NAKIVO > Blog > Multiplatform

Hướng dẫn về Quy định chung về bảo vệ dữ liệu

Updated: Tháng Năm 26, 2026

Tác giả:: Đội ngũ NAKIVO

Trong bối cảnh công nghệ ngày càng phức tạp, vấn đề quyền riêng tư và bảo vệ dữ liệu đã trở lại là tâm điểm chú ý trong năm qua. Tại Liên minh Châu Âu (EU), người ta đang thảo luận về sự cần thiết của một “GDPR 2.0”, khi công nghệ đám mây và trí tuệ nhân tạo (AI) đặt ra những thách thức riêng về quyền riêng tư – từ các mô hình chia sẻ trách nhiệm cho đến việc xử lý dữ liệu sinh trắc học và ứng dụng công nghệ nhận diện khuôn mặt.

Vậy GDPR hay Quy định chung về bảo vệ dữ liệu là gì, nó bao gồm những nội dung nào và liệu nó có thể cung cấp câu trả lời cho những thách thức hiện nay sau 12 năm kể từ khi được soạn thảo lần đầu tiên hay không? Hãy cùng xem xét mục đích và các yêu cầu của luật này cũng như cách bạn có thể đảm bảo tuân thủ thông qua chiến lược bảo vệ dữ liệu của mình.

Sao lưu trực tiếp lên đám mây

Sao lưu trực tiếp lên đám mây

Tránh tình trạng điểm lỗi duy nhất với NAKIVO bằng cách sao lưu các khối lượng công việc ảo, trên đám mây và vật lý trực tiếp lên các nền tảng đám mây phổ biến nhất cũng như các nền tảng tương thích S3 khác.

KHÁM PHÁ GIẢI PHÁP

GDPR là gì? Quy định chung về bảo vệ dữ liệu (

) Quy định chung về bảo vệ dữ liệu ( Quy định chung về bảo vệ dữ liệu (GDPR) ) là một đạo luật bảo vệ dữ liệu quy định cách các tổ chức thu thập, lưu trữ, xử lý và chia sẻ dữ liệu cá nhân của công dân Liên minh Châu Âu (EU). GDPR có hiệu lực từ ngày 25 tháng 5 năm 2018. Luật này dựa trên Điều 8 của Hiến chương về các Quyền Cơ bản của EU về bảo vệ dữ liệu cá nhân và dựa trên “sự đồng ý tự nguyện” làm cơ sở pháp lý để xử lý dữ liệu cá nhân.

Quy định này nhằm hài hòa các quy định về bảo mật dữ liệu trên toàn Liên minh Châu Âu và bảo vệ quyền riêng tư của công dân EU bất kể vị trí địa lý của tổ chức xử lý dữ liệu cá nhân.

Các Nguyên tắc Chính của GDPR

Quy định Bảo vệ Dữ liệu Chung (GDPR) được xây dựng dựa trên 7 nguyên tắc chính điều chỉnh việc xử lý dữ liệu cá nhân hợp pháp. Những nguyên tắc này không chỉ là hướng dẫn mà còn có tính ràng buộc pháp lý và là trung tâm của việc tuân thủ GDPR. Chúng yêu cầu các tổ chức phải xem xét quyền riêng tư ở mọi giai đoạn của quá trình xử lý dữ liệu, từ việc thu thập dữ liệu ban đầu cho đến việc xóa hoặc hủy bỏ dữ liệu cuối cùng.

  1. Tính hợp pháp, công bằng và minh bạch. Việc xử lý dữ liệu cá nhân phải có cơ sở pháp lý, không được gây nhầm lẫn hoặc gây hại cho các cá nhân liên quan, và phải rõ ràng và minh bạch với các cá nhân về cách dữ liệu của họ được sử dụng và xử lý.
  2. Giới hạn mục đích . Dữ liệu phải được thu thập vì những lý do cụ thể, rõ ràng, rõ ràng và hợp pháp, và việc sử dụng dữ liệu không được trái với mục đích ban đầu.
  3. Giảm thiểu dữ liệu . Dữ liệu được thu thập và xử lý phải được giới hạn ở mức cần thiết cho mục đích dự định.
  4. Độ chính xác . Dữ liệu cá nhân phải chính xác và, khi cần thiết, được cập nhật kịp thời. Dữ liệu không chính xác phải được sửa chữa hoặc xóa bỏ ngay lập tức.
  5. Giới hạn lưu trữ . Dữ liệu cá nhân chỉ được lưu trữ dưới dạng cho phép xác định chủ thể dữ liệu trong thời gian cần thiết để thực hiện mục đích dự định.
  6. Tính toàn vẹn và bảo mật (an ninh). Việc xử lý dữ liệu cá nhân phải bao gồm các biện pháp an ninh phù hợp để bảo vệ chống lại việc xử lý trái phép hoặc bất hợp pháp và hư hỏng.
  7. Trách nhiệm giải trình . Các tổ chức phải có khả năng áp dụng các chính sách và thủ tục cần thiết để tuân thủ GDPR và chứng minh rằng họ đã thực hiện hiệu quả khi được yêu cầu.

Các định nghĩa và thuật ngữ của GDPR

Dưới đây là một bảng thuật ngữ ngắn gọn với các thuật ngữ chính và định nghĩa của GDPR: Dữ liệu cá nhân là bất kỳ thông tin nào liên quan đến một cá nhân, tức là chủ thể dữ liệu , người có thể được xác định danh tính trực tiếp hoặc gián tiếp, ví dụ như qua tên, số nhận dạng, vị trí hoặc các yếu tố nhận dạng khác liên quan đến bản sắc về thể chất, sinh lý, di truyền, tinh thần, kinh tế, văn hóa hoặc xã hội.

Sự đồng ý là bất kỳ “sự thể hiện tự nguyện, cụ thể, có thông tin và rõ ràng” nào của chủ thể dữ liệu cho thấy họ đồng ý với việc xử lý dữ liệu cá nhân của mình cho mục đích đã nêu.

Người kiểm soát dữ liệu là cá nhân hoặc tổ chức chịu trách nhiệm tuân thủ các nguyên tắc của GDPR và xác định mục đích và phương tiện xử lý dữ liệu cá nhân. Đây là bên mà chủ thể dữ liệu muốn liên hệ để thực hiện các quyền của mình. Tuy nhiên, việc xử lý dữ liệu thực tế có thể được ủy quyền cho một cá nhân hoặc tổ chức khác, tức là đơn vị xử lý dữ liệu .

Đơn vị xử lý dữ liệu là cá nhân hoặc tổ chức xử lý dữ liệu cá nhân thay mặt cho người kiểm soát dữ liệu . Bên này phải tuân thủ các hướng dẫn của người kiểm soát dữ liệu .

Chủ thể dữ liệu là cá nhân đồng ý cho phép dữ liệu cá nhân của mình được xử lý bởi đơn vị kiểm soát dữ liệu hoặc đơn vị xử lý dữ liệu .

Xử lý là bất kỳ hoạt động nào được thực hiện trên dữ liệu cá nhân, chẳng hạn như thu thập, ghi chép, tổ chức, lưu trữ, sửa đổi, tiết lộ, phổ biến, xóa bỏ và hủy bỏ, cùng các tùy chọn khác được quy định trong GDPR.

Quyền truy cập là quyền của chủ thể dữ liệu được cung cấp thông tin từ người kiểm soát dữ liệu về dữ liệu cá nhân của họ, cách thức xử lý, mục đích xử lý, v.v., miễn phí trong vòng 1 tháng kể từ khi nhận được yêu cầu đó.

Yêu cầu và thách thức tuân thủ GDPR

GDPR đã đặt nền tảng cho các tiêu chuẩn bảo vệ dữ liệu vững chắc. Tuy nhiên, bản chất động của công nghệ mang lại sự phức tạp và ngày càng thử thách các nguyên tắc cơ bản làm nền tảng cho quy định về quyền riêng tư của EU.

Ai phải tuân thủ GDPR?

Trong EU. Bất kỳ tổ chức nào xử lý dữ liệu cá nhân của các cá nhân trong EU đều phải tuân thủ GDPR. Điều này bao gồm các công ty công và tư nhân, chính phủ, tổ chức từ thiện và các tổ chức phi lợi nhuận khác.

Ngoài EU. GDPR không chỉ áp dụng trong phạm vi biên giới EU mà còn mở rộng đến bất kỳ tổ chức nào cung cấp hàng hóa hoặc dịch vụ cho công dân EU hoặc theo dõi hành vi của họ trong lãnh thổ EU. Điều này có nghĩa là bất kỳ công ty nào có trụ sở ở bất kỳ đâu trên thế giới cũng phải tuân thủ GDPR nếu họ xử lý dữ liệu của cư dân EU.

Các công ty công nghệ và internet toàn cầu , bao gồm các nền tảng mạng xã hội, có người dùng tại EU đều phải tuân thủ GDPR.

Nhà cung cấp công nghệ và trách nhiệm chung

Với sự phổ biến của các nền tảng SaaS, IaaS, PaaS và các nền tảng khác cung cấp tài nguyên và dịch vụ CNTT qua internet, vai trò của các nhà cung cấp công nghệ và nhà thầu phụ xử lý dữ liệu cá nhân trở nên quan trọng trong việc tuân thủ GDPR. Nếu một tổ chức sử dụng dịch vụ/nền tảng của bên thứ ba để xử lý hoặc lưu trữ dữ liệu cá nhân, các nhà cung cấp này cũng phải tuân thủ GDPR.

Lưu ý rằng hầu hết các dịch vụ này dựa trên mô hình trách nhiệm chung, theo đó:

  • Các tổ chức chịu trách nhiệm về dữ liệu của mình với tư cách là chủ sở hữu dữ liệu và tùy thuộc vào loại dịch vụ, có thể chịu trách nhiệm về các ứng dụng và/hoặc hệ điều hành
  • Các nhà cung cấp chịu trách nhiệm về máy chủ, lưu trữ, mạng, địa điểm vật lý, v.v.

Theo GDPR, các tổ chức có trách nhiệm thu thập sự đồng ý và đảm bảo rằng dữ liệu được sử dụng cho mục đích dự định. Họ cũng cần đảm bảo rằng các nhà cung cấp mà họ ủy thác xử lý dữ liệu cá nhân đang thực hiện việc này tuân thủ quy định.

Một số thách thức mà điện toán đám mây đặt ra đối với dữ liệu cá nhân liên quan đến:

  • rò rỉ thông tin nhạy cảm tiềm ẩn
  • kiểm soát luồng dữ liệu giữa các khu vực pháp lý
  • đảm bảo các nhà cung cấp bên thứ ba tuân thủ các cam kết bảo mật đã đưa ra với chủ thể dữ liệu
  • triển khai chính sách lưu trữ dữ liệu hiệu quả
  • xử lý vi phạm dữ liệu cá nhân
  • quản lý rủi ro nói chung

GDPR và Trí tuệ nhân tạo (AI)

Luật Luật về Trí tuệ nhân tạo của Liên minh Châu Âu, luật đầu tiên trên thế giới quy định về AI, dự kiến có hiệu lực vào năm 2025 để giải quyết một số thách thức mới đối với quyền riêng tư của công dân EU. Tuy nhiên, điều quan trọng là phải hiểu ngay từ hôm nay một số thách thức mà các tổ chức dựa vào AI để xử lý dữ liệu cá nhân đang phải đối mặt:

  • Giảm thiểu dữ liệu và giới hạn mục đích. AI đặt ra thách thức cho các bên kiểm soát dữ liệu trong việc giới hạn việc thu thập dữ liệu ở mức tối thiểu cần thiết và cho một mục đích cụ thể.
  • Chuyển giao dữ liệu xuyên biên giới. Các công nghệ dựa trên AI và dữ liệu thường hoạt động xuyên biên giới. Điều này có thể đòi hỏi phải áp dụng các biện pháp kiểm soát nghiêm ngặt hơn để đảm bảo tuân thủ GDPR.
  • Quyết định tự động và phân loại hồ sơ. AI mang lại rủi ro về việc đưa ra quyết định mà không có sự can thiệp của con người dựa trên việc xử lý dữ liệu cá nhân, bao gồm cả việc phân loại hồ sơ. Việc sử dụng dữ liệu cá nhân như vậy bị hạn chế rất nghiêm ngặt theo GDPR.

Các yêu cầu tuân thủ GDPR chính

Đối với các tổ chức cần tuân thủ GDPR, đây là những yêu cầu chung cần xem xét:

  • Các biện pháp bảo vệ dữ liệu . Các tổ chức phải triển khai các giải pháp và biện pháp bảo vệ dữ liệu mạnh mẽ, bao gồm mã hóa dữ liệu, lưu trữ dữ liệu an toàn và kiểm toán bảo mật định kỳ. Điều này cũng bao gồm việc xem xét các tác động của GDPR khi áp dụng các công nghệ mới như trí tuệ nhân tạo (AI), điện toán đám mây và phân tích dữ liệu lớn.
  • Quản lý sự đồng ý . Các tổ chức phải có chính sách rõ ràng để thu thập sự đồng ý rõ ràng, có thông tin và tự nguyện trước khi xử lý dữ liệu cá nhân. Điều này cũng bao gồm việc thiết lập các cơ chế rõ ràng cho việc quản lý vòng đời của dữ liệu cá nhân.
  • Hồ sơ xử lý dữ liệu . Việc lưu giữ hồ sơ chi tiết về các hoạt động xử lý dữ liệu là bắt buộc, nhằm chứng minh dữ liệu nào được thu thập, cho mục đích gì, và cách thức xử lý và bảo vệ dữ liệu đó.
  • Cán bộ bảo vệ dữ liệu . Một số loại tổ chức có thể cần chỉ định một cán bộ bảo vệ dữ liệu để giám sát việc tuân thủ GDPR, đặc biệt nếu họ làm việc với dữ liệu nhạy cảm được xử lý trên quy mô lớn.

Cách đáp ứng các yêu cầu của GDPR

Việc đáp ứng các yêu cầu của GDPR không phải là nỗ lực một lần mà là một quá trình đánh giá và giám sát liên tục. Các tổ chức phải triển khai một bộ biện pháp toàn diện bao gồm xử lý dữ liệu cá nhân, bảo vệ và khôi phục dữ liệu, cũng như bảo mật:

  • Hiểu và lập bản đồ dữ liệu . Tiến hành kiểm toán kỹ lưỡng để hiểu rõ dữ liệu cá nhân nào được thu thập, lý do thu thập, cách thức xử lý, nơi lưu trữ dữ liệu và cách thức chia sẻ. Tạo bản đồ luồng dữ liệu để theo dõi hành trình của dữ liệu cá nhân trong tổ chức. Điều này giúp xác định các khu vực rủi ro.
  • Đảm bảo cơ sở pháp lý cho việc xử lý . Xác định cơ sở pháp lý cho việc xử lý dữ liệu cá nhân, chẳng hạn như sự đồng ý, hợp đồng, nghĩa vụ pháp lý, lợi ích thiết yếu, nhiệm vụ công hoặc lợi ích hợp pháp. Nếu dựa trên sự đồng ý, hãy đảm bảo rằng sự đồng ý đó được “cung cấp một cách tự nguyện, cụ thể, có hiểu biết và rõ ràng”. Các cơ chế đồng ý phải dễ hiểu và bao gồm tùy chọn rút lại sự đồng ý một cách dễ dàng.
  • Thực hiện các chính sách bảo vệ dữ liệu . Xây dựng hoặc cập nhật các chính sách và quy trình bảo vệ dữ liệu nội bộ để đảm bảo tuân thủ GDPR. Tích hợp bảo vệ dữ liệu theo mặc định và theo thiết kế vào tất cả các quy trình kinh doanh, hệ thống và dịch vụ liên quan đến dữ liệu cá nhân.
  • Giảm thiểu việc xử lý dữ liệu. Đảm bảo chỉ xử lý dữ liệu cần thiết cho từng mục đích cụ thể và hạn chế quyền truy cập dữ liệu cá nhân đối với những người cần thiết.
  • Lưu trữ dữ liệu. GDPR yêu cầu các tổ chức đánh giá và quản lý một cách nghiêm túc thời gian lưu trữ dữ liệu cá nhân, đảm bảo dữ liệu không được lưu giữ lâu hơn mức cần thiết. Điều này đòi hỏi một cách tiếp cận chủ động trong quản lý dữ liệu, với các chính sách rõ ràng, đánh giá định kỳ và quy trình hiệu quả để xóa hoặc ẩn danh hóa dữ liệu, đồng thời cân bằng giữa tuân thủ GDPR và các yêu cầu lưu trữ pháp lý khác.
  • Tạo điều kiện thuận lợi cho các quyền của chủ thể dữ liệu . Thiết lập các thủ tục để đáp ứng các quyền của chủ thể dữ liệu, bao gồm các yêu cầu về truy cập dữ liệu, chỉnh sửa, xóa, di chuyển dữ liệu và phản đối việc xử lý.
  • Lập kế hoạch ứng phó với vi phạm dữ liệu và các biện pháp báo cáo . Lập và triển khai một kế hoạch ứng phó sự cố mạnh mẽ với kế hoạch ứng phó vi phạm dữ liệu. Chuẩn bị thông báo cho cơ quan giám sát có liên quan trong vòng 72 giờ kể từ khi phát hiện sự cố rò rỉ dữ liệu và trong một số trường hợp, thông báo cho các cá nhân bị ảnh hưởng.
  • Kiểm tra việc quản lý nhà cung cấp và tuân thủ của bên xử lý dữ liệu . Đảm bảo rằng bất kỳ nhà cung cấp bên thứ ba hoặc bên xử lý dữ liệu nào xử lý dữ liệu cá nhân của tổ chức bạn cũng tuân thủ GDPR.
  • Thực hiện đánh giá liên tục . Thường xuyên tiến hành kiểm toán các hoạt động liên quan đến xử lý dữ liệu và rà soát các chính sách để đảm bảo tuân thủ GDPR liên tục.
  • Chú ý đến việc chuyển dữ liệu ra nước ngoài . Nếu chuyển dữ liệu ra ngoài EEA, hãy đảm bảo có các biện pháp bảo vệ thích hợp, bao gồm các Điều khoản Hợp đồng Tiêu chuẩn (SCC) hoặc tuân thủ quyết định về tính phù hợp của Ủy ban Châu Âu.
  • Lưu giữ hồ sơ và tài liệu . Lưu giữ hồ sơ đầy đủ về các hoạt động xử lý dữ liệu, bao gồm mục đích xử lý, các loại dữ liệu và các bên nhận dữ liệu.

GDPR và bảo vệ dữ liệu

Về sao lưu dữ liệu và khắc phục thảm họa, các tổ chức phải triển khai các quy trình sao lưu an toàn để bảo vệ dữ liệu cá nhân và đảm bảo Tuân thủ GDPR. Điều này bao gồm việc triển khai bảo vệ dữ liệu và các giải pháp khắc phục thảm họa có các tính năng sau:

  • Mã hóa dữ liệu sao lưu trong kho lưu trữ (khi không được truy cập) và khi truyền tải (trong quá trình truyền). Chọn các giải pháp cho phép bạn triển khai các tiêu chuẩn mã hóa mạnh mẽ để đảm bảo dữ liệu sao lưu không thể đọc được bởi các bên không được ủy quyền ngay cả trong trường hợp xảy ra vi phạm an ninh.
  • Kiểm soát truy cập và xác thực . Cấu hình kiểm soát truy cập dựa trên vai trò (RBAC) để hạn chế truy cập vào dữ liệu cá nhân và xác thực đa yếu tố (MFA) để tăng cường bảo mật trước khi cấp quyền truy cập.
  • Giảm thiểu dữ liệu và giới hạn lưu trữ . Một trong những nguyên tắc cốt lõi của Quy định Bảo vệ Dữ liệu Chung (GDPR) là giới hạn lưu trữ, điều này ảnh hưởng trực tiếp đến chính sách lưu trữ bản sao lưu. Đảm bảo các giải pháp sao lưu cung cấp đủ tính linh hoạt để tạo các lịch trình và chính sách lưu trữ khác nhau cho các cấp độ dữ liệu khác nhau.
  • Vị trí lưu trữ dữ liệu sao lưu trên đám mây. Xác định vị trí lưu trữ dữ liệu sao lưu và chọn khu vực dựa trên loại dữ liệu cá nhân được xử lý.
  • Kiểm tra tính toàn vẹn dữ liệu sao lưu định kỳ . Duy trì sao lưu định kỳ để đảm bảo tính toàn vẹn của dữ liệu cá nhân và triển khai các biện pháp để kiểm tra khả năng khôi phục.
  • Quản lý nhà cung cấp và bên thứ ba/tuân thủ . Đảm bảo rằng các nền tảng lưu trữ của bên thứ ba và các nền tảng khác tích hợp với giải pháp sao lưu của bạn cung cấp đầy đủ các tính năng cần thiết để bạn có thể kiểm soát cách thức và vị trí lưu trữ dữ liệu.

Bảo vệ dữ liệu với NAKIVO

NAKIVO Backup & Replication là giải pháp bảo vệ dữ liệu cung cấp sự kết hợp phù hợp giữa các tính năng sao lưu, khôi phục thảm họa và bảo mật, được thiết kế dành cho các tổ chức xử lý dữ liệu cá nhân. Bạn có thể bảo vệ các ứng dụng và hệ thống trong môi trường ảo, vật lý, đám mây và SaaS, đồng thời duy trì sự tuân thủ các yêu cầu của GDPR bằng cách sử dụng các tính năng như mã hóa khi lưu trữ và truyền tải, lập lịch và tự động hóa sao lưu, cài đặt lưu giữ linh hoạt, xác minh sao lưu, v.v.

1 năm bảo vệ dữ liệu miễn phí: NAKIVO Backup & Replication

1 năm bảo vệ dữ liệu miễn phí: NAKIVO Backup & Replication

Triển khai trong vòng 2 phút và bảo vệ dữ liệu trên môi trường ảo, đám mây, vật lý và SaaS. Các tùy chọn sao lưu, nhân bản và khôi phục tức thì.

Tải xuống phiên bản miễn phí

People also read

Picture
Sao lưu dựa trên ứng dụng là gì?
Picture
Các phương pháp khôi phục dữ liệu Microsoft Exchange
Picture
Cách cấu hình mạng vMotion trên ESXi