Theo Báo cáo tuân thủ GDPR năm 2018 của công ty cung cấp nội dung an toàn mạng Crowd Research Partners, trước ngày 25/5/2018, chỉ có 40% TC/DN tuân thủ theo GDPR hoặc đang hoàn thiện để tuân thủ theo GDPR. Dựa trên bài phân tích của Giáo sư Deborah Hurley, giảng viên chương trình Thạc sĩ Quản trị An toàn mạng của Đại học Brown (Mỹ), bài viết đã tóm tắt 7 giai đoạn tuân thủ GDPR của các TC/DN từ khi hình thành đến khi trở thành quy định bắt buộc.
Giai đoạn 1 - “Sốc” và hoài nghi
GDPR đã được thông qua vào năm 2016 với thời gian triển khai 2 năm để các chính phủ có thể đưa vào luật đúng quy trình và các công ty có thời gian chuẩn bị để tuân thủ. Tuy nhiên, nhiều TC/DN vẫn còn hoài nghi hoặc trong trạng thái “sốc” khi thực hiện quy định, do họ không hiểu toàn bộ phạm vi của GDPR. Thông thường, các lãnh đạo TC/DN cho rằng, nếu không có văn phòng tại EU thì không bị ảnh hưởng bởi GDPR. Nhưng phạm vi của GDPR khá rộng, nó áp dụng cho các TC/DN có hoạt động kinh doanh tại một quốc gia thành viên EU, nhưng cũng áp dụng cho cả những TC/DN cung cấp hàng hóa và dịch vụ cho cư dân EU, kể cả các công ty tự do. Ví dụ, một trang web cung cấp thông tin về tử vi và thu thập thông tin khách hàng truy cập, thì GDPR sẽ áp dụng cho trang web đó nếu có bất kỳ khách hàng truy cập nào sống trong quốc gia là thành viên EU. Nếu tổ chức nào thu thập thông tin về dữ liệu cá nhân và thậm chí cả dữ liệu hành vi (nơi kích chuột vào, thời gian ghé thăm trang web của khách hàng,...) về cư dân của một quốc gia EU, thì GDPR áp dụng cho tổ chức đó.
Giai đoạn 2 - Từ chối
Mặc dù định nghĩa về những TC/DN bị ảnh hưởng bởi GDPR đã rất rõ ràng, nhưng nhiều TC/DN bị ảnh hưởng vẫn đặt mình trong tình trạng “từ chối”. Nhiều TC/DN thay vì chuẩn bị và thay đổi để tuân thủ GDPR thì họ lại phớt lờ và bỏ qua quy định này. Họ cho rằng, các nhà lập pháp sẽ tập trung vào những TC/DN lớn như Facebook hay Google, vì mức tiền phạt mà những TC/DN đó phải nộp nếu vi phạm sẽ đáng kể hơn rất nhiều. Hình phạt cho việc không tuân thủ hoặc vi phạm GDPR là 4% doanh thu toàn cầu của TC/DN đó hoặc 20 triệu euro, tùy theo mức nào lớn hơn. Vì vậy, các nhà lập pháp sẽ không bỏ qua các TC/DN khác ngoài Facebook và Google.
Tuy nhiên, GDPR không đơn giản chỉ áp dụng hình thức phạt tiền mà còn có thể khiến TC/DN ngừng xử lý dữ liệu cá nhân nếu vi phạm luật. Họ cũng có thể ngừng chuyển dữ liệu cá nhân bên ngoài EU sang nước thứ ba và cũng có thể ngừng hoạt động kinh doanh hoặc đưa những công ty vi phạm vào kiện cáo.
Giai đoạn 3 - Tổn thương
Trong giai đoạn này, khi việc từ chối không còn tác dụng, các TC/DN bắt đầu cảm thấy lo lắng và tổn thương về sự tồn tại của GDPR: Tại sao GDPR được thi hành, có áp dụng cho TC/DN của mình không? Các nhà lập pháp có biết TC/DN sẽ phải chi trả bao nhiêu để tuân thủ quy định này? Liệu GDPR có được thực thi thật sự không?
Giai đoạn 4 - Tức giận
Trong giai đoạn này, các TC/DN có thể bất chấp không tuân thủ GDPR. Các TC/DN dần chuyển từ hoài nghi, lo sợ sang tức giận. Họ cho rằng EU không có quyền và không thể ép buộc họ có thể làm gì và không thể làm gì với thông tin mà họ thu thập được.
Giai đoạn 5 - Thương lượng
Những TC/DN không đồng thuận cũng dần nhận ra rằng họ không thể không tuân thủ theo GDPR. Nhưng để đảm bảo việc tuân thủ GDPR được diễn ra suôn sẻ, họ muốn EU tiếp thu các sáng kiến quản trị dữ liệu của mình hoặc có các biện pháp tư vấn để họ tuân thủ theo GDPR một cách phù hợp. Mặc dù vậy, cả 2 cách tiếp cận trên đều không trở thành một chiến lược tuân thủ hoàn chỉnh để các công ty có thể làm theo.
Giai đoạn 6 - Tuyệt vọng
Khi việc tuân thủ GDPR đang dần trở nên khó khăn, các TC/DN bắt đầu cảm thấy tuyệt vọng. GDPR không giống bất kỳ quy định nào trước đây và việc đối phó với nó là điều mới mẻ. Thực tế, GDPR là một phần của một chuỗi luật bảo vệ dữ liệu cá nhân và quyền riêng tư đã diễn ra trong hơn 40 năm qua. Nó chỉ là một sửa đổi bổ sung cho phù hợp với một xu hướng toàn cầu, thay vì là một quy định hoàn toàn mới.
Giai đoạn 7 - Chấp nhận và hi vọng
Khi các TC/DN đã chạm đáy tuyệt vọng, họ bắt đầu quay lại và nhận ra rằng, đã đến lúc đánh giá và xây dựng lại TC/DN của mình cho phù hợp với các quy định của GDPR, bắt đầu bằng cách xem xét kỹ càng, trung thực về việc TC/DN có bị ảnh hưởng bởi GDPR hay không? Việc hiểu chế tài sẽ giúp các TC/DN ước tính được chi phí và nỗ lực cần thiết để tuân thủ GDPR. Sau đó, họ có thể bắt đầu vạch ra một kế hoạch mới cho TC/DN của mình.
Việc mô hình hóa các giai đoạn tuân thủ GDPR của giáo sư Hurley đã cung cấp cái nhìn tổng quan về quá trình tuân thủ GDPR của các TC/DN. Để đáp ứng các yêu cầu kỹ thuật của GDPR, các TC/DN cần: Thực hiện các đánh giá ban đầu về khả năng sẵn sàng; Xây dựng thống kê các ánh xạ dữ liệu; Thực hiện các đánh giá về tác động của bảo vệ dữ liệu và quyền riêng tư; Tạo địa chỉ và chấp nhận để người dùng thông báo vi phạm dữ liệu cho các nhà quản lý và thiết lập cơ chế để người dùng dễ dàng yêu cầu dữ liệu cá nhân khi cần thiết.
Có rất nhiều điều cần phải xem xét trong việc tuân thủ GDPR, đòi hỏi sự hiểu biết về chính sách và các vấn đề pháp lý, quan hệ khách hàng, hành vi con người và các yếu tố khác. Ngoài ra, nó cũng yêu cầu các nhà lãnh đạo an ninh mạng của các TC/DN phải bắt tay ngay vào làm việc với các giám đốc điều hành để đưa ra một kế hoạch cụ thể nhằm tuân thủ theo GDPR.
Vũ Tuấn Anh (ĐH Hàng Hải)
10:48 | 18/09/2017
11:00 | 20/07/2021
08:00 | 19/06/2018
08:00 | 19/02/2018
15:00 | 19/02/2024
Trong khoảng 15 năm trở lại đây, với sự phát triển mạnh mẽ của Internet đã kéo theo sự ra đời và phát triển bùng nổ của các nền tảng mạng xã hội (MXH), đặc biệt là các nền tảng MXH xuyên biên giới. MXH xuất hiện như một bước tiến lớn của ngành công nghệ số, mang lại nhiều lợi ích cho người dùng. Tuy nhiên, MXH cũng mang đến nhiều mối lo ngại đối với xã hội và mỗi quốc gia trên khắp thế giới như thông tin độc hại, sai lệch, xuyên tạc, chống phá Đảng, Nhà nước, kích động bạo lực, biểu tình,… Điều này đặt ra nhiều vấn đề đối với các cơ quan quản lý, nếu không có những giải pháp kiểm soát chặt chẽ, xử lý mạnh tay, ngăn chặn kịp thời sẽ làm tăng nguy cơ gây mất trật tự, an ninh xã hội.
07:00 | 15/02/2024
Thời gian qua, các hình thức tấn công mạng nguy hiểm nhằm mục đích phá hoại hệ thống thông tin, đánh cắp dữ liệu ngày càng tinh vi. Các kỹ thuật phức tạp, vũ khí mạng ngày càng được sử dụng rộng rãi, các chiến dịch tấn công mạng gây hậu quả nghiêm trọng, đe dọa đến sự ổn định chính trị, an ninh quốc gia. Chiến tranh trên không gian mạng gắn liền với chiến tranh truyền thống đã hiện hữu. Trước bối cảnh đó, hoạt động giám sát an toàn thông tin (ATTT) là một trong những giải pháp quan trọng và cấp thiết nhằm kịp thời phát hiện, phòng chống, đối phó và ngăn chặn các cuộc tấn công mạng. Đây là một trong bốn nhiệm vụ trọng tâm Trung tâm Công nghệ thông tin và Giám sát an ninh mạng (sau đây gọi tắt là Trung tâm) được Lãnh đạo Ban Cơ yếu Chính phủ giao chủ trì thực hiện.
15:00 | 18/12/2023
Mặc dù, tiền mã hóa đem lại tính an toàn, bảo mật, nhanh chóng, tiện lợi, không chịu sự quản lý của Ngân hàng Trung ương cũng như các cơ quan công quyền, nhưng đây lại là cơ hội để tội phạm rửa tiền lợi dụng thực hiện các hành vi trái pháp luật trên không gian mạng. Bài viết sẽ thông tin tới độc giả các khái niệm, phương thức, thủ đoạn của hoạt động rửa tiền bằng tiền mã hóa. Đồng thời, bài báo đề xuất các giải pháp phòng chống hoạt động phạm tội này tại Việt Nam.
10:00 | 11/10/2023
Chiều 5/10, tại buổi họp báo thường kỳ tháng 10, Bộ Thông tin và Truyền thông đã thông tin về kết quả kiểm tra toàn diện hoạt động của TikTok tại Việt Nam.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
