào cơ sở dữ liệu đó- tuy nhiên sẽ trở thành một vấn đề quan trọng.
Tất cả các tổ chức quy mô vừa và lớn cần phải sẵn sàng tuân thủ GDPR trước tháng 5 năm 2018. Hơn nữa, GDPR mang đến cơ hội tuyệt vời cho các tổ chức nâng cấp khả năng bảo mật của họ. Mặc dù nó có thể thay đổi suy nghĩ của các tổ chức kinh doanh khác nhau kể từ khi họ coi dữ liệu của họ như một tài sản và khai thác nó mà không có bất kỳ quy định nào nhưng từ bây giờ các tổ chức này sẽ phải chi tiết hơn nhiều về dữ liệu tích lũy của họ và luồng dữ liệu.