GDPR đã ra đời và chính thức có hiệu lực từ ngày 25/5/2018. Định nghĩa một cách cơ bản, điều luật GDPR được ban hành là để bảo vệ thông tin riêng tư của chủ thể dữ liệu khỏi hành vi sử dụng dữ liệu cá nhân trái phép của các tổ chức, doanh nghiệp hoạt động trong EU [1].

GDPR được đánh giá là tạo ra cơ chế bảo vệ thông tin cá nhân khắt khe nhất trên thế giới hiện nay [2]. Việc tách biệt quyền bảo vệ thông tin cá nhân ra khỏi quyền riêng tư trong GDPR đã cho thấy quan điểm ngày càng chú trọng quyền bảo vệ thông tin cá nhân của EU. Từ đó hình thành nên cơ chế bảo vệ mạnh mẽ đối với việc thực thi quyền bảo vệ thông tin cá nhân [3].

NHỮNG QUY ĐỊNH QUAN TRỌNG CỦA GDPR

Theo quy định của GDPR, mỗi tổ chức xử lý dữ liệu cá nhân phải bảo đảm rằng dữ liệu cá nhân mà tổ chức đó xử lý đáp ứng các nguyên tắc cơ bản [4]:

Tính hợp pháp, công bằng và minh bạch: Việc xử lý dữ liệu phải được thực hiện trên cơ sở hợp pháp, công bằng và minh bạch đối với chủ thể dữ liệu cá nhân; những chủ thể này phải được biết một cách chính xác về việc dữ liệu cá nhân của họ được thu thập, sử dụng, tham khảo và về mức độ xử lý dữ liệu cá nhân của họ; các thông tin về việc xử lý dữ liệu cá nhân cần phải được dễ dàng truy cập, dễ hiểu, ngôn ngữ được sử dụng phải rõ ràng, đơn giản.

Giới hạn mục đích sử dụng: Khi thu thập dữ liệu cá nhân phải xác định rõ mục đích và chỉ sử dụng cho mục đích đó.

Giảm thiểu dữ liệu: Chỉ thu thập dữ liệu tối thiểu và cần thiết nhất cho mục đích được xác định ban đầu, không thu thập, khai thác thông tin để dự phòng hoặc không xác định trước mục đích.

Độ chính xác: Mọi dữ liệu phải chính xác và cập nhật trong tất cả các bước xử lý. Dữ liệu cá nhân không chính xác sẽ được chỉnh sửa hoặc xóa.

Giới hạn thời gian lưu trữ: Chỉ có thể lưu trữ dữ liệu cá nhân trong thời gian cần thiết cho mục đích sử dụng, thời gian mà dữ liệu cá nhân lưu trữ được giới hạn ở mức tối thiểu. Không được lưu trữ dữ liệu quá thời gian cần thiết theo mục đích sử dụng đã xác định (trừ trường hợp ngoại lệ trên).

Toàn vẹn và bảo mật: Việc xử lý dữ liệu cá nhân phải đảm bảo tính bảo mật, toàn vẹn và sử dụng các biện pháp thích hợp như ngăn chặn truy cập hoặc sử dụng trái phép dữ liệu cá nhân và thiết bị được sử dụng để xử lý dữ liệu cá nhân.

Trách nhiệm giải trình: Người kiểm soát, xử lý phải chịu trách nhiệm và chứng minh sự tuân thủ quy định.

MỘT SỐ QUYỀN VỀ BẢO MẬT THÔNG TIN CÁ NHÂN TRONG GDPR

Theo điều luật của GDPR, chủ thể dữ liệu cá nhân có quyền kiểm soát toàn diện đối với dữ liệu cá nhân. Cụ thể là:

Quyền được biết: Người dùng được quyền biết thông tin cá nhân của mình được thu thập bằng cách nào, mục đích sử dụng các loại thông tin, lý do thông tin được thu thập và các phương pháp xử lý dữ liệu cá nhân sau đó. Chủ thể dữ liệu có quyền được thông báo về dữ liệu cá nhân khi có sự kiện xử lý liên quan.

Quyền được chỉnh sửa thông tin: Chủ thể dữ liệu có quyền yêu cầu các cơ quan, tổ chức chỉnh sửa những thông tin đã cung cấp theo đúng ý mình. Các tổ chức, doanh nghiệp phải cho phép chủ thể dữ liệu cá nhân sửa đổi, xóa dữ liệu do tổ chức, doanh nghiệp lưu trữ.

Quyền được từ chối: Trong trường hợp chủ thể dữ liệu từ chối không muốn các công ty sử dụng hoặc thu thập thông tin của mình thì họ phải tuyệt đối tuân theo. Dữ liệu chỉ được chia sẻ khi chủ thể dữ liệu cá nhân đồng ý và chủ thể dữ liệu cá nhân có thể rút lại sự đồng ý trước đó.

Quyền được truy vấn thông tin: Chủ thể dữ liệu có quyền yêu cầu công ty cung cấp toàn bộ thông tin cá nhân đã được thu thập và nội dung này phải được gửi đến họ trong vòng 30 ngày.

Quyền được xóa dữ liệu: Chủ thể dữ liệu được quyền yêu cầu các công ty xóa bỏ những thông tin mình đã cung cấp trong quá khứ, kể các các bài đăng cũ trên các trang mạng xã hội; dừng chia sẻ dữ liệu và có thể yêu cầu bên thứ ba ngưng xử lý dữ liệu.

CÔNG TÁC TRIỂN KHAI GDPR Ở EU

GDPR được coi là một quy định quan trọng và là bước đi cần thiết để bảo vệ thông tin cá nhân trong thời đại kỹ thuật số, cũng như giới hạn các tổ chức được phép sử dụng dữ liệu cá nhân. Trước khi thực hiện GDPR, các cơ quan bảo vệ dữ liệu của EU phải tự chuẩn bị các điều kiện để thực hiện GDPR và nhân sự cho các hoạt động tư vấn và thực thi. Do đó, các khoản tiền phạt dự kiến và đặc biệt là các khoản phạt nặng cho đến nay đã không xảy ra.

Mặc dù mục tiêu của GDPR là thống nhất luật bảo vệ dữ liệu trong EU nhưng cũng cho phép các quốc gia thành viên EU thực hiện các quy tắc riêng của địa phương chặt chẽ hơn trong một số trường hợp, dựa trên những “điều khoản mở”. Các nước thành viên EU nhìn chung đã tận dụng tốt điều khoản mở này. Đức là quốc gia thành viên đầu tiên thông qua đạo luật thực hiện GDPR (và hiện đang tiến hành sửa đổi), các quốc gia thành viên khác của EU cũng đã nhanh chóng áp dụng theo.

Các quốc gia thành viên EU đã đưa ra các điều khoản địa phương đáng chú ý, đặc biệt là đối với các tổ chức hoạt động kinh doanh trong các khu vực pháp lý này. Tại Đức, các tổ chức liên tục tuyển dụng ít nhất 10 nhân viên để xử lý tự động dữ liệu cá nhân, trong đó chỉ định một nhân viên có nhiệm vụ bảo vệ dữ liệu. Tại Pháp, việc xử lý dữ liệu sinh trắc học hoặc dữ liệu di truyền bắt buộc phải thông báo sơ bộ trước. Với Hungary và Tây Ban Nha, hai quốc gia này cũng đã đưa ra các điều khoản liên quan đến lưu trữ dữ liệu cá nhân của người đã mất. Luật Tây Ban Nha còn bao gồm các điều khoản cụ thể về xử lý dữ liệu liên quan đến tố giác, giám sát cá nhân qua video và giám sát khả năng thanh toán tài chính của các cá nhân. Luật của Áo, Cộng hòa Séc và Ireland thì đưa ra các quy định nới lỏng mức phạt tiền đối với các cơ quan công quyền. [5]

Đối với thông tin sẵn có, các quốc gia thành viên EU có những cách triển khai rất khác nhau khi báo cáo về hoạt động thực thi của họ. Trong khi một số quốc gia tiết lộ thông tin chi tiết, không chỉ về nội dung vi phạm và số tiền phạt, mà còn cả tên của các tổ chức vi phạm thì các quốc gia khác như Áo, Bulgaria chỉ công bố các báo cáo ẩn danh. Còn một số quốc gia khác như Đức không công bố bất cứ thông tin gì trừ khi được yêu cầu rõ ràng.

Dựa trên thông tin được công bố rộng rãi, ngày 25/5/2019, nhân kỷ niệm một năm triển khai GDPR, chỉ có 11 quốc gia thành viên EU đưa ra mức phạt của mình. Tổng cộng số tiền phạt này lên tới khoảng 56 triệu euro. Hầu như tất cả số tiền này (Điều 50 GDPR) có được từ khoản tiền phạt của Cơ quan giám sát bảo vệ dữ liệu của Pháp - CNIL chống lại Google vì không tuân thủ các yêu cầu về tính minh bạch của GDPR [6].

NHỮNG BẤT CẬP VÀ HƯỚNG TRIỂN KHAI GDPR THỜI GIAN TỚI

Bên cạnh những thành tựu đáng kể, Ủy ban châu Âu đã chỉ rõ một số lĩnh vực cần điều chỉnh của GDPR trong thời gian tới:

Về thực thi: Mặc dù các cơ quan giám sát đã đạt được sự hài hòa trong các biện pháp thực thi GDPR nhưng vẫn chưa tận dụng hết các quyền hạn có sẵn. Việc tiến hành các cuộc điều tra chung cũng như các giải pháp đưa ra cần thực tế và cụ thể hơn, nhất quán ở cả cấp quốc gia và EU. Ủy ban cũng kêu gọi các cơ quan giám sát cải thiện việc xử lý các vụ việc xuyên biên giới bằng cách cập nhật các thủ tục giải quyết khiếu nại, tinh giản thủ tục hành chính. Ủy ban nhấn mạnh thực tế là các quốc gia thành viên phải cung cấp cho các cơ quan giám sát đủ nguồn nhân lực, kỹ thuật và tài chính để giúp họ thực hiện các nhiệm vụ quan trọng này.

Sự hài hòa: Các quốc gia EU đã sử dụng rộng rãi các điều khoản trong GDPR về việc yêu cầu hoặc cho phép các quốc gia ban hành những quy định địa phương riêng hoặc được phép không thực thi GDPR trong một số lĩnh vực. Theo Ủy ban, điều này đã dẫn đến mức độ phân mảnh, tạo ra những thách thức đối với hoạt động kinh doanh xuyên biên giới. Ủy ban mong muốn tạo ra một cách tiếp cận hài hòa hơn trong EU, chẳng hạn như thông qua việc tạo ra các quy tắc ứng xử. Ủy ban cũng nêu rõ lo ngại rằng các quốc gia thành viên đã ban hành luật trong một số lĩnh vực vượt khỏi giới hạn được thiết lập trong GDPR, do đó làm suy yếu hiệu quả của quy định.

Quyền đại diện dữ liệu: Mặc dù được khuyến khích nâng cao nhận thức và thực hiện các quyền riêng tư theo GDPR nhưng Ủy ban nhấn mạnh rằng cần phải tạo điều kiện thuận lợi hơn nữa cho việc thực hiện các quyền này. Về mặt này, Ủy ban hoan nghênh Chỉ thị đề xuất của EU về Hành động của Người đại diện. Chỉ thị này đặt ra một khuôn khổ hài hòa cho các hành động tập thể do người dùng thực hiện trong các lĩnh vực như bảo vệ dữ liệu, qua đó có thể đạt được những tiến bộ xung quanh quyền di chuyển dữ liệu để vừa nâng cao sự lựa chọn của người dùng vừa kích thích sự cạnh tranh trên thị trường.

Công nghệ mới: Những thách thức luôn được đặt ra trong việc áp dụng các quy tắc của GDPR vào các công nghệ đang phát triển như trí tuệ nhân tạo, blockchain, Internet vạn vật và nhận dạng khuôn mặt. Ủy ban yêu cầu các cơ quan giám sát sớm theo dõi sự phát triển công nghệ, đảm bảo thực thi mạnh mẽ, hiệu quả đối với các nền tảng kỹ thuật số lớn và các công ty tích hợp khác, đặc biệt là những công ty liên quan đến hoạt động quảng cáo trực tuyến.

Hợp tác quốc tế: Ủy ban nêu bật những nỗ lực không ngừng trong việc thúc đẩy đối thoại và hợp tác quốc tế trong lĩnh vực bảo vệ dữ liệu. Ủy ban cũng đã và đang phát triển các điều khoản cụ thể về luồng dữ liệu trong các hiệp định thương mại song phương và đa phương, đồng thời làm việc với các chính phủ khác để tránh các vấn đề xung đột luật trở thành rào cản đối với các công ty hoạt động tại thị trường châu Âu. Ủy ban cũng nhấn mạnh tầm quan trọng của việc đảm bảo rằng khi các công ty được yêu cầu phản hồi các yêu cầu truy cập dữ liệu hợp pháp từ cơ quan thực thi pháp luật, họ sẽ không phải đối mặt với xung đột pháp luật và được tôn trọng đầy đủ các quyền cơ bản. Ủy ban tiếp tục thảo luận với các chính phủ khác để tăng cường cơ chế hợp tác và hỗ trợ lẫn nhau.

Các cơ quan bảo vệ dữ liệu châu Âu đang chuẩn bị cho các hoạt động triển khai GDPR tiếp theo. Ở Ireland, các công ty có trụ sở tại Ireland đang “xây dựng luật” và sẽ hành động quyết liệt hơn với những mức phạt gắt gao. Cơ quan bảo vệ dữ liệu của Hà Lan đã xuất bản hướng dẫn chi tiết về tiền phạt bằng cách đưa ra các mức phạt tiền tiêu chuẩn. Các tổ chức, doanh nghiệp châu Âu được khuyến cáo nên tuân thủ các nghĩa vụ GDPR và luôn cập nhật hướng dẫn do các cơ quan bảo vệ dữ liệu công bố, liên quan đến các khoản tiền phạt sắp đến hạn.

GDPR có phạm vi điều chỉnh rộng tới tất cả các doanh nghiệp, tổ chức đăng ký kinh doanh tại EU, hoạt động tại EU hoặc có khách hàng, người sử dụng là công dân EU. Đối tượng tác động chính là các doanh nghiệp có ứng dụng công nghệ thông tin và hoạt động trên Internet. GDPR có ảnh hưởng tới việc xây dựng luật của nhiều nước. Cụ thể, Luật quyền riêng tư của người tiêu dùng tại California, Mỹ có nhiều yếu tố tương đồng với GDPR; Luật quyền riêng tư của NewYork, Mỹ được đánh giá còn chặt hơn GDPR; Brazil đang xây dựng LGPD như là một bản sao của GDPR; Úc đang xem xét Luật quyền riêng tư cũng có một số điểm tương tự GDPR. Thái Lan đã thông qua Luật dữ liệu cá nhân (PDPA) năm 2019 tương tự GDPR; Ấn Độ cũng đưa ra quốc hội dự Luật bảo vệ cá nhân PDPB được mô phỏng theo GDPR…

Theo đánh giá của Ủy ban Châu Âu, GDPR đã thành công về mục tiêu tăng cường bảo vệ dữ liệu cá nhân và cải thiện luồng dữ liệu cá nhân miễn phí trong EU. Ủy ban đặc biệt nhấn mạnh vai trò quan trọng của GDPR trong cách tiếp cận công nghệ lấy con người làm trung tâm của EU và lưu ý rằng điều này sẽ đóng vai trò như một khung pháp lý hướng dẫn cho EU khi triển khai Chiến lược dữ liệu rộng lớn hơn của mình. Ủy ban cũng ghi nhận tác động của GDPR đối với hệ thống bảo mật thông tin trên toàn thế giới, truyền cảm hứng cho các tiêu chuẩn mới và nâng cao yêu cầu bảo vệ dữ liệu ở nhiều quốc gia, đóng vai trò là “bộ thiết lập tiêu chuẩn toàn cầu” để điều chỉnh nền kinh tế kỹ thuật số.

Như vậy, mục tiêu của GDPR ngày càng lan rộng và phạm vi tác động sẽ ngày một lớn dần. GDPR được tuyên truyền rộng rãi trên mạng Internet, các nền tảng lớn. Điều này cũng gián tiếp nâng cao nhận thức về bảo vệ dữ liệu cá nhân. GDPR được coi là nguồn tham khảo để xây dựng môi trường pháp lý liên quan đến bảo vệ dữ liệu cá nhân.