Hướng dẫn tuân thủ RGPD cho doanh nghiệp tại Pháp

Quy định Bảo vệ Dữ liệu Chung của EU (GDPR), được gọi là RGPD tại Pháp, đã có hiệu lực từ 2018 nhưng nhiều doanh nghiệp vẫn chưa tuân thủ đầy đủ. Với mức phạt lên tới 20 triệu EUR hoặc 4% doanh thu toàn cầu hàng năm, và cơ quan giám sát CNIL của Pháp tăng cường thực thi, việc tuân thủ không còn là tùy chọn.

Hướng dẫn này bao gồm các nghĩa vụ thiết yếu và thay đổi gần đây, bao gồm yêu cầu minh bạch AI năm 2025.

Tại sao phải nghiêm túc

Loại vi phạm	Mức phạt tối đa
Vi phạm kỹ thuật	10 triệu EUR hoặc 2% doanh thu
Vi phạm quyền	20 triệu EUR hoặc 4% doanh thu

CNIL đã phạt hơn 400 triệu EUR kể từ khi RGPD có hiệu lực. SME cũng không được miễn — các khoản phạt từ 50.000 đến 500.000 EUR thường xuyên áp dụng cho tổ chức mọi quy mô.

7 nghĩa vụ cốt lõi

1. Sự đồng ý có hiểu biết

Sự đồng ý phải:

• Tự nguyện — không có ô đánh dấu sẵn
• Cụ thể — một đồng ý cho mỗi mục đích
• Được thông tin — giải thích rõ việc sử dụng dữ liệu
• Rõ ràng — cần hành động tích cực từ người dùng

2. Sổ hoạt động xử lý

Bắt buộc cho tổ chức trên 250 nhân viên, nhưng khuyến nghị cho tất cả. Phải bao gồm mục đích, loại dữ liệu, người nhận, thời hạn lưu trữ và biện pháp bảo mật.

3. Nhân viên Bảo vệ Dữ liệu (DPO)

Bắt buộc cho cơ quan công, tổ chức xử lý dữ liệu quy mô lớn và tổ chức xử lý dữ liệu nhạy cảm. Ngay cả khi không bắt buộc, bổ nhiệm DPO là thực hành tốt nhất.

4. Đánh giá Tác động Bảo vệ Dữ liệu (DPIA)

Bắt buộc khi xử lý có thể gây ra rủi ro cao cho quyền cá nhân. Ví dụ: giám sát video, lập hồ sơ, xử lý dữ liệu sức khỏe.

5. Thông báo vi phạm

Khi xảy ra vi phạm dữ liệu:

• 72 giờ để thông báo CNIL
• Thông báo cho cá nhân bị ảnh hưởng nếu rủi ro cao
• Ghi lại mọi vi phạm, kể cả nhỏ

6. Quyền thông tin

Mỗi cá nhân phải biết dữ liệu nào được thu thập, lý do, thời gian lưu giữ, ai có quyền truy cập, và cách thực hiện quyền (truy cập, chỉnh sửa, xóa, chuyển đổi).

7. Minh bạch AI (mới 2025)

Từ 2025, tổ chức sử dụng AI cho quyết định tự động phải thông báo cho cá nhân liên quan, giải thích logic được sử dụng, và cho phép phản đối quyết định.

Chia sẻ tài liệu tuân thủ an toàn

Tài liệu tuân thủ RGPD chứa thông tin nhạy cảm: sổ xử lý, đánh giá tác động, báo cáo kiểm toán, thư từ với cơ quan quản lý.

Gửi qua email thông thường tạo rủi ro bổ sung. LOCK.PUB cho phép tạo liên kết bảo vệ bằng mật khẩu với hết hạn tự động để chia sẻ tài liệu với DPO, luật sư hoặc CNIL. Gửi liên kết qua Zalo — tiện lợi và an toàn.

Công cụ miễn phí của CNIL

CNIL cung cấp nhiều công cụ miễn phí:

• PIA: phần mềm đánh giá tác động mã nguồn mở
• Mẫu sổ xử lý (tải từ cnil.fr)
• Hướng dẫn nhà thầu phụ (nghĩa vụ bên xử lý)
• Khung ngành (y tế, HR, khách hàng)

Danh sách kiểm tra tuân thủ RGPD

• Sổ xử lý cập nhật
• Chính sách bảo mật đã công bố
• Banner cookie tuân thủ
• Quy trình đồng ý được ghi nhận
• DPO được bổ nhiệm (nếu bắt buộc)
• Quy trình thông báo vi phạm
• Hợp đồng nhà cung cấp có điều khoản RGPD
• Đào tạo nhân viên
• DPIA cho xử lý rủi ro cao
• Quy trình phản hồi yêu cầu chủ thể dữ liệu

Sai lầm phổ biến

1. Nhầm lẫn đồng ý với lợi ích hợp pháp — đây là hai cơ sở pháp lý riêng biệt
2. Giữ dữ liệu quá lâu — lưu dữ liệu "phòng khi cần" là bất hợp pháp
3. Quên nhà cung cấp — bạn chịu trách nhiệm về bên xử lý
4. Bỏ qua bảo mật — RGPD yêu cầu biện pháp kỹ thuật phù hợp
5. Phớt lờ quyền chủ thể dữ liệu — bạn có 1 tháng để phản hồi

Kết luận

Tuân thủ RGPD là quá trình liên tục, không phải dự án một lần. Quy tắc thay đổi, CNIL thắt chặt thực thi, và kỳ vọng quyền riêng tư của công dân tiếp tục tăng.

Bắt đầu từ cơ bản — hồ sơ, minh bạch, bảo mật — và phát triển từ đó. Khi cần chia sẻ tài liệu tuân thủ nhạy cảm, hãy sử dụng LOCK.PUB.

---

Bảo vệ dữ liệu không chỉ là nghĩa vụ pháp lý. Đó là cam kết với khách hàng và nhân viên của bạn.