Rất nhiều công ty đang cân nhắc tuyển dụng những Nhân viên Bảo mật Dữ liệu (DPO) để chuẩn bị cho Quy đinh về Bảo mật Dữ liệu (GDPR). Một trong những sai lầm phổ biến là chỉ những công ty có hơn 250 nhân viên mới cần Nhân viên Bảo mật dữ liệu. Có thể công ty của bạn cũng cần một DPO?
Nhân viên Bảo vệ Dữ liệu là ai?
Nhân viên Bảo vệ Dữ liệu (DPO) là người theo dõi khả năng tuân thủ Quy đinh về Bảo về Dữ liệu của tổ chức. DPO là người:
- Làm việc với nhiều phòng ban
- Kiểm tra và đánh giá các chính sách và thông lệ của công ty
- Thực hiện kiểm toán nội bộ
- Tham gia trực tiếp vào việc giải quyết những vấn đề về bảo mật dữ liệu cá nhân
- Báo cáo tới cấp lãnh đạo cao nhất
- Là người liên lạc cho tất cả các vấn đề về Bảo mật Dữ liệu
Là người nắm giữ vai trò đặc biệt trong tổ chức, DPO được hưởng những đặc quyền để hoàn thành công việc của mình. DPO có thể từ chối những yêu cầu công việc không chính đáng từ ban lãnh đạo mà không phải chịu bất kỳ hình thức kỷ luật nào. Điều này nhằm ngăn chặn việc cố tình hiểu Quy định Bảo mật một cách không chính xác nhằm trục lợi cho công ty.
Thứ xa xỉ bắt buộc?
Mặc dù thời gian còn lại để chuẩn bị cho GDPR không nhiều, hiện chưa có phương pháp chính thức nào để chứng nhận cho các DPO. Dù nhiều tổ chức đang thực hiện những khóa tập huấn ngắn hạn, chưa có khóa tập huấn nào được chính thức công nhận. Như vậy, yêu cầu tối thiểu đối với một CPO là kinh nghiệm và sự am hiểu về luật pháp, bảo mật dữ liệu, và tư vấn doanh nghiệp.
Mặc dù chưa có nhiều DPO được chứng nhận, tìm kiếm sự tư vấn từ một DPO không còn quá xa xỉ. Bảo mật thông tin là yếu tố then chốt quyết định xem công ty của bạn có nhận được một hợp đồng hay không. Việc bổ nhiệm một DPO là một tiêu chí quan trọng để Cơ quan Bảo mật Dữ liệu (DPA) đánh giá mức độ tuân thủ GDPR của công ty bạn. Ngoài ra, các cơ quan Bảo mật Dữ liệu tại Anh (ICO), Hà Lan (AP), và Canda (OPC) đang hợp tác để xây dựng khung hành lang pháp lý quốc tế để thực thi GDPR. Hiểu biết và tuân thủ GDPR là điều rất nên làm.
Bạn có thể thắc mắc tại sao Canada và Anh, hai nước không phải và không còn là thành viên Liên minh Châu Âu, lại dành nhiều công sức để thực thi quy định của liên minh châu Âu. Lý do là GDPR không chỉ ảnh hưởng tới những doanh nghiệp nằm trong liên minh châu Âu, mà còn bất kỳ doanh nghiệp nào có lưu trữ và xử lý dữ liệu của những chủ thể ở liên minh châu Âu.
Sự mập mờ và những hướng dẫn
Đáng tiếc là việc tuân thủ GDPR khó hơn thực tế. Phần nội dung rõ ràng nhất về DPO nằm ở Khoảng 37 đến 39 của GDPR. Ở một vài nước, trước GDPR việc bổ nhiệm DPO là bắt buộc. Với việc ra đời GDPR, việc bổ nhiệm DPO là bắt buộc toàn châu Âu và quốc tế nếu công ty đạt đủ điều kiện. GDPR vẫn còn một số khúc mắc về những điều kiện này, và cần nhiều hướng dẫn để áp dụng luật vào thực tế. Có hai câu hỏi chính liên quan tới Khoản 37(1)(b)
- “Theo dõi chủ thể như một phần chính của hoạt động kinh doanh” là gì?
- “Theo dõi chủ thể dữ liệu với quy mô lớn” có nghĩa là gì?
WP29[2] được ban hành vào tháng 4 năm 2017 để giải thích và hướng dẫn. Có 3 hướng tiếp cận:
- Bổ nhiệm DPO được coi là một động thái tốt và được đề xuất, ngay cả khi không bắt buộc;
- Bắt buộc phải bổ nhiệm DPO nếu việc xử lý dữ liệu là một phần cốt lõi của hoạt động kinh doanh;
- Nếu hoạt động kinh doanh yêu cầu việc xử lý dữ liệu, thì việc xử lý dữ liệu được coi là hoạt động cốt lõi
Case study dưới đây sẽ làm rõ một vài câu hỏi của bạn.
Case: PharmXample
PharmXample là một công ty dược tập trung vào việc sản xuất, marketing, và bán hàng tại châu Âu và Nam Phi. Liệu xử lý dữ liệu cá nhân có phải hoạt động cốt lõi của PharmXample không? Có thể là không. Tuy nhiên, marketing và bán hàng là hoạt động kết lõi của PharmaXample. Để có thể thực hiện những hoạt động này, những nhân viên của PharmaXample cần sử dụng dữ liệu của các bác sĩ. Mặc dù dữ liệu này là B2B, dữ liệu này có liên quan tới cá nhân, do vậy, nó nằm trong khuôn khổ của GDPR. Nếu không có những hoạt động sử dụng tới dữ liệu, PharmaXample không thể tồn tại. Việc xử lý dữ liệu cá nhân, do đó, không thể tách rời khỏi hoạt động kinh doanh cốt lõi của PharmaXample, nên việc bổ nhiệm DPO là bắt buộc.
Về mặt quy mô, WP29 cho rằng, một thông lệ tiêu chuẩn sẽ được phát triển theo thời gian, và công ty có quyền quyết định thế nào là “quy mô lớn”. Tuy nhiên, điều này không có nghĩa công ty của bạn hoàn toàn tuân thủ quy định. GDPR yêu cầu công ty của bạn được loại trừ khỏi những điều khoản quy định, hoặc ngược lại.
Bổ nhiệm DPO
Bạn quyết đinh sẽ tìm kiếm một DPO, vậy bạn sẽ phải làm thế nào? Bạn có thể thuê một DPO toàn thời gian, hoặc thuê bán thời gian, tùy theo nhu cầu và chi phí bạn sẵn lòng bỏ ra. Tới thời điểm hiện tại, vẫn chưa có hướng dẫn chính thức nào về những chứng chỉ cần có của một DPO. Có lẽ câu hỏi quan trọng trong lúc này không phải là liệu DPO có cần được chứng nhận hay không, mà là liệu DPO có mang lại những cơ hội tốt để chuẩn bị cho công ty những chiến lược bền vững và mang tính cạnh tranh trong vẫn đề quản trị dữ liệu.
[1] https://autoriteitpersoonsgegevens.nl/nl/nieuws/privacytoezichthouders-wereldwijd-versterken-samenwerking-bij-handhaving
[2] https://en.wikipedia.org/wiki/Article_29_Data_Protection_Working_Party