Skip to main content

Quy định chung về bảo vệ dữ liệu (GDPR)

Tìm hiểu về GDPR và cách Epicor giúp bạn tuân thủ.

Tuân thủ là trách nhiệm chung

Epicor đảm bảo tính bảo mật dữ liệu và quyền riêng tư—cho cả chính mình lẫn khách hàng và sẽ tuân thủ Quy định chung về bảo vệ dữ liệu (GDPR) khi có hiệu lực. Mặc dù hoạt động tuân thủ GDPR của Epicor sẽ giúp khách hàng đảm bảo tình hình tuân thủ GDPR, việc tuân thủ vẫn là trách nhiệm chung.

Epicor cam kết hỗ trợ khách hàng tuân thủ các yêu cầu của GDPR và không ngừng nỗ lực cải thiện, qua đó hỗ trợ hoạt động tuân thủ của chính mình cũng như của khách hàng.

Cách Epicor giúp bạn

GDPR là gì?

Tìm hiểu Thông tin cơ bản về GDPR

Quy định chung về bảo vệ dữ liệu (GDPR) là khung pháp lý mới thay thế cho Chỉ thị về bảo vệ dữ liệu của Liên minh châu Âu, có hiệu lực thi hành từ ngày 25/5/2018. Nhằm mục đích bảo vệ quyền riêng tư của cá nhân tại Liên minh châu Âu mạnh mẽ hơn, GDPR điều chỉnh cách các tổ chức quản lý và bảo vệ dữ liệu cá nhân liên quan đến người dân Liên minh châu Âu, bất kể nơi thu thập, chuyển, lưu trữ hay xử lý dữ liệu cá nhân. 

GDPR có nhiều điểm thay đổi so với luật hiện hành, ảnh hưởng đến cách xử lý dữ liệu cá nhân tại Liên minh châu Âu và có thể tác động đến từng bộ phận của nhiều doanh nghiệp trên toàn thế giới. GDPR dự kiến sẽ ảnh hưởng đến mọi tổ chức tự mình hoặc thay mặt các bên khác xử lý dữ liệu cá nhân tại Liên minh châu Âu, cũng như các nhà cung ứng và bên thứ ba có thể xử lý dữ liệu cá nhân cho các tổ chức.

GDPR có những quy định gì?

GDPR trao cho cá nhân một số quyền cũng như quyền kiểm soát nhất định đối với dữ liệu cá nhân của mình. GDPR cũng yêu cầu tính tổ chức phải minh bạch khi sử dụng dữ liệu cá nhân, thiết lập biện pháp bảo mật và các biện pháp kiểm soát khác đối với cách bảo vệ dữ liệu cá nhân.

GDPR tác động đến đối tượng nào?

Các yêu cầu do GDPR đặt ra có thể áp dụng cho mọi tổ chức xử lý dữ liệu cá nhân tại Liên minh châu Âu. Các yêu cầu này cũng có thể áp dụng cho các bên thứ ba và nhà cung ứng khác xử lý dữ liệu cá nhân cho một tổ chức.

GDPR có tác động đến các tổ chức ngoài Liên minh châu Âu không?

Tác động của GDPR vượt qua biên giới Liên minh châu Âu. GDPR có khả năng sẽ ảnh hưởng đến mọi tổ chức—bất kể vị trí nếu tổ chức đó thu thập, nhận, xử lý hay lưu trữ dữ liệu cá nhân tại Liên minh châu Âu. Quy định này có thể ảnh hưởng đến cả mọi tổ chức có trụ sở ngoài Liên minh châu Âu nếu thu thập hay nhận dữ liệu cá nhân tại Liên minh châu Âu.

Các nguyên tắc chính của GDPR là gì?

GDPR hướng tới củng cố các quyền cá nhân hiện hành, đặt ra thêm các quyền khác và trao cho người dân Liên minh châu Âu nhiều quyền kiểm soát hơn đối với dữ liệu cá nhân của mình. Các nguyên tắc cơ bản của GDPR là:

  • Yêu cầu tính minh bạch khi xử lý và sử dụng dữ liệu cá nhân
  • Giới hạn hoạt động xử lý dữ liệu cá nhân ở những mục đích cụ thể, hợp pháp
  • Giới hạn hoạt động thu thập và lưu trữ dữ liệu cá nhân ở những mục đích nhất định
  • Cho phép cá nhân yêu cầu những quyền sau trong một số tình huống: truy cập, chỉnh sửa, xóa (quyền được lãng quên), chuyển dữ liệu cá nhân của họ đến bên thứ ba, hạn chế hoặc phản đối việc xử lý dữ liệu cá nhân của họ
  • Đảm bảo dữ liệu cá nhân được bảo vệ bằng các biện pháp bảo mật thích hợp
  • Giới hạn hoạt động lưu trữ dữ liệu cá nhân ở những mục đích nhất định, chỉ khi cần thiết

Các nguyên tắc của GDPR có ý nghĩa như thế nào đối với doanh nghiệp của tôi?

Cá nhân tại Liên minh châu Âu có thể có quyền được biết những thông tin như dữ liệu cá nhân của mình được xử lý, sử dụng, chia sẻ và lưu trữ hay không và theo cách nào. Cá nhân cũng có thể có nhiều quyền cá nhân khác, chẳng hạn như quyền truy cập vào dữ liệu cá nhân của mình. Khi đáp ứng những yêu cầu như vậy, thông tin phải được cung cấp cho người đó theo cách rõ ràng và dễ hiểu.

Cá nhân cũng có thể có quyền yêu cầu chỉnh sửa hoặc xóa dữ liệu cá nhân. Nếu một người không còn muốn xử lý dữ liệu của mình nữa— và một tổ chức không có cơ sở hợp pháp nào khác cho việc lưu trữ dữ liệu này—thì dữ liệu phải được xóa bỏ.

GDPR cũng trao cho cá nhân tại Liên minh châu Âu quyền được biết khi dữ liệu cá nhân bị xâm phạm. GDPR yêu cầu tổ chức cung cấp thông tin cho cá nhân về hành vi xâm phạm dữ liệu có nguy cơ cao, ngoài việc thông báo cho cơ quan bảo vệ dữ liệu có thẩm quyền.

Các định nghĩa trong GDPR

GDPR sử dụng một số thuật ngữ có thể không quen thuộc hay đủ rõ ràng. Chúng tôi đã cố gắng đơn giản hóa những từ đó.

Dữ liệu cá nhân: Dữ liệu cá nhân là trọng tâm của GDPR và có định nghĩa rộng. Ví dụ về dữ liệu cá nhân: tên, địa chỉ email, số điện thoại, địa chỉ thực, thông tin nhận dạng thiết bị như địa chỉ IP, thông tin về vị trí địa lý, thông tin sức khỏe, thông tin tài chính, tuổi, ngày sinh, v.v. Mặc dù những dữ liệu—như tên và địa chỉ email của cá nhân—có thể tìm kiếm công khai hay có trong các hồ sơ công khai khác, dữ liệu đó có thể được xem là dữ liệu cá nhân và phải được bảo vệ theo GDPR. Khi không biết rõ dữ liệu cá nhân liên kết với một người hay thiết bị của một người có phải là dữ liệu cá nhân hay không, tổ chức thường cho rằng là có.

Bên kiểm soát: Bên kiểm soát là một tổ chức quyết định cách thức và mục đích thu thập, sử dụng, xử lý, tiết lộ và duy trì dữ liệu cá nhân. Ví dụ: khi một công ty thu thập dữ liệu cá nhân từ một người hay nhận dữ liệu cá nhân từ một bên thứ ba thay mặt công ty thu thập dữ liệu thì công ty này thường là bên kiểm soát.

Xử lý: Xử lý là hành động đối với dữ liệu cá nhân—bất kể cách thức có phải là tự động hay không. Hành động này bao gồm thu thập, ghi lại, tổ chức, cấu trúc, lưu trữ, thích ứng hay biến đổi, truy xuất, tư vấn, sử dụng, tiết lộ bằng cách truyền, phổ biến hay công bố, căn chỉnh hoặc kết hợp, hạn chế, xóa hoặc phá hủy dữ liệu cá nhân. Hầu như hành động nào đối với dữ liệu cá nhân cũng có thể xem là xử lý.

Bên xử lý: Bên xử lý là một tổ chức chỉ xử lý (ví dụ: thu thập, lưu trữ, sử dụng hoặc tiết lộ) dữ liệu cá nhân thay mặt bên kiểm soát và phù hợp với chỉ dẫn của bên kiểm soát.

Tôi cần xem xét gì về GDPR?

Khi muốn đáp ứng các yêu cầu của GDPR, bạn cần cân nhắc hệ thống và phần mềm của mình. Đây cũng là một phần trong việc áp dụng cách thức tuân thủ GDPR mạnh mẽ trong toàn tổ chức. Phần lớn việc cần làm để đáp ứng các yêu cầu của GDPR đều liên quan đến quy trình. Các tổ chức nên cân nhắc những việc sau:

  • Xác định dữ liệu cá nhân bạn có cũng như nơi lưu trữ
  • Triển khai biện pháp quản trị mạnh mẽ đối với cách xử lý và sử dụng dữ liệu cá nhân
  • Thiết lập các biện pháp kiểm soát bảo mật thích hợp để ngăn chặn, phát hiện và ứng phó với các lỗ hổng và hành vi xâm phạm dữ liệu
  • Phản hồi yêu cầu của những cá nhân xác nhận quyền bảo vệ dữ liệu của họ (ví dụ: yêu cầu cung cấp cho cá nhân bản sao dữ liệu cá nhân của họ)
  • Duy trì hệ thống tài liệu tuân thủ, bao gồm hồ sơ về các hoạt động xử lý và phản hồi yêu cầu của cá nhân
  • Kịp thời báo cáo mọi hành vi xâm phạm dữ liệu theo yêu cầu của pháp luật

Epicor sẽ có những giải pháp gì để giúp tổ chức của tôi tuân thủ các yêu cầu của GDPR?

Epicor đảm bảo tính bảo mật dữ liệu và quyền riêng tư—cho cả chính mình lẫn khách hàng— trên toàn thế giới. Tương tự như các yêu cầu khác theo luật và quy định hiện hành, Epicor chú trọng vai trò là Bên kiểm soát dữ liệu cũng như Bên xử lý dữ liệu.

Tuân thủ GDPR là trách nhiệm chung giữa Epicor và khách hàng. Khi xử lý dữ liệu cá nhân, các sản phẩm và dịch vụ của Epicor có thể góp phần giúp bạn tuân thủ GDPR. Ví dụ: các sản phẩm và dịch vụ của chúng tôi cung cấp chức năng giúp đáp ứng các yêu cầu về quyền cá nhân. Các sản phẩm và dịch vụ (bao gồm các giải pháp được lưu trữ của Epicor) có các biện pháp bảo mật và kiểm soát truy cập. Các tổ chức có thể kết hợp chức năng và quy trình trong các sản phẩm và dịch vụ của Epicor để giúp họ đáp ứng các nghĩa vụ tuân thủ GDPR.

Epicor còn cam kết hỗ trợ khách hàng tuân thủ các yêu cầu khác nhau áp dụng cho hoạt động kinh doanh của họ— bao gồm cả GDPR. Vì vậy, Epicor không ngừng theo dõi các quy định pháp luật vẫn đang thay đổi cũng như phương pháp tốt nhất để giúp cải thiện các sản phẩm, hợp đồng và tài liệu của mình, qua đó hỗ trợ khách hàng tuân thủ các nghĩa vụ pháp lý—bao gồm cả GDPR.