Nghề GDPR

Sau một thời gian dài vật lộn, tớ đã tìm được công việc mà mình sẽ rất yêu thích. Yêu thích bởi ba lý do chính: (1) hot trend, (2) công ty to, và suy ra (3) thu nhập đẹp.

Thế nhưng, đã rất nhiều lần khi ai đó hỏi tớ làm nghề gì, tớ bảo làm GDPR, thì lập tức trên mặt người đối diện hiện lên một dấu chấm hỏi to đùng ngã ngửa. Tệ hơn, sau một hồi giải thích theo cách nôm na “văn học hiện thực”, kích cỡ của cái dấu hỏi kia vẫn không bé đi tẹo nào.

Nôm na GDPR

Cách giải thích gần với đời sống nhất là móc nối nó với nỗi phiền toái mà mọi người gặp phải suốt từ mùa hè tới giờ. Nhiều người phát rồ lên vì những cơn mưa email, tin nhắn, thậm chí cả cuộc gọi từ ti tỉ công ty, nhà hàng, cửa hiệu, ứng dụng, v.v. Tất cả đều nhắn nhủ sẽ xóa tài khoản nếu bạn không cập nhật, hoặc xin phép lưu tiếp dữ liệu nếu bạn (cũng) không cập nhật. Nhiều người bèn mừng rơn vì phát hiện ra mình đã gieo rắc thông tin cá nhân ở khắp nơi mà không nhớ để dọn dẹp bớt, thừa cơ “đắm đò nhân thể giặt mẹt”.

Tớ giải thích đến đây, những người “tỏ ra am hiểu” sự đời bèn tưởng tượng ngay ra cảnh cô em bé nhỏ ngồi lọ mọ gửi từng cái email đến khách hàng. Nói chung là rất vô duyên. Vô duyên từ phía mình vì để giải thích được về nghề GDPR thì rất lằng nhằng. Vô duyên từ phía họ vì cứ cho rằng việc quái gì phải nghiêm trọng hóa vấn đề “chia sẻ tài nguyên mạng” đến thế. Chả nghiêm trọng đâu, cho đến một ngày bạn biết rằng kẻ-mà-ai-cũng-biết-là-ai-đấy bán hết dữ liệu đời tư của bạn cho các công ty thương mại điện tử, còn bạn thì vẫn hồn nhiên check in các nơi, khoe ảnh xả láng, chat chit tẹt ga với vô vàn thông tin hệ trọng. Hoặc một ngày xấu trời, hàng loạt tài khoản khách hàng mua sắm của công ty A bị xâm nhập, toàn bộ dữ liệu bảng lương của công ty B bị rò rỉ, vân vân và mây mây.

Người sử dụng internet nhìn chung hết sức phóng khoáng và rộng lượng. Trong khi ta cảm ơn các nền tảng mạng xã hội vì đã cho mình cơ hội kết nối xuyên tỉnh thành xuyên quốc gia xuyên lục địa, thì ta quên mất rằng chính mình mang đến nồi cơm cho các công ty đó. Ta lại càng hiếm khi nào nghĩ rằng mình được quyền biết và quyết định các công ty đó sử dụng thông tin cá nhân của mình như thế nào. Ta thường nghĩ mình là một người sử dụng bé nhỏ, nếu có vấn đề gì xảy ra thì chẳng khác nào con kiến mà kiện củ khoai.

“Người hùng” GDPR bèn xuất hiện!

GDPR = General Data Protection Regulation, là quy định áp dụng cho toàn bộ EU & EEA. Ra đời 4/2016 và chính thức có hiệu lực từ 5/2018, GDPR là luật dùng chung (và trong nhiều trường hợp có thể thay thế cho luật nội địa tương tự ở các nước thành viên) về bảo vệ quyền riêng tư của mọi chủ sở hữu thông tin (data subject) trong EU & EEA.

Nhiều người cho rằng GDPR chủ yếu nhắm vào tứ đại quyền lực công nghệ GAFA, có điều EU “không nỡ” chỉ mặt đặt tên. Nhưng EU… cao cả và nhìn xa trông rộng hơn thế, nhất là khi nhìn nhận một cách khách quan tốc độ phát triển của công nghệ và xu hướng chia sẻ thông tin toàn cầu. Công nghệ cho ta nhiều công cụ để kết nối và “lên mạng” hơn nhưng cũng đồng thời cho ta “cơ hội” nới lỏng sự riêng tư.

Phạm vi của GDPR bao trùm tất cả các tổ chức đang xử lý ( = sử dụng, lưu trữ, chia sẻ, v.v.) thông tin cá nhân trong EU & EEA hoặc ra ngoài các khối này. Nó “phủ sóng” lên mọi tổ chức hoạt động tại EU & EEA, thậm chí ở ngoài các khối này nhưng có cung cấp sản phẩm dịch vụ cho người đang sống trong EU & EEA. Google sẽ trả lời tuốt tuột những thắc mắc của bạn nếu muốn tìm hiểu thêm, dù bằng tiếng Anh hay tiếng Việt.

Nếu không áp dụng GDPR, các tổ chức có thể gánh hậu quả phạt tiền lên đến 20 triệu euros hoặc 4% doanh thu toàn cầu của mình. Tuy nhiên, “án phạt” cao nhất là đánh mất lòng tin nơi khách hàng/ đối tác/ nhân viên. Để áp dụng GDPR, họ phải thực hiện privacy by default ( = tất lẽ dĩ ngẫu có mặt trong mọi hoạt động vận hành, sản xuất, kinh doanh, v.v.) và privacy by design ( = áp dụng “đo ni đóng giày” theo lĩnh vực hoạt động cụ thể của tổ chức). GDPR phải được triển khai một cách proactive (cẩn tắc vô áy náy) chứ không được reactive (mất bò mới lo làm chuồng).

Diễn nôm 7 nguyên tắc cốt lõi của GDPR:

  1. Lawfulness, fairness and transparency: Xử lý thông tin hợp pháp, công bằng, minh bạch. Tổ chức phải thật rõ ràng về mục đích và cách thức xử lý và luôn sẵn sàng để cung cấp cho chủ sở hữu thông tin khi họ yêu cầu được biết.
  2. Purpose limitation: Không xử lý những thông tin không có mục đích hợp pháp và cụ thể.
  3. Data minimization: Xử lý dữ liệu càng hẹp, càng cụ thể càng tốt.
  4. Accuracy: Lưu trữ sao cho thông tin luôn chính xác, cập nhật và phù hợp với mục đích.
  5. Storage limitation: Xóa dữ liệu không cần thiết ngay khi có thể. Lưu trữ càng ít càng tốt.
  6. Integrity and confidentiality (security): Rõ ràng và thận trọng trong chính sách và công cụ bảo mật.
  7. Accountability: Bảo đảm triển khai GDPR trong tổ chức một cách trọn vẹn và luôn sẵn sàng khi có kiểm định/ kiểm toán.

Khi có sự xâm phạm về thông tin cá nhân, người đại diện về GDPR của tổ chức phải lập tức báo cáo tới cơ quan giám sát (của nhà nước) trong vòng 72 giờ và tiến hành biện pháp bảo vệ nhanh nhất có thể. Khi nhận được yêu cầu của chủ sở hữu thông tin, tổ chức phải hồi đáp trong vòng một tháng. Ba cái vụ này tớ sẽ biên trong một bài viết khác.

GDPR ra đời đã tạo nên một cơ số công ăn việc làm cho thị trường lao động, trong đó có chủ blog này.

Nghề GDPR của tớ

Vào một ngày mùa thu đẹp giời (chẳng nhớ có đẹp thật không, nhưng cứ có job là đẹp rồi), tớ may mắn được chọn làm Data Protection Representative (DPR) của một công ty nọ. (Nói “may mắn” là bởi quanh mình toàn cao thủ, mình thì dốt nhất hội) Vậy tớ làm gì? À, tất nhiên không phải là cô em bé nhỏ lọ mọ gửi email.

Thông tin cá nhân hiện diện ở khắp mọi nơi, kể cả ở những nơi nghe chẳng mấy liên quan đến thông tin cá nhân – ví dụ xe tải. Trên thực tế, xe tải công nghệ cao có những thông tin như VIN, ChassiID, TachoID, GPS, … có thể lập tức giúp nhận diện một người cụ thể (ví dụ chủ sỡ hữu xe, lái xe, v.v.). Thử tưởng tượng khi ai đó biết được lộ trình GPS của một hoặc nhiều chiếc xe cụ thể, họ có thể tác động vào hệ thống điều khiển để gây nhiễu thông tin và lộ trình, đặt bom hoặc cướp hàng. Đừng tưởng rằng chuyện đó chỉ có trên phim ảnh! Thêm vào đó, trên hệ thống ứng dụng và nền tảng lưu trữ của tổ chức còn có cực kỳ nhiều dữ liệu khách hàng và kinh doanh với phân quyền truy cập khắt khe. Nếu bạn sở hữu một công ty kinh doanh xe tải, đương nhiên bạn muốn được khách hàng tín nhiệm và không muốn những dữ liệu đó rơi vào tay người có mục đích xấu.

Thêm vào đó, ở nội bộ của tổ chức có vô vàn thông tin, emails, file dữ liệu, intranet, ảnh, video, v.v. được tạo mới, sử dụng, chia sẻ, lưu trữ mỗi ngày. Những dữ liệu này thường không được sắp xếp quy củ (như tín hiệu xe tải chẳng hạn), lại còn được sử dụng rất phân tán và hằng ngày nên càng khó tiếp cận từ góc độ GDPR. Đối với doanh nghiệp lớn và cao tuổi, việc dọn dẹp dữ liệu dạng này sao cho có hệ thống và thỏa mãn được 7 tiêu chí GDPR + by default + by design là một thách thức lớn.

Tớ là một DPR. Mỗi DPR đại diện cho một công ty con, có nhiệm vụ phối hợp với người đại diện về GDPR ở cấp tập đoàn để làm những việc như: sản xuất và ban hành tài liệu quy trình và biểu mẫu, tư vấn và phê duyệt hạng mục GDPR cho từng dự án (để dự án được phép đi đến cửa tiếp theo), đào tạo cho các đội dự án, báo cáo, kiểm soát chất lượng, v.v., và HỌP. Đời thuở tớ chưa bao giờ đi họp nhiều như thế! Mỗi ngày dăm bảy cuộc, ngắn 15 phút, dài thì 2 tiếng, cái này nối sát cái kia. Bữa nọ có bạn hỏi lịch họp, tớ phải xin cách ra dăm phút để còn đi… hái hoa. Lại có bữa tiền bối trao đổi hăng quá, lấn cả giờ ăn trưa (tiền bối không có thói quen ăn trưa, trong khi tớ thì quéo hết cả chân). Xong xuôi, tớ vác hộp cơm xuống bếp quay ù 2 phút rồi mang lên phòng tĩnh, vừa ăn vừa Skype một cuộc họp khác. Vui cực!

Tớ đại diện một nhóm nhỏ, mỗi người rất độc lập và cực kỳ hợp tác. Đồng nghiệp của tớ siêu lắm, có người thông làu kinh sử GDPR ở công ty, đến nỗi cứ phán câu nào là người đối diện cứ chăm chú như thể nuốt lấy từng lời vàng ý ngọc. Có người thì trong đầu như thể có một trung tâm văn thư lưu trữ, nói đến dự án nào cũng kể vanh vách. May mắn hơn nữa là sếp tớ tuyệt vời. Chính vì thế, tớ quyết định bổ sung yếu tố “đồng nghiệp tốt” khiến tớ yêu thích công việc của mình./.

Comments

Add a Comment

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.