Những điểm quan trọng của Luật GDPR

PV| 13/04/2021 16:10
Theo dõi ICTVietnam trên

GDPR (General Data Protection Regulation) là luật của Liên minh Châu Âu (EU) quy định về xử lý dữ liệu cá nhân. GDPR được xem như là một cuộc cách mạng về bảo vệ dữ liệu cá nhân.

Các cơ quan, tổ chức có các hoạt động xử lý dữ liệu cá nhân (kể cả tự động bằng máy) như thu thập, ghi lại, cấu trúc, tổ chức, sử dụng, lưu trữ, sửa đổi, chia sẻ, tiết lộ, xóa và hủy dữ liệu cá nhân phải chịu sự ràng buộc của Luật.

Trước đây, các quy định về bảo vệ thông tin cá nhân không thống nhất giữa các nước EU. Trải qua quá trình làm luật gần 10 năm, bắt đầu từ năm 2009, đến 25/5/2018, GDPR mới được chính thức áp dụng thống nhất trên toàn EU. GDPR được coi là một bộ quy tắc mới, nhằm cung cấp cho công dân EU quyền kiểm soát nhiều hơn đối với dữ liệu cá nhân.

Những điểm quan trọng của Luật GDPR - Ảnh 1.

Theo các điều khoản của GDPR, không chỉ các tổ chức phải đảm bảo dữ liệu cá nhân được thu thập hợp pháp và trong các điều kiện nghiêm ngặt, mà tất cả những bên thu thập và quản lý dữ liệu có nghĩa vụ bảo vệ dữ liệu khỏi việc bị lạm dụng và khai thác, cũng như tôn trọng quyền của chủ sở hữu dữ liệu.

GDPR có những quy tắc rất chặt chẽ, quyền chủ thể dữ liệu cá nhân rất lớn và hình phạt rất nặng nếu vi phạm các quy định của GDPR. Vi phạm dữ liệu cá nhân phải được báo cáo trong vòng 72 giờ. Nếu dữ liệu cá nhân bị tiết lộ, bị truy cập, thay đổi hoặc bị đánh cắp yêu cầu phải hành động ngay.

Trong trường hợp mất dữ liệu nhạy cảm như dữ liệu sức khỏe hoặc tài chính, sự cố phải được báo cáo với cơ quan có thẩm quyền và từng cá nhân bị ảnh hưởng trong vòng 72 giờ.

Những điểm quan trọng của GDPR

7 nguyên tắc then chốt về xử lý dữ liệu cá nhân

Xuyên suốt GDPR là 7 nguyên tắc then chốt thể hiện các nội dung chính của GDPR:

- Hợp pháp, công bằng và minh bạch khi xử lý dữ liệu cá nhân. 

- Giới hạn mục đích sử dụng: khi thu thập phải xác định rõ mục đích và chỉ sử dụng cho mục đích đó (trừ trường hợp ngoại lệ: mục đích làm lợi cho công cộng, nghiên cứu khoa học, lưu trữ lịch sử và sử dụng cho thống kê). 

- Dữ liệu tối thiểu: chỉ thu thập dữ liệu tối thiểu và cần thiết nhất cho mục đích được xác định ban đầu. Do vậy, không thu thập, khai thác thông tin để dự phòng hoặc không xác định trước mục đích. 

- Độ chính xác: mọi dữ liệu phải chính xác và cập nhật trong tất cả các bước xử lý.  

- Giới hạn thời gian lưu trữ: không được lưu trữ dữ liệu quá thời gian cần thiết theo mục đích sử dụng đã xác định (trừ trường hợp ngoại lệ trên). 

- Toàn vẹn và bảo mật: phải đảm bảo tính bảo mật và sử dụng các biện pháp thích hợp.

- Trách nhiệm giải trình: Người kiểm soát, xử lý phải chịu trách nhiệm và chứng minh sự tuân thủ quy định.

Ngoài ra, GDPR cũng quy định "quyền được lãng quên" - cụ thể là quyền xóa dữ liệu cho những người muốn xóa dữ liệu cá nhân của họ khi không còn căn cứ để lưu giữ dữ liệu đó.

Những điểm quan trọng của Luật GDPR - Ảnh 2.

Ảnh: blogspot.com

Quyền kiểm soát dữ liệu cá nhân của chủ thể dữ liệu

Trong GDPR, chủ thể dữ liệu cá nhân có quyền kiểm soát toàn diện đối với dữ liệu cá nhân. Cụ thể:

- Quyền được thông báo về dữ liệu cá nhân khi có sự kiện xử lý liên quan. Khi có sự kiện liên quan như sử dụng, chia sẻ, lộ lọt dữ liệu cá nhân thì tổ chức, doanh nghiệp (DN) lưu trữ dữ liệu phải thông báo cho chủ thể dữ liệu cá nhân đó biết. 

- Quyền được truy cập dữ liệu cá nhân. Tổ chức, DN lưu trữ dữ liệu phải cung cấp biện pháp để chủ thể dữ liệu cá nhân tra cứu, truy cập dữ liệu của cá nhân mình. 

- Quyền được sửa đổi, quyền được xóa dữ liệu đang lưu trữ bởi các cơ quan, tổ chức. Tổ chức, DN phải cho phép chủ thể dữ liệu cá nhân sửa đổi, xóa dữ liệu do tổ chức, DN lưu trữ. Dữ liệu chỉ được chia sẻ khi chủ thể dữ liệu cá nhân đồng ý; và chủ thể dữ liệu cá nhân có thể rút lại sự đồng ý trước đó. Các thông báo về về quyền của chủ thể dữ liệu cá nhân phải rõ ràng, trong sáng. 

 - Quyền chia sẻ dữ liệu cá nhân của mình từ tổ chức này sang tổ chức khác. Quyền phản đối một tổ chức xử lý dữ liệu cá nhân của mình. Tổ chức, DN phải dừng việc xử lý dữ liệu cá nhân nếu chủ thể dữ liệu cá nhân đó phản đối. 

- Quyền hạn chế việc chia sẻ, xử lý dữ liệu cá nhân.

Trách nhiệm của các cơ quan, tổ chức, DN quản lý, xử lý dữ liệu cá nhân

Các tổ chức, DN phải tuân thủ GDPR, nếu không sẽ bị áp các hình phạt mạnh:

- Phải tôn trọng quyền cá nhân và thực hiện theo các nguyên tắc của GDPR. 

- Phải cung cấp cho chủ thể dữ liệu phương tiện để kiểm soát dữ liệu cá nhân của mình. Các hoạt động xử lý dữ liệu cá nhân phải minh bạch và thông báo rõ ràng. 

- Phải chịu trách nhiệm về việc chia sẻ dữ liệu cá nhân cho tổ chức khác. Trong trường hợp để sảy ra rủi ro về lộ, lọt thông tin cá nhân phải hoàn toàn chịu trách nhiệm. 

- Phải chỉ định cán bộ chuyên trách bảo vệ dữ liệu. Sự cố vi phạm thông tin cá nhân phải được báo cáo trong vòng 72 giờ và phải thực hiện các bước để giảm thiểu rủi ro.

Về hình phạt cho các tổ chức nếu không tuân thủ

Hình phạt cho tổ chức không tuân thủ GDPR lên đến 10 triệu EUR hoặc 2% doanh thu toàn cầu của năm trước đó tùy trường hợp nào cao hơn.

Trường hợp không tuân thủ yêu cầu của các cơ quan có thẩm quyền hoặc các trường hợp vi phạm nghiêm trọng có thể lên đến 20 triệu EUR hoặc 4% doanh thu toàn cầu của năm trước đó.

Những điểm quan trọng của Luật GDPR - Ảnh 3.

Ảnh: blog.ariacybersecurity.com/

Một số điểm đáng lưu ý thêm

GDPR điều chỉnh tất cả các DN, tổ chức đăng ký kinh doanh tại EU, hoạt động tại EU hoặc có khách hàng, người sử dụng là công dân EU. Vì vậy, một số DN Việt Nam có kinh doanh tại EU, có khách hàng là công dân EU đều chịu tác động,… Đối tượng tác động chính là các DN có ứng dụng CNTT và hoạt động trên Internet.

GDPR có ảnh hưởng tới việc xây dựng luật của nhiều nước [1]. Cụ thể, Luật quyền riềng tư của người tiêu dùng tại California, Mỹ có nhiều yếu tố tương đồng với GDPR; Luật quyền riêng tư của NewYork, Mỹ được đánh giá còn chặt hơn GDPR; Brazil đang xây dựng LGPD như là một bản sao của GDPR; Úc đang xem xét Luật quyền riêng tư cũng có một số điểm tương tự GDPR. Thái Lan đã thông qua Luật dữ liệu cá nhân (PDPA) năm 2019 tương tự GDPR; Ấn Độ cũng đưa ra quốc hội dự Luật bảo vệ cá nhân PDPB được mô phỏng theo GDPR…

Như vậy, tinh thần của GDPR ngày càng lan rộng và phạm vi tác động sẽ càng lớn dần. GDPR được tuyên truyền rộng rãi trên mạng Internet, các nền tảng lớn. Do đó, điều này cũng gián tiếp nâng cao nhận thức về bảo vệ dữ liệu cá nhân.

GDPR được coi là nguồn tham khảo để xây dựng môi trường pháp lý liên quan đến bảo vệ dữ liệu cá nhân.

Tài liệu tham khảo:

[1].https://insights.comforte.com/12-countries-with-gdpr-like-data-privacy-laws#:~:text=The%20PDPA%20is%20similar%20to,harsh%20penalties%20for%20non%2Dcompliance.

[2]. http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679

[3]. https://gdpr-info.eu/



Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Nền tảng số Việt Nam hiện diện trên bản đồ AI thế giới
    Nền tảng nhận diện hình ảnh bằng trí tuệ nhân tạo VNPT SmartVision giành thắng lợi toàn diện tại đấu trường AI City Challenge 2024, uy tín thế giới và qua đây khẳng định mạnh mẽ cho trí tuệ Việt Nam đang vươn tầm thế giới.
  • Nhiều ĐH tuyển sinh ngành Vi mạch bán dẫn năm 2024, lương SV ra trường gần 220 triệu đồng/năm sau thuế
    Đứng trước những tiềm năng nghề nghiệp rộng mở của ngành công nghiệp bán dẫn, các ngành và chuyên ngành liên quan đang nhận được rất nhiều sự quan tâm của nhiều thí sinh và phụ huynh.
  • 7 bài học rút ra từ sự cố CrowdStrike
    Sự cố CrowdStrike xảy ra mới đây là một lời cảnh tỉnh cho các công ty, chính phủ và ngành công nghệ. Và các đội ngũ CNTT có thể học được điều gì từ thảm họa cập nhật phần mềm đã gây chấn động này?
  • Người dùng có thể đo tốc độ truy cập Internet Việt Nam tự động
    Hệ thống đo tốc độ truy cập Internet Việt Nam i-Speed vừa được nâng cấp, bao gồm: nâng cấp phiên bản mới (phiên bản 4.0, bản dành cho hệ điều hành Android) cho ứng dụng i-Speed và nâng cấp hệ thống thống kê, chia sẻ, cung cấp số liệu đánh giá tốc độ truy cập Internet Việt Nam.
  • Lưu trữ: người hùng thầm lặng của việc triển khai AI
    Nhiều doanh nghiệp (DN) chỉ tập trung vào sức mạnh tính toán và mạng khi triển khai các dự án trí tuệ nhân tạo (AI). Nhưng họ có thể đang bỏ qua bức tranh toàn cảnh về nhu cầu lưu trữ lớn của mình.
  • Lỗ hổng bảo mật của SAP đặt ra câu hỏi về sự vội vàng trong AI
    Công ty bảo mật đám mây Wiz đã công bố một báo cáo chi tiết về các lỗ hổng bảo mật của SAP, hiện đã được vá, đặt ra những câu hỏi đáng báo động về vai trò thứ yếu của trí tuệ nhân tạo (AI) trong phòng thủ an ninh mạng.
  • Tình cảm đặc biệt của Tổng Bí thư Nguyễn Phú Trọng dành cho "quê hương Kinh Bắc - Bắc Ninh"
    Trên cương vị người đứng đầu Đảng ta, Tổng Bí thư Nguyễn Phú Trọng đã 5 lần về thăm, làm việc với Bắc Ninh. Đối với vùng quê Kinh Bắc, Tổng Bí thư luôn dành một tình cảm đặc biệt. Trong nhiều bài phát biểu, nói chuyện, Tổng Bí thư Nguyễn Phú Trọng vẫn nhận mình là người Bắc Ninh. Những ý tứ "Bắc Ninh quê tôi", "Quan họ quê tôi"... cũng được Tổng Bí thư nhắc đến nhiều lần trong bài kết luận sâu sắc tại Hội nghị Văn hóa toàn quốc năm 2021.
  • Cha mẹ hiểu biết để bảo vệ trẻ em trên không gian mạng
    Các chủ đề bảo mật, an toàn mạng trên quy mô toàn cầu là một phần công việc và dịch vụ hàng ngày mà các công ty viễn thông cung cấp cho người dùng. Mặc dù Internet đại diện cho một nguồn khả năng vô tận, nhưng bên cạnh những mặt tích cực, các công nghệ mới cũng ẩn chứa rất nhiều rủi ro nếu chúng được sử dụng một cách liều lĩnh và chúng ta không nhận thức được những rủi ro này. Đó là lý do tại sao phải nâng cao nhận thức cho người dùng, đặc biệt là những người trẻ tuổi nhất biết bảo vệ bản thân trong môi trường ảo.
  • Tổng Bí thư Nguyễn Phú Trọng dành sự quan tâm đặc biệt cho việc xây dựng nền báo chí cách mạng
    Đồng chí Nguyễn Phú Trọng bắt đầu sự nghiệp bằng nghề báo. Ông trải qua các vị trí công tác ở Tạp chí Học tập, nay là Tạp chí Cộng sản từ cán bộ tư liệu, biên tập viên, Trưởng ban, Phó Tổng Biên tập đến Tổng Biên tập. Là một nhà báo, ông còn tham gia giảng dạy, đào tạo đội ngũ người làm báo Việt Nam tại Học viện Báo chí-Tuyên truyền.
  • Cuốn sách giới thiệu tổng quan về tư tưởng và triết lý Phật giáo
    “Tư tưởng Phật Giáo - Một giới thiệu toàn diện về truyền thống Ấn Độ” là cuốn sách đầu tiên mở đầu cho tủ sách về Phật giáo của Omega+, được xuất bản với sự giới thiệu và hợp tác dịch thuật của Dự án Phật học Tinh hoa Thế giới.
Những điểm quan trọng của Luật GDPR
POWERED BY ONECMS - A PRODUCT OF NEKO