Các cơ quan, tổ chức có các hoạt động xử lý dữ liệu cá nhân (kể cả tự động bằng máy) như thu thập, ghi lại, cấu trúc, tổ chức, sử dụng, lưu trữ, sửa đổi, chia sẻ, tiết lộ, xóa và hủy dữ liệu cá nhân phải chịu sự ràng buộc của Luật.
Trước đây, các quy định về bảo vệ thông tin cá nhân không thống nhất giữa các nước EU. Trải qua quá trình làm luật gần 10 năm, bắt đầu từ năm 2009, đến 25/5/2018, GDPR mới được chính thức áp dụng thống nhất trên toàn EU. GDPR được coi là một bộ quy tắc mới, nhằm cung cấp cho công dân EU quyền kiểm soát nhiều hơn đối với dữ liệu cá nhân.
Theo các điều khoản của GDPR, không chỉ các tổ chức phải đảm bảo dữ liệu cá nhân được thu thập hợp pháp và trong các điều kiện nghiêm ngặt, mà tất cả những bên thu thập và quản lý dữ liệu có nghĩa vụ bảo vệ dữ liệu khỏi việc bị lạm dụng và khai thác, cũng như tôn trọng quyền của chủ sở hữu dữ liệu.
GDPR có những quy tắc rất chặt chẽ, quyền chủ thể dữ liệu cá nhân rất lớn và hình phạt rất nặng nếu vi phạm các quy định của GDPR. Vi phạm dữ liệu cá nhân phải được báo cáo trong vòng 72 giờ. Nếu dữ liệu cá nhân bị tiết lộ, bị truy cập, thay đổi hoặc bị đánh cắp yêu cầu phải hành động ngay.
Trong trường hợp mất dữ liệu nhạy cảm như dữ liệu sức khỏe hoặc tài chính, sự cố phải được báo cáo với cơ quan có thẩm quyền và từng cá nhân bị ảnh hưởng trong vòng 72 giờ.
Những điểm quan trọng của GDPR
7 nguyên tắc then chốt về xử lý dữ liệu cá nhân
Xuyên suốt GDPR là 7 nguyên tắc then chốt thể hiện các nội dung chính của GDPR:
- Hợp pháp, công bằng và minh bạch khi xử lý dữ liệu cá nhân.
- Giới hạn mục đích sử dụng: khi thu thập phải xác định rõ mục đích và chỉ sử dụng cho mục đích đó (trừ trường hợp ngoại lệ: mục đích làm lợi cho công cộng, nghiên cứu khoa học, lưu trữ lịch sử và sử dụng cho thống kê).
- Dữ liệu tối thiểu: chỉ thu thập dữ liệu tối thiểu và cần thiết nhất cho mục đích được xác định ban đầu. Do vậy, không thu thập, khai thác thông tin để dự phòng hoặc không xác định trước mục đích.
- Độ chính xác: mọi dữ liệu phải chính xác và cập nhật trong tất cả các bước xử lý.
- Giới hạn thời gian lưu trữ: không được lưu trữ dữ liệu quá thời gian cần thiết theo mục đích sử dụng đã xác định (trừ trường hợp ngoại lệ trên).
- Toàn vẹn và bảo mật: phải đảm bảo tính bảo mật và sử dụng các biện pháp thích hợp.
- Trách nhiệm giải trình: Người kiểm soát, xử lý phải chịu trách nhiệm và chứng minh sự tuân thủ quy định.
Ngoài ra, GDPR cũng quy định "quyền được lãng quên" - cụ thể là quyền xóa dữ liệu cho những người muốn xóa dữ liệu cá nhân của họ khi không còn căn cứ để lưu giữ dữ liệu đó.
Quyền kiểm soát dữ liệu cá nhân của chủ thể dữ liệu
Trong GDPR, chủ thể dữ liệu cá nhân có quyền kiểm soát toàn diện đối với dữ liệu cá nhân. Cụ thể:
- Quyền được thông báo về dữ liệu cá nhân khi có sự kiện xử lý liên quan. Khi có sự kiện liên quan như sử dụng, chia sẻ, lộ lọt dữ liệu cá nhân thì tổ chức, doanh nghiệp (DN) lưu trữ dữ liệu phải thông báo cho chủ thể dữ liệu cá nhân đó biết.
- Quyền được truy cập dữ liệu cá nhân. Tổ chức, DN lưu trữ dữ liệu phải cung cấp biện pháp để chủ thể dữ liệu cá nhân tra cứu, truy cập dữ liệu của cá nhân mình.
- Quyền được sửa đổi, quyền được xóa dữ liệu đang lưu trữ bởi các cơ quan, tổ chức. Tổ chức, DN phải cho phép chủ thể dữ liệu cá nhân sửa đổi, xóa dữ liệu do tổ chức, DN lưu trữ. Dữ liệu chỉ được chia sẻ khi chủ thể dữ liệu cá nhân đồng ý; và chủ thể dữ liệu cá nhân có thể rút lại sự đồng ý trước đó. Các thông báo về về quyền của chủ thể dữ liệu cá nhân phải rõ ràng, trong sáng.
- Quyền chia sẻ dữ liệu cá nhân của mình từ tổ chức này sang tổ chức khác. Quyền phản đối một tổ chức xử lý dữ liệu cá nhân của mình. Tổ chức, DN phải dừng việc xử lý dữ liệu cá nhân nếu chủ thể dữ liệu cá nhân đó phản đối.
- Quyền hạn chế việc chia sẻ, xử lý dữ liệu cá nhân.
Trách nhiệm của các cơ quan, tổ chức, DN quản lý, xử lý dữ liệu cá nhân
Các tổ chức, DN phải tuân thủ GDPR, nếu không sẽ bị áp các hình phạt mạnh:
- Phải tôn trọng quyền cá nhân và thực hiện theo các nguyên tắc của GDPR.
- Phải cung cấp cho chủ thể dữ liệu phương tiện để kiểm soát dữ liệu cá nhân của mình. Các hoạt động xử lý dữ liệu cá nhân phải minh bạch và thông báo rõ ràng.
- Phải chịu trách nhiệm về việc chia sẻ dữ liệu cá nhân cho tổ chức khác. Trong trường hợp để sảy ra rủi ro về lộ, lọt thông tin cá nhân phải hoàn toàn chịu trách nhiệm.
- Phải chỉ định cán bộ chuyên trách bảo vệ dữ liệu. Sự cố vi phạm thông tin cá nhân phải được báo cáo trong vòng 72 giờ và phải thực hiện các bước để giảm thiểu rủi ro.
Về hình phạt cho các tổ chức nếu không tuân thủ
Hình phạt cho tổ chức không tuân thủ GDPR lên đến 10 triệu EUR hoặc 2% doanh thu toàn cầu của năm trước đó tùy trường hợp nào cao hơn.
Trường hợp không tuân thủ yêu cầu của các cơ quan có thẩm quyền hoặc các trường hợp vi phạm nghiêm trọng có thể lên đến 20 triệu EUR hoặc 4% doanh thu toàn cầu của năm trước đó.
Một số điểm đáng lưu ý thêm
GDPR điều chỉnh tất cả các DN, tổ chức đăng ký kinh doanh tại EU, hoạt động tại EU hoặc có khách hàng, người sử dụng là công dân EU. Vì vậy, một số DN Việt Nam có kinh doanh tại EU, có khách hàng là công dân EU đều chịu tác động,… Đối tượng tác động chính là các DN có ứng dụng CNTT và hoạt động trên Internet.
GDPR có ảnh hưởng tới việc xây dựng luật của nhiều nước Cụ thể, Luật quyền riềng tư của người tiêu dùng tại California, Mỹ có nhiều yếu tố tương đồng với GDPR; Luật quyền riêng tư của NewYork, Mỹ được đánh giá còn chặt hơn GDPR; Brazil đang xây dựng LGPD như là một bản sao của GDPR; Úc đang xem xét Luật quyền riêng tư cũng có một số điểm tương tự GDPR. Thái Lan đã thông qua Luật dữ liệu cá nhân (PDPA) năm 2019 tương tự GDPR; Ấn Độ cũng đưa ra quốc hội dự Luật bảo vệ cá nhân PDPB được mô phỏng theo GDPR…
Như vậy, tinh thần của GDPR ngày càng lan rộng và phạm vi tác động sẽ càng lớn dần. GDPR được tuyên truyền rộng rãi trên mạng Internet, các nền tảng lớn. Do đó, điều này cũng gián tiếp nâng cao nhận thức về bảo vệ dữ liệu cá nhân.
GDPR được coi là nguồn tham khảo để xây dựng môi trường pháp lý liên quan đến bảo vệ dữ liệu cá nhân.
