Quy định chung về bảo vệ dữ liệu (GDPR) là luật mới của Liên minh Châu Âu có hiệu lực vào ngày hôm nay và đó là lý do bạn liên tục nhận được email và thông báo về các bản cập nhật chính sách bảo mật. Vậy điều này ảnh hưởng đến bạn như thế nào? Đây là những gì bạn cần biết.
Luật GDPR mới có hiệu lực vào hôm nay, ngày 25 tháng 5 năm 2018 và nó bao gồm bảo vệ dữ liệu và quyền riêng tư cho công dân EU, nhưng nó cũng áp dụng cho nhiều quốc gia khác theo nhiều cách khác nhau và vì tất cả những gã khổng lồ công nghệ đều là những tập đoàn đa quốc gia khổng lồ , nó ảnh hưởng đến rất nhiều thứ mà bạn sử dụng hàng ngày.
Vấn đề GDPR đang cố gắng giải quyết: Các công ty đang thu thập và lạm dụng thông tin cá nhân của bạn
Kể từ buổi bình minh của Internet, các công ty đã thu thập càng nhiều dữ liệu càng tốt về bất kỳ ai họ có thể. Việc thu thập thông tin đó rất đơn giản, vì vậy không có lý do gì để họ không tích trữ thông tin đó.
Vấn đề là trong vài năm qua, rất nhiều công ty đã bị bắt gặp không bảo vệ — hoặc lạm dụng hoàn toàn — thông tin cá nhân của bạn. Vụ bê bối Cambridge Analytica , nơi một nhà nghiên cứu đã sử dụng một bài kiểm tra của Facebook để thu thập một lượng lớn dữ liệu về hàng triệu người dùng Facebook và sau đó bán nó cho một công ty tư vấn, chỉ là ví dụ gần đây nhất. Vụ hack Equifax năm ngoái đặc biệt tồi tệ vì thông tin bị rò rỉ có thể được sử dụng để mở thẻ tín dụng . Và đó chỉ là những vụ bê bối lớn. Nhiều công ty đã và đang lạm dụng dữ liệu của bạn theo những cách nhỏ hơn, như bán dữ liệu đó cho các công ty quảng cáo bên thứ ba.
EU đã có một cái nhìn mờ nhạt về tình hình và đang sử dụng GDPR để thử và khắc phục nó. Theo luật mới, các công ty không bảo vệ đầy đủ dữ liệu người tiêu dùng hoặc sử dụng sai mục đích theo bất kỳ cách nào sẽ phải đối mặt với khoản tiền phạt rất lớn.
Dữ liệu Cá nhân Được coi là gì?
GDPR bảo vệ “dữ liệu cá nhân”, ở đây có nghĩa là “bất kỳ thông tin nào liên quan đến một thể nhân được xác định hoặc có thể nhận dạng được” —và đó là một định nghĩa khá rộng. Trên thực tế, dữ liệu cá nhân thường bao gồm những thứ như:
- Dữ liệu tiểu sử như tên, địa chỉ, số điện thoại, số an sinh xã hội của bạn, v.v.
- Dữ liệu liên quan đến ngoại hình và hành vi của bạn như màu tóc, chủng tộc và chiều cao.
- Thông tin về trình độ học vấn và quá trình làm việc của bạn, chẳng hạn như lương, bằng đại học, điểm trung bình, ID thuế, v.v.
- Bất kỳ dữ liệu y tế hoặc di truyền.
- Những thứ như lịch sử cuộc gọi, tin nhắn riêng tư hoặc dữ liệu vị trí địa lý của bạn.
Đây không phải là một danh sách đầy đủ. Điều quan trọng là bất kỳ dữ liệu nào làm cho bạn có thể nhận dạng được. Trong một số trường hợp, màu tóc của bạn có thể là đủ. Ở những người khác, ngay cả tên đầy đủ của bạn — nếu đó là tên phổ biến như Robert Smith — có thể không giúp bạn nhận dạng được.
GDPR làm gì?
GDPR cung cấp cho các cư dân Liên minh Châu Âu đang được thu thập dữ liệu cá nhân của họ — được gọi là “chủ thể dữ liệu” trong luật — tám quyền. Họ đang:
- Quyền được thông báo: Nếu một công ty đang thu thập dữ liệu, họ cần cho các đối tượng dữ liệu biết những gì đang được thu thập, lý do thu thập dữ liệu đó, chúng được sử dụng để làm gì, thời gian lưu giữ dữ liệu và liệu dữ liệu có được chia sẻ với bên thứ ba hay không. Thông tin này không thể được chôn sâu trong điều khoản dịch vụ mà không ai đọc; nó phải ngắn gọn và bằng ngôn ngữ đơn giản.
- Quyền truy cập: Nếu họ yêu cầu, bất kỳ tổ chức nào có dữ liệu cá nhân về chủ thể dữ liệu phải cung cấp cho họ trong vòng một tháng.
- Quyền sửa chữa: Nếu một chủ thể dữ liệu phát hiện ra rằng một công ty có dữ liệu không chính xác về họ, họ có thể yêu cầu cập nhật dữ liệu đó. Các công ty có một tháng để tuân thủ.
- Quyền xóa: Một chủ thể dữ liệu có thể yêu cầu một công ty xóa bất kỳ dữ liệu nào được lưu giữ trên chúng trong một số trường hợp nhất định. Ví dụ: nếu dữ liệu không còn cần thiết hoặc họ đang rút lại sự đồng ý cho phép sử dụng dữ liệu đó.
- Quyền hạn chế xử lý: Nếu một tổ chức không thể xóa dữ liệu của chủ thể dữ liệu — ví dụ: vì họ cần dữ liệu đó trong trường hợp pháp lý — thì họ có thể yêu cầu công ty giới hạn cách sử dụng dữ liệu đó.
- Quyền đối với tính khả chuyển của dữ liệu: Chủ thể dữ liệu có quyền lấy dữ liệu cá nhân của họ từ một dịch vụ và sử dụng nó với một dịch vụ khác.
- Quyền phản đối: Nếu dữ liệu được thu thập mà không có sự đồng ý nhưng vì lợi ích kinh doanh hợp pháp, vì lợi ích công cộng hoặc bởi một cơ quan chính thức, chủ thể dữ liệu có thể phản đối. Sau đó, tổ chức phải ngừng xử lý dữ liệu cho đến khi họ chứng minh được họ có lý do chính đáng để làm như vậy.
- Các quyền liên quan đến việc ra quyết định tự động bao gồm lập hồ sơ: GDPR đưa ra các biện pháp bảo vệ để các cá nhân có thể phản đối hoặc nhận được lời giải thích về các quyết định tự động ảnh hưởng đến họ và dữ liệu của họ.
Một phần lớn khác của các quy định là các công ty phải có lý do hợp pháp để thu thập hoặc xử lý bất kỳ dữ liệu nào. Một trong những lý do hợp pháp là họ đã nhận được sự đồng ý để sử dụng nó cho một mục đích cụ thể, nhưng có những người khác như họ cần nó để tuân thủ các nghĩa vụ pháp lý hoặc việc thu thập nó là vì lợi ích công cộng.
Như bạn có thể thấy, các quyền được trao cho cư dân EU theo luật là khá rộng và đang buộc các công ty thu thập dữ liệu từ họ phải thực sự suy nghĩ về những gì họ đang thu thập và lý do tại sao. Những ngày cũ chỉ thu thập mọi thứ họ có thể và hy vọng họ tìm thấy nó sau này đã không còn nữa - ít nhất là ở Châu Âu. Đây là lý do tại sao hầu hết mọi dịch vụ bạn từng cung cấp địa chỉ email đều liên hệ với bạn.
Điều khiến nhiều công ty gặp rắc rối là các biện pháp trừng phạt đối với việc không tuân thủ GDPR khá khắc nghiệt. Một tổ chức có thể bị phạt tới € 20 triệu hoặc 4% doanh thu hàng năm trên toàn thế giới của họ (tùy theo mức nào lớn hơn) theo luật. Đối với những công ty như Amazon hay Google, số tiền này lên tới hàng tỷ đô la tiền phạt tiềm năng nếu họ xử lý sai dữ liệu của cư dân EU.
GDPR có ý nghĩa gì đối với người Mỹ?
Trong suốt bài viết này, chúng tôi đã tập trung vào những quyền mà GDPR mang lại cho các cư dân Liên minh Châu Âu vì lý do đơn giản rằng đó là luật của Liên minh Châu Âu. Nó thực sự không áp dụng cho công dân Mỹ, trừ khi họ cũng là cư dân ở Liên minh Châu Âu. Lý do bạn nhận được tất cả các email là hầu hết các công ty không có cách nào để phân biệt ai là cư dân EU và ai không phải là công dân.
Tuy nhiên, điều này không có nghĩa là GDPR sẽ không ảnh hưởng đến bạn. Điều này đã khiến nhiều công ty đánh giá lại cách họ đang xử lý dữ liệu người tiêu dùng và một số trong số họ đã bắt đầu nói về việc triển khai các quyền GDPR cho các cư dân không thuộc Liên minh Châu Âu. Và cũng dễ dàng hơn cho các công ty trong nhiều trường hợp thực thi một bộ quy tắc cho tất cả khách hàng.
Ví dụ, Apple đã khởi chạy một cổng thông tin bảo mật mới nơi mọi người có thể tải xuống tất cả dữ liệu cá nhân của họ hoặc xóa tài khoản của họ, nói cách khác là cung cấp cho mọi người quyền truy cập và xóa. Hiện tại, chỉ các tài khoản ở Liên minh Châu Âu mới có thể sử dụng nó nhưng Apple có kế hoạch tung ra toàn thế giới trong vài tháng tới . Tương tự, Facebook là lẩm bẩm về việc cung cấp các biện pháp bảo vệ GDPR giống nhau cho một số người dùng bên ngoài Liên minh Châu Âu .
