GDPR là gì? Tìm hiểu 9 quy định của luật bảo mật thông tin hay dữ liệu và quyền riêng tư

GDPR là gì? Các quy định này có ý nghĩa như thế nào, mức phạt ra sao mà các doanh nghiệp cần phải chú ý đến. Hãy cùng BachkhoaWiki tìm hiểu về vấn đề này nhé. 

GDPR là gì?

GDPR là Quy định bảo vệ dữ liệu chung. Đây là một quy định của luật của liên minh châu Âu (EU) về quyền được bảo vệ dữ liệu và quyền riêng tư cho tất cả các tổ chức, cá nhân hay đối tượng thuộc về hoặc là công dân nằm trong Liên minh châu Âu và Khu vực kinh tế châu Âu.

GDPR của EU có trang web chính thức tại đây

GDPR là gì?

GDPR được biết đến là luật bảo mật thông tin hay dữ liệu và quyền riêng tư khắt khe nhất trên thế giới.

Mức phạt cho các xâm phạm về quyền riêng tư hay vi phạm đến quyền bảo mật thông tin, dữ liệu có thể nhận mức phạt lên đến hàng chục triệu Euro (đơn vị tiền tệ sử dụng trong EU).

Các quy định của GDPR có hiệu lực từ ngày 25 tháng 5 năm 2018. 

GDPR là viết tắt của từ gì?

GDPR là chữ viết tắt của cụm từ General Data Protection Regulation.

GDPR là gì? Tìm hiểu 9 quy định của luật bảo mật thông tin hay dữ liệu và quyền riêng tư

Nguyên nhân ra đời của GDPR là gì?

Quyền riêng tư là một phần của Công ước về Nhân quyền của Châu Âu năm 1950, trong đó quy định:

“Mọi người có quyền tôn trọng cuộc sống riêng tư và gia đình, nhà cửa và điện tín của mình.”

Đây là cơ sở mà EU đã đặt ra các luật đảm bảo điều này. 

Khi Internet ra đời, Liên minh châu Âu đã nhận thấy sự cần thiết của các biện pháp bảo vệ bằng công nghệ hiện đại hơn.

Năm 1995, điều này đã thông qua Chỉ thị bảo vệ dữ liệu, Châu Âu đã thiết lập các tiêu chuẩn bảo mật và quyền riêng tư của dữ liệu tối thiểu.

Theo đó mỗi quốc gia thành viên dựa trên luật thực hiện của riêng mình. 

GDPR là gì?

Năm 2011, một người dùng Google đã kiện công ty này vì đã quét email của cô ấy.

Hai tháng sau đó, cơ quan bảo vệ dữ liệu của Châu Âu tuyên bố rằng Liên minh Châu Âu cần có “một cách tiếp cận toàn diện về bảo vệ dữ liệu cá nhân” và bắt đầu cập nhật và nâng cấp chỉ thị của năm 1995. 

GDPR có hiệu lực vào năm 2016 sau khi được Nghị viện Châu Âu thông qua. Kể từ ngày 25 tháng 5 năm 2018, tất cả tổ chức và cá nhân bị bắt buộc phải tuân thủ các điều luật này.

Các quyền lợi của GDPR là gì?

Với tư cách là một người sử dụng Internet bạn cũng là một chủ thể dữ liệu và GDPR công nhận các quyền riêng tư các dữ liệu đó cho bạn.

Điều này nhằm cung cấp cho các cá nhân quyền kiểm soát nhiều hơn đối với dữ liệu mà họ cho các tổ chức mượn.

Do đó, các tổ chức phải hiểu các quyền này để đảm bảo không vi phạm GDPR.

GDPR là gì?

Dưới đây là tóm tắt về quyền riêng tư của chủ thể dữ liệu:

  • Quyền được thông báo
  • Quyền truy cập
  • Quyền sửa chữa
  • Quyền được xóa
  • Quyền hạn chế xử lý
  • Quyền đối với tính khả chuyển của dữ liệu
  • Quyền phản đối
  • Các quyền liên quan đến việc lập hồ sơ và ra quyết định tự động.

GDPR quy đinh những gì?

Không chỉ là bảo vệ thông tin nhạy cảm khỏi bị rò rỉ, GDPR cũng nói nhiều về quyền riêng tư của dữ liệu.

GDPR là gì?

Dưới đây là những điều doanh nghiệp cần biết về quyền riêng tư của dữ liệu trong GDPR. 

Về bảo mật dữ liệu GDPR: 

  • Điều 12 – Tính minh bạch và thông tin liên lạc: Bạn phải giải thích cách bạn xử lý dữ liệu trong “một biểu mẫu ngắn gọn, minh bạch, dễ hiểu và dễ truy cập, sử dụng ngôn ngữ rõ ràng và đơn giản”

Bạn cũng phải giúp mọi người dễ dàng đưa ra yêu cầu với bạn (ví dụ: quyền xóa yêu cầu, v.v.) và phản hồi những yêu cầu đó một cách nhanh chóng và đầy đủ.

  • Điều 13 & 14 – Khi thu thập dữ liệu cá nhân: Tại thời điểm thu thập dữ liệu cá nhân từ người dùng, bạn cần truyền đạt thông tin cụ thể. Nếu bạn không thu thập thông tin trực tiếp từ người dùng, bạn vẫn phải cung cấp cho họ những thông tin tương tự. 
  • Điều 15 – Quyền tiếp cận: Chủ thể dữ liệu có quyền biết thông tin nhất định về các hoạt động xử lý của bộ điều khiển dữ liệu.

Thông tin này bao gồm nguồn dữ liệu cá nhân của họ, mục đích xử lý và khoảng thời gian dữ liệu sẽ được lưu giữ cùng với các mục khác. Quan trọng nhất, họ có quyền được tiếp cận các dữ liệu cá nhân của họ mà bạn đang xử lý.

  • Điều 16 – Độ chính xác: Tính chính xác của dữ liệu bạn xử lý chỉ là một khía cạnh của quyền riêng tư dữ liệu, nhưng mọi người có quyền sửa dữ liệu cá nhân không chính xác hoặc không đầy đủ mà bạn đang xử lý.
  • Điều 17 – Quyền tẩy xóa: Còn được gọi là “quyền được quên”, chủ thể dữ liệu có quyền yêu cầu bạn xóa bất kỳ thông tin nào về họ mà bạn có. Bạn cần phải làm cho chủ thể dữ liệu gửi quyền yêu cầu xóa một cách đơn giản nhất. 
  • Điều 18 – Quyền hạn chế xử lý: Ngoài việc có thể yêu cầu bạn xóa dữ liệu của thì chủ thể dữ liệu có thể yêu cầu tạm thời thay đổi cách mà bạn đang xử lý dữ liệu của họ (ví dụ như xóa dữ liệu tạm thời khỏi trang web của bạn).

Nếu họ cho rằng thông tin không chính xác, đang được sử dụng bất hợp pháp hoặc không còn nữa cần thiết bởi bộ điều khiển cho các mục đích được yêu cầu. Chủ thể dữ liệu cũng có quyền phản đối việc bạn xử lý dữ liệu của họ. 

  • Điều 20 – Tính khả chuyển của dữ liệu: GDPR có một yêu cầu mới về quyền riêng tư của dữ liệu được gọi là tính khả chuyển của dữ liệu.

Về cơ bản, bạn phải lưu trữ dữ liệu cá nhân của người dùng ở định dạng có thể dễ dàng chia sẻ và hiểu được với người khác.

Hơn nữa, nếu ai đó yêu cầu bạn gửi dữ liệu của họ cho một bên thứ ba được chỉ định thì bạn bắt buộc phải làm điều đó (nếu khả thi về mặt kỹ thuật), ngay cả khi đó là một trong những đối thủ cạnh tranh của bạn.

  • Điều 21 – Quyền phản đối: Chủ thể dữ liệu có quyền phản đối việc bạn xử lý dữ liệu của họ. Bạn chỉ có thể chống đối điều này bằng cách chứng minh cơ sở hợp pháp để sử dụng dữ liệu của họ. 

Lưu ý: Nếu bạn quyết định thực hiện bất kỳ hành động nào liên quan đến Điều 16, 17 hoặc 18, thì Điều 19 yêu cầu bạn thông báo cho chủ thể dữ liệu.

GDPR bảo vệ những loại thông tin riêng tư nào?

Các dữ liệu được GDPR bảo vệ bao gồm: 

  • Tư liệu cá nhân, thông tin riêng tư  
  • Dữ liệu đang được xử lý 
  • Chủ đề của dữ liệu 
  • Thông tin của người điều khiển dữ liệu 
  • Thông tin của bộ xử lý dữ liệu 

Những công ty nào cần thực hiện GDRP?

Vậy đối tượng nào cần thực hiện GDRP? Các công ty dù nhỏ hay lớn có các tính chất như sau: 

  • Công ty hoặc tổ chức xử lý dữ liệu cá nhân như một phần của các hoạt động của một trong các chi nhánh của họ được thành lập ở EU, bất kể dữ liệu được xử lý ở đâu
  • Công ty được thành lập bên ngoài EU và đang cung cấp hàng hóa / dịch vụ (trả phí hoặc miễn phí) hoặc đang theo dõi hành vi của các cá nhân trong EU.

Tuy nhiên, nếu xử lý dữ liệu cá nhân không phải là phần cốt lõi của doanh nghiệp và hoạt động của bạn không tạo ra rủi ro cho các cá nhân, thì một số nghĩa vụ của GDPR sẽ không áp dụng cho bạn.

Ví dụ: bổ nhiệm một nhân viên bảo vệ dữ liệu. 

Lưu ý: “hoạt động cốt lõi” nên bao gồm các hoạt động trong đó việc xử lý dữ liệu tạo thành một phần không thể tách rời trong hoạt động của bộ kiểm soát hoặc bộ xử lý.

GDPR ảnh hưởng như thế nào đến doanh nghiệp?

Bất kỳ công ty nào không tuân theo các tiêu chuẩn của GDPR sẽ phải đối mặt với các khoản phạt nặng, có thể lên đến €20 triệu hoặc 4% doanh thu toàn cầu hàng năm, tùy thuộc vào mức độ nghiêm trọng và hoàn cảnh của vi phạm. 

Nói cách khác, tuân thủ GDPR không phải là tùy chọn.

GDPR là gì?

Làm sao để doanh nghiệp không vi phạm GDRP?

Để không vi phạm các quy định của GDPR, các doanh nghiệp cần phải: 

  • Đảm bảo ai đó trong tổ chức của bạn phải chịu trách nhiệm về việc tuân thủ GDPR.

Người này nên được trao quyền để đánh giá các chính sách bảo vệ dữ liệu và việc thực hiện các chính sách đó.

  • Các tổ chức có nhiều hơn 250 nhân viên hoặc tiến hành xử lý dữ liệu có rủi ro cao hơn được yêu cầu cần phải cập nhật danh sách chi tiết và các hoạt động xử lý.

Các danh sách này luôn sẵn sàng hiển thị cho các cơ quan quản lý khi có yêu cầu. 

  • Trong danh sách dữ liệu, các công ty nên bao gồm: mục đích xử lý, loại dữ liệu đang xử lý, ai có quyền truy cập vào dữ liệu đó trong tổ chức, bất kỳ bên thứ ba nào (và nơi đặt trụ sở của họ) có quyền truy cập, doanh nghiệp bạn đang làm gì bảo vệ dữ liệu (ví dụ: mã hóa) và khi nào bạn định xóa nó.
  • Mọi người có quyền xem doanh nghiệp bạn có dữ liệu cá nhân nào về họ và cách mà chúng đang được sử dụng.

Họ cũng có quyền biết các thông tin đó được dự định lưu trữ trong bao lâu và lý do lưu giữ thông tin trong khoảng thời gian đó. 

  • Doanh nghiệp phải gửi cho họ bản sao đầu tiên của thông tin này miễn phí nhưng có thể tính một khoản phí hợp lý cho các bản sao tiếp theo.

Đảm bảo rằng bạn có thể xác minh danh tính của người yêu cầu dữ liệu. Bạn sẽ có thể tuân thủ các yêu cầu như vậy trong vòng một tháng.

Xem thêm: 

Trên đây là tất cả những thông tin trả lời cho câu hỏi GDPR là gì. Hãy theo dõi BachkhoaWiki để có thể tìm hiểu được các thông tin mới và hữu ích nhé.