Dữ liệu quan trọng đối với cuộc sống của chúng ta hơn bao giờ hết. Từ các dịch vụ trực tuyến mà mọi người sử dụng đến trung tâm mua sắm, có rất nhiều dữ liệu mà nếu được quản lý không đúng cách, có thể vi phạm quyền riêng tư của mọi người và làm giảm chất lượng cuộc sống của họ.
Đây là lý do tại sao các quy định bảo vệ dữ liệu như GDPR (Quy định chung về bảo vệ dữ liệu) lại rất quan trọng.
Một trong những thay đổi lớn mà GDPR giới thiệu được tìm thấy trong cách các trang web sử dụng cửa sổ bật lên. Nếu bạn thắc mắc GDPR là gì và tại sao bạn thấy các cửa sổ bật lên liên quan đến dữ liệu của mình trên các trang web, thì bài viết này là dành cho bạn.
GDPR là gì?
Ủy ban châu Âu lần đầu tiên soạn thảo GDPR vào năm 2016. Quy định này có hiệu lực vào năm 2018, cung cấp các quy tắc được thiết kế để cung cấp cho công dân EU nhiều quyền kiểm soát hơn đối với dữ liệu cá nhân của họ. Kể từ đó, GDPR đã tăng ảnh hưởng khi nhiều quốc gia bên ngoài EU áp dụng nó cho các khu vực của họ.
Nguyên tắc về GDPR
GDPR nhằm đảm bảo rằng cả người dân và doanh nghiệp đều có thể hưởng lợi từ nền kinh tế kỹ thuật số. Theo EU, GDPR được thiết kế để “hài hòa hóa” luật bảo mật dữ liệu giữa các quốc gia thành viên và cung cấp nhiều quyền bảo vệ dữ liệu và quyền riêng tư hơn cho các cá nhân.
GDPR dựa trên bảy nguyên tắc, một số nguyên tắc đã tồn tại trong các quy tắc bảo vệ dữ liệu trước đây. Bảy nguyên tắc của GDPR bao gồm:
- Tính hợp pháp, công bằng và minh bạch
- Giới hạn mục đích
- Thu nhỏ dữ liệu
- Độ chính xác
- Giới hạn lưu trữ
- Tính toàn vẹn và tính bảo mật (bảo mật)
- Trách nhiệm giải trình
Bộ điều khiển và Bộ xử lý Dữ liệu
GDPR có nghĩa là phải được tuân theo bởi bộ điều khiển và bộ xử lý dữ liệu. Kiểm soát viên là tổ chức thực hiện quyền kiểm soát đối với các mục đích và phương tiện xử lý dữ liệu cá nhân. GDPR phân loại bộ kiểm soát là các công ty quyết định lý do và cách thức xử lý dữ liệu cá nhân.
Trong một số trường hợp nhất định, một tổ chức có thể được coi là đơn vị kiểm soát chung nếu tổ chức đó cùng xác định lý do và cách thức xử lý dữ liệu cá nhân cùng với một hoặc nhiều tổ chức.
Có thể tìm thấy một ví dụ về bộ điều khiển dữ liệu chung khi hai công ty tạo một trang web để bán sản phẩm của họ và chia sẻ dữ liệu khách hàng. Cả hai công ty có thể được phân loại là bộ kiểm soát chung vì các dịch vụ kết hợp mà họ cung cấp và nền tảng chung mà họ thiết kế và sử dụng.
Người xử lý dữ liệu là người hoặc tổ chức xử lý dữ liệu cá nhân cho người kiểm soát. Ví dụ về bộ xử lý là một công ty in sử dụng dữ liệu cá nhân của khách hàng của khách hàng để làm tài liệu tiếp thị kỹ thuật số theo hướng dẫn của họ.
Theo GDPR, bộ kiểm soát và bộ xử lý phải tuân theo các quy định vì việc không tuân theo các quy tắc có thể dẫn đến việc họ phải trả tiền phạt rất lớn hoặc bị thiệt hại về danh tiếng. Các quy định xoay quanh cách người kiểm soát và bộ xử lý thu thập và sử dụng dữ liệu cá nhân.
Dữ liệu Cá nhân
Dữ liệu được sử dụng để xác định một cá nhân cấu thành dữ liệu cá nhân theo GDPR. Thông thường, dữ liệu cá nhân ở dạng số nhận dạng trực tuyến hoặc có các đặc điểm đặc biệt thể hiện bản sắc thể chất, tâm lý, di truyền, tinh thần, thương mại, văn hóa hoặc xã hội.
Dữ liệu cá nhân là yếu tố chính của GDPR. Điều này là do GDPR chỉ áp dụng cho việc sử dụng dữ liệu cá nhân. Theo luật hiện hành, các loại dữ liệu có thể được phân loại là dữ liệu cá nhân bao gồm:
- Tên
- Số nhận dạng
- Vị trí
- Địa chỉ
- Số thẻ tín dụng
- Dữ liệu tài khoản
- Biển số
- Số khách hàng
Danh mục Dữ liệu Cá nhân Đặc biệt
Các tiêu chuẩn bảo vệ cho các loại dữ liệu cá nhân đặc biệt cao hơn nhiều so với các tiêu chuẩn cho dữ liệu cá nhân chung. Các danh mục dữ liệu đặc biệt bao gồm:
- Dữ liệu di truyền
- Dữ liệu sinh trắc học
- Dữ liệu sức khoẻ
- Ý kiến chính trị
- Niềm tin tôn giáo hoặc ý thức hệ
- Tư cách thành viên công đoàn
- Dữ liệu cá nhân tiết lộ nguồn gốc chủng tộc và dân tộc
GDPR rất chú trọng vào tính minh bạch. Vì lý do này, nó yêu cầu các nhà điều hành trang web phải nhận được sự đồng ý của người dùng để sử dụng dữ liệu được bảo vệ của họ.
Tại sao tôi thấy cửa sổ bật lên yêu cầu dữ liệu và cookie?
Bất cứ khi nào bạn truy cập một trang web, một tệp cookie có thể được lưu trên thiết bị của bạn. Tệp này chứa thông tin về trang web và bạn. Trang web có thể sử dụng thông tin để điều chỉnh trải nghiệm cho bạn, sử dụng thông tin mà nó đã lưu về bạn.
Thông tin trong tệp cookie có thể bao gồm thông tin nhận dạng cá nhân có khả năng được bảo vệ theo GDPR. Do đó, các trang web phải có sự đồng ý của bạn trước khi họ thu thập dữ liệu của bạn bằng cookie.
Một số trang web yêu cầu người dùng chấp nhận tất cả cookie trước khi họ có thể tiếp tục sử dụng trang web. Trong một số trường hợp, người dùng có nhiều lựa chọn hơn đối với các loại cookie mà họ cho phép, trong khi các trang web khác chọn không thu thập thông tin hoặc buộc người dùng phản hồi với biểu ngữ cookie.
Tại sao GDPR không áp dụng cho Vương quốc Anh?
Sau khi Vương quốc Anh hoàn thành giai đoạn chuyển tiếp Brexit (như một phần của quá trình tách khỏi EU), GDPR không còn được áp dụng cho quốc gia này nữa. Vì Vương quốc Anh không còn là một phần của EU, nên GDPR không được áp dụng trực tiếp cho quốc gia này. Tuy nhiên, quy định tiếp tục ảnh hưởng gián tiếp đến việc bảo vệ dữ liệu ở Vương quốc Anh.
Quy định của DPPEC (Bảo vệ dữ liệu, quyền riêng tư và truyền thông điện tử) năm 2019 được sử dụng để áp dụng một số yêu cầu của GDPR vào Đạo luật bảo vệ dữ liệu 2018 của Vương quốc Anh (DPA 2018). Vương quốc Anh đã hợp nhất các yêu cầu của EU GDPR với DPA 2018 để tạo ra một bộ quy tắc bảo vệ dữ liệu mới, được gọi là "GDPR của Vương quốc Anh".
GDPR và các Quy định Khu vực Khác
Luật bảo mật dữ liệu với các điều khoản tương tự như GDPR tiếp tục được áp dụng ở các khu vực khác nhau trên thế giới. Do đó, nhiều khu vực hơn bao giờ hết (đặc biệt là ở Châu Âu) có luật và quy định địa phương thân thiện với GDPR.
Lei Geral de Proteçao de Dados (LGPD) của Brazil được mô phỏng trực tiếp sau GDPR. Quy định yêu cầu các công ty muốn kinh doanh tại Brazil phải tuân thủ các quy định bảo vệ dữ liệu của nước này hoặc nộp phạt. Định nghĩa về thông tin cá nhân trong LGPD tương tự như định nghĩa trong GDPR. Trong khi GDPR định nghĩa thông tin cá nhân là,
Tại Hoa Kỳ, mỗi tiểu bang đều có luật riêng tư của mình. Đạo luật Quyền riêng tư của Người tiêu dùng California (CCPA) bao gồm các quy tắc bảo mật dữ liệu nghiêm ngặt nhất ở Hoa Kỳ. Rất nhiều điều khoản của nó trùng lặp với GDPR. Mặc dù GDPR yêu cầu các doanh nghiệp nhắc nhở người dùng trên trang web của họ chấp nhận cookie và các công nghệ theo dõi khác, nhưng CCPA yêu cầu các doanh nghiệp có liên kết "Không bán thông tin của tôi" hoặc "Không bán thông tin cá nhân của tôi".
Ngay cả trước khi ra đời GDPR, nhiều quốc gia EU đã có những quy định với các quy tắc tương tự. Ở nhiều quốc gia EU, trách nhiệm giải trình là nguyên tắc duy nhất mà các quy tắc bảo vệ dữ liệu của họ trước đây không có trước khi áp dụng GDPR.
Bảo vệ Quyền của Cá nhân
Với 99 bài báo riêng lẻ, GDPR được coi là bộ quy tắc bảo vệ dữ liệu mạnh nhất trên thế giới.
Khi so sánh với các quy định khác của khu vực, lý do của điều này là rõ ràng. Nó được xây dựng dựa trên các quy định đã có từ trước, bổ sung thêm nhiều quy tắc để bảo vệ quyền lợi của các cá nhân. GDPR đã đơn giản hóa quy trình bảo vệ quyền riêng tư của dữ liệu, đến mức ngay cả các trang web vô danh cũng sử dụng cửa sổ bật lên để nhận được sự đồng ý của người dùng trước khi thu thập dữ liệu của họ bằng cookie.