Khi thời hạn kích hoạt GDPR sắp đến gần, sự chuẩn bị điên cuồng của các công ty sắp kết thúc. Nhận thấy số lượng lớn các vụ vi phạm dữ liệu, EU đã tiến thêm một bước để đặt quyền riêng tư của người dùng thành ưu tiên hàng đầu đối với các tổ chức.
Khuôn khổ mới về Bảo mật &Bảo vệ Dữ liệu này đã khuếch đại nhiều tính bắt buộc khác nhau đối với các Tổ chức. Mặc dù một số công ty đã tuân thủ GDPR nhưng vẫn có một số công ty đang gặp khó khăn trong việc điều chỉnh quy định này.
Việc triển khai GDPR không phải là vấn đề của một ngày hay một tháng. Nhưng sau đó, các công ty phải sửa đổi toàn bộ chính sách, thủ tục và quy trình nội bộ của mình để đáp ứng yêu cầu Tuân thủ GDPR.
Hãy đọc các bài viết trước của chúng tôi để có được bức tranh toàn cảnh về GDPR, Tác động của GDPR và những việc doanh nghiệp đang thực hiện để đáp ứng nhu cầu Tuân thủ GDPR.
Dưới đây là danh sách tất cả những thách thức lớn mà GDPR mang lại!
Khả năng thích ứng
Ngày 25 tháng 5 chỉ là một điểm khởi đầu. Ngôn ngữ được sử dụng trong GDPR khá mơ hồ, điều này đang tạo ra vấn đề cho các công ty trong việc hiểu các quy trình. Theo báo cáo chỉ có 25% doanh nghiệp có ý kiến nghiêm túc về quy định này. Ngoài ra, mối quan tâm chính là chi phí để đạt được nó- Vô số thay đổi và cập nhật trong chính sách nội bộ đòi hỏi đầu tư và nỗ lực rất lớn.
Ngoài ra, các chuẩn mực và quy định này là mới nên các công ty có thể mất một thời gian để thích nghi với những thay đổi mới. Nhưng các giải pháp có tổ chức chắc chắn sẽ giúp họ điều chỉnh tốt hơn so với những người sẽ cố gắng thích nghi sau này.
Thách thức lớn đối với các doanh nghiệp nhỏ
Từ các tổ chức quy mô lớn đến các doanh nghiệp vừa và nhỏ đến các công ty quy mô nhỏ, tất cả đều có dữ liệu nhạy cảm cần được bảo vệ. Trong khi để được tổng hợp theo GDPR, các vấn đề chính mà các công ty nhỏ phải đối mặt là:
- Đầu tư cao có thể mang lại các chương trình bảo mật công nghệ cao
- Bổ nhiệm DPO (Nhân viên bảo vệ dữ liệu) cho cùng một việc.
- Đào tạo nhân viên báo cáo trong vòng 72 giờ trong trường hợp vi phạm dữ liệu.
- Duy trì kiểm soát chất lượng với chuỗi cung ứng- Xác thực rằng tất cả các nhà cung cấp và nhà thầu quan tâm đến doanh nghiệp của bạn phải Tuân thủ GDPR.
- Chuẩn bị cho khả năng di chuyển dữ liệu- Trong trường hợp khách hàng yêu cầu một bản sao dữ liệu của họ.
- Chỉ định các thành viên chịu trách nhiệm duy nhất trong việc truy cập các Yêu cầu của chủ thể dữ liệu.
Các công ty quy mô nhỏ có ít nguồn lực hơn để xử lý những thách thức này và ít lợi nhuận hơn trong trường hợp có bất kỳ lỗi nào xảy ra (điều khá bình thường xảy ra)
Yêu cầu đối tượng dữ liệu thông thường
Đây là sự thay đổi và thách thức lớn nhất đối với Tổ chức. Họ phải xử lý nhanh chóng tất cả các yêu cầu của chủ thể dữ liệu. Vì GDPR cung cấp các quyền cho cá nhân và người dùng:
– để hỏi về những dữ liệu mà công ty lưu trữ
– cách dữ liệu của họ đang được sử dụng
– loại dữ liệu cá nhân nào được quan tâm
– mục đích xử lý mẩu thông tin nhạy cảm của họ
– xóa dữ liệu của họ bất cứ lúc nào họ muốn và
– khiếu nại với cơ quan giám sát
Rõ ràng là các câu hỏi sẽ xuất hiện hàng ngày. Vì bất kỳ công ty nào cũng không thể vi phạm quyền này của người dùng nên họ phải thiết lập các quy trình cảnh báo cho các thành viên nhóm cần thiết mỗi khi có Yêu cầu chủ thể dữ liệu. Thông tin đưa ra phải minh bạch, công bằng và ngắn gọn cho người dùng. Các tổ chức không thể sử dụng bất kỳ ngôn ngữ phức tạp nào hơn để đánh lừa và gây nhầm lẫn cho người tiêu dùng.
DPO là bắt buộc
Với mục đích Hài hòa hóa việc bảo vệ dữ liệu trên khắp các quốc gia EU, việc bổ nhiệm Giám đốc bảo vệ dữ liệu (DPO) có thể được coi là một tác động GDPR lớn đối với các doanh nghiệp. Theo Điều 37 của GDPR, việc thiết lập một DPO cho mọi cơ quan công quyền chịu sự giám sát và xử lý dữ liệu liên tục là bắt buộc.
GDPR mang đến cơ hội việc làm mới. DPO là người phải có kiến thức chuyên môn về luật bảo vệ dữ liệu. GDPR chưa thể hiện rõ ràng về mức độ chuyên môn mà một DPO cần phải có, nhưng về cơ bản, tùy theo mức độ phức tạp của việc xử lý dữ liệu, DPO càng cần phải có trình độ chuyên môn cao hơn.
MộtDPO phải thực hiện các nhiệm vụ và trách nhiệm như:
- Quản lý các vấn đề bảo vệ dữ liệu nội bộ
- Chăm sóc quyền và sự đồng ý của cá nhân
- Giám sát Tuân thủ và các luật bảo vệ khác
- Đào tạo nhân viên về tầm quan trọng của các yêu cầu tuân thủ
- Làm việc trực tiếp với bộ điều khiển và bộ xử lý
Gia tăng nạn hack dữ liệu
Khi các tổ chức đang cố gắng tuân thủ quy định bảo vệ dữ liệu mới, đồng thời có các báo cáo cho thấy tội phạm mạng đang tống tiền các công ty để đòi tiền chuộc thấp hơn một chút so với Hình phạt GDPR đối với các tổ chức chưa tuân thủ. Với việc ngày càng có nhiều người đam mê thế giới trực tuyến, thì càng có nhiều khả năng họ có thể bị nhiễm mã độc tống tiền ngày càng tăng, các cuộc tấn công tống tiền BEC (Thỏa hiệp email doanh nghiệp) và khai thác tiền điện tử.
Mặc dù quy định này sẽ giúp làm cho tất cả dữ liệu của chúng ta an toàn hơn nhưng tin tặc vẫn sẽ tấn công.
Vì vậy, cần phải áp dụng các phương pháp bảo mật liên thế hệ để giúp giảm thiểu nguy cơ bị đánh cắp dữ liệu.
Gánh nặng đối với các Tổ chức chính thức
Những người tham gia chính ở đây là Bộ điều khiển và Bộ xử lý.
Bộ điều khiển là người chịu trách nhiệm trả lời câu hỏi “Cái gì”, “Tại sao” và “Làm thế nào” quá trình xử lý dữ liệu cá nhân của các cá nhân đang diễn ra. Đó có thể là bất kỳ thực thể, cơ quan công quyền, cá nhân hoặc bất kỳ tổ chức hoặc cơ quan nào.
Vai trò chính của bộ điều khiển là giữ cho hình ảnh rõ ràng về việc sử dụng dữ liệu của một cá nhân và trong trường hợp có bất kỳ sự đồng ý nào từ người dùng (không được xử lý thích hợp), công ty sẽ phải trả tiền phạt (theo GDPR).
Bộ xử lý là những người xử lý thông tin cá nhân của người dùng. Theo thuật ngữ GDPR, bộ xử lý là một pháp nhân hoặc cơ quan xử lý dữ liệu thay mặt cho bộ kiểm soát. Nói một cách đơn giản, kiểm soát viên là người quyết định hoặc đưa ra quyết định về các hoạt động xử lý và Bộ xử lý thực hiện các hoạt động đó.
Bộ điều khiển là người chọn bộ xử lý để thực hiện xử lý tiếp theo - do đó, việc thực thi dữ liệu chính xác và đúng hướng sẽ trở thành gánh nặng ngang nhau đối với cả hai. Ngoài ra, Bộ xử lý có trách nhiệm xóa dữ liệu sau khi quá trình xử lý hoàn tất.
Mối đe dọa lớn đối với các nhà tiếp thị
Các nhà tiếp thị phần lớn hoặc hoàn toàn phụ thuộc vào dữ liệu của người tiêu dùng. Theo các nguồn tin, chỉ 20% người dùng tin rằng ngay cả sau khi Quy định bảo vệ dữ liệu này có hiệu lực thi hành, các công ty sẽ không thể sử dụng, quản lý và bảo vệ dữ liệu của họ một cách nghiêm ngặt.
Từ việc cấp phép dữ liệu đến truy cập dữ liệu, các nhà tiếp thị có trách nhiệm quan tâm đến việc người dùng có thể dễ dàng truy cập dữ liệu đang được sử dụng hoặc bán cho bên thứ ba để tạo ra lợi nhuận. Khi các nhà tiếp thị trở nên cần thiết để hiểu lượng dữ liệu bạn đang thu thập và tự hỏi bản thân xem bạn có thực sự cần thông tin hôn nhân hoặc sở thích ẩm thực yêu thích hay không trước khi họ đồng ý kết nối với trang của bạn.
Một số lĩnh vực mà GDPR sẽ ảnh hưởng đến hoạt động tiếp thị của bạn:
- Cookie trang web- Việc thu thập mẫu tìm kiếm của khách truy cập vì lợi ích của bạn sẽ không được chấp nhận nữa! Giờ đây, các nhà tiếp thị cần có sự đồng ý đối với cookie trên trang web của bạn. Cookie phải minh bạch và rõ ràng. Ngoài ra, bạn phải cung cấp cho họ một cách riêng để họ có thể rút lại sự đồng ý nếu muốn.
- Tác động lớn đến Quản lý dữ liệu khách hàng- Các nhà tiếp thị phải xem xét lại loại dữ liệu họ lưu trữ, cách họ lưu trữ, cách họ xử lý dữ liệu, họ chia sẻ và chuyển giao cho ai và cuối cùng là cách truy cập dữ liệu đó.
- Ảnh hưởng đến Tiếp thị qua Email- Các nhà tiếp thị phải có tài liệu rõ ràng về người dùng của họ đã đồng ý nhận email từ bạn với thông tin về cách bạn sẽ tiếp thị nó. Trong trường hợp bạn nhận danh sách người dùng từ bất kỳ bên thứ ba nào, bạn phải đảm bảo rằng họ đang có tài liệu tương tự với họ.
Hậu quả của việc vi phạm GDPR
Vì, quy định này sẽ ảnh hưởng đến từng tổ chức bất kể nó cư trú ở đâu, trong trường hợp công ty của bạn không thực hiện bất kỳ biện pháp nào để biên soạn. Tác động của GDPR đối với các doanh nghiệp khá lớn do cơ cấu hình phạt được chia thành hai bậc tùy theo tính chất vi phạm.
- Ngưỡng mịn cao hơn tuân thủ khi tổ chức vi phạm:
– Quyền cá nhân
– Sự đồng ý của người dùng
– Truyền dữ liệu
– Xử lý dữ liệu (khi dữ liệu bị giới hạn trong một thời gian nhất định)
Nếu những bài báo này có nội dung tục tĩu thì sẽ bị phạt 4% doanh thu của Công ty hoặc tối đa 20 triệu Euro- tùy theo mức nào cao hơn.
- Ngưỡng mịn dưới được áp dụng cho Bộ điều khiển, Bộ xử lý và các cơ quan giám sát khác. Trong trường hợp:
– Nếu bất kỳ dữ liệu cá nhân nào của trẻ em được thu thập và xử lý mà không có sự đồng ý
– Nếu cơ quan giám sát không được thông báo trong vòng 72 giờ sau khi dữ liệu bị vi phạm
– Nếu người dùng hoặc khách hàng có dữ liệu bị rò rỉ được thông báo trong khung thời gian nhất định và,
– Các nghĩa vụ khác đối với cơ quan giám sát, DPO (Cán bộ bảo vệ dữ liệu) và cơ quan chứng nhận, v.v.
Nếu những bài báo này có nội dung tục tĩu thì sẽ bị phạt 2% doanh thu của Công ty hoặc tối đa 10 triệu Euro- tùy theo mức nào cao hơn.
Mặc dù GDPR đang thực hiện một số thay đổi quan trọng, nhưng đó không phải là sự thay đổi hoàn toàn các nguyên tắc và hệ thống hiện có. Quy định này sẽ tồn tại với tất cả những thách thức và hạn chế của nó, đồng thời các tổ chức cũng nên ngừng than vãn và hiểu các cơ hội của nó. Quy định bảo vệ dữ liệu mang tính cách mạng này sẽ phát huy hết tiềm năng của nó hay nó sẽ làm xáo trộn tình trạng quan liêu sẽ được quyết định thực thi vào ngày 25 tháng 5 năm 2018.