Tin tức

GDPR – Nghĩa vụ của Tổ chức Kiểm soát và Tổ chức Xử lý

Categories: GDPR, News

Quy đinh về Bảo mật Thông tin bao gồm nhiều điều luật  nghĩa vụ mớiMặt khác quy định mới cũng làm  hoặc loại bỏ những quy định bảo mật trước đó.

Tương tự như những quy định về bảo mật trước đó, GDPR cũng phân biệt 2 loại tổ chức: tổ chức Kiểm soát dữ liệu (Điều 4(7)), và tổ chức Xử lý dữ liệu (Điều 4(8)). Việc xác đinh tổ chứ của bạn thuộc loại nào hết sức quan trọng, vì mỗi loại tổ chức lại có những nghĩa vụ riêng được quy định trong GDPR. Nói một cách ngắn gọn, Tổ chức Kiểm soát Dữ liệu xác đinh mục đích và cách thức xử lý những thông tin cá nhân, còn Tổ chức Xử lý Dữ liệu tiến hành xử lý những dữ liệu này dưới tư cách của Tổ chức Kiểm soát Dữ liệu 

Hãy cùng khám phá những nghĩa vụ quan trọng nhất theo GDPR.

Nghĩa vụ của Tổ chức Kiểm soát Dữ liệu 

  • Đảm bảo việc xử lý dữ liệu cá nhân tuân thủ những quy định của GDPR 
  • Chỉ được phép xử lý những thông tin cá nhân ở mức vừa đủ, có liên quan, và chỉ hạn chế ở mục đích ban đầu của việc xử lý những thông tin đó 
  • Phải triển khai những biện pháp để bảo vệ những thông tin cá nhân khỏi những sự cố, những hành động phá hoại trái phép, mất mát, thay đổi không mong muốn, tiết lộ hay truy cập trái phép (trích khoản 82 và 83) 
  • Những biện pháp bảo vệ dữ liệu phải được triển khai trong quá trình chuẩn bị cho việc xử lý dữ liệu cá nhân, và trong quá trình triển khai bất kỳ sản phẩm hay dịch vụ mới. Đây còn được biết đến như quy tắc “Bảo vệ dữ liệu từ thiết kế” hay “Bảo vệ dữ liệu mặc định” (Điều 25) 
  • Những hoạt động xử lý dữ liệu cá nhân phải được ghi nhận (Điều 30) 
  • Cân nhắc việc Đánh giá Tác động để xác định liệu việc xử lý dữ liệu có vi phạm quyền tự do cá nhân (Điều 35) 
  • Công ty của bạn có thể phải bổ nhiệm Nhân viên Bảo mật dữ liệu (Điều 37 đến 39) 
  • Khi hợp tác với Tổ chức Xử lý dữ liệu, công ty của bạn phải đảm bảo Tổ chức Xử lý Dữ liệu cũng tuân thủ GDPR. Điều này phải được nêu rõ trong thỏa thuận hợp tác giữa Tổ chức Kiểm soát Dữ liệu và Tổ chức Xử lý Dữ liệu 
  • Đảm bảo tuân thủ GDPR về vấn đề gửi dữ liệu xuyên biên giới (Điều 44 đến 50) 
  • Phải thông báo cho cơ quan có thẩm quyền và chủ thể dữ liệu về bất kỳ sự cố rò rỉ dữ liệu nào trong vòng 72 giờ (Điều 33 và 34) 

Nghĩa vụ của tổ chức Xử lý Dữ liệu 

Quy tắc quan trọng nhất đối với tổ chức Xử lý dữ liệu là chỉ xử lý dữ liệu đúng như thỏa thuận với tổ chức Kiểm soát Dữ liệu (Điều 29). Theo quy định cũ, Tổ chức kiểm soát Dữ liệu phải chịu trách nhiệm về hành động của cả bản thân lẫnh hành động của Tổ chức Xử lý Dữ liệu. Trong GDPR, Tổ chức Xử lý dữ liệu sẽ phải tự chịu trách nhiệm về hành động của mình.

Nếu công ty của bạn là một tổ chức xử lý dữ liệu, công ty của bạn cần để tâm tới những quy định sau: 

  • Một tổ chức xử lý dữ liệu phải triển khai những biện pháp an toàn (Điều 32), lưu trữ thông tin (Điều 30), thực hiện Đánh giá Tác động Bảo vệ Dữ liệu (Điều 35), tuân thủ những quy định về chuyển dữ liệu xuyên biên giới, và có thể bổ nhiệm nhân viên Bảo mật Dữ liệu (đièu 37 đến 39) 
  • Trong tình huống mất cắp dữ liệu, phải thông báo lập tức cho đơn vị Kiểm soát dữ liệu (Điều 33). Khoảng thời gian từ lúc xảy ra sự cố tới lúc thông báo phải được quy định trong thỏa thuận với đơn vị Kiểm soát Dữ liệu 
  • Đơn vị Xử lý dữ liệu cần nhận được sự đồng ý của đơn vị Kiểm soát dữ liệu trước khi thuê một đơn vị Xử lý dữ liệu khác 
  • Nếu đơn vị Xử lý dữ liệu có căn cứ cho rằng yêu cầu của đơn vị Kiểm soát dữ liệu vi phạm GDPR, đơn vị Xử lý phải thông báo cho đơn vị quản lý (Điều 28(3)) 
  • Đơn vị Kiểm soát dữ liệu có quyền thực hiện kiểm toán an ninh để chắc chắn rằng đơn vị Xử lý tuân thủ GDPR (Điều 28(3)) 

Ngoài ra nếu đơn vị Xử lý thực hiện việc xử lý dữ liệu mà không có sự đồng ý bằng văn bản từ đơn vị Kiểm soát, đơn vị xử lý trở thành đơn vị kiểm soát và chịu mọi trách nhiệm trước pháp luật như một đơn vị kiểm soát.

Điều này có nghĩa như thế nào với bạn? 

Những bước tiếp theo cho công ty của bạn, bất kể công ty của bạn là một đơn vị Kiểm soát hay đơn vị Xử lý, là kiểm tra dữ liệu cá nhân mà bạn có và hiện đang xử lý. Ngay cả việc lưu trữ dữ liệu để xử lý sau này cũng vẫn được coi là “xử lý”. Đánh giá lại các quy trình và liệu những quy trình có cần thay đổi để phù hợp với GDPR không. Có nhiều khả năng những quy trình này sẽ cần thay đổi để phù hợp với GDPR. 

Trong những bài blog tiếp theo, chúng ta sẽ tiếp tục tìm hiểu về những quy định bắt buộc mới và những lợi ích của Đánh giá Tác động Bảo vệ Dữ liệu. 

Trueson tăng cường hơn nữa chuyên môn về Multichannel
Trueson chào mừng Jaap Bok
Menu