Những điểm quan trọng của Luật GDPR

PV| 13/04/2021 16:10
Theo dõi ICTVietnam trên

GDPR (General Data Protection Regulation) là luật của Liên minh Châu Âu (EU) quy định về xử lý dữ liệu cá nhân. GDPR được xem như là một cuộc cách mạng về bảo vệ dữ liệu cá nhân.

Các cơ quan, tổ chức có các hoạt động xử lý dữ liệu cá nhân (kể cả tự động bằng máy) như thu thập, ghi lại, cấu trúc, tổ chức, sử dụng, lưu trữ, sửa đổi, chia sẻ, tiết lộ, xóa và hủy dữ liệu cá nhân phải chịu sự ràng buộc của Luật.

Trước đây, các quy định về bảo vệ thông tin cá nhân không thống nhất giữa các nước EU. Trải qua quá trình làm luật gần 10 năm, bắt đầu từ năm 2009, đến 25/5/2018, GDPR mới được chính thức áp dụng thống nhất trên toàn EU. GDPR được coi là một bộ quy tắc mới, nhằm cung cấp cho công dân EU quyền kiểm soát nhiều hơn đối với dữ liệu cá nhân.

Những điểm quan trọng của Luật GDPR - Ảnh 1.

Theo các điều khoản của GDPR, không chỉ các tổ chức phải đảm bảo dữ liệu cá nhân được thu thập hợp pháp và trong các điều kiện nghiêm ngặt, mà tất cả những bên thu thập và quản lý dữ liệu có nghĩa vụ bảo vệ dữ liệu khỏi việc bị lạm dụng và khai thác, cũng như tôn trọng quyền của chủ sở hữu dữ liệu.

GDPR có những quy tắc rất chặt chẽ, quyền chủ thể dữ liệu cá nhân rất lớn và hình phạt rất nặng nếu vi phạm các quy định của GDPR. Vi phạm dữ liệu cá nhân phải được báo cáo trong vòng 72 giờ. Nếu dữ liệu cá nhân bị tiết lộ, bị truy cập, thay đổi hoặc bị đánh cắp yêu cầu phải hành động ngay.

Trong trường hợp mất dữ liệu nhạy cảm như dữ liệu sức khỏe hoặc tài chính, sự cố phải được báo cáo với cơ quan có thẩm quyền và từng cá nhân bị ảnh hưởng trong vòng 72 giờ.

Những điểm quan trọng của GDPR

7 nguyên tắc then chốt về xử lý dữ liệu cá nhân

Xuyên suốt GDPR là 7 nguyên tắc then chốt thể hiện các nội dung chính của GDPR:

- Hợp pháp, công bằng và minh bạch khi xử lý dữ liệu cá nhân. 

- Giới hạn mục đích sử dụng: khi thu thập phải xác định rõ mục đích và chỉ sử dụng cho mục đích đó (trừ trường hợp ngoại lệ: mục đích làm lợi cho công cộng, nghiên cứu khoa học, lưu trữ lịch sử và sử dụng cho thống kê). 

- Dữ liệu tối thiểu: chỉ thu thập dữ liệu tối thiểu và cần thiết nhất cho mục đích được xác định ban đầu. Do vậy, không thu thập, khai thác thông tin để dự phòng hoặc không xác định trước mục đích. 

- Độ chính xác: mọi dữ liệu phải chính xác và cập nhật trong tất cả các bước xử lý.  

- Giới hạn thời gian lưu trữ: không được lưu trữ dữ liệu quá thời gian cần thiết theo mục đích sử dụng đã xác định (trừ trường hợp ngoại lệ trên). 

- Toàn vẹn và bảo mật: phải đảm bảo tính bảo mật và sử dụng các biện pháp thích hợp.

- Trách nhiệm giải trình: Người kiểm soát, xử lý phải chịu trách nhiệm và chứng minh sự tuân thủ quy định.

Ngoài ra, GDPR cũng quy định "quyền được lãng quên" - cụ thể là quyền xóa dữ liệu cho những người muốn xóa dữ liệu cá nhân của họ khi không còn căn cứ để lưu giữ dữ liệu đó.

Những điểm quan trọng của Luật GDPR - Ảnh 2.

Ảnh: blogspot.com

Quyền kiểm soát dữ liệu cá nhân của chủ thể dữ liệu

Trong GDPR, chủ thể dữ liệu cá nhân có quyền kiểm soát toàn diện đối với dữ liệu cá nhân. Cụ thể:

- Quyền được thông báo về dữ liệu cá nhân khi có sự kiện xử lý liên quan. Khi có sự kiện liên quan như sử dụng, chia sẻ, lộ lọt dữ liệu cá nhân thì tổ chức, doanh nghiệp (DN) lưu trữ dữ liệu phải thông báo cho chủ thể dữ liệu cá nhân đó biết. 

- Quyền được truy cập dữ liệu cá nhân. Tổ chức, DN lưu trữ dữ liệu phải cung cấp biện pháp để chủ thể dữ liệu cá nhân tra cứu, truy cập dữ liệu của cá nhân mình. 

- Quyền được sửa đổi, quyền được xóa dữ liệu đang lưu trữ bởi các cơ quan, tổ chức. Tổ chức, DN phải cho phép chủ thể dữ liệu cá nhân sửa đổi, xóa dữ liệu do tổ chức, DN lưu trữ. Dữ liệu chỉ được chia sẻ khi chủ thể dữ liệu cá nhân đồng ý; và chủ thể dữ liệu cá nhân có thể rút lại sự đồng ý trước đó. Các thông báo về về quyền của chủ thể dữ liệu cá nhân phải rõ ràng, trong sáng. 

 - Quyền chia sẻ dữ liệu cá nhân của mình từ tổ chức này sang tổ chức khác. Quyền phản đối một tổ chức xử lý dữ liệu cá nhân của mình. Tổ chức, DN phải dừng việc xử lý dữ liệu cá nhân nếu chủ thể dữ liệu cá nhân đó phản đối. 

- Quyền hạn chế việc chia sẻ, xử lý dữ liệu cá nhân.

Trách nhiệm của các cơ quan, tổ chức, DN quản lý, xử lý dữ liệu cá nhân

Các tổ chức, DN phải tuân thủ GDPR, nếu không sẽ bị áp các hình phạt mạnh:

- Phải tôn trọng quyền cá nhân và thực hiện theo các nguyên tắc của GDPR. 

- Phải cung cấp cho chủ thể dữ liệu phương tiện để kiểm soát dữ liệu cá nhân của mình. Các hoạt động xử lý dữ liệu cá nhân phải minh bạch và thông báo rõ ràng. 

- Phải chịu trách nhiệm về việc chia sẻ dữ liệu cá nhân cho tổ chức khác. Trong trường hợp để sảy ra rủi ro về lộ, lọt thông tin cá nhân phải hoàn toàn chịu trách nhiệm. 

- Phải chỉ định cán bộ chuyên trách bảo vệ dữ liệu. Sự cố vi phạm thông tin cá nhân phải được báo cáo trong vòng 72 giờ và phải thực hiện các bước để giảm thiểu rủi ro.

Về hình phạt cho các tổ chức nếu không tuân thủ

Hình phạt cho tổ chức không tuân thủ GDPR lên đến 10 triệu EUR hoặc 2% doanh thu toàn cầu của năm trước đó tùy trường hợp nào cao hơn.

Trường hợp không tuân thủ yêu cầu của các cơ quan có thẩm quyền hoặc các trường hợp vi phạm nghiêm trọng có thể lên đến 20 triệu EUR hoặc 4% doanh thu toàn cầu của năm trước đó.

Những điểm quan trọng của Luật GDPR - Ảnh 3.

Ảnh: blog.ariacybersecurity.com/

Một số điểm đáng lưu ý thêm

GDPR điều chỉnh tất cả các DN, tổ chức đăng ký kinh doanh tại EU, hoạt động tại EU hoặc có khách hàng, người sử dụng là công dân EU. Vì vậy, một số DN Việt Nam có kinh doanh tại EU, có khách hàng là công dân EU đều chịu tác động,… Đối tượng tác động chính là các DN có ứng dụng CNTT và hoạt động trên Internet.

GDPR có ảnh hưởng tới việc xây dựng luật của nhiều nước [1]. Cụ thể, Luật quyền riềng tư của người tiêu dùng tại California, Mỹ có nhiều yếu tố tương đồng với GDPR; Luật quyền riêng tư của NewYork, Mỹ được đánh giá còn chặt hơn GDPR; Brazil đang xây dựng LGPD như là một bản sao của GDPR; Úc đang xem xét Luật quyền riêng tư cũng có một số điểm tương tự GDPR. Thái Lan đã thông qua Luật dữ liệu cá nhân (PDPA) năm 2019 tương tự GDPR; Ấn Độ cũng đưa ra quốc hội dự Luật bảo vệ cá nhân PDPB được mô phỏng theo GDPR…

Như vậy, tinh thần của GDPR ngày càng lan rộng và phạm vi tác động sẽ càng lớn dần. GDPR được tuyên truyền rộng rãi trên mạng Internet, các nền tảng lớn. Do đó, điều này cũng gián tiếp nâng cao nhận thức về bảo vệ dữ liệu cá nhân.

GDPR được coi là nguồn tham khảo để xây dựng môi trường pháp lý liên quan đến bảo vệ dữ liệu cá nhân.

Tài liệu tham khảo:

[1].https://insights.comforte.com/12-countries-with-gdpr-like-data-privacy-laws#:~:text=The%20PDPA%20is%20similar%20to,harsh%20penalties%20for%20non%2Dcompliance.

[2]. http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679

[3]. https://gdpr-info.eu/



Nổi bật Tạp chí Thông tin & Truyền thông
  • Xuất bản Việt Nam cần đẩy mạnh ứng dụng khoa học công nghệ để sớm trở thành công nghiệp xuất bản
    Ngành xuất bản Việt Nam đang trải qua quá trình chuyển đổi mạnh mẽ để thích ứng với sự phát triển của khoa học công nghệ. Trong bối cảnh toàn cầu hóa và cuộc Cách mạng công nghiệp 4.0, việc ứng dụng công nghệ hiện đại không chỉ là xu hướng mà còn là yêu cầu cấp thiết giúp ngành xuất bản phát triển bền vững và tiệm cận với mô hình công nghiệp xuất bản hiện đại.
  • Báo chí trong bối cảnh bùng nổ mạng xã hội và chuyển đổi số
    Báo chí là một trong những loại hình phương tiện truyền thông đại chúng hiện đại. Các tác phẩm, sản phẩm báo chí luôn phải mang đến công chúng những giá trị thông tin thời sự, chân thật, khách quan về các sự kiện, vấn đề diễn ra trong đời sống xã hội. Dù trong bối cảnh phát triển nào thì các loại hình báo chí vẫn đóng vai trò quan trọng là phương tiện truyền thông chủ lực, thiết yếu dẫn dắt, định hướng dư luận xã hội.
  • Duy trì cam kết với cổ đông, VPBank năm thứ 3 liên tiếp trả cổ tức tiền mặt
    Năm thứ 3 liên tiếp, VPBank dự kiến duy trì chính sách cổ tức tiền mặt, thể hiện năng lực tài chính vững mạnh, chiến lược tăng trưởng hợp lý và cam kết mang lại lợi ích lớn nhất cho cổ đông.
  • Cảnh báo lợi dụng hình thức "xe ôm công nghệ" để lừa đảo
    Công an thành phố Hà Nội cho biết thời gian qua, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Công an thành phố đã xử lý nhiều vụ việc liên quan đến hành vi chiếm đoạt tài sản của khách hàng do các đối tác tài xế xe công nghệ thực hiện.
  • Chuyển đổi số - liều vắc-xin hiệu quả
    Trong thời cách mạng công nghiệp 4.0, chuyển đổi số được kỳ vọng là chiếc "đũa thần" giải quyết bài toán tăng trưởng chậm và năng suất thấp. Ở nhiều quốc gia, đó cũng là công cụ quan trọng để xử lý tình trạng lãng phí nguồn lực - căn bệnh kinh niên của khu vực công.
Đừng bỏ lỡ
Những điểm quan trọng của Luật GDPR
POWERED BY ONECMS - A PRODUCT OF NEKO