GDPR và áp dụng tại VietNAP

Cho tới thời điểm này, GDPR vẫn đang là chủ đề nóng với rất nhiều công ty trên toàn thế giới, mặc dù GDPR được đưa ra bởi Liên minh châu Âu EU. Đối với VietNAP, mặc dù là một doanh nghiệp tại Việt Nam, nhưng chúng tôi có cả các khách hàng tại châu Âu, và do đó, GDPR vẫn có thể được áp dụng tại VietNAP. Thực tế, GDPR có rất nhiều các quy định tốt về vấn đề bảo mật, trong đó, không phải quy định nào cũng mới, và cũng đã được áp dụng tại VietNAP.

GDPR là gì?

GDPR là chữ viết tắt của General Data Protection Regulations – các quy định bảo vệ dữ liệu chung. Bộ quy định này được đưa ra bởi Liên minh châu Âu EU, được áp dụng trên toàn bộ lãnh thổ các nước châu Âu kể từ ngày 25.05.2018. Mục đích của bộ quy định này nhằm hạn chế tối đa sự khai thác bất hợp pháp các thông tin cá nhân, cũng như cố gắng giảm thiểu thiệt hại, nếu có sự cố xảy ra.

Có nhiều người lo ngại bộ quy định này sẽ kìm hãm sự phát triển của các ứng dụng, các công ty dịch vụ Internet. Tuy nhiên, nếu xét về những sự cố khai thác thông tin cá nhân xảy ra gần đây, mới nhất là sự cố của Facebook lộ thông tin của 50 triệu tài khoản, việc xem xét và áp dụng theo các quy định trong bộ tiêu chuẩn GDPR là điều nên làm với tất cả các doanh nghiệp, đặc biệt là các doanh nghiệp cung cấp dịch vụ Internet.

Phạm vi áp dụng của GDPR

Mặc dù GDPR được đưa ra áp dụng cho các doanh nghiệp EU, nhưng nếu doanh nghiệp cung cấp dịch vụ không từ EU mà vẫn có khách hàng ở EU, doanh nghiệp đó vẫn bị chịu tác động của GDPR. Do đó, thực tế, phạm vi áp dụng GDPR là trên toàn cầu. Trong bối cảnh hội nhập quốc tế hiện nay, các doanh nghiệp Việt Nam đặc biệt cần lưu ý đến vấn đề này.

Thuật ngữ GDPR

• Data – dữ liệu: có thể là bất kỳ thông tin gì liên quan đến người dùng, không chỉ là doanh nghiệp, mà đặc biệt áp dụng với từng cá nhân. Các thông tin này có thể là hình ảnh, tên, địa chỉ, địa chỉ email… hay thậm chí là thông tin trên các mạng xã hội, hay địa chỉ IP máy tính truy cập Internet của họ.
• Data controller: là cá nhân hay tổ chức quyết định việc thu thập và xử lý dữ liệu trên.
• Data processor: là cá nhân hay tổ chức, đại diện cho «data controller», thực hiện các công việc xử lý dữ liệu.

Ở đây, VietNAP là data controller, và các nhân viên làm việc tại VietNAP, cũng như một số đối tác, nhà cung cấp dịch vụ cho VietNAP được coi là data processor.

Các quy định chính cần lưu ý

1. Sự đồng ý từ phía khách hàng.

Bất kỳ sự thu nhập dữ liệu nào của khách hàng đều cần có sự đồng ý của khách hàng.

Với GDPR, quy định này đưa ra chặt chẽ hơn bằng cách yêu cầu mọi form đăng ký, thu nhập dữ liệu khách hàng, đều không được mặc định đồng ý. Ví dụ, nếu có ô đánh dấu đồng ý điều khoản quy định thì không được đánh dấu mặc định, mà phải để khách hàng tự đánh dấu vào.

2. Quyền được xóa bỏ.

Kể cả một khi khách hàng đã đồng ý để các công ty cung cấp dịch vụ thu thập thông tin cá nhân, họ cũng có quyền yêu cầu xóa bỏ các thông tin đó, thu hồi lại sự đồng ý trên. Khi đó, các công ty có nghĩa vụ phải tôn trọng các yêu cầu đó, và thực hiện xóa bỏ các thông tin cá nhân theo như khách hàng yêu cầu.

3. Quyền được tiếp cận thông tin.

Khách hàng được phép kiểm tra xem các công ty cung cấp dịch vụ đã thu thập những thông tin gì của mình.

4. Thông báo về sự cố xảy ra.

Trong trường hợp có sự cố xảy ra, đặc biệt là các vấn đề liên quan đến an ninh, có thể lộ thông tin khách hàng, các công ty cung cấp dịch vụ có nghĩa vụ phải thông báo sự cố tới khách hàng cùng các bên liên quan trong vòng 72 giờ.

Thực tế, rất nhiều nơi không thông báo cho khách hàng khi sự cố xảy ra, cũng như bưng bít thông tin. Nếu như trước đấy, việc đó ảnh hưởng đến uy tín của công ty, nhưng giờ đây với GDPR, không chỉ uy tín bị ảnh hưởng, mà công ty đó còn đối mặt với các hình phạt, tùy mức độ nặng nhẹ ra sao.

5. Thông tin trẻ vị thành niên.

Nếu công ty cung cấp dịch vụ muốn thu thập thông tin cá nhân của trẻ vị thành niên, dưới 16 tuổi, cần được sự đồng ý của người giám hộ hợp pháp. Nhắc lại rằng, kể cả sau khi có được sự đồng ý này, khách hàng vẫn có quyền thay đổi, rút lại sự đồng ý đó, và yêu cầu xóa bỏ các thông tin đã được thu thập.

Như vậy, để đảm bảo an toàn thông tin cá nhân của khách hàng, mỗi công ty cung cấp dịch vụ đều phải xem xét lại toàn bộ các quy trình làm việc của mình, kiểm tra các điều khoản tại bộ quy định GDPR và áp dụng vào doanh nghiệp của mình ra sao. Việc này không chỉ là một sớm một chiều, mà cần cả một quá trình xây dựng cũng như kiểm tra việc áp dụng. Tại VietNAP, mặc dù chúng tôi đã áp dụng hết các điều khoản chính của GDPR, chúng tôi vẫn đang tiếp tục xem xét lại các quy trình làm việc, để đảm bảo có thể tối đa việc tuân thủ các bộ quy định về an toàn thông tin cho khách hàng. Đó cũng là một khẳng định về thương hiệu VietNAP Managed Hosting, đảm bảo cho khách hàng yên tâm tập trung vào công việc kinh doanh của mình, chứ không phải tốn nhiều thời gian vào việc quản trị hệ thống.

Nếu Quý khách hàng có thắc mắc gì về các quy định bảo mật thông tin, vui lòng liên hệ với người phụ trách an toàn thông tin tại VietNAP:

• Phạm Hùng
• Email: [email protected]

Chúng tôi sẽ kiểm tra và trả lời chi tiết các câu hỏi. Xin cám ơn sự hợp tác và ủng hộ của Quý khách hàng trong suốt 15 năm qua.