Nghề GDPR của mình

Lagomlife.net – Sau một thời gian dài vật lộn, mình đã tìm được công việc mà mình sẽ rất yêu thích: Nghề GDPR. Yêu thích bởi ba lý do chính: (1) hot trend, (2) công ty to, và suy ra (3) thu nhập đẹp.

Thế nhưng, đã rất nhiều lần khi ai đó hỏi mình làm việc gì, mình nói nghề GDPR, thì lập tức trên mặt người đối diện hiện lên một dấu chấm hỏi to đùng ngã ngửa. Tệ hơn, sau một hồi giải thích theo cách nôm na “văn học hiện thực”, kích cỡ của cái dấu hỏi kia vẫn không bé đi tẹo nào.

(Note của 2021: Thời điểm mình viết bài này là khi mới đi làm (khoảng 3 năm trước), và để trân trọng tư duy của bản thân ở thời điểm đó mình quyết định không sửa gì hết.)

Người ta nghĩ gì về nghề GDPR?

Cách giải thích gần với đời sống nhất là móc nối nó với nỗi phiền toái mà mọi người gặp phải suốt từ mùa hè tới giờ. Nhiều người phát rồ lên vì những cơn mưa email, tin nhắn, thậm chí cả cuộc gọi từ ti tỉ công ty, nhà hàng, cửa hiệu, ứng dụng, v.v. Tất cả đều nhắn nhủ sẽ xóa tài khoản nếu bạn không cập nhật, hoặc xin phép lưu tiếp dữ liệu nếu bạn (cũng) không cập nhật. Nhiều người bèn mừng rơn vì phát hiện ra mình đã gieo rắc thông tin cá nhân ở khắp nơi mà không nhớ để dọn dẹp bớt, thừa cơ “đắm đò nhân thể giặt mẹt”.

Mình giải thích đến đây, những người “tỏ ra am hiểu” sự đời bèn tưởng tượng ngay ra cảnh cô em bé nhỏ ngồi lọ mọ gửi từng cái email đến khách hàng. Nói chung là rất vô duyên. Vô duyên từ phía mình vì để giải thích được về nghề GDPR thì rất lằng nhằng. Vô duyên từ phía họ vì cứ cho rằng việc quái gì phải nghiêm trọng hóa vấn đề “chia sẻ tài nguyên mạng” đến thế.

Chả nghiêm trọng đâu, cho đến một ngày bạn biết rằng kẻ-mà-ai-cũng-biết-là-ai-đấy bán hết dữ liệu đời tư của bạn cho các công ty thương mại điện tử, còn bạn thì vẫn hồn nhiên check in các nơi, khoe ảnh xả láng, chat chit tẹt ga với vô vàn thông tin hệ trọng. Hoặc một ngày xấu trời, hàng loạt tài khoản khách hàng mua sắm của công ty A bị xâm nhập, toàn bộ dữ liệu bảng lương của công ty B bị rò rỉ, vân vân và mây mây.

Người sử dụng internet nhìn chung hết sức phóng khoáng và rộng lượng. Trong khi ta cảm ơn các nền tảng mạng xã hội vì đã cho mình cơ hội kết nối xuyên tỉnh thành xuyên quốc gia xuyên lục địa, thì ta quên mất rằng chính mình mang đến nồi cơm cho các công ty đó. Ta lại càng hiếm khi nào nghĩ rằng mình được quyền biết và quyết định các công ty đó sử dụng thông tin cá nhân của mình như thế nào. Ta thường nghĩ mình là một người sử dụng bé nhỏ, nếu có vấn đề gì xảy ra thì chẳng khác nào con kiến mà kiện củ khoai.

“Người hùng” GDPR xuất hiện!

GDPR = General Data Protection Regulation, là quy định áp dụng cho toàn bộ EU & EEA. Ra đời 4/2016 và chính thức có hiệu lực từ 5/2018, GDPR là luật dùng chung (và trong nhiều trường hợp có thể thay thế cho luật nội địa tương tự ở các nước thành viên) về bảo vệ quyền riêng tư của mọi chủ sở hữu thông tin (data subject) trong EU & EEA.

Nhiều người cho rằng GDPR chủ yếu nhắm vào tứ đại quyền lực công nghệ GAFA, có điều EU “không nỡ” chỉ mặt đặt tên. Nhưng EU… cao cả và nhìn xa trông rộng hơn thế, nhất là khi nhìn nhận một cách khách quan tốc độ phát triển của công nghệ và xu hướng chia sẻ thông tin toàn cầu. Công nghệ cho ta nhiều công cụ để kết nối và “lên mạng” hơn nhưng cũng đồng thời cho ta “cơ hội” nới lỏng sự riêng tư.

Phạm vi của GDPR bao trùm tất cả các tổ chức đang xử lý ( = sử dụng, lưu trữ, chia sẻ, v.v.) thông tin cá nhân trong EU & EEA hoặc ra ngoài các khối này. Nó “phủ sóng” lên mọi tổ chức hoạt động tại EU & EEA, thậm chí ở ngoài các khối này nhưng có cung cấp sản phẩm dịch vụ cho người đang sống trong EU & EEA. Google sẽ trả lời tuốt tuột những thắc mắc của bạn nếu muốn tìm hiểu thêm, dù bằng tiếng Anh hay tiếng Việt.

Nếu không tuân thủ GDPR, các tổ chức có thể gánh hậu quả phạt tiền lên đến 20 triệu euros hoặc 4% doanh thu toàn cầu của mình. Tuy nhiên, “án phạt” cao nhất là đánh mất lòng tin nơi khách hàng/ đối tác/ nhân viên. Để áp dụng GDPR, họ phải thực hiện privacy by default ( = tất lẽ dĩ ngẫu có mặt trong mọi hoạt động vận hành, sản xuất, kinh doanh, v.v.) và privacy by design ( = áp dụng “đo ni đóng giày” theo lĩnh vực hoạt động cụ thể của tổ chức). GDPR phải được triển khai một cách proactive (cẩn tắc vô áy náy) chứ không được reactive (mất bò mới lo làm chuồng).

Diễn nôm 7 nguyên tắc cốt lõi của GDPR:

  1. Lawfulness, fairness, and transparency: Xử lý thông tin hợp pháp, công bằng, minh bạch. Tổ chức phải thật rõ ràng về mục đích và cách thức xử lý và luôn sẵn sàng để cung cấp cho chủ sở hữu thông tin khi họ yêu cầu được biết.
  2. Purpose limitation: Không xử lý những thông tin không có mục đích hợp pháp và cụ thể.
  3. Data minimization: Xử lý dữ liệu càng hẹp, càng cụ thể càng tốt.
  4. Accuracy: Lưu trữ sao cho thông tin luôn chính xác, cập nhật và phù hợp với mục đích.
  5. Storage limitation: Xóa dữ liệu không cần thiết ngay khi có thể. Lưu trữ càng ít càng tốt.
  6. Integrity and confidentiality (security): Rõ ràng và thận trọng trong chính sách và công cụ bảo mật.
  7. Accountability: Bảo đảm triển khai GDPR trong tổ chức một cách trọn vẹn và luôn sẵn sàng khi có kiểm định/ kiểm toán.

Khi có sự xâm phạm về thông tin cá nhân, người đại diện về GDPR của tổ chức phải lập tức báo cáo mìnhi cơ quan giám sát (của nhà nước) trong vòng 72 giờ và tiến hành biện pháp bảo vệ nhanh nhất có thể. Khi nhận được yêu cầu của chủ sở hữu thông tin, tổ chức phải hồi đáp trong vòng một tháng. Ba cái vụ này mình sẽ biên trong một bài viết khác.

GDPR ra đời đã tạo nên một cơ số công ăn việc làm cho thị trường lao động, trong đó có chủ blog này. Vậy nên mới gọi là “nghề GDPR”.

Nghề GDPR của mình

Vào một ngày mùa thu đẹp giời (chẳng nhớ có đẹp thật không, nhưng cứ có job là đẹp rồi), mình trở thành Data Protection Representative của một công ty nọ.

Thông tin cá nhân hiện diện ở khắp mọi nơi, kể cả ở những nơi nghe chẳng mấy liên quan đến thông tin cá nhân – ví dụ xe tải. Trên thực tế, xe cộ nghệ cao có những dữ liệu giúp nhận diện một người cụ thể như chủ sỡ hữu xe, lái xe, v.v. Thử tưởng tượng khi ai đó biết được lộ trình GPS của một hoặc nhiều chiếc xe cụ thể, họ có thể tác động vào hệ thống điều khiển để gây nhiễu thông tin và lộ trình, đặt bom hoặc cướp hàng. Nghe sặc mùi phim hành động đúng không?

Thêm vào đó, trên hệ thống ứng dụng và nền tảng lưu trữ của tổ chức còn có cực kỳ nhiều dữ liệu khách hàng và kinh doanh với phân quyền truy cập khắt khe. Đương nhiên doanh nghiệp muốn được khách hàng tín nhiệm và không muốn những dữ liệu đó rơi vào tay người có mục đích xấu.

Ở nội bộ của tổ chức có vô vàn thông tin, emails, file dữ liệu, intranet, ảnh, video, v.v. được tạo mới, sử dụng, chia sẻ, lưu trữ mỗi ngày. Những dữ liệu này thường không được sắp xếp quy củ, lại còn được sử dụng rất phân tán và hằng ngày nên càng khó tiếp cận từ góc độ GDPR. Đối với doanh nghiệp, việc hệ thống các dữ liệu phi-hệ-thống và thỏa mãn được những tiêu chí của GDPR là một thách thức lớn. Họ cần có người làm nghề GDPR để hỗ trợ tổ chức.

Mình là một Data Protection Representative (DPR)

Mỗi DPR đại diện cho một công ty con, có nhiệm vụ phối hợp với người đại diện về GDPR ở cấp tập đoàn (Data Protection Officer – DPO) để nôm na là mang GDPR đến gần với đời sống công sở, làm cho nó trở thành một tư duy như cơm ăn nước uống hằng ngày.

Đời thuở mình chưa bao giờ đi họp nhiều như thế! Mỗi ngày dăm bảy cuộc, ngắn thì 15 phút, dài thì 4 tiếng. Mọi người đã quá quen với việc vào họp trễ vì phải kết thúc cuộc họp trước đó, hoặc tranh thủ kiếm cốc cà phê, hoặc đi toilet. Lại có bữa tiền bối trao đổi hăng quá, lấn cả giờ ăn trưa (tiền bối không có thói quen ăn trưa, trong khi mình thì quéo hết cả chân). Nhiều khi cả giờ ăn trưa cũng bàn công việc nên nhiều người thường đi ăn sớm hoặc muộn hơn, tránh cảnh vừa họp vừa nuốt cơm.

Nói vậy thôi, chứ so với quãng thời gian đỏ mắt kiếm việc thì bấy nhiêu thấm tháp gì. Quan trọng hơn nữa là ngày nào đi làm mình cũng thấy tự hào về công ty và thích được gặp gỡ đồng nghiệp. Sẽ không ngoa khi tự thấy rằng ngày nào đi làm cũng học được điều mới./.