• Hotline: (+84) 986 986 247
  • Email: info@sudoband.vn
  • Địa chỉ: P901, 8C Tạ Quang Bửu, Hai Bà Trưng, Hà Nội.
CHÍNH SÁCH TUÂN THỦ BẢO MẬT

CHÍNH SÁCH TUÂN THỦ BẢO MẬT

I. CƠ SỞ PHÁP LÝ VÀ TÍNH MINH BẠCH

1.1. Tiến hành kiểm tra thông tin để xác định thông tin xử lý và ai có quyền truy cập vào thông tin đó

Các admin xử lý dữ liệu có rủi ro cao phải cập nhật danh sách chi tiết và cập nhật về các hoạt động xử lý của họ và sẵn sàng hiển thị danh sách đó cho các cơ quan quản lý khi có yêu cầu. Trong danh sách này nên bao gồm: mục đích xử lý, loại dữ liệu xử lý, ai có quyền truy cập vào dữ liệu đó trong tổ chức, bất kỳ bên thứ ba nào (và nơi đặt trụ sở của họ) có quyền truy cập, tổ chức đang làm gì bảo vệ dữ liệu (ví dụ: mã hóa) và khi admin định xóa nó (nếu có thể)

1.2. Có lý do pháp lý cho các hoạt động xử lý dữ liệu

Xử lý dữ liệu là bất hợp pháp trừ khi tổ chức có thể biện minh cho nó. Có các điều khoản khác liên quan đến trẻ em và các loại dữ liệu cá nhân đặc biệt trong Điều 2.5,2.6, 3.1-3.3. Xem xét các điều khoản này, chọn cơ sở hợp pháp để xử lý và ghi lại cơ sở lý luận của tổ chức. Lưu ý rằng nếu tổ chức lấy sự đồng ý của khách hàng làm cơ sở hợp pháp của mình, thì sẽ có thêm các nghĩa vụ khác, bao gồm cả việc cho chủ thể dữ liệu cơ hội liên tục để thu hồi sự đồng ý. Nếu “lợi ích hợp pháp” là cơ sở hợp pháp của tổ chức, tổ chức phải có khả năng chứng minh rằng tổ chức đã thực hiện đánh giá tác động đến quyền riêng tư

1.3. Cung cấp thông tin rõ ràng về việc xử lý dữ liệu và biện minh pháp lý trong chính sách bảo mật

Tổ chức cần nói với mọi người rằng tổ chức đang thu thập dữ liệu của họ và lý do. Tổ chức nên giải thích cách dữ liệu được xử lý, ai có quyền truy cập và cách tổ chức giữ an toàn cho dữ liệu. Thông tin này phải được đưa vào chính sách bảo mật của tổ chức và được cung cấp cho các đối tượng dữ liệu tại thời điểm tổ chức thu thập dữ liệu của họ. Nó phải được trình bày “bằng hình thức ngắn gọn, minh bạch, dễ hiểu và dễ tiếp cận, sử dụng ngôn ngữ rõ ràng và đơn giản, đặc biệt đối với bất kỳ thông tin nào được đề cập cụ thể đến trẻ em”

II. BẢO MẬT DỮ LIỆU

2.1. Luôn tính đến việc bảo vệ dữ liệu, từ thời điểm bắt đầu phát triển sản phẩm đến mỗi lần xử lý dữ liệu

Tổ chức phải tuân theo các nguyên tắc “bảo vệ dữ liệu theo thiết kế và theo mặc định,” bao gồm cả việc thực hiện “các biện pháp tổ chức và kỹ thuật thích hợp” để bảo vệ dữ liệu. Nói cách khác, bảo vệ dữ liệu là điều tổ chức phải cân nhắc bất cứ khi nào tổ chức làm bất cứ điều gì với dữ liệu cá nhân của người khác. Tổ chức cũng cần đảm bảo rằng mọi quá trình xử lý dữ liệu cá nhân đều tuân thủ các nguyên tắc bảo vệ dữ liệu được nêu trong Điều 2.2. Các biện pháp kỹ thuật bao gồm mã hóa và các biện pháp tổ chức là những thứ như hạn chế số lượng dữ liệu cá nhân tổ chức thu thập hoặc xóa dữ liệu tổ chức không cần nữa. Vấn đề là nó cần phải là thứ mà tổ chức và nhân viên luôn nhận thức được.

2.2. Mã hóa, giả danh hoặc ẩn danh dữ liệu cá nhân nếu có thể

Hầu hết các công cụ được các doanh nghiệp sử dụng đều có mã hóa end-to-end được tích hợp sẵn, bao gồm email, nhắn tin, ghi chú và lưu trữ đám mây. Cần yêu cầu các tổ chức sử dụng mã hóa bất cứ khi nào khả thi

2.3. Tạo chính sách bảo mật nội bộ cho các thành viên trong nhóm và nâng cao nhận thức về bảo vệ dữ liệu

Ngay cả khi bảo mật kỹ thuật của tổ chức mạnh, bảo mật hoạt động vẫn có thể là một liên kết yếu. Tạo chính sách bảo mật đảm bảo các thành viên trong nhóm của tổ chức hiểu biết về bảo mật dữ liệu. Nó phải bao gồm hướng dẫn về bảo mật email, mật khẩu, xác thực hai yếu tố, mã hóa thiết bị và VPN. Nhân viên có quyền truy cập vào dữ liệu cá nhân và nhân viên không phải là kỹ thuật nên được đào tạo thêm về các yêu cầu bảo mật này

2.4. Biết khi nào cần tiến hành đánh giá tác động bảo vệ dữ liệu và có quy trình để thực hiện

Đánh giá tác động bảo vệ dữ liệu (hay còn gọi là đánh giá tác động đến quyền riêng tư) là một cách để giúp tổ chức hiểu cách sản phẩm hoặc dịch vụ của tổ chức có thể gây nguy hiểm cho dữ liệu của khách hàng, cũng như cách giảm thiểu những rủi ro đó. Văn phòng Ủy viên Thông tin Vương quốc Anh (ICO) có danh sách kiểm tra đánh giá tác động bảo vệ dữ liệu trên trang web của mình. Cần  yêu cầu các tổ chức thực hiện loại phân tích này bất cứ khi nào họ có kế hoạch sử dụng dữ liệu của mọi người theo cách “có khả năng dẫn đến rủi ro cao đối với các quyền và tự do [của họ].” ICO khuyến nghị chỉ nên thực hiện bất cứ lúc nào tổ chức chuẩn bị xử lý dữ liệu cá nhân.

2.5. Có sẵn quy trình để thông báo cho các cơ quan có thẩm quyền và chủ thể dữ liệu của tổ chức trong trường hợp vi phạm dữ liệu

Nếu có vi phạm dữ liệu và dữ liệu cá nhân bị lộ, tổ chức phải thông báo cho cơ quan giám sát trong khu vực tài phán của mình trong vòng 72 giờ. Tổ chức cũng được yêu cầu phải nhanh chóng thông báo các vi phạm dữ liệu cho chủ thể dữ liệu của mình trừ khi vi phạm không có khả năng khiến họ gặp rủi ro (ví dụ: nếu dữ liệu bị đánh cắp được mã hóa).

III. TRÁCH NHIỆM GIẢI TRÌNH VÀ QUẢN LÝ

3.1. Chỉ định người chịu trách nhiệm đảm bảo tuân thủ chính sách bảo mật trong tổ chức

Đảm bảo ai đó trong tổ chức phải chịu trách nhiệm về việc tuân thủ quy trình bảo mật. Người này nên được trao quyền để đánh giá các chính sách bảo vệ dữ liệu và việc thực hiện các chính sách đó.

3.2. Ký thỏa thuận xử lý dữ liệu giữa tổ chức và bất kỳ bên thứ ba nào xử lý dữ liệu cá nhân thay mặt tổ chức

Điều này bao gồm mọi dịch vụ của bên thứ ba xử lý dữ liệu cá nhân của các đối tượng dữ liệu của tổ chức, bao gồm phần mềm phân tích, dịch vụ email, máy chủ đám mây, v.v. Đại đa số các dịch vụ đều có sẵn thỏa thuận xử lý dữ liệu tiêu chuẩn trên trang web của họ để tổ chức xem xét. Tổ chức chỉ nên sử dụng các bên thứ ba đáng tin cậy và có thể đảm bảo bảo vệ dữ liệu đầy đủ

3.3. Chỉ định một nhân viên bảo vệ dữ liệu (nếu cần)

Nhân viên bảo vệ dữ liệu Data Protection Officer (DPO) phải là một chuyên gia về bảo vệ dữ liệu với công việc là giám sát tuân thủ bảo mật, đánh giá rủi ro bảo vệ dữ liệu, tư vấn về đánh giá tác động bảo vệ dữ liệu và hợp tác với các cơ quan quản lý

IV. QUYỀN RIÊNG TƯ

4.1. Khách hàng dễ dàng yêu cầu và nhận tất cả thông tin tổ chức có về họ

Mọi người có quyền xem tổ chức có dữ liệu cá nhân nào về họ và cách tổ chức đang sử dụng dữ liệu đó. Họ cũng có quyền biết tổ chức dự định lưu trữ thông tin của họ trong bao lâu và lý do lưu giữ thông tin trong khoảng thời gian đó. Tổ chức phải gửi miễn phí cho họ bản sao đầu tiên của thông tin này nhưng có thể tính một khoản phí hợp lý cho các bản sao tiếp theo. Đảm bảo rằng tổ chức có thể xác minh danh tính của người yêu cầu dữ liệu. Tổ chức sẽ có thể tuân thủ các yêu cầu như vậy trong vòng một tháng.

4.2. Khách hàng dễ dàng sửa chữa hoặc cập nhật thông tin không chính xác hoặc không đầy đủ

Cố gắng hết sức để giữ cho dữ liệu được cập nhật bằng cách áp dụng quy trình chất lượng dữ liệu và giúp khách hàng dễ dàng xem (Điều 4.1) và cập nhật thông tin cá nhân của họ cho chính xác và đầy đủ. Đảm bảo rằng tổ chức có thể xác minh danh tính của người yêu cầu dữ liệu. Tổ chức sẽ có thể tuân thủ các yêu cầu trong vòng một tháng.

4.3. Khách hàng dễ dàng yêu cầu xóa dữ liệu cá nhân của họ

Mọi người thường có quyền yêu cầu tổ chức xóa tất cả dữ liệu cá nhân mà tổ chức có về họ và tổ chức phải thực hiện yêu cầu của họ trong vòng khoảng một tháng. Có một số cơ sở để tổ chức có thể từ chối yêu cầu, chẳng hạn như thực hiện quyền tự do ngôn luận hoặc tuân thủ nghĩa vụ pháp lý. Tổ chức cũng phải cố gắng xác minh danh tính của người đưa ra yêu cầu.

4.4. Khách hàng dễ dàng yêu cầu tổ chức ngừng xử lý dữ liệu của họ

Chủ thể dữ liệu của tổ chức có thể yêu cầu hạn chế hoặc ngừng xử lý dữ liệu của họ nếu áp dụng một số lý do nhất định, chủ yếu là nếu có một số tranh chấp về tính hợp pháp của việc xử lý hoặc tính chính xác của dữ liệu. Tổ chức được yêu cầu thực hiện yêu cầu của họ trong vòng khoảng một tháng. Trong khi việc xử lý bị hạn chế, tổ chức vẫn được phép tiếp tục lưu trữ dữ liệu của họ. Tổ chức phải thông báo cho chủ thể dữ liệu trước khi bắt đầu xử lý lại dữ liệu của họ.

4.5. Khách hàng dễ dàng nhận được bản sao dữ liệu cá nhân của họ ở định dạng có thể dễ dàng chuyển sang công ty khác

Điều này có nghĩa là tổ chức có thể gửi dữ liệu cá nhân của họ ở định dạng dễ đọc (ví dụ: bảng tính) cho họ hoặc cho bên thứ ba mà họ chỉ định. Điều này có vẻ không công bằng từ quan điểm kinh doanh ở chỗ tổ chức có thể phải chuyển dữ liệu khách hàng của mình cho đối thủ cạnh tranh. Nhưng từ quan điểm bảo mật, mọi người sở hữu dữ liệu của họ, không phải tổ chức.

4.6. Khách hàng dễ dàng phản đối việc tổ chức xử lý dữ liệu của họ

Nếu tổ chức đang xử lý dữ liệu của họ cho mục đích tiếp thị trực tiếp, tổ chức phải ngừng xử lý dữ liệu đó ngay lập tức cho mục đích đó. Nếu không, tổ chức có thể thách thức sự phản đối của họ nếu tổ chức chứng minh được “những lý do hợp pháp thuyết phục”.

4.7. Nếu tổ chức đưa ra quyết định về mọi người dựa trên các quy trình tự động, tổ chức phải có một quy trình để bảo vệ quyền của họ

Một số loại tổ chức sử dụng các quy trình tự động để giúp họ đưa ra quyết định về những người có ảnh hưởng hợp pháp hoặc “có ý nghĩa tương tự”. Nếu tổ chức cho rằng điều đó áp dụng cho mình, tổ chức sẽ cần thiết lập một thủ tục để đảm bảo rằng tổ chức đang bảo vệ các quyền, tự do và lợi ích hợp pháp của họ. Tổ chức cần giúp mọi người dễ dàng yêu cầu sự can thiệp của con người, cân nhắc trong các quyết định và thách thức các quyết định mà tổ chức đã đưa ra.