Làm thế nào để tuân thủ GDPR trở thành một vấn đề lớn đối với các công ty ngày nay?
Bảo vệ dữ liệu cá nhân có nghĩa là phải vệ sinh máy tính tốt. Sự gia tăng của các công cụ và dịch vụ trong các tổ chức đang tạo ra sự bùng nổ trong việc sử dụng dữ liệu, nhiều trong số đó là cá nhân. Các doanh nghiệp cần có khả năng quản lý chúng một cách hợp lý và hiệu quả để duy trì hoạt động kinh doanh của mình. Thật vậy, nhiều rủi ro đè nặng lên các tổ chức, cho dù tài chính thông qua tiền phạt hoặc ngăn chặn hoạt động do thiếu bảo mật dữ liệu, hoặc danh tiếng thông qua “tên tuổi và sự xấu hổ”.
Việc bảo vệ dữ liệu cá nhân hiện là một phần của khuôn khổ rộng rãi về đạo đức, CSR và an ninh mạng. Nó không còn là một nghĩa vụ riêng lẻ. Quy định này cũng đánh dấu một cách tiếp cận mới trong quy định và yêu cầu các tổ chức chứng minh rằng họ tuân thủ (trách nhiệm giải trình) mà không cần đợi sự can thiệp của cơ quan quản lý. Vì vậy, có rất nhiều tài liệu để đưa ra.
Những dịch vụ hoặc phòng ban nào bị ảnh hưởng nhiều nhất trong tổ chức?
Bộ phận bán hàng / tiếp thị sẽ tự đi trước thông qua hoạt động tìm kiếm khách hàng tiềm năng thương mại, hoạt động này có thể tạo ra nhiều lời phàn nàn từ những khách hàng tiềm năng ngày càng tỉnh táo hơn về việc sử dụng dữ liệu. Bộ phận nhân sự trong lịch sử đã bị ảnh hưởng rất nhiều vì dữ liệu được xử lý rất nhạy cảm và thường được yêu cầu trong bối cảnh kiện tụng với nhân viên.
Theo ý kiến của bạn, các phương pháp chính tốt nhất cần tuân theo để tuân thủ GDPR là gì? Bạn có ví dụ cụ thể không?
Điều quan trọng là phải đưa các nguồn lực vào đối tượng và đưa nó vào chiến lược tổng thể của công ty. Điều này đòi hỏi quản trị nội bộ, giao tiếp, các công cụ kinh doanh để quản lý dữ liệu cá nhân, như chúng tôi cung cấp tại Dastra và truyền tải các thông lệ tốt trong các hoạt động của công ty. Đây là lý do tại sao sự tham gia của các ngành nghề kinh doanh là rất cần thiết.
Ví dụ: các bộ phận mua hàng phải tính đến các tiêu chí tuân thủ GDPR khi mua các công cụ hoặc dịch vụ và do đó cộng tác với “bộ phận hiểu biết” (bộ phận pháp lý, DPO, lãnh đạo Quyền riêng tư, v.v.). Trong mỗi bộ phận, cần đặt ra những câu hỏi thường thấy nhất: dữ liệu này hữu ích với tôi như thế nào? Tôi sẽ giữ chúng trong bao lâu? Ai có quyền truy cập vào nó? Tôi có biết dịch vụ của mình hoạt động như thế nào không?
Hầu hết thời gian, vấn đề đặt ra là hiểu rõ môi trường của bạn và tự hỏi bản thân: đây có phải là cơ hội để tối ưu hóa, để làm một số công việc dọn dẹp không?
Làm thế nào để thiết lập quản lý tốt các cookie trên một trang web? Đề xuất của bạn về vấn đề này là gì?
Cookie là một chủ đề tuy nhiên phức tạp vì nó không chỉ dừng lại ở những chiếc bánh quy đơn giản. Cũng cần phải xem mọi thứ đi qua mạng và có thể hiểu được mức độ hữu ích và người nhận của từng yêu cầu. Do đó, cần phải trưng cầu những người “có kiến thức”: các nhóm phát triển của trang web và thách thức họ về những gì được gửi, đọc và yêu cầu bằng cách duyệt trang web. Sau đó, bạn phải dịch các hành vi này và đủ điều kiện theo các quy định, thiết lập biểu ngữ cookie và tìm kiếm sự đồng ý của người dùng Internet nếu có lý do chính đáng. Cách đơn giản nhất là thông qua một công cụ chuyên dụng hoặc tìm kiếm lời khuyên để thực hiện biểu ngữ này. Bạn cũng có thể đọc các nguyên tắc CNIL về chủ đề này, rất rõ ràng.
CNIL làm rõ tình hình trên các bức tường cookie
Những loại công cụ nào có thể giúp các doanh nghiệp đảm bảo rằng họ tuân thủ GDPR?
Có nhiều công cụ để đảm bảo tuân thủ GDPR. Một số trong số họ chuyên về công nghệ nâng cao quyền riêng tư, giúp đáp ứng trực tiếp các nghĩa vụ GDPR. Ví dụ: một công cụ để ẩn danh dữ liệu, xóa dữ liệu tự động, v.v. Để tổ chức tuân thủ GDPR và cho phép thực hiện tất cả các hành động, các công cụ như Dastra giúp bạn có thể thực hiện quản trị nội bộ và quản lý tất cả các quy trình nội bộ.
GDPR yêu cầu lưu giữ các bản ghi dữ liệu. Các công cụ quản trị dữ liệu giúp bạn có thể thiết lập sổ đăng ký xử lý, sổ đăng ký sự cố bảo mật, giám sát các yêu cầu thực thi quyền, giám sát việc tuân thủ và các hành động quản lý rủi ro. Tại Dastra, chúng tôi cũng cung cấp dịch vụ giám sát tuân thủ thông qua chức năng kiểm toán để quản lý sự tuân thủ theo thời gian. Tuân thủ GDPR là một quá trình liên tục và nó phải được lập thành văn bản để đáp ứng yêu cầu về trách nhiệm giải trình.
Những rủi ro phát sinh từ các công ty không tuân thủ các yêu cầu của CNIL là gì?
Nguy cơ bị xử phạt khá đơn giản. Hợp tác với cơ quan giám sát là một nghĩa vụ được ghi trong GDPR. Đức tin xấu là một tiêu chí để làm trầm trọng thêm phản ứng hành chính, có thể đi xa tới mức phạt tài chính lên đến 4 % doanh thu trên toàn thế giới, hoặc 20 triệu euro trong giới hạn của số tiền cao nhất. Chúng tôi lưu ý rằng số lượng các biện pháp trừng phạt đang không ngừng tăng lên và số tiền tài chính đang tăng lên. Ngày nay, CNIL không còn là người duy nhất quyết định số tiền xử phạt, các cơ quan có thẩm quyền khác của châu Âu có quyền nói và có thể yêu cầu số tiền cao hơn mức mà CNIL đề xuất. Nó đã xảy ra gần đây với nhóm ACCOR. CNIL đề xuất mức phạt 100.000 euro, nhưng cơ chế châu Âu đã nâng mức phạt lên 600.000 euro.
Bạn nên biết rằng các nguồn lực của CNIL đang tăng lên cũng như phản ứng kiện tụng của nó. Cô ấy đã gửi vài trăm thông báo chính thức về cookie vào năm ngoái. Nó tiếp tục trong năm nay trên các trang web bảo mật. Ngoài ra, nó có một quyền lực mới để phạt số tiền tối đa là 20.000 euro trong một thủ tục đơn giản hóa, đặc biệt là để hợp lý hóa phản ứng hành chính đối với hàng nghìn khiếu nại mà nó nhận được.
Là một phần của lễ hội Tuần lễ kỹ thuật số Nantes, bạn sẽ đồng tổ chức hội nghị “GDPR, đánh giá mức độ tuân thủ và chuẩn bị tốt”. Bạn có thể cho chúng tôi biết một vài từ về nó?
Mục đích của hội nghị của chúng tôi sẽ là xem xét các phương pháp hay nhất để áp dụng để tuân thủ GDPR. Chúng tôi cùng với Matthieu Camus từ Privacy Impact đã làm việc cùng nhau tại CNIL trước khi cộng tác trên nhiều tệp tuân thủ với khách hàng. GDPR đã vượt qua 4 năm nay, và chúng tôi muốn quay lại kiểm kê việc tuân thủ để hỗ trợ thực tế rằng không có gì là chắc chắn về chủ đề này và để đáp ứng đầy đủ các nghĩa vụ, bạn phải chuẩn bị để nhận được sự kiểm soát từ CNIL. Chính trên tinh thần đó mà chúng tôi sẽ tạo nên sự sôi động cho hội thảo này. Làm thế nào để chúng tôi biết chúng tôi đang ở đâu và chúng tôi sẵn sàng trong trường hợp thanh tra? Mục tiêu là giáo dục nhưng cũng tập trung vào việc chia sẻ kinh nghiệm. Hội thảo này sẽ rất năng động và hợp tác.
