Trách nhiệm của bộ điều khiển dữ liệu

Quy định bảo vệ dữ liệu chung tăng cường quyền dữ liệu của cư dân EU và hài hòa pháp luật bảo vệ dữ liệu trên tất cả các quốc gia thành viên, làm cho nó trở nên tương đồng.

Đối với các tổ chức thu thập và sử dụng dữ liệu của mọi người, mọi thứ đã thay đổi vào ngày 25 tháng 5 năm 2018 khi Quy định bảo vệ dữ liệu chung của EU có hiệu lực.

Nhiều tổ chức điều hành mô hình kinh doanh dựa vào việc thu thập dữ liệu cá nhân của người dùng và theo các quy định mới, các loại hình kinh doanh này là các bộ điều khiển dữ liệu (data controllers). Theo các quy định mới, tổ chức của bạn có thể được coi là bộ điều khiển dữ liệu hoặc bộ xử lý dữ liệu (data processor).

Bộ điều khiển dữ liệu phải nêu rõ cách thức và lý do dữ liệu được xử lý và chúng có thể tự xử lý, hoặc có thể thuê ngoài bộ xử lý dữ liệu, và điều này phải được lưu giữ hồ sơ dữ liệu cá nhân và cách xử lý dữ liệu.

Một phần của quy định mới này là việc cung cấp sự rõ ràng và trách nhiệm khi xảy ra vấn đề vi phạm dữ liệu. Theo Quy định bảo vệ dữ liệu chung, bộ điều khiển không chỉ chịu trách nhiệm về vấn đề vi phạm dữ liệu, mà đồng thời họ cũng phải kiểm tra liệu bộ xử lý có tuân thủ pháp luật hay không. Ngay cả khi bộ xử lý chịu trách nhiệm về việc vi phạm, bộ điều khiển vẫn phải chịu trách nhiệm.

Khi việc thực hành xử lý dữ liệu gia tăng nhanh chóng trên toàn cầu, theo đó, các mối đe dọa về vi phạm dữ liệu cũng gia tăng, và việc này đã đặt trách nhiệm lớn hơn lên bộ điều khiển dữ liệu.

Dưới đây chúng tôi đã biên soạn một danh sách các trách nhiệm của bộ điều khiển theo Quy định bảo vệ dữ liệu chung.

Đảm bảo dữ liệu được thu thập một cách hợp pháp

Có bảy biện minh khác nhau để thu thập dữ liệu theo Quy định bảo vệ dữ liệu chung và các bộ điều khiển phải quyết định xem sự biện minh nào phù hợp nhất với mình. Sự đồng ý của người dùng là sự biện minh hàng đầu, nhưng họ cũng có thể dễ dàng rút lại sự đồng ý của họ. Điều này làm cho các lựa chọn thay thế trở nên hấp dẫn: khi sự xử lý là điều cần thiết để có thể thực hiện hợp đồng, là sự cần thiết về mặt pháp lý, là sự cần thiết để bảo vệ "lợi ích quan trọng" của người dùng, vì lợi ích công cộng, là sự cần thiết cho bộ điều khiển - hoặc lợi ích hợp pháp của bên thứ ba.

Bộ điều khiển cũng phải cho người dùng biết những gì họ đang thu thập từ dữ liệu của họ và bộ điều khiển đang làm gì với dữ liệu đó.

Cho phép mọi người truy cập dữ liệu của họ, di chuyển dữ liệu của họ, thay đổi dữ liệu của họ và xóa dữ liệu của họ

Điều này có nghĩa là các bộ điều khiển phải cho phép mọi người cập nhật thông tin của họ và chuyển nó đến một nhà cung cấp dịch vụ khác nếu họ lựa chọn. Công dân có thể yêu cầu một bản sao dữ liệu của họ, mà phải được cung cấp miễn phí và trong vòng một tháng kể từ ngày yêu cầu.

Yêu cầu sửa dữ liệu phải được hoàn thành trong vòng một tháng, hoặc hai tháng nếu yêu cầu phức tạp.

Quy định bảo vệ dữ liệu chung cho phép mọi người yêu cầu dữ liệu của họ phải được xóa nếu dữ liệu đó không còn liên quan hoặc nếu họ không còn đồng ý việc xử lý dữ liệu nữa (trong số các lý do khác). Nhưng các bộ điều khiển có thể tiếp tục xử lý vì các lý do khác, kể cả nếu chúng có nghĩa vụ pháp lý, hoặc liên quan đến sức khỏe và lợi ích công cộng, hoặc liên quan đến việc thúc đẩy hoặc bảo vệ các khiếu nại pháp lý.

Dữ liệu cá nhân cũng phải được lưu trữ ở định dạng có thể đọc được (như tệp CSV).

Bộ điều khiển dữ liệu phải đảm bảo chúng tuân thủ hầu hết mọi khía cạnh của Quy định bảo vệ dữ liệu chung.