Những điểm quan trọng của Luật GDPR

PV| 13/04/2021 16:10
Theo dõi ICTVietnam trên

GDPR (General Data Protection Regulation) là luật của Liên minh Châu Âu (EU) quy định về xử lý dữ liệu cá nhân. GDPR được xem như là một cuộc cách mạng về bảo vệ dữ liệu cá nhân.

Các cơ quan, tổ chức có các hoạt động xử lý dữ liệu cá nhân (kể cả tự động bằng máy) như thu thập, ghi lại, cấu trúc, tổ chức, sử dụng, lưu trữ, sửa đổi, chia sẻ, tiết lộ, xóa và hủy dữ liệu cá nhân phải chịu sự ràng buộc của Luật.

Trước đây, các quy định về bảo vệ thông tin cá nhân không thống nhất giữa các nước EU. Trải qua quá trình làm luật gần 10 năm, bắt đầu từ năm 2009, đến 25/5/2018, GDPR mới được chính thức áp dụng thống nhất trên toàn EU. GDPR được coi là một bộ quy tắc mới, nhằm cung cấp cho công dân EU quyền kiểm soát nhiều hơn đối với dữ liệu cá nhân.

Những điểm quan trọng của Luật GDPR - Ảnh 1.

Theo các điều khoản của GDPR, không chỉ các tổ chức phải đảm bảo dữ liệu cá nhân được thu thập hợp pháp và trong các điều kiện nghiêm ngặt, mà tất cả những bên thu thập và quản lý dữ liệu có nghĩa vụ bảo vệ dữ liệu khỏi việc bị lạm dụng và khai thác, cũng như tôn trọng quyền của chủ sở hữu dữ liệu.

GDPR có những quy tắc rất chặt chẽ, quyền chủ thể dữ liệu cá nhân rất lớn và hình phạt rất nặng nếu vi phạm các quy định của GDPR. Vi phạm dữ liệu cá nhân phải được báo cáo trong vòng 72 giờ. Nếu dữ liệu cá nhân bị tiết lộ, bị truy cập, thay đổi hoặc bị đánh cắp yêu cầu phải hành động ngay.

Trong trường hợp mất dữ liệu nhạy cảm như dữ liệu sức khỏe hoặc tài chính, sự cố phải được báo cáo với cơ quan có thẩm quyền và từng cá nhân bị ảnh hưởng trong vòng 72 giờ.

Những điểm quan trọng của GDPR

7 nguyên tắc then chốt về xử lý dữ liệu cá nhân

Xuyên suốt GDPR là 7 nguyên tắc then chốt thể hiện các nội dung chính của GDPR:

- Hợp pháp, công bằng và minh bạch khi xử lý dữ liệu cá nhân. 

- Giới hạn mục đích sử dụng: khi thu thập phải xác định rõ mục đích và chỉ sử dụng cho mục đích đó (trừ trường hợp ngoại lệ: mục đích làm lợi cho công cộng, nghiên cứu khoa học, lưu trữ lịch sử và sử dụng cho thống kê). 

- Dữ liệu tối thiểu: chỉ thu thập dữ liệu tối thiểu và cần thiết nhất cho mục đích được xác định ban đầu. Do vậy, không thu thập, khai thác thông tin để dự phòng hoặc không xác định trước mục đích. 

- Độ chính xác: mọi dữ liệu phải chính xác và cập nhật trong tất cả các bước xử lý.  

- Giới hạn thời gian lưu trữ: không được lưu trữ dữ liệu quá thời gian cần thiết theo mục đích sử dụng đã xác định (trừ trường hợp ngoại lệ trên). 

- Toàn vẹn và bảo mật: phải đảm bảo tính bảo mật và sử dụng các biện pháp thích hợp.

- Trách nhiệm giải trình: Người kiểm soát, xử lý phải chịu trách nhiệm và chứng minh sự tuân thủ quy định.

Ngoài ra, GDPR cũng quy định "quyền được lãng quên" - cụ thể là quyền xóa dữ liệu cho những người muốn xóa dữ liệu cá nhân của họ khi không còn căn cứ để lưu giữ dữ liệu đó.

Những điểm quan trọng của Luật GDPR - Ảnh 2.

Ảnh: blogspot.com

Quyền kiểm soát dữ liệu cá nhân của chủ thể dữ liệu

Trong GDPR, chủ thể dữ liệu cá nhân có quyền kiểm soát toàn diện đối với dữ liệu cá nhân. Cụ thể:

- Quyền được thông báo về dữ liệu cá nhân khi có sự kiện xử lý liên quan. Khi có sự kiện liên quan như sử dụng, chia sẻ, lộ lọt dữ liệu cá nhân thì tổ chức, doanh nghiệp (DN) lưu trữ dữ liệu phải thông báo cho chủ thể dữ liệu cá nhân đó biết. 

- Quyền được truy cập dữ liệu cá nhân. Tổ chức, DN lưu trữ dữ liệu phải cung cấp biện pháp để chủ thể dữ liệu cá nhân tra cứu, truy cập dữ liệu của cá nhân mình. 

- Quyền được sửa đổi, quyền được xóa dữ liệu đang lưu trữ bởi các cơ quan, tổ chức. Tổ chức, DN phải cho phép chủ thể dữ liệu cá nhân sửa đổi, xóa dữ liệu do tổ chức, DN lưu trữ. Dữ liệu chỉ được chia sẻ khi chủ thể dữ liệu cá nhân đồng ý; và chủ thể dữ liệu cá nhân có thể rút lại sự đồng ý trước đó. Các thông báo về về quyền của chủ thể dữ liệu cá nhân phải rõ ràng, trong sáng. 

 - Quyền chia sẻ dữ liệu cá nhân của mình từ tổ chức này sang tổ chức khác. Quyền phản đối một tổ chức xử lý dữ liệu cá nhân của mình. Tổ chức, DN phải dừng việc xử lý dữ liệu cá nhân nếu chủ thể dữ liệu cá nhân đó phản đối. 

- Quyền hạn chế việc chia sẻ, xử lý dữ liệu cá nhân.

Trách nhiệm của các cơ quan, tổ chức, DN quản lý, xử lý dữ liệu cá nhân

Các tổ chức, DN phải tuân thủ GDPR, nếu không sẽ bị áp các hình phạt mạnh:

- Phải tôn trọng quyền cá nhân và thực hiện theo các nguyên tắc của GDPR. 

- Phải cung cấp cho chủ thể dữ liệu phương tiện để kiểm soát dữ liệu cá nhân của mình. Các hoạt động xử lý dữ liệu cá nhân phải minh bạch và thông báo rõ ràng. 

- Phải chịu trách nhiệm về việc chia sẻ dữ liệu cá nhân cho tổ chức khác. Trong trường hợp để sảy ra rủi ro về lộ, lọt thông tin cá nhân phải hoàn toàn chịu trách nhiệm. 

- Phải chỉ định cán bộ chuyên trách bảo vệ dữ liệu. Sự cố vi phạm thông tin cá nhân phải được báo cáo trong vòng 72 giờ và phải thực hiện các bước để giảm thiểu rủi ro.

Về hình phạt cho các tổ chức nếu không tuân thủ

Hình phạt cho tổ chức không tuân thủ GDPR lên đến 10 triệu EUR hoặc 2% doanh thu toàn cầu của năm trước đó tùy trường hợp nào cao hơn.

Trường hợp không tuân thủ yêu cầu của các cơ quan có thẩm quyền hoặc các trường hợp vi phạm nghiêm trọng có thể lên đến 20 triệu EUR hoặc 4% doanh thu toàn cầu của năm trước đó.

Những điểm quan trọng của Luật GDPR - Ảnh 3.

Ảnh: blog.ariacybersecurity.com/

Một số điểm đáng lưu ý thêm

GDPR điều chỉnh tất cả các DN, tổ chức đăng ký kinh doanh tại EU, hoạt động tại EU hoặc có khách hàng, người sử dụng là công dân EU. Vì vậy, một số DN Việt Nam có kinh doanh tại EU, có khách hàng là công dân EU đều chịu tác động,… Đối tượng tác động chính là các DN có ứng dụng CNTT và hoạt động trên Internet.

GDPR có ảnh hưởng tới việc xây dựng luật của nhiều nước [1]. Cụ thể, Luật quyền riềng tư của người tiêu dùng tại California, Mỹ có nhiều yếu tố tương đồng với GDPR; Luật quyền riêng tư của NewYork, Mỹ được đánh giá còn chặt hơn GDPR; Brazil đang xây dựng LGPD như là một bản sao của GDPR; Úc đang xem xét Luật quyền riêng tư cũng có một số điểm tương tự GDPR. Thái Lan đã thông qua Luật dữ liệu cá nhân (PDPA) năm 2019 tương tự GDPR; Ấn Độ cũng đưa ra quốc hội dự Luật bảo vệ cá nhân PDPB được mô phỏng theo GDPR…

Như vậy, tinh thần của GDPR ngày càng lan rộng và phạm vi tác động sẽ càng lớn dần. GDPR được tuyên truyền rộng rãi trên mạng Internet, các nền tảng lớn. Do đó, điều này cũng gián tiếp nâng cao nhận thức về bảo vệ dữ liệu cá nhân.

GDPR được coi là nguồn tham khảo để xây dựng môi trường pháp lý liên quan đến bảo vệ dữ liệu cá nhân.

Tài liệu tham khảo:

[1].https://insights.comforte.com/12-countries-with-gdpr-like-data-privacy-laws#:~:text=The%20PDPA%20is%20similar%20to,harsh%20penalties%20for%20non%2Dcompliance.

[2]. http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679

[3]. https://gdpr-info.eu/



Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Chìa khóa giải quyết thách thức trong bảo vệ trẻ em trên không gian mạng
    Trẻ em - đối tượng dễ bị tổn thương nhất, đang phải đối mặt với nhiều nguy cơ. Đây không chỉ là bài toán của riêng Việt Nam mà còn là thách thức toàn cầu đòi hỏi sự chung tay hợp tác từ nhiều phía.
  • Việt Nam đang đối mặt 3 thách thức an toàn thông tin
    Các cuộc tấn công mạng hiện nay ngày càng tinh vi và phức tạp hơn, đặc biệt khi có sự hỗ trợ của trí tuệ nhân tạo. Tuy nhiên, việc kết hợp công nghệ này với trí tuệ của con người đã giúp phát hiện và phòng, chống tấn công mạng hiệu quả hơn.
  • Bốn giải pháp trọng tâm để giải bài toán an toàn dữ liệu quốc gia
    Theo Thứ trưởng Bộ TT&TT Bùi Hoàng Phương, năm 2024 đánh dấu bước tiến vượt bậc của Việt Nam trong lĩnh vực an toàn thông tin. Tuy nhiên, còn rất nhiều thách thức cần vượt qua để đảm bảo an toàn dữ liệu quốc gia.
  • Robot Delta hữu dụng trong nhiều ngành
    Nhờ vào thiết kế độc đáo và khả năng hoạt động với tốc độ và độ chính xác cao, robot Delta là một giải pháp tối ưu trong nhiều ngành công nghiệp hiện đại.
  • Cà Mau ứng dụng các phần mềm chuyển đổi số trong ngành nông nghiệp
    Ngành nông nghiệp tỉnh Cà Mau đã không ngừng triển khai các giải pháp chuyển đổi số thông qua việc sử dụng các phần mềm, xây dựng cơ sở dữ liệu chuyên ngành phục vụ quản lý, điều hành. Trong tương lai không xa, các phần mềm này sẽ hoàn thiện và bắt kịp xu hướng công nghệ để hỗ trợ người nông dân nhiều hơn trong việc tăng gia sản xuất.
  • Chính thức ra mắt Nền tảng hỗ trợ diễn tập thực chiến an toàn thông tin
    Nền tảng hướng tới nâng cao chất lượng và điều phối hiệu quả các hoạt động diễn tập trên toàn quốc thông qua nền tảng hỗ trợ diễn tập thực chiến an toàn thông tin.
  • Bảo vệ các hệ thống mạng trọng yếu là cấp thiết
    Song song với tiến trình chuyển đổi số, các chiến dịch tấn công mạng, gián điệp và khủng bố mạng nhằm vào hệ thống công nghệ thông tin (IT) và công nghệ vận hành (OT) trọng yếu ngày càng gia tăng, việc đảm bảo an ninh mạng trở thành ưu tiên hàng đầu của các quốc gia.
  • ‏OPPO Find X8 Series sẽ chính thức lên kệ ngày 7/12‏
    Ngày 21/11, OPPO chính thức ra mắt Find X8 Series‏‏ tại Việt Nam và sẽ lên kệ ngày 7/12 tới. Đây là lần đầu tiên người dùng Việt Nam được trải nghiệm dòng flagship cao cấp nhất của OPPO cùng lúc với toàn cầu. ‏
  • Chuyển đổi số từ thực tiễn Báo Hải Dương
    Báo Hải Dương có nhiều thuận lợi khi thực hiện chuyển đổi số. Đó là Ban Biên tập có quyết tâm cao. Đội ngũ cán bộ, phóng viên, nhân viên của báo nhanh nhạy với cái mới, ham học hỏi...
  • Đưa siêu ứng dụng "Công dân Thủ đô số - iHanoi" vào cuộc sống
    “Công dân Thủ đô số” - iHaNoi là kênh tương tác trực tuyến trên môi trường số giữa người dân, doanh nghiệp với các cấp chính quyền thành phố Hà Nội. Qua ứng dụng này, người dân và doanh nghiệp có thể phản ánh các vấn đề đời sống, từ đó giúp chính quyền tiếp nhận và giải quyết kịp thời.
Những điểm quan trọng của Luật GDPR
POWERED BY ONECMS - A PRODUCT OF NEKO