Theo Báo cáo tuân thủ GDPR năm 2018 của công ty cung cấp nội dung an toàn mạng Crowd Research Partners, trước ngày 25/5/2018, chỉ có 40% TC/DN tuân thủ theo GDPR hoặc đang hoàn thiện để tuân thủ theo GDPR. Dựa trên bài phân tích của Giáo sư Deborah Hurley, giảng viên chương trình Thạc sĩ Quản trị An toàn mạng của Đại học Brown (Mỹ), bài viết đã tóm tắt 7 giai đoạn tuân thủ GDPR của các TC/DN từ khi hình thành đến khi trở thành quy định bắt buộc.

Giai đoạn 1 - “Sốc” và hoài nghi

GDPR đã được thông qua vào năm 2016 với thời gian triển khai 2 năm để các chính phủ có thể đưa vào luật đúng quy trình và các công ty có thời gian chuẩn bị để tuân thủ. Tuy nhiên, nhiều TC/DN vẫn còn hoài nghi hoặc trong trạng thái “sốc” khi thực hiện quy định, do họ không hiểu toàn bộ phạm vi của GDPR. Thông thường, các lãnh đạo TC/DN cho rằng, nếu không có văn phòng tại EU thì không bị ảnh hưởng bởi GDPR. Nhưng phạm vi của GDPR khá rộng, nó áp dụng cho các TC/DN có hoạt động kinh doanh tại một quốc gia thành viên EU, nhưng cũng áp dụng cho cả những TC/DN cung cấp hàng hóa và dịch vụ cho cư dân EU, kể cả các công ty tự do. Ví dụ, một trang web cung cấp thông tin về tử vi và thu thập thông tin khách hàng truy cập, thì GDPR sẽ áp dụng cho trang web đó nếu có bất kỳ khách hàng truy cập nào sống trong quốc gia là thành viên EU. Nếu tổ chức nào thu thập thông tin về dữ liệu cá nhân và thậm chí cả dữ liệu hành vi (nơi kích chuột vào, thời gian ghé thăm trang web của khách hàng,...) về cư dân của một quốc gia EU, thì GDPR áp dụng cho tổ chức đó.

Giai đoạn 2 - Từ chối

Mặc dù định nghĩa về những TC/DN bị ảnh hưởng bởi GDPR đã rất rõ ràng, nhưng nhiều TC/DN bị ảnh hưởng vẫn đặt mình trong tình trạng “từ chối”. Nhiều TC/DN thay vì chuẩn bị và thay đổi để tuân thủ GDPR thì họ lại phớt lờ và bỏ qua quy định này. Họ cho rằng, các nhà lập pháp sẽ tập trung vào những TC/DN lớn như Facebook hay Google, vì mức tiền phạt mà những TC/DN đó phải nộp nếu vi phạm sẽ đáng kể hơn rất nhiều. Hình phạt cho việc không tuân thủ hoặc vi phạm GDPR là 4% doanh thu toàn cầu của TC/DN đó hoặc 20 triệu euro, tùy theo mức nào lớn hơn. Vì vậy, các nhà lập pháp sẽ không bỏ qua các TC/DN khác ngoài Facebook và Google.

Tuy nhiên, GDPR không đơn giản chỉ áp dụng hình thức phạt tiền mà còn có thể khiến TC/DN ngừng xử lý dữ liệu cá nhân nếu vi phạm luật. Họ cũng có thể ngừng chuyển dữ liệu cá nhân bên ngoài EU sang nước thứ ba và cũng có thể ngừng hoạt động kinh doanh hoặc đưa những công ty vi phạm vào kiện cáo.

Giai đoạn 3 - Tổn thương

Trong giai đoạn này, khi việc từ chối không còn tác dụng, các TC/DN bắt đầu cảm thấy lo lắng và tổn thương về sự tồn tại của GDPR: Tại sao GDPR được thi hành, có áp dụng cho TC/DN của mình không? Các nhà lập pháp có biết TC/DN sẽ phải chi trả bao nhiêu để tuân thủ quy định này? Liệu GDPR có được thực thi thật sự không?

Giai đoạn 4 - Tức giận

Trong giai đoạn này, các TC/DN có thể bất chấp không tuân thủ GDPR. Các TC/DN dần chuyển từ hoài nghi, lo sợ sang tức giận. Họ cho rằng EU không có quyền và không thể ép buộc họ có thể làm gì và không thể làm gì với thông tin mà họ thu thập được.

Giai đoạn 5 - Thương lượng

Những TC/DN không đồng thuận cũng dần nhận ra rằng họ không thể không tuân thủ theo GDPR. Nhưng để đảm bảo việc tuân thủ GDPR được diễn ra suôn sẻ, họ muốn EU tiếp thu các sáng kiến quản trị dữ liệu của mình hoặc có các biện pháp tư vấn để họ tuân thủ theo GDPR một cách phù hợp. Mặc dù vậy, cả 2 cách tiếp cận trên đều không trở thành một chiến lược tuân thủ hoàn chỉnh để các công ty có thể làm theo.

Giai đoạn 6 - Tuyệt vọng

Khi việc tuân thủ GDPR đang dần trở nên khó khăn, các TC/DN bắt đầu cảm thấy tuyệt vọng. GDPR không giống bất kỳ quy định nào trước đây và việc đối phó với nó là điều mới mẻ. Thực tế, GDPR là một phần của một chuỗi luật bảo vệ dữ liệu cá nhân và quyền riêng tư đã diễn ra trong hơn 40 năm qua. Nó chỉ là một sửa đổi bổ sung cho phù hợp với một xu hướng toàn cầu, thay vì là một quy định hoàn toàn mới.

Giai đoạn 7 - Chấp nhận và hi vọng

Khi các TC/DN đã chạm đáy tuyệt vọng, họ bắt đầu quay lại và nhận ra rằng, đã đến lúc đánh giá và xây dựng lại TC/DN của mình cho phù hợp với các quy định của GDPR, bắt đầu bằng cách xem xét kỹ càng, trung thực về việc TC/DN có bị ảnh hưởng bởi GDPR hay không? Việc hiểu chế tài sẽ giúp các TC/DN ước tính được chi phí và nỗ lực cần thiết để tuân thủ GDPR. Sau đó, họ có thể bắt đầu vạch ra một kế hoạch mới cho TC/DN của mình.

Việc mô hình hóa các giai đoạn tuân thủ GDPR của giáo sư Hurley đã cung cấp cái nhìn tổng quan về quá trình tuân thủ GDPR của các TC/DN. Để đáp ứng các yêu cầu kỹ thuật của GDPR, các TC/DN cần: Thực hiện các đánh giá ban đầu về khả năng sẵn sàng; Xây dựng thống kê các ánh xạ dữ liệu; Thực hiện các đánh giá về tác động của bảo vệ dữ liệu và quyền riêng tư; Tạo địa chỉ và chấp nhận để người dùng thông báo vi phạm dữ liệu cho các nhà quản lý và thiết lập cơ chế để người dùng dễ dàng yêu cầu dữ liệu cá nhân khi cần thiết.

Có rất nhiều điều cần phải xem xét trong việc tuân thủ GDPR, đòi hỏi sự hiểu biết về chính sách và các vấn đề pháp lý, quan hệ khách hàng, hành vi con người và các yếu tố khác. Ngoài ra, nó cũng yêu cầu các nhà lãnh đạo an ninh mạng của các TC/DN phải bắt tay ngay vào làm việc với các giám đốc điều hành để đưa ra một kế hoạch cụ thể nhằm tuân thủ theo GDPR.