GDPR là viết tắt của “General Data Protection Regulation” (Quy định về Bảo vệ Dữ liệu) – một quy định pháp luật của Liên minh châu Âu (EU) liên quan đến việc bảo vệ dữ liệu và quyền riêng tư của cá nhân trong EU và khu vực kinh tế châu Âu (EEA). GDPR cũng giải quyết việc chuyển giao dữ liệu cá nhân ra ngoài EU và EEA.
Những điểm chính về GDPR:
- Mục Đích: GDPR nhằm đảm bảo rằng dữ liệu cá nhân của người dân EU được xử lý một cách minh bạch, an toàn và theo đúng mục đích đã thông báo.
- Áp dụng: GDPR không chỉ áp dụng cho các tổ chức có trụ sở tại EU mà còn cho bất kỳ tổ chức nào xử lý dữ liệu cá nhân của người dân EU, bất kể họ có mặt tại EU hay không.
-
Quyền của Cá nhân:
- Quyền truy cập: Cá nhân có quyền yêu cầu một bản sao của dữ liệu cá nhân mà tổ chức đang xử lý.
Nếu một người dùng yêu cầu Facebook cung cấp tất cả dữ liệu mà họ đã thu thập về người đó. Facebook phải đáp ứng yêu cầu này
- Quyền sửa và xóa: Cá nhân có quyền yêu cầu sửa hoặc xóa dữ liệu của họ khi nó không còn cần thiết
Một người dùng có quyền yêu cầu một trang tin tức xóa bài viết cũ nói về một tội danh mà người đó đã được tuyên bố vô tội.
- Quyền phản đối: Trong một số trường hợp, cá nhân có quyền phản đối việc xử lý dữ liệu cá nhân của họ.
Người dùng có thể phản đối việc một công ty sử dụng dữ liệu của họ cho mục đích tiếp thị trực tiếp.
- Quyền giới hạn xử lý: Cá nhân có thể yêu cầu giới hạn việc xử lý dữ liệu của họ trong một số trường hợp.
Một người không muốn dữ liệu của mình được sử dụng trong một nghiên cứu khoa học có thể yêu cầu giới hạn việc sử dụng dữ liệu đó.
- Quyền chuyển giao dữ liệu: Cá nhân có quyền yêu cầu nhận dữ liệu của họ ở một định dạng có thể đọc được và có thể chuyển nó đến một tổ chức khác.
Một người dùng có thể chuyển dữ liệu sức khỏe từ một ứng dụng theo dõi sức khỏe này sang một ứng dụng khác.
-
Nghĩa vụ của tổ chức:
- Báo cáo vi phạm: Trong trường hợp vi phạm dữ liệu, tổ chức phải báo cáo cho cơ quan giám sát trong vòng 72 giờ.
Năm 2018, sau khi GDPR có hiệu lực, British Airways bị xâm nhập và thông tin của khoảng 500,000 khách hàng bị lộ. Hãng hàng không này đã báo cáo sự cố đúng theo quy định của GDPR.
- Định danh bảo vệ dữ liệu (DPO – Data Protection Officer) : Một số tổ chức phải có một người định danh bảo vệ dữ liệu.
Giả sử một công ty y tế xử lý lượng lớn dữ liệu sức khỏe của bệnh nhân. Theo GDPR, họ có thể cần chỉ định một DPO để đảm bảo rằng việc xử lý dữ liệu diễn ra một cách an toàn, tuân thủ và tránh các rủi ro tiềm ẩn.
- Đánh giá tác động về bảo vệ dữ liệu (DPIA – Data Protection Impact Assessment): Trước khi xử lý dữ liệu, tổ chức có thể cần tiến hành một đánh giá tác động về bảo vệ dữ liệu để giảm thiểu rủi ro liên quan đến việc xử lý dữ liệu cá nhân.
Một thành phố muốn triển khai một hệ thống giám sát video mới trên toàn bộ khu vực trung tâm thành phố. Trước khi thực hiện, họ phải thực hiện một DPIA để đánh giá các rủi ro liên quan đến việc xử lý dữ liệu hình ảnh của người dân và xác định các biện pháp giảm thiểu rủi ro.
- Hình phạt: Các tổ chức vi phạm GDPR có thể bị phạt lên đến 20 triệu Euro hoặc 4% doanh thu toàn cầu, tùy vào số tiền nào lớn hơn.
- Hiệu lực: GDPR đã có hiệu lực từ ngày 25 tháng 5 năm 2018, thay thế cho chỉ thị Bảo vệ dữ liệu trước đó từ năm 1995.
GDPR đã tạo ra một khung pháp lý mới, đặt ra những tiêu chuẩn cao hơn và yêu cầu rõ ràng hơn đối với việc xử lý dữ liệu cá nhân, nhằm đảm bảo quyền riêng tư và bảo vệ dữ liệu của người dân EU.