Bạn có phải là một công ty mới thành lập đang tự hỏi làm thế nào để xây dựng chính sách bảo mật dữ liệu đầu tiên của mình? Các chính sách bảo mật là điều cần thiết khi thiết lập một doanh nghiệp xử lý dữ liệu cá nhân của những người dùng và các bên liên quan khác nhau. Để giúp bạn bắt đầu, đây là một số bước đầu tiên để làm theo:

Chỉ định một nhân viên bảo mật dữ liệu 

Bước đầu tiên và quan trọng nhất là chỉ định một người trong tổ chức của bạn chịu trách nhiệm về các vấn đề bảo mật dữ liệu. Cá nhân này phải có kiến ​​thức về chủ đề này, một người có chuyên môn về pháp lý và CNTT (nội bộ hoặc bên ngoài của đồng mpany). Quy định chung về quyền riêng tư của dữ liệu (GDPR) yêu cầu chỉ định cái gọi là nhân viên bảo mật dữ liệu (DPO) cho một số loại hoạt động xử lý cụ thể, chẳng hạn, nếu công ty khởi nghiệp của bạn xử lý dữ liệu sức khỏe ở quy mô lớn. DPO tư vấn cho công ty về các vấn đề bảo mật dữ liệu, yêu cầu và đóng vai trò là liên lạc viên giữa công ty, các bên thứ ba và các cơ quan bảo mật dữ liệu. Mặc dù không phải lúc nào pháp luật cũng bắt buộc phải bổ nhiệm một DPO, nhưng theo các thông lệ tốt nhất, chắc chắn nên bổ nhiệm một DPO.

Phân tích vòng đời dữ liệu 

Thứ hai, bạn cần phân tích vòng đời dữ liệu của mình, bao gồm cách dữ liệu được thu thập, lưu trữ, xử lý và xóa, đồng thời hiểu cách áp dụng các nguyên tắc xử lý dữ liệu để xử lý dữ liệu chính xác.

Để đạt được điều này, bạn nên tạo một biểu đồ để xác định vòng đời dữ liệu trong công ty của bạn, từ việc thu thập dữ liệu, đến khi hủy dữ liệu. Việc xác định những điều trên sẽ giúp bạn đánh giá rủi ro trong quá trình xử lý dữ liệu và xác định các biện pháp bảo mật để ngăn ngừa và giảm thiểu những rủi ro đó.

Xem xét thông báo thông tin 

Theo GDPR, người kiểm soát được yêu cầu cung cấp một số thông tin nhất định cho chủ sở hữu dữ liệu về việc xử lý dữ liệu của họ, chẳng hạn như mục đích và cơ sở pháp lý của việc xử lý, người được giao sẽ chuyển dữ liệu, quyền được cấp cho chủ sở hữu dữ liệu, v.v.

Chính sách thông tin có thể được cung cấp cho chủ sở hữu dữ liệu ở hai cấp độ: 1) thông tin hoặc thông báo đồng ý được cung cấp khi dữ liệu được thu thập; và 2) chính sách bảo mật được cung cấp cho chủ sở hữu dữ liệu.

Ngoài ra, GDPR yêu cầu các công ty phải có sổ đăng ký các hoạt động xử lý, bao gồm một số thông tin nhất định. Với sự hướng dẫn của nhân viên bảo mật dữ liệu của mình, bạn quyết định mức độ tổng hợp hoặc phân tách dữ liệu cá nhân cần thiết cho hoạt động của mình.

Tiến hành phân tích đáng giá rủi ro

Cần phải hoàn thành việc xác định và đánh giá trước các rủi ro liên quan đến việc xử lý dữ liệu về các quyền và tự do của thể nhân, để bạn có thể xác định các biện pháp bảo mật mà bạn sẽ thực hiện.

Ví dụ: Một công ty khởi nghiệp sử dụng nền tảng ứng dụng trực tuyến, nơi các ứng viên có thể đăng ký và cập nhật dữ liệu ứng dụng của họ. Tuy nhiên, phương pháp xác thực còn yếu, chỉ một cái nhìn về khả năng mất mát đối với công ty khởi nghiệp sẽ xác định được rủi ro thấp về việc mất bảo mật. Tuy nhiên, vì các đối tượng dữ liệu cũng có thể xảy ra thiệt hại kinh tế cũng như tất cả các tài liệu đăng ký của chúng hiện đã được công khai, nên khía cạnh này cũng cần được coi là một phần của đánh giá rủi ro vì nó có thể yêu cầu các biện pháp quản lý rủi ro khác.

Khi các biện pháp bảo mật được xác định, chẳng hạn như cập nhật máy tính, mã hóa dữ liệu, bản sao bảo mật, v.v., chúng cần được thực hiện trong nội bộ.

Trong trường hợp việc xử lý dữ liệu có rủi ro cao đối với các quyền và tự do của thể nhân, có thể yêu cầu đánh giá thêm tác động dữ liệu theo GDPR. Điều này sẽ áp dụng cho ví dụ, khi xử lý dữ liệu cá nhân ở quy mô lớn, hoặc theo dõi và xử lý có hệ thống các loại dữ liệu đặc biệt (dữ liệu sức khỏe).

Xem xét quyền chủ thể dữ liệu

Như một phần của quyền riêng tư dữ liệu của bạn , bạn cần triển khai một giao thức để tuân theo trong trường hợp chủ sở hữu dữ liệu thực hiện bất kỳ quyền nào được cấp theo GDPR. Hơn nữa, vì GDPR yêu cầu các vi phạm bảo mật phải được thông báo cho cơ quan bảo mật dữ liệu, trong 72 giờ và trong một số trường hợp cho chủ sở hữu dữ liệu, người kiểm soát cần phải triển khai cơ chế nội bộ phản hồi sự cố hoặc vi phạm dữ liệu, để cho phép họ phản ứng kịp thời và trong các yêu cầu pháp lý nếu tình huống này phát sinh. Ngoài ra, nếu công ty khởi nghiệp của bạn có trang web, bạn sẽ cần thực hiện chính sách cookie.

Chúng tôi hy vọng bạn thấy tổng quan ngắn gọn này về một số nội dung chính của chính sách bảo mật dữ liệu hữu ích. Để có thêm thông tin đầy đủ, hãy đảm bảo chỉ định một nhân viên bảo mật dữ liệu như trong bước một.

M.Vương (eu-startups.com)