Những điều bạn cần biết về Quy định bảo vệ dữ liệu chung của EU (GDPR)
Với mỗi ngày trôi qua, các tổ chức lớn tồn tại chủ yếu trên Internet thu thập lượng lớn dữ liệu từ mọi người để bán cho các nhà quảng cáo và các tổ chức khác có thể tận dụng nó để phục vụ cho họ. Cho dù bạn tin rằng điều này là bất chính, sai lầm hay đơn giản là dấu hiệu của thời gian thay đổi, tất cả chúng ta đều đồng ý rằng hiện tượng thu thập dữ liệu đã đạt đến đỉnh cao mà chúng ta chưa từng chứng kiến tại bất kỳ thời điểm nào trong lịch sử.
Điều này đã khiến nhiều người cảm thấy như thể họ đang mất kiểm soát thông tin cá nhân của chính họ, và một số chính phủ đã bắt đầu thảo luận cách họ nên can thiệp để giúp mọi người lấy lại quyền kiểm soát đó. Ví dụ, EU đã thiết lập Quy định bảo vệ dữ liệu chung (GDPR) có hiệu lực vào ngày 25 tháng 5 năm 2018.
GDPR là gì và không
Ủy ban châu Âu đã đấu tranh để giữ cho tất cả vịt của nó liên tiếp trong thập kỷ qua về dữ liệu và quyền riêng tư. GDPR là một nỗ lực để thống nhất tất cả các luật này thành một khuôn khổ duy nhất, giúp các doanh nghiệp dễ dàng tuân thủ chúng hơn. Khuôn khổ này cũng bổ sung thêm một số quy định mới có ý nghĩa chủ yếu để thay thế Chỉ thị bảo vệ dữ liệu năm 1995.
Bản nâng cấp này dẫn đến một tài liệu gồm hơn 200 trang.
Mặc dù sứ mệnh và mục đích của GDPR được EC đưa ra như một bộ luật nhằm "cung cấp cho công dân quyền kiểm soát dữ liệu cá nhân của họ", điều đó không có nghĩa rằng đây là cách chữa trị tất cả mọi tai ương rằng "công dân của internet" bị ảnh hưởng.
Mặt khác, GDPR thực hiện một số lượng lớn nhấn mạnh vào sự đồng ý. Các trang web thu thập dữ liệu là bắt buộc để cho phép người dùng có khả năng chọn tham gia vào thực tiễn thu thập dữ liệu.
Để tóm tắt mọi thứ trong một câu gọn gàng, Quy định bảo vệ dữ liệu chung đưa ra các nghĩa vụ từ các nhà khai thác ở EU và các quyền mới đối với những người sử dụng dịch vụ của họ.
Quyền được cung cấp bởi GDPR
Những người sử dụng các dịch vụ nhập theo phạm vi của GDPR được gọi là “đối tượng dữ liệu” vì lý do phải rõ ràng (ví dụ: bạn là chủ đề của trang web thu thập dữ liệu về bạn). Trong Chương 3 của pháp luật, chúng tôi có thể thấy rõ tất cả các quyền mà tài liệu tuyên bố:
- Một công ty phải làm rõ với người dùng rằng dữ liệu của họ sẽ được thu thập và theo cách nào nó sẽ được sử dụng. Giao tiếp này phải diễn ra bằng văn bản hoặc phương tiện thích hợp khác bằng điện tử. Điều này đặc biệt được thực thi khi các cá nhân nhỏ tham gia (điều 12, 15).
- Nếu thu thập dữ liệu diễn ra, người dùng có quyền biết cách liên hệ với công ty hoặc nhân viên bảo vệ dữ liệu của công ty. Về mặt pháp lý, người dùng phải có cách liên hệ với người thu thập. Công ty thu thập dữ liệu cũng phải làm cho nó có thể rút lại sự đồng ý tại bất kỳ thời điểm nào (Điều 13, 21).
- Ngay cả khi việc thu thập dữ liệu không diễn ra, người dùng vẫn có quyền chi tiết liên lạc được chỉ định ở trên (điều 14).
- Người dùng có quyền sửa bất kỳ sự không chính xác nào trong dữ liệu (điều 16).
- Điều 17 mang lại "quyền được quên" cho GDPR, một khái niệm cũ của châu Âu cho phép người dùng có khả năng yêu cầu xóa dữ liệu của họ khỏi cơ sở dữ liệu hoàn toàn.
- Người dùng có quyền yêu cầu trang web không còn xử lý dữ liệu của họ nếu họ không muốn xóa hoàn toàn (điều 18).
- Nếu một công ty đã chia sẻ dữ liệu của người dùng với các bên khác, tất cả họ đều cần được thông báo về bất kỳ việc xóa, sửa chữa hoặc hạn chế nào. Người sử dụng phải có quyền cho tất cả các xử lý dữ liệu của họ được dừng lại từ tất cả các bên (điều 19).
- Người dùng có quyền yêu cầu dữ liệu của họ đã được thu thập (điều 20).
- Người dùng có quyền không đưa ra quyết định về việc điều trị dựa trên dữ liệu được thu thập tự động từ họ (điều 22).
Tất cả các quyền này đi kèm với các nghĩa vụ bổ sung được thực thi đối với các công ty và họ có thể phải đối mặt với những hậu quả nghiêm trọng nếu họ không tuân thủ. Số lượng chi tiết được đưa vào bộ luật này làm cho nó có lẽ là một trong những luật bảo vệ dữ liệu kỹ thuật số lớn nhất trên thế giới.
GDPR nói gì về vi phạm dữ liệu
Đã có một xu hướng ngày càng tăng của các công ty lớn bị ảnh hưởng bởi vi phạm, mất một loạt dữ liệu khách hàng của họ, và sau đó không báo cáo sự mất mát cho những người bị ảnh hưởng. Vào tháng 11 năm 2017, Uber là chủ đề của một vụ bê bối sau khi nó được tiết lộ rằng nó biết về một vi phạm trong hơn một năm, quét nó dưới tấm thảm, và trả tiền cho các tin tặc có trách nhiệm giữ cho miệng của họ đóng cửa.
Loại thực hành này hiện cũng được GDPR giải quyết, cho các công ty bảy mươi hai giờ để báo cáo vi phạm dữ liệu cho các cơ quan chức năng (recital 85), vì sợ rằng họ phải chịu phạt 20 triệu Euro hoặc 4% doanh thu của họ.
Điều này có thể giúp loại bỏ xu hướng của các giám đốc điều hành kinh doanh che giấu vi phạm của họ cho đến khi nó có thể là quá muộn cho khách hàng của họ để hành động để ngăn chặn được nạn nhân hơn nữa.
Các công ty cũng được yêu cầu mã hóa dữ liệu của họ để “ làm cho [ dữ liệu ] không thể hiểu được đối với bất kỳ người nào không được phép truy cập dữ liệu đó. "Được cấp, phần lớn dữ liệu trực tuyến của bạn được xếp theo cách này, nhưng vẫn khuyến khích một số người xem điều này được mã hóa thành luật.
Có những bất lợi đối với GDPR không?
GDPR được cho là ý tưởng táo bạo nhất mà Ủy ban châu Âu đã thông qua trong những năm gần đây, tạo ra những thay đổi lớn cho mối quan hệ giữa các nhà cung cấp dịch vụ và người dùng của họ. Các quyền được cung cấp bởi pháp luật ngụ ý một số thay đổi cơ sở hạ tầng mà một số công ty phải trải qua, mặc dù gánh nặng có thể không lớn như một số nhà phê bình đang nói. Để có cái nhìn rõ ràng hơn về cách GDPR có thể ảnh hưởng đến các doanh nghiệp, chúng tôi có hai nguồn: một báo cáo của Văn phòng Ủy viên Thông tin Vương quốc Anh và một cuộc khảo sát do Ovum thực hiện vào năm 2015.
Trong nghiên cứu ở Anh, chúng tôi thấy rằng “phần lớn các doanh nghiệp không thể định lượng chi tiêu hiện tại của họ liên quan đến trách nhiệm bảo vệ dữ liệu”. Điều này rất mơ hồ, nhưng an toàn để giả định rằng hiệu quả của GDPR đối với các doanh nghiệp chưa đúng đánh giá. Điều này sẽ rõ ràng hơn vào năm 2018 khi luật pháp có thời gian để có hiệu lực. Cơ quan chính phủ đưa ra nghiên cứu đã đi đến kết luận rằng chính quyền địa phương có thể làm nhiều hơn để giúp các doanh nghiệp sẵn sàng và hỗ trợ và đào tạo cho nhân viên của họ.
Báo cáo Ovum, có tiêu đề “Luật bảo mật dữ liệu: Cắt băng đỏ”, đi sâu hơn một chút bằng cách cung cấp một phân tích đầy đủ về cách thức các doanh nghiệp cảm nhận những thay đổi. Công ty đã phỏng vấn 366 công ty CNTT toàn cầu, hơn 70% trong số đó “mong đợi tăng chi tiêu để đáp ứng các yêu cầu chủ quyền dữ liệu.” Hình ảnh không phải là tất cả ảm đạm, vì 53% doanh nghiệp dự định sử dụng công nghệ của bên thứ ba để hỗ trợ họ trong việc duy trì tính minh bạch của dữ liệu.
Tóm lại, trong khi GDPR chắc chắn sẽ có tác động đến các doanh nghiệp châu Âu, thì không rõ liệu hiệu ứng này có hoàn toàn tiêu cực hay không.
Sau khi đọc tất cả điều này, bạn có nghĩ rằng GDPR bảo vệ đầy đủ quyền của người dùng web không? Hoặc liệu pháp luật này có cần quay trở lại bản vẽ không? Hãy cho chúng tôi biết trong một bình luận!