Đã một năm rưỡi kể từ khi Quy định chung về bảo vệ dữ liệu (GDPR) được thực thi ở Liên minh Châu Âu. Mục tiêu chính của quy định là cung cấp cho các cá nhân sự riêng tư, rõ ràng và kiểm soát tốt hơn đối với cách dữ liệu của họ được các doanh nghiệp, tổ chức và bên thứ ba sử dụng trực tuyến. Theo GDPR, các công ty hiện phải cung cấp nhiều thông tin hơn về cách họ sử dụng và lưu giữ dữ liệu của các cá nhân - cho dù đó là trên trang web, hợp đồng lao động hay biểu mẫu trực tuyến.
Trong bài viết này, chúng tôi thảo luận chính xác về GDPR là gì, ý nghĩa của nó đối với người bình thường và cách thức triển khai GDPR kể từ khi thực thi vào năm ngoái.
GDPR là gì?
Ý tưởng của GDPR là làm cho các luật của EU liên quan đến quyền riêng tư trực tuyến và bảo vệ dữ liệu phù hợp hơn với sự phức tạp của kỷ nguyên trực tuyến. Nhiều doanh nghiệp trực tuyến lớn nhất dựa vào luồng dữ liệu cá nhân ổn định mà chúng tôi cung cấp hàng ngày trên Internet - từ cookie của chúng tôi đến các tìm kiếm trên Google cho đến các chi tiết mà chúng tôi nhập vào các cuộc khảo sát trực tuyến hoặc các biểu mẫu khác.
Việc kinh doanh lớn của Internet được thúc đẩy khá nhiều bởi dữ liệu của chúng tôi và ý tưởng về GDPR là cung cấp cho chúng tôi sự rõ ràng hơn và kiểm soát cách nó được sử dụng, cũng như buộc các công ty phải có trách nhiệm hơn đối với dữ liệu họ mua từ chúng tôi và cách họ sử dụng nó.
Điều này nghe có vẻ hay, nhưng chính xác thì nó có nghĩa là gì? Dưới đây là những điểm chính liên quan đến GDPR:
- Dữ liệu cá nhân của một cá nhân hoặc "chủ thể dữ liệu" chỉ có thể được xử lý nếu đáp ứng một trong số các "mục đích hợp pháp". Chúng bao gồm việc cá nhân đồng ý xử lý dữ liệu, thực hiện các nhiệm vụ vì lợi ích công cộng, bảo vệ lợi ích quan trọng của các cá nhân khác hoặc một số “mục đích” khác.
- Các chủ thể cần phải đồng ý cho việc xử lý dữ liệu (do đó, tất cả các thông báo GDPR bắt đầu xuất hiện trên các trang web ở khắp mọi nơi).
- GDPR giám sát các công ty, yêu cầu thực hiện "các biện pháp tổ chức và kỹ thuật thích hợp" để giảm thiểu nguy cơ lạm dụng hoặc vi phạm dữ liệu.
- Các sự cố bảo mật dữ liệu đe dọa đến "quyền và tự do" của chủ thể dữ liệu phải được báo cáo cho cơ quan cấp cao hơn trong vòng 72 giờ.
- Dữ liệu thu thập từ các đối tượng được ẩn danh để bảo vệ quyền riêng tư.
- “Quyền được quên” cho phép người dùng có thể yêu cầu xóa toàn bộ dữ liệu của họ khỏi cơ sở dữ liệu. Người dùng cũng có quyền yêu cầu trang web không xử lý dữ liệu của họ nữa nếu họ không muốn nó bị xóa hoàn toàn. Nếu một công ty đã chia sẻ dữ liệu của người dùng với các bên khác, thì tất cả họ cần được thông báo về mọi thao tác xóa, sửa hoặc hạn chế. Người dùng phải có quyền để tất cả các bên tạm dừng xử lý dữ liệu của họ
- Người xử lý dữ liệu, bao gồm “người kiểm soát” (người và cơ quan “xác định mục đích và phương tiện xử lý dữ liệu cá nhân”) và “người xử lý” (người hoặc cơ quan xử lý dữ liệu thay mặt người kiểm soát), chịu trách nhiệm dữ liệu bị xử lý sai và có thể bị phạt nếu chúng không tuân thủ các quy định về xử lý dữ liệu GDPR.
Tất cả các quyền này đều đi kèm với các nghĩa vụ bổ sung được thực thi đối với các công ty và họ có thể phải đối mặt với những hậu quả nghiêm trọng nếu không tuân thủ. Số lượng chi tiết được đưa vào phần luật này khiến nó có lẽ trở thành một trong những luật bảo vệ quyền riêng tư dữ liệu kỹ thuật số lớn nhất trên thế giới.
GDPR có những ảnh hưởng gì?
EU đã không gây rối trong việc thực thi GDPR và trừng phạt các công ty mà họ tin rằng đã vi phạm các quy định của mình. Vụ kiện GDPR nổi tiếng nhất hiện nay liên quan đến WhatsApp và Ủy ban bảo vệ dữ liệu Ireland, đã làm dấy lên lo ngại về việc liệu WhatsApp có thông báo đầy đủ cho người dùng về cách nó xử lý dữ liệu của họ hay không.
Hiện tại, dự thảo quyết định về khoản tiền phạt mà WhatsApp dự kiến phải trả đã được lùi sang năm 2020 sau khi các luật sư của WhatsApp đã chấp nhận đơn khiếu nại theo thủ tục.
Vào tháng 1 năm 2019, CNIL, cơ quan giám sát bảo vệ dữ liệu của Pháp, đã phạt Google 57 triệu đô la vì vi phạm luật GDPR, cáo buộc công cụ tìm kiếm thiếu minh bạch và rõ ràng trong cách xử lý dữ liệu cá nhân và cũng không có được sự đồng ý thích hợp khi hiển thị người dùng được cá nhân hóa quảng cáo.
Vào tháng 11 năm 2019, cơ quan bảo vệ dữ liệu của Vương quốc Anh đã đưa ra cảnh báo cho các công ty công nghệ quảng cáo về việc xử lý dữ liệu nhạy cảm và các hợp đồng được sử dụng để chia sẻ dữ liệu giữa các nhà cung cấp.
Vào tháng 11, Microsoft đã sửa đổi chính sách bảo mật trên các hợp đồng đám mây của mình sau khi một cuộc điều tra từ Cơ quan giám sát bảo vệ dữ liệu châu Âu (EDPS) làm dấy lên lo ngại rằng các hợp đồng và vai trò xử lý dữ liệu cho các tổ chức của Liên minh Châu Âu không tuân thủ GDPR.
Kết luận
Như bạn có thể thấy, GDPR đã gây ra rất nhiều xung đột liên quan đến quyền riêng tư giữa các doanh nghiệp trực tuyến và Liên minh Châu Âu. Mặc dù các công ty đang thể hiện sự sẵn sàng tuân thủ các quy định của GDPR, nhưng rõ ràng là nhiều công ty còn cả một chặng đường dài trước khi tuân thủ đầy đủ và chúng ta có thể thấy các khoản phạt và cảnh báo đến dày đặc và nhanh chóng như các công ty buộc phải thích ứng với các luật đã được sửa đổi lớn về quyền riêng tư trực tuyến ở Liên minh Châu Âu.