Tin tức

Quản trị dữ liệu: Cân bằng giữa Quyền và Lợi ích

Categories: Data Management, News

Khả năng quản trị dữ liệu tốt mang lại cho doanh nghiệp một giá trị bền vững. Do vậy, cách tiếp cận thụ động tới các vấn đề về dữ liệu có thể làm giảm độ tin cậy của dữ liệu và làm giảm tính cạnh tranh của doanh nghiệp. Vậy, điều gì làm nên một hệ thống quản trị dữ liệu tốt?

Từ Hội nghị Bảo vệ Dữ liệu Châu Âu 2017

Câu hỏi về một hệ thống quản trị dữ liệu tốt là tâm điểm trong Hội nghị Bảo vệ Dữ liệu thường niên Châu Âu của Hiệp hội những Chuyên gia Bảo mật tại Brussel. Trong số những người phát biểu gồm có những chuyên gia trong lĩnh vực học thuật, hành chính, thương mại, pháp luật, bao gồm: chuyên gia Bảo mật và Minh bạch từ NSA, chuyên gia bảo mật từ các tập đoàn IT lớn như Facebook, Microsoft, IBM; và các chuyên gia trong lĩnh vực pháp luật và học thuật.

Vậy điều gì đã khiến những góc nhìn và lợi ích khác nhau cùng ngồi vào bàn hội nghị? Dù có những góc nhìn và chuyên môn khác nhau, những phiên hội nghị cùng mang lại một bài học quan trọng: Quy định về Bảo mật Thông tin (GDPR) là một cơ hội để xây dựng một hệ thống quản trị thông tin trong môi trường yêu cầu tính trách nhiệm và chịu trách nhiệm.

Hệ thống quản trị dữ liệu tiên tiến

Những giá trị về tinh thần trách nhiệm được thể hiện trong Quy định về Bảo mật Thông tin, cụ thể là điều khoản về Tính Minh bạch (Điều 12) và Quyền của Chủ thể Dữ liệu (Điều 12 đến 22). Những điều khoản này có thể được gọi là “quyền chủ động”, tức là những chủ thể của dữ liệu có thể chủ động thực thi những quyền này với người nắm giữ dữ liệu, và tất nhiên, người nắm giữ dữ liệu phải tuân thủ những quyền của chủ thể dữ liệu. Quy đinh về Bảo mật Thông tin được thiết kế để những tổ chức có liên quan phải đảm bảo quyền lợi của Chủ thể Dữ liệu.

Điều này dẫn tới một quyết định tạm thời là quản lý dữ liệu thời hiện tại không chỉ bao gồm những quy trình thu thập và xử lý dữ liệu mà còn thiết lập một “bộ khung trách nhiệm”, để theo dõi tiến độ của các mục tiêu, đảm bảo tính pháp lý, và các biện pháp bảo vệ cho dữ liệu. Một điều quan trọng khác là việc đảm bảo quyền lợi của chủ thể dữ liệu gắn liền với lợi ích của người nắm giữ dữ liệu.

 

Giai đoạn 1: Quyền truy cập “bất khả xâm phạm”

Bất kỳ ai tin rằng một người nắm giữ dữ liệu đang xử lý dữ liệu của mình đều có yêu cầu người nắm giữ dữ liệu xác nhận. Nếu Người Nắm giữ Dữ liệu thực sự đang xử lý dữ liệu của Chủ thể Dữ liệu, Chủ thể Dữ liệu có quyền truy cập những dữ liệu này. Người Nắm giữ Dữ liệu phải cung cấp những dữ liệu này, và phải thông báo cho Chủ thể Dữ liệu viết về mục đích xử lý dữ liệu, những loại dữ liệu cá nhân đang được xử lý, dữ liệu được lưu trữ trong bao lâu, dữ liệu có thể được tiết lộ cho ai, liệu việc lập hồ sơ đã hoàn thành chưa, và những hệ quả tới đời sống cá nhân của Chủ thể Dữ liệu có thể gây ra bởi việc xử lý dữ liệu này. Ngoài ra, người Nắm giữ Dữ liệu còn cần thông báo cho Chủ thể Dữ liệu biết về những quyền lợi khác.

Giai đoạn 2: “Một mũi tên trúng hai đích”

Sau khi đã truy cập được những dữ liệu cá nhân, Chủ thể Dữ liệu có những lựa chọn sau:
Chủ thể Dữ liệu có thể đồng thuận với việc dữ liệu được lưu trữ và xử lý
Hoặc Chủ thể Dữ liệu có thể thực thi các quyền lợi hợp pháp của mình
Để làm rõ tầm quan trọng của hệ thống Quản lý Dữ liệu, quyền Xóa bỏ và quyền Phản đối cần được nhấn mạnh

 

Quyền Xóa bỏ

Chủ thể dữ liệu có thể thực thi quyền xóa bỏ, hay còn gọi “quyền được quên”. Khi thực thi quyền này, người Nắm giữ Dữ liệu phải xóa toàn bộ dữ liệu của Chủ thể. Tuy nhiên, đây không phải là quyền bất khả xâm phạm của Chủ thể, không phải lúc nào người Nắm giữ cũng phải thực hiện, nó cần được cân bằng với các quyền và lợi ích hợp pháp khác. Đó là lý do cần có một hệ thống quản lý dữ liệu mới nhất.

Hãy cùng tìm hiểu trong 2 tình huống sau:

Tình huống 1: Quyền của Chủ thể và Lợi ích của người Nắm giữ Dữ liệu

Trước khi được thực thi, quyền Xóa bỏ phải được cân bằng với lợi ích của người Nắm giữ Dữ liệu. Quyền Xóa bỏ chỉ được thực thi khi dữ liệu cá nhân không còn cần thiết cho mục đích những dữ liệu này được thu thập và xử lý, hoặc việc thu thập và xử lý những dữ liệu này diễn ra trái phép, hoặc việc xóa bỏ được quy định trong những luật khác. Điều này có nghĩa người Nắm giữ Dữ liệu có những lý do chính đáng để tiếp tục xử lý dữ liệu. Ngay cả khi Chủ thể không còn đồng tình với việc dữ liệu của mình được lưu trữ và xử lý, những dữ liệu này có thể không được xóa đi do có những lý do chính đáng cho việc xử lý chúng.

Tình huống 2: Quyền của Chủ thể và những quyền cơ bản khác

Quyền Xóa bỏ có thể không được thực thi nếu việc này ảnh hưởng tới quyền tự do biểu đạt và tự do thông tin. Ngoài ra, người nắm giữ Dữ liệu phải tuân thủ những quy đinh pháp luật khác trong quá trình xử lý dữ liệu, hoặc trong lĩnh vực chăm sóc sức khỏe, dữ liệu có thể không được xóa một cách dễ dàng.

Quyền Phản đối

Một quyền cơ bản, nhưng không bất khả xâm phạm khác của Chủ thể, là quyền phản đồi việc dữ liệu của mình được xử lý. Một điều kiện được áp dụng cho quyền này, đó là tính pháp lý của việc thực thi quyền Phản đối phải đảm bảo quyền lợi của công chúng, hoặc quyền lợi hợp pháp của người Nắm giữ Dữ liệu. Nói cách khác, chủ thể không thể phản đối việc dữ liệu của mình được xử lý nếu đã đồng thuận với việc này trước đó.

Cân bằng giữa Quyền, Lợi ích, và Tự do

Nếu Chủ thể phản đối việc xử lý Dữ liệu, người Nắm giữ phải chấm dứt việc xử lý. Tuy nhiên, nếu người Nắm giữ có lý do chính đáng để tiếp tục xử lý dữ liệu, người Nắm giữ có thể không cần chấm dứt việc xử lý dữ liệu. Đây là vấn đề cân bằng giữa quyền và lợi ích, do vậy cần rất nhiều sự chuẩn bị cho tình huống này.

Nếu không có sự chuẩn bị, mỗi yêu cầu phản đối có thể dẫn tới việc tạm ngưng xử lý cho tới khi mọi việc được sáng tỏ, gây ra nguy cơ vi phạm pháp luật hoặc vi phạm lợi ích. Nếu tổ chức Nắm giữ có nhiều sự chuẩn bị và làm tư liệu đầy đủ cho tất cả các quy trình, tổ chức nắm giữ có thể biết mình có đang tuân thủ pháp luật hay không, và hậu quả về mặt pháp lý, tài chính, và vận hành là gì nếu không tuân thủ.

Hệ thống quản lý dữ liệu hiệu quả

Một hệ thống quản lý tốt phải có tính minh bạch trong khi chuẩn bị sẵn sàng và bảo vệ cho tổ chức khỏi những bất lợi về mặt pháp lý, tài chính và vận hành. Sự chuẩn bị kỹ càng và am hiểu về quyền lợi của Chủ thể dữ liệu có rất nhiều lợi ích:
Đảm bảo quyền của chủ thể dữ liệu
Bảo vệ tổ chức khỏi những ý đồ giới hạn quyền xử lý dữ liệu, và có thể khiến tổ chức vi phạm những luật khác
Đem lại cái nhìn toàn cảnh về hoạt động xử lý dữ liệu, và giá trị của nó về mặt tài chính, luật pháp, và vận hành

 

Trang bị cho tổ chức của bạn một khả năng quản trị dữ liệu là một lựa chọn đúng đắn. Hãy liê hệ với chúng tôi để biết tình trạng hiện tại và sự sẵn sàng của tổ chức để đón nhận GDPR

Hãy thử GDPReadiness Assessment !
Chúng tôi đang tuyển Quản lý Dữ liệu!
Menu