GDPR, luật bảo vệ dữ liệu mới của EU là gì?

Quy định chung về bảo vệ dữ liệu - The General Data Protection Regulation (GDPR) là luật bảo mật và quyền riêng tư khắt khe nhất trên thế giới. Mặc dù được Liên minh Châu Âu (EU) soạn thảo và thông qua, nhưng vẫn áp đặt nghĩa vụ đối với các tổ chức ở bất kỳ đâu, miễn là nhắm mục tiêu hoặc thu thập dữ liệu liên quan đến người ở EU. Quy định này có hiệu lực từ ngày 25 tháng 5 năm 2018. GDPR sẽ phạt nặng những ai vi phạm các tiêu chuẩn về quyền riêng tư và bảo mật, với số tiền phạt lên tới hàng chục triệu euro.


Với GDPR, Châu Âu đang cho thấy lập trường vững chắc của mình về quyền riêng tư và bảo mật dữ liệu vào thời điểm ngày càng có nhiều người giao phó dữ liệu cá nhân cho các dịch vụ đám mây và vi phạm xảy ra hàng ngày. Bản chất quy định này rất lớn, có ảnh hưởng sâu rộng và khá ít về các chi tiết cụ thể, khiến việc tuân thủ GDPR trở nên khó khăn, đặc biệt đối với các doanh nghiệp vừa và nhỏ (SME).


Chúng tôi đã tạo trang web này để phục vụ như một nguồn tài nguyên cho các chủ sở hữu và người quản lý SME để giải quyết những thách thức cụ thể mà họ có thể gặp phải. Mặc dù không thể thay thế cho lời khuyên pháp lý, nhưng có thể giúp bạn tìm hiểu cần tập trung nỗ lực tuân thủ GDPR của mình ở đâu. Chúng tôi cũng cung cấp các bí quyết về công cụ bảo mật và cách giảm thiểu rủi ro. Khi GDPR tiếp tục được điều chỉnh, chúng tôi sẽ cập nhật về các phương pháp hay nhất đang phát triển.


Nếu đã tìm thấy trang này - "GDPR là gì?" — rất có thể bạn đang tìm kiếm một khóa học cấp tốc cần thiết. Có thể bạn vẫn chưa tìm thấy tài liệu đó (Xem toàn bộ quy định ở đây). Có lẽ bạn không có thời gian để đọc toàn bộ. Trang này là dành cho bạn. Trong bài viết này, chúng tôi cố gắng giải thích GDPR và hy vọng sẽ làm cho các doanh nghiệp vừa và nhỏ đỡ lo ngại về việc tuân thủ GDPR hơn.


Toàn bộ quy định của GDPR


Lịch sử GDPR


Quyền riêng tư là một phần của Công ước Châu Âu về Nhân quyền năm 1950, trong đó nêu rõ: “Mọi người có quyền được tôn trọng cuộc sống riêng tư và gia đình, nhà ở và thư từ của mình.” Từ cơ sở này, Liên minh Châu Âu đã tìm cách đảm bảo việc bảo vệ quyền này thông qua luật pháp.


Khi công nghệ phát triển và Internet được phát minh, EU đã nhận ra sự cần thiết của các biện pháp bảo vệ hiện đại. Vì vậy, vào năm 1995, thông qua Chỉ thị bảo vệ dữ liệu châu Âu, thiết lập các tiêu chuẩn bảo mật và quyền riêng tư dữ liệu tối thiểu, theo đó mỗi quốc gia thành viên dựa vào luật thực thi của riêng mình. Nhưng Internet đã biến thành dữ liệu Hoover như ngày nay. Năm 1994, banner quảng cáo đầu tiên xuất hiện trực tuyến. Năm 2000, phần lớn các tổ chức tài chính cung cấp dịch vụ ngân hàng trực tuyến. Năm 2006, Facebook xuất  hiện. Vào năm 2011, một người dùng Google đã kiện công ty vì đã quét email của cô ấy. Hai tháng sau đó, cơ quan bảo vệ dữ liệu của Châu Âu tuyên bố rằng EU cần “một cách tiếp cận toàn diện về bảo vệ dữ liệu cá nhân” và bắt đầu cập nhật chỉ thị năm 1995.


GDPR có hiệu lực vào năm 2016 sau khi được Nghị viện Châu Âu thông qua và kể từ ngày 25 tháng 5 năm 2018, tất cả các tổ chức đều phải tuân thủ.


Phạm vi, hình phạt và định nghĩa chính

Đầu tiên, nếu xử lý dữ liệu cá nhân của công dân hoặc cư dân EU hoặc cung cấp hàng hóa hoặc dịch vụ cho những người đó, thì GDPR sẽ áp dụng ngay cả khi bạn không ở EU. Chúng tôi nói nhiều hơn về điều này trong một bài viết khác.


Thứ hai, tiền phạt vi phạm GDPR rất cao. Có hai mức hình phạt, tối đa là 20 triệu euro hoặc 4% doanh thu toàn cầu (tùy theo mức nào cao hơn), ngoài ra chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại. Chúng tôi sẽ nói nhiều hơn về tiền phạt GDPR sau.


GDPR định nghĩa một loạt các điều khoản pháp lý. Dưới đây là một số trong những điều quan trọng nhất đề cập đến trong bài viết này:


Dữ liệu cá nhân — Dữ liệu cá nhân là bất kỳ thông tin nào liên quan đến một cá nhân có thể được xác định trực tiếp hoặc gián tiếp. Tên và địa chỉ email rõ ràng là dữ liệu cá nhân. Thông tin vị trí, dân tộc, giới tính, dữ liệu sinh trắc học, niềm tin tôn giáo, cookie web và quan điểm chính trị cũng có thể là dữ liệu cá nhân. Dữ liệu bút danh cũng có thể nằm trong định nghĩa nếu việc xác định danh tính ai đó từ dữ liệu đó tương đối dễ dàng.


Xử lý dữ liệu — Bất kỳ hành động nào được thực hiện trên dữ liệu, dù là tự động hay thủ công. Các ví dụ được trích dẫn trong văn bản bao gồm thu thập, ghi lại, sắp xếp, cấu trúc, lưu trữ, sử dụng, xóa… về cơ bản là bất cứ thứ gì.


Chủ thể dữ liệu — Người có dữ liệu được xử lý. Đây là những khách hàng hoặc khách truy cập trang web.


Người kiểm soát dữ liệu — Người quyết định lý do và cách thức dữ liệu cá nhân sẽ được xử lý. Nếu bạn là chủ sở hữu hoặc nhân viên trong tổ chức của mình, người xử lý dữ liệu, thì đây chính là bạn.


Bộ xử lý dữ liệu — Một bên thứ ba xử lý dữ liệu cá nhân thay mặt cho bộ kiểm soát dữ liệu. GDPR có các quy tắc đặc biệt dành cho các cá nhân và tổ chức này. Chúng có thể bao gồm các máy chủ đám mây như Tresorit hoặc nhà cung cấp dịch vụ email như Proton Mail.


GDPR nói gì…

Trong phần còn lại của bài viết này, chúng tôi sẽ giải thích ngắn gọn tất cả các điểm quy định chính của GDPR.


Nguyên tắc bảo vệ dữ liệu

Nếu muốn xử lý dữ liệu, cần phải thực hiện theo bảy nguyên tắc bảo vệ và trách nhiệm giải trình được nêu trong Điều 5.1-2:


  1. Tính hợp pháp, công bằng và minh bạch — Quá trình xử lý phải hợp pháp, công bằng và minh bạch đối với chủ thể dữ liệu.
  2. Giới hạn mục đích — Xử lý dữ liệu cho các mục đích hợp pháp được chỉ định rõ ràng cho chủ thể dữ liệu khi thu thập dữ liệu đó.
  3. Giảm thiểu dữ liệu — Chỉ nên thu thập và xử lý lượng dữ liệu ở mức thực sự cần thiết cho các mục đích đã chỉ định.
  4. Độ chính xác — Phải giữ dữ liệu cá nhân chính xác và cập nhật.
  5. Giới hạn lưu trữ — Chỉ có thể lưu trữ dữ liệu nhận dạng cá nhân trong khoảng thời gian cần thiết cho mục đích cụ thể.
  6. Tính toàn vẹn và bảo mật — Quá trình xử lý phải được thực hiện theo cách đảm bảo tính bảo mật, tính toàn vẹn và tính bảo mật thích hợp (ví dụ: bằng cách sử dụng mã hóa).
  7. Trách nhiệm giải trình — Đơn vị kiểm soát dữ liệu chịu trách nhiệm chứng minh việc tuân thủ GDPR với tất cả các nguyên tắc này.


Trách nhiệm giải trình

GDPR cho biết các bộ điều khiển dữ liệu phải có khả năng chứng minh rằng họ tuân thủ GDPR. Và đây không phải là điều có thể làm thực tế: Nếu bạn cho rằng mình tuân thủ GDPR nhưng không thể chỉ ra cách thực hiện, thì bạn không tuân thủ GDPR. Những cách bạn có thể làm điều này:

  • Chỉ định trách nhiệm bảo vệ dữ liệu cho nhóm.
  • Duy trì tài liệu chi tiết về dữ liệu đang thu thập, cách dữ liệu được sử dụng, nơi lưu trữ dữ liệu, nhân viên nào chịu trách nhiệm về dữ liệu đó, v.v.
  • Đào tạo nhân viên và thực hiện các biện pháp an ninh kỹ thuật và tổ chức.
  • Có hợp đồng Thỏa thuận xử lý dữ liệu với các bên thứ ba đã ký hợp đồng để xử lý dữ liệu.
  • Chỉ định một Nhân viên Bảo vệ Dữ liệu (mặc dù không phải tất cả các tổ chức đều cần một nhân viên - hãy nói thêm về vấn đề đó trong bài viết này).


Bảo mật dữ liệu

Bạn được yêu cầu xử lý dữ liệu một cách an toàn bằng cách triển khai “Các biện pháp tổ chức và kỹ thuật phù hợp”.

Các biện pháp kỹ thuật có nghĩa là bất kỳ điều gì từ việc yêu cầu nhân viên sử dụng xác thực hai yếu tố trên các tài khoản lưu trữ dữ liệu cá nhân cho đến ký hợp đồng với các nhà cung cấp đám mây sử dụng mã hóa đầu cuối.

Các biện pháp của tổ chức là những giải pháp như đào tạo nhân viên, thêm chính sách bảo mật dữ liệu vào sổ tay nhân viên hoặc giới hạn quyền truy cập vào dữ liệu cá nhân chỉ cho những nhân viên trong tổ chức cần dữ liệu đó.

Nếu vi phạm dữ liệu, sẽ có 72 giờ để thông báo cho chủ thể dữ liệu hoặc đối mặt với các hình phạt. (Yêu cầu thông báo này có thể được miễn nếu sử dụng các biện pháp bảo vệ công nghệ, chẳng hạn như mã hóa, để dữ liệu trở nên vô dụng đối với kẻ tấn công.)


Bảo vệ dữ liệu theo thiết kế và theo mặc định

Từ giờ trở đi, mọi việc bạn làm trong tổ chức của mình, “theo thiết kế và theo mặc định,” đều phải xem xét đến việc bảo vệ dữ liệu. Nói một cách thực tế, điều này có nghĩa là phải xem xét các nguyên tắc bảo vệ dữ liệu trong thiết kế của bất kỳ sản phẩm hoặc hoạt động mới nào. GDPR đề cập đến nguyên tắc này trong Điều 25.

Ví dụ: giả sử bạn đang tung ra một ứng dụng mới cho công ty của mình. Bạn phải suy nghĩ về dữ liệu cá nhân nào mà ứng dụng có thể thu thập từ người dùng, sau đó xem xét các cách để giảm thiểu.


Khi bạn được phép xử lý dữ liệu

Điều 6 liệt kê các trường hợp hợp pháp để xử lý dữ liệu cá nhân. Thậm chí đừng nghĩ đến việc động vào dữ liệu cá nhân của ai đó — không thu thập, không lưu trữ, không bán cho các nhà quảng cáo — trừ khi bạn có thể chứng minh điều đó bằng một trong những điều sau:

  1. Chủ thể dữ liệu đã đồng ý cụ thể, rõ ràng để xử lý dữ liệu. (ví dụ: Họ đã chọn tham gia vào danh sách email tiếp thị.)
  2. Việc xử lý là cần thiết để thực hiện hoặc chuẩn bị ký kết hợp đồng mà chủ thể dữ liệu là một bên. (ví dụ: Cần kiểm tra lý lịch trước khi cho người thuê tiềm năng thuê tài sản.)
  3. Cần xử lý dữ liệu để tuân thủ nghĩa vụ pháp lý. (ví dụ: Nhận được lệnh từ tòa án trong phạm vi quyền hạn.)
  4. Cần xử lý dữ liệu để cứu mạng ai đó. (ví dụ: có thể sẽ biết sau khi áp dụng điều này.)
  5. Xử lý là cần thiết để thực hiện một nhiệm vụ vì lợi ích chung hoặc để thực hiện một số chức năng chính thức. (ví dụ: Công ty thu gom rác tư nhân.)
  6. Bạn có lợi ích hợp pháp để xử lý dữ liệu cá nhân của ai đó. Đây là cơ sở hợp pháp linh hoạt nhất, mặc dù “các quyền và quyền tự do cơ bản của chủ thể dữ liệu” luôn quan trọng hơn lợi ích của bạn, đặc biệt nếu đó là dữ liệu của trẻ em. (Thật khó để đưa ra một ví dụ ở đây vì có nhiều yếu tố cần xem xét cho trường hợp của mình. Văn phòng Ủy viên Thông tin Vương quốc Anh cung cấp hướng dẫn hữu ích tại đây.)


Khi đã xác định cơ sở hợp pháp cho việc xử lý dữ liệu của mình, bạn cần ghi lại cơ sở này và thông báo cho chủ thể dữ liệu (tính minh bạch!). Và nếu sau này quyết định thay đổi lời biện minh của mình, bạn cần phải có lý do chính đáng, ghi lại lý do này và thông báo cho chủ thể dữ liệu.


Sự đồng ý

Có các quy tắc mới nghiêm ngặt về những gì tạo nên sự đồng ý của chủ thể dữ liệu để xử lý thông tin của họ.

  • Sự đồng ý phải được “đưa ra một cách tự nguyện, cụ thể, được cung cấp đầy đủ thông tin và không mơ hồ.”
  • Yêu cầu chấp thuận phải “có thể phân biệt rõ ràng với các vấn đề khác” và được trình bày bằng “ngôn ngữ rõ ràng và dễ hiểu”.
  • Chủ thể dữ liệu có thể rút lại sự đồng ý trước đó bất cứ khi nào họ muốn và bạn phải tôn trọng quyết định của họ. Bạn không thể đơn giản thay đổi cơ sở pháp lý của quá trình xử lý thành một trong những lý do biện minh khác.
  • Trẻ em dưới 13 tuổi chỉ có thể đồng ý với sự cho phép của cha mẹ.
  • Bạn cần giữ bằng chứng tài liệu về sự đồng ý.


Nhân viên bảo vệ dữ liệu

Trái ngược với niềm tin phổ biến, không phải mọi bộ điều khiển hoặc bộ xử lý dữ liệu đều cần chỉ định Nhân viên bảo vệ dữ liệu Data Protection Officer (DPO). Có ba điều kiện được yêu cầu chỉ định một DPO:

  1. Một cơ quan công quyền chứ không phải là một tòa án hoạt động với tư cách tư pháp.
  2. Các hoạt động cốt lõi yêu cầu phải giám sát mọi người một cách có hệ thống và thường xuyên trên quy mô lớn. (ví dụ: Google.)
  3. Các hoạt động cốt lõi là xử lý quy mô lớn các loại dữ liệu đặc biệt được liệt kê trong Điều 9 của GDPR hoặc dữ liệu liên quan đến các bản án hình sự và hành vi phạm tội được đề cập trong Điều 10. (ví dụ: Văn phòng y tế.)

Bạn cũng có thể chọn chỉ định một DPO ngay cả khi không bắt buộc phải làm như vậy. Có những lợi ích chỉ khi có ai đó trong vai trò này. Nhiệm vụ cơ bản của họ liên quan đến việc hiểu GDPR và cách áp dụng cho tổ chức, tư vấn cho mọi người trong tổ chức về trách nhiệm, tiến hành các khóa đào tạo về bảo vệ dữ liệu, tiến hành kiểm tra và giám sát việc tuân thủ GDPR, đồng thời đóng vai trò là người liên lạc với các cơ quan quản lý.

Chúng tôi sẽ đi sâu về vai trò của DPO trong một bài viết khác.


Quyền riêng tư của người dân

Bạn là người kiểm soát dữ liệu và/hoặc người xử lý dữ liệu. Nhưng với tư cách là người sử dụng Internet, bạn cũng là chủ thể dữ liệu. GDPR công nhận một loạt các quyền riêng tư mới cho các chủ thể dữ liệu, nhằm mục đích cung cấp cho các cá nhân nhiều quyền kiểm soát hơn đối với dữ liệu mà họ cho các tổ chức mượn. Là một tổ chức, điều quan trọng là phải hiểu các quyền này để đảm bảo tuân thủ GDPR.


Dưới đây là danh sách các quyền riêng tư của chủ thể dữ liệu:

  1. Quyền được thông báo
  2. Quyền tiếp cận
  3. Quyền cải chính
  4. Quyền xóa
  5. Quyền hạn chế xử lý
  6. Quyền di chuyển dữ liệu
  7. Quyền phản đối
  8. Các quyền liên quan đến việc ra quyết định và lập hồ sơ tự động.


Kết luận

Chúng tôi vừa trình bày tất cả các điểm chính của GDPR trong hơn 2.000 từ. Bản thân quy định (không bao gồm các chỉ thị kèm theo) dài 88 trang. Nếu bị ảnh hưởng bởi GDPR, chúng tôi đặc biệt khuyên người chịu trách nnhiệm trong tổ chức nên đọc nó và tham khảo ý kiến luật sư để đảm bảo rằng mình tuân thủ GDPR.


Nguồn: https://gdpr.eu/what-is-gdpr/


Share by: