Bảo vệ dữ liệu theo quy trình GDPR
Quy định Bảo vệ dữ liệu chung 2016/679 - GDPR là một quy định trong luật Liên minh châu Âu (EU) về bảo vệ dữ liệu và sự riêng tư cho tất cả các công dân của EU và Khu vực Kinh tế châu Âu (EEA). GDPR cũng điều chỉnh các hoạt động trong việc chuyển dữ liệu cá nhân bên ngoài khu vực EU và EEA.
GDPR nhằm trước hết kiểm soát việc xử lý dữ liệu riêng tư của các cá nhân và đơn giản hóa môi trường pháp lý cho hoạt động kinh doanh quốc tế thông qua việc thống nhất các quy định trong EU. Bộ phận xử lý dữ liệu cá nhân phải đưa ra các biện pháp kỹ thuật và tổ chức phù hợp để thực thi các nguyên tắc bảo vệ dữ liệu. Các quy trình kinh doanh có tương tác với dữ liệu cá nhân phải được thiết kế và xây dựng dựa trên các nguyên tắc và các biện pháp an ninh cần thiết để bảo vệ dữ liệu (ví dụ: sử dụng bút danh hoặc ẩn danh khi thích hợp) và sử dụng các cài đặt quyền riêng tư cao nhất có thể theo mặc định, sao cho dữ liệu không sẵn sàng công bố nếu thiếu rõ ràng hoặc không đủ thông tin để xác định chủ thể dữ liệu. GDPR quy định, dữ liệu cá nhân không được phép xử lý trừ khi nó được thực hiện dựa trên cơ sở luật pháp và các quy định hoặc trừ khi bộ phận kiểm soát (hoặc xử lý dữ liệu) đã nhận được sự xác nhận rõ ràng và độc lập từ chủ thể dữ liệu. Chủ thể dữ liệu có quyền thu hồi sự đồng ý công bố dữ liệu bất cứ lúc nào.
Bộ phận xử lý dữ liệu cá nhân, khi có yêu cầu phải báo cáo rõ ràng việc thu thập dữ liệu, tuyên bố cơ sở pháp lý và mục đích xử lý dữ liệu và nêu rõ thời gian lưu giữ dữ liệu và quyền được phép chia sẻ với bên thứ ba hoặc tổ chức/cá nhân bên ngoài EEA. Chủ thể dữ liệu có quyền yêu cầu một bản sao giống như dữ liệu đang được thu thập xử lý theo định dạng chung và có thể xóa dữ liệu của họ trong một số trường hợp nhất định. Cơ quan công quyền và các doanh nghiệp có hoạt động chân rết xoay quanh việc xử lý dữ liệu cá nhân thường xuyên hoặc định kỳ, phải thuê nhân công có nghiệp vụ chuyên môn về bảo vệ dữ liệu (DPO), chịu trách nhiệm bảo đảm việc tuân thủ GDPR. Doanh nghiệp phải báo cáo về các vi phạm dữ liệu trong vòng 72 giờ nếu chúng có ảnh hưởng xấu đến quyền riêng tư của người dùng. Trong một số trường hợp, nếu là doanh nghiệp, hoặc có quy mô lớn, bên vi phạm GDPR có thể bị phạt tới 20 triệu euro hoặc tối đa 4% doanh thu toàn cầu hàng năm của năm tài chính trước đó.
GDPR không áp dụng cho việc xử lý dữ liệu cá nhân nhằm phục vụ cho các hoạt động an ninh quốc gia hoặc thực thi pháp luật của EU. Tuy nhiên, các nhóm ngành công nghiệp có thể được viện dẫn để yêu cầu bộ phận kiểm soát dữ liệu, chiểu theo luật của nước thứ ba phải tuân thủ yêu cầu pháp lý trong quá trình thực thi pháp luật của nước đó; theo lệnh tòa án, hoặc cơ quan an ninh nước đó cung cấp cho các cơ quan chức năng dữ liệu cá nhân của công dân EU, bất kể dữ liệu đó nằm trong hay ngoài EU.
GDPR là một bộ quy tắc duy nhất áp dụng cho tất cả các quốc gia thành viên EU. Mỗi quốc gia thành viên sẽ thành lập một cơ quan giám sát độc lập (SA) để theo dõi và điều tra các khiếu nại, xử phạt vi phạm hành chính.... Các SA ở mỗi quốc gia thành viên sẽ hợp tác, hỗ trợ lẫn nhau và tổ chức các hoạt động chung. Nếu một tổ chức có nhiều cơ sở tại EU thì tổ chức đó phải có một SA là “cơ quan chính”, tại nơi diễn ra các hoạt động của trung tâm xử lý dữ liệu. Cơ quan chính sẽ đóng vai trò “một cửa” để giám sát tất cả các hoạt động xử lý của doanh nghiệp đó trên toàn EU (Điều 46 - 55 của GDPR). Ban Bảo vệ Dữ liệu châu Âu (EDPB) sẽ phối hợp hoạt động của các SA.
Quyền của chủ thể dữ liệu
Theo Ủy ban châu Âu, dữ liệu cá nhân là bất kỳ thông tin nào liên quan đến cá nhân, cho dù đó là riêng tư nam hay nữ, nghề nghiệp hoặc hoạt động xã hội của họ. Nó gồm tất cả thông tin liên quan đến tên, địa chỉ nhà, ảnh, địa chỉ email, chi tiết tài khoản ngân hàng, bài đăng trên các trang mạng xã hội, thông tin y tế hoặc địa chỉ IP trên máy tính của các cá nhân. Các định nghĩa chính xác của các thuật ngữ như “dữ liệu cá nhân”, “xử lý”, “chủ thể dữ liệu”, “bộ phận kiểm soát” và “bộ phận xử lý dữ liệu”,.. được nêu trong Điều 4 của GDPR.
Theo Điều 6, các mục đích hợp pháp là: (a) Nếu chủ thể dữ liệu đã đồng ý cho phép xử lý dữ liệu cá nhân của họ; (b) Thực hiện nghĩa vụ hợp đồng với chủ thể dữ liệu hoặc cho các nhiệm vụ theo yêu cầu của chủ thể dữ liệu đang trong quá trình ký kết hợp đồng; (c) Thực hiện hoạt động xử lý dữ liệu để tuân thủ nghĩa vụ pháp lý của bộ phận kiểm soát dữ liệu; (d) Thực hiện hoạt động xử lý dữ liệu để bảo vệ lợi ích sống còn của chủ thể dữ liệu hoặc cá nhân khác; (e) Thực hiện hoạt động xử lý dữ liệu để thực hiện một nhiệm vụ vì lợi ích công cộng hoặc cơ quan có thẩm quyền; (f) Thực hiện hoạt động xử lý dữ liệu vì lợi ích hợp pháp của bên kiểm soát dữ liệu hoặc bên thứ ba, trừ khi những lợi ích này bị chi phối bởi lợi ích của chủ thể dữ liệu hoặc quyền của họ chiểu theo chương quy định về các quyền cơ bản (đặc biệt là trong trường hợp của trẻ em). Chủ thể dữ liệu có quyền và được phép rút lại sự đồng ý này bất cứ lúc nào và quá trình thực hiện không được khó hơn so với việc chọn tham gia.
Kiểm soát và xử lý dữ liệu
Để có thể tuân thủ GDPR, bộ phận kiểm soát dữ liệu phải triển khai các biện pháp đáp ứng các nguyên tắc bảo vệ dữ liệu theo thiết kế và theo mặc định. Bảo vệ dữ liệu theo thiết kế và theo mặc định (Điều 25) yêu cầu các biện pháp bảo vệ phải được thiết kế ngay trong các quy trình kinh doanh đối với sản phẩm và dịch vụ. Các biện pháp như vậy bao gồm giả danh dữ liệu cá nhân, được thực hiện bởi bộ phận kiểm soát, càng sớm càng tốt (Điều 78). Đó chính là nghĩa vụ và trách nhiệm của bộ phận kiểm soát dữ liệu triển khai các giải pháp hiệu quả và thể hiện việc tuân thủ của các hoạt động xử lý ngay cả khi việc xử lý được thực hiện bởi bộ xử lý dữ liệu thay cho bộ kiểm soát (Điều 74).
Cài đặt quyền riêng tư phải được đặt ở mức cao theo mặc định và các biện pháp kỹ thuật và thủ tục phải được thực hiện bởi bộ phận kiểm soát để đảm bảo rằng việc xử lý, trong toàn bộ vòng đời xử lý, tuân thủ quy định. Kiểm soát viên cũng phải thực hiện các cơ chế để đảm bảo rằng, dữ liệu cá nhân không được xử lý trừ khi cần thiết cho từng mục đích cụ thể.
Báo cáo của Cơ quan An ninh mạng và thông tin Liên minh châu Âu soạn thảo kỹ lưỡng những gì cần phải làm để đạt được sự riêng tư và bảo vệ dữ liệu theo mặc định. Cụ thể, các hoạt động mã hóa và giải mã phải được tiến hành ngay tại chỗ, không được phép thực hiện bởi các nghiệp vụ xử lý từ xa, bởi vì cả khóa và dữ liệu phải nằm trong khả năng của chủ sở hữu dữ liệu để bảo đảm bí mật riêng tư. Báo cáo chỉ định rằng, lưu trữ dữ liệu thuê ngoài trên ứng dụng điện toán đám mây từ xa là thiết thực và tương đối an toàn nếu chỉ chủ sở hữu dữ liệu, không phải dịch vụ đám mây, giữ các khóa giải mã.
GDPR đề cập đến giả danh là một quá trình được yêu cầu khi dữ liệu được lưu trữ (như là một thay thế cho tùy chọn ẩn danh dữ liệu hoàn chỉnh khác) để chuyển đổi dữ liệu cá nhân theo cách mà dữ liệu kết quả không thể được gán cho chủ thể dữ liệu cụ thể nếu không sử dụng thông tin bổ sung. Một ví dụ là mã hóa, làm cho dữ liệu gốc không thể hiểu được và quá trình có thể được đảo ngược mà không cần truy cập vào khóa giải mã chính xác. GDPR yêu cầu thông tin bổ sung (như khóa giải mã) phải được lưu trữ tách biệt và cách ly với dữ liệu giả danh.
Một ví dụ khác về giả danh là tokenisation, đây là một cách tiếp cận phi toán học để bảo vệ dữ liệu ở phần còn lại thay thế dữ liệu nhạy cảm bằng các thay thế không nhạy cảm, được gọi là mã thông báo. Mặc dù các mã thông báo không có ý nghĩa hoặc giá trị bên ngoài hoặc có thể khai thác, chúng cho phép dữ liệu cụ thể hiển thị đầy đủ hoặc một phần để xử lý và phân tích trong khi thông tin nhạy cảm được giữ kín. Mã thông báo không làm thay đổi loại hoặc độ dài của dữ liệu, có nghĩa là nó có thể được xử lý bởi các hệ thống cũ như cơ sở dữ liệu có thể nhạy cảm với độ dài và loại dữ liệu. Điều này cũng đòi hỏi ít tài nguyên tính toán hơn để xử lý và ít không gian lưu trữ trong cơ sở dữ liệu hơn dữ liệu được mã hóa theo truyền thống.
Bút danh được khuyến nghị để giảm rủi ro cho các chủ thể dữ liệu liên quan và cũng để giúp các bộ phận kiểm soát và bộ xử lý đáp ứng các nghĩa vụ bảo vệ dữ liệu của họ (Điều 28).
Kết luận
Được ban hành dựa trên Sắc lệnh bảo vệ dữ liệu 95/46/EC, qua rất nhiều cuộc thảo luận và tranh cãi với hàng ngàn lần sửa đổi dự thảo cuối cùng GDPR cũng đã có hiệu lực. GDPR đã thu hút được sự ủng hộ của các doanh nghiệp coi đây là cơ hội để cải thiện việc quản lý dữ liệu. GDPR quy định mục tiêu rõ ràng, là bước rất tích cực cho Internet, có thể trở thành hình mẫu cho các khu vực khác ngoài châu Âu. Tuy nhiên, việc tuân thủ GDPR sẽ đòi hỏi các tổ chức/doanh nghiệp phải đầu tư kinh phí bổ sung, tăng cường nhân lực dành cho xử lý dữ liệu. Một số điều khoản, quyền của các pháp nhân, cá nhân liên quan đến xử lý dữ liệu vẫn còn có các tranh luận của các học giả pháp lý…. Người ta cũng còn phải chờ những phán quyết của Ban Bảo vệ Dữ liệu châu Âu, các cơ quan chức năng của EU phán xử những vụ việc cụ thể liên quan đến xử lý dữ liệu cá nhân thì mới biết được GDPR cần sửa đổi những điều, khoản nào. Những nội dung này sẽ được đề cập ở những bài viết sau.
Lê Minh Đức, Nguyễn Văn Ngoan