Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh châu Âu và giá trị tham khảo cho Việt Nam
Tóm tắt: Quy định chung về bảo vệ dữ liệu (General Data Protection Regulation – GDPR) là văn bản pháp lý của Liên minh châu Âu (EU) quy định về xử lý dữ liệu cá nhân, được xây dựng và thông qua với mục đích vạch ra kế hoạch cải cách bảo vệ dữ liệu cá nhân trên toàn Liên minh châu Âu, trong bối cảnh internet phát triển nhanh chóng, xuất hiện yêu cầu EU phải có văn bản pháp luật mới để giải quyết các vấn đề nảy sinh về bảo vệ dữ liệu cá nhân từ việc sử dụng internet và các thiết bị thông minh trên quy mô lớn. Bài viết phân tích một số nội dung chính của GDPR, những ý nghĩa mà quy định này mang lại đối với người dân, doanh nghiệp của EU cũng như giá trị tham khảo đối với nhiều quốc gia khác, trong đó có Việt Nam.
Cùng với sự phát triển của CMCN 4.0, dữ liệu cá nhân chính là tài sản vô hình mà mỗi người nắm giữ, nhưng đã trở thành một loại hàng hóa, được các tổ chức, cá nhân tìm kiếm, sử dụng để khai thác cho mục đích thương mại, đồng thời được các Nhà nước sử dụng với mục đich quản lý người dân. Trong bối cảnh công nghệ thông tin phát triển, ngày càng có nhiều chương trình, hệ thống, biện pháp thu thập thông tin, theo dõi, giám sát cá nhân trên diện rộng, ở cấp độ quốc gia, thậm chí trên quy mô toàn cầu.
Vấn đề bảo vệ dữ liệu cá nhân càng được chú ý trong bối cảnh vụ bê bối dữ liệu cá nhân của người dùng Facebook khiến dư luận bức xúc, đòi hỏi có quy định giúp bảo vệ người dùng trước nguy cơ bị đánh cắp thông tin cá nhân trong thời đại công nghệ số.
Trên thế giới, vấn đề bảo vệ dữ liệu cá nhân đã được nhiều quốc gia/ tổ chức hết sức coi trọng. Hiện có hơn 80 quốc gia, trong đó có Mỹ, Pháp, Đức, Nhật Bản và cả Liên minh châu Âu (EU) đã ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân. Theo các nước, quyền bảo vệ dữ liệu cá nhân là quyền riêng tư và được pháp luật bảo vệ; bảo vệ dữ liệu cá nhân được thể hiện qua nhiều khía cạnh, như: bảo đảm quyền tự chủ, quyền riêng tư và bảo toàn được danh dự, uy tín của mỗi cá nhân, giúp cá nhân kiểm soát tốt hơn các vấn đề trong cuộc sống, tăng cường niềm tin trong xã hội và là một trong những nhân tố quan trọng thúc đẩy quyền được bày tỏ chính kiến, quyền tự do ngôn luận.
1. Quá trình ban hành quy định về bảo vệ dữ liệu cá nhân của Liên minh châu Âu
Quyền về sự riêng tư là một phần của Công ước châu Âu về quyền con người năm 1950, trong đó tuyên bố, mọi người đều có quyền được tôn trọng riêng tư và cuộc sống gia đình, nhà ở và thư từ. Từ cơ sở đó, các nước trong Liên minh châu Âu đã tìm cách đảm bảo quyền này thông qua việc xây dựng một văn bản pháp luật chung, nhất là khi internet xuất hiện và phát triển nhanh chóng. Vào năm 1995, EU đã thông qua Chỉ thị về bảo vệ dữ liệu châu Âu (95/46/EC), trong đó thiết lập các tiêu chuẩn bảo mật và riêng tư dữ liệu tối thiểu để các quốc gia thành viên thực thi bằng cách đưa vào pháp luật của nước mình. Tuy nhiên, Chỉ thị năm 1995 được soạn thảo vào giai đoạn internet mới chỉ được sử dụng bởi 1% dân số thế giới.
Mặt khác, Chỉ thị về bảo vệ dữ liệu châu Âu đã không hoàn toàn hài hòa các luật về quyền riêng tư của quốc gia và ngay cả ở châu Âu, các quốc gia đã hành xử theo cơ hội để tòa án công nghệ lớn với các dấu hiệu về việc thực thi yếu kém và kế hoạch thuế có lợi. Ngay cả trong số các quốc gia cam kết bảo vệ quyền lợi riêng tư, việc thực thi vẫn còn khập khiễng, điển hình như việc Pháp phạt Facebook chỉ 150.000 Euro vào năm 2017.
Trong bối cảnh internet bùng nổ, xuất hiện yêu cầu EU phải có văn bản pháp luật mới để giải quyết các vấn đề nảy sinh về bảo vệ dữ liệu cá nhân từ việc sử dụng internet và các thiết bị thông minh trên quy mô lớn. Đây là lý do dẫn đến sự ra đời của Quy định chung về bảo vệ dữ liệu (GDPR) do Ủy ban châu Âu xây dựng, với mục đích vạch ra kế hoạch cải cách bảo vệ dữ liệu cá nhân trên toàn Liên minh châu Âu.
Được đề xuất vào ngày 25/01/2012, sau hơn 4 năm xây dựng và hoàn thiện, GDPR đã được Nghị viện châu Âu thông qua vào tháng 4/2016. Các điều khoản của nó được áp dụng trực tiếp ở tất cả quốc gia thành viên EU kể từ ngày 25/05/2018.
2. Nội dung chính của Quy định chung về bảo vệ dữ liệu
Về bản chất, GDPR là một bộ quy tắc mới, được xây dựng nhằm cung cấp cho công dân EU quyền kiểm soát nhiều hơn đối với dữ liệu cá nhân của họ.
Những nguyên tắc then chốt về xử lý dữ liệu cá nhân
GDPR thiết lập 7 nguyên tắc cần tuân thủ khi xử lý dữ liệu: 1) Tính hợp pháp, công bằng và minh bạch: Việc xử lý dữ liệu phải hợp pháp, công bằng và minh bạch đối với chủ thể dữ liệu; 2) Giới hạn mục đích: Mục đích xử lý dữ liệu phải hợp pháp và được thể hiện rõ ràng cho chủ thể dữ liệu khi thu thập; 3) Giảm thiểu dữ liệu: Chỉ thu thập và xử lý dữ liệu khi thực sự cần thiết cho các mục đích đã định: 4) Độ chính xác: Phải đảm bảo dữ liệu cá nhân là chính xác và cập nhật; 5) Giới hạn lưu trữ: Chỉ lưu trữ dữ liệu nhận dạng cá nhân trong thời gian cần thiết cho mục đích đã định;
6) Tính toàn vẹn và bảo mật: Việc xử lý dữ liệu phải được thực hiện trên cơ sở đảm bảo tính bảo mật, tính toàn vẹn và bảo mật thích hợp (ví dụ: bằng cách sử dụng mã hóa); 7) Trách nhiệm giải trình: Người kiểm soát dữ liệu có trách nhiệm chứng minh sự tuân thủ GDPR với tất cả các nguyên tắc này.
Quyền kiểm soát dữ liệu cá nhân của chủ thể dữ liệu
Theo điều khoản của GDPR, dữ liệu cá nhân là tài sản của công dân, do vậy, công dân có quyền kiểm soát dữ liệu cá nhân mà mình đã khai báo và có thể tự tra cứu, sửa đổi thông tin của mình, thậm chí là xóa bỏ hẳn. Cụ thể:
Quyền được thông báo về dữ liệu cá nhân khi có sự kiện xử lý liên quan. Khi có sự kiện liên quan như sử dụng, chia sẻ, lộ lọt dữ liệu cá nhân thì tổ chức, doanh nghiệp lưu trữ dữ liệu phải thông báo cho chủ thể dữ liệu cá nhân đó biết.
Quyền được truy cập dữ liệu cá nhân. Tổ chức, doanh nghiệp lưu trữ dữ liệu phải cung cấp biện pháp để chủ thể dữ liệu cá nhân tra cứu, truy cập dữ liệu của cá nhân mình.
Quyền được sửa đổi, quyền được xóa dữ liệu đang lưu trữ bởi các cơ quan, tổ chức. Tổ chức, doanh nghiệp phải cho phép chủ thể dữ liệu cá nhân sửa đổi, xóa dữ liệu do tổ chức, doanh nghiệp lưu trữ. Dữ liệu chỉ được chia sẻ khi chủ thể dữ liệu cá nhân đồng ý; và chủ thể dữ liệu cá nhân của mình. Tổ chức, doanh nghiệp phải dừng việc xử lý dữ liệu cá nhân nếu chủ thể dữ liệu cá nhân đó phản đối.
Quyền hạn chế việc chia sẻ, xử lý dữ liệu cá nhân.
Trách nhiệm của các cơ quan, tổ chức, doanh nghiệp quản lý, xử lý dữ liệu cá nhân
Theo quy định của GDPR, tất cả những bên thu thập và quản lý dữ liệu có nghĩa vụ bảo vệ dữ liệu khỏi việc bị lạm dụng và khai thác, cũng như tôn trọng quyền của chủ sở hữu dữ liệu.
Cụ thể, các tổ chức, doanh nghiệp phải tuân thủ GDPR như sau:
Phải tôn trọng quyền cá nhân và thực hiện theo các nguyên tắc của GDPR.
Phải cung cấp cho chủ thể dữ liệu phương tiện để kiểm soát dữ liệu cá nhân của mình. Các hoạt động xử lý dữ liệu cá nhân phải minh bạch và thông báo rõ ràng.
Phải chịu trách nhiệm về việc chia sẻ dữ liệu cá nhân cho tổ chức khác. Trong trường hợp để xảy ra rủi ro về lộ, lọt thông tin cá nhân phải chịu hoàn toàn trách nhiệm.
Phải chỉ định cán bộ chuyên trách bảo vệ dữ liệu. Sự cố vi phạm thông tin cá nhân phải được báo cáo trong vòng 72 giờ và phải thực hiện các bước để giảm thiểu rủi ro.
Về hình phạt cho các tổ chức nếu không tuân thủ
Bên cạnh đó, các công ty từ nay phải công khai với khách hàng, dùng thông tin đó vào việc gì, cam kết không chuyển dữ liệu đó cho bên thứ 3. Tiền phạt đối với hành vi trái với quy định của GDPR rất cao. Theo đó có hai cách thức phạt, có thể tối đa là 20 triệu Euro hoặc 4% doanh thu toàn cầu của năm trước đó (tùy theo mức nào cao hơn), cộng với việc các chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại.
3. Ý nghĩa của Quy định chung về bảo vệ dữ liệu
GDPR được xem là một bước tiến pháp lý lớn về xác định dữ liệu cá nhân. Dữ liệu cá nhân và dữ liệu cá nhân nhạy cảm là hai khái niệm nền tảng của GDPR. Dữ liệu cá nhân được định nghĩa là “bất kỳ thông tin nào liên quan đến một thể nhân” đã được nhận định danh tính, hoặc có thể được nhận định danh tính, dù trực tiếp hay gián tiếp, cụ thể là bằng cách chỉ ra một định danh như tên, số định danh, dữ liệu vị trí, định danh trên mạng, hay một hoặc nhiều yếu tố chỉ định danh tính của một cá nhân mang tính vật lý, sinh lý, di truyền, tâm lý, kinh tế, văn hóa, hoặc xã hội. Định nghĩa này khá tương đồng với định nghĩa được đưa ra trong Chỉ thị năm 1995 của EU, nhưng có sự mở rộng hơn, bao gồm cả “địa chỉ IP” hay “giả danh tính” (pseudonymisation).
Dữ liệu cá nhân nhạy cảm được quy định dưới dạng hạng mục dữ liệu cá nhân đặc biệt trong GDPR, được xem là: “Bất kỳ dữ liệu nào tiết lộ chủng tộc hoặc sắc tộc, tư tưởng chính trị, đức tin tôn giáo, quan niệm triết lý, thành viên công đoàn, và việc xử lý dữ liệu di truyền và sinh trắc nhằm mục đích định danh, hoặc dữ liệu liên quan đến sức khỏe, tình trạng sinh dục và xu hướng tính dục”. Việc xử lý và phân tích các dữ liệu nhạy cảm hoàn toàn bị cấm bởi GDPR. Một số trường hợp ngoại lệ cho phép xử lý dữ liệu cá nhân nhạy cảm, bao gồm có sự đồng thuận từ chủ thể dữ liệu, để bảo vệ quyền lợi cá nhân, để phục vụ công tác y tế dự phòng và y tế nghiệp vụ, hoặc vì lợi ích công cộng.
Trong trường hợp mất dữ liệu nhạy cảm như dữ liệu sức khỏe hoặc tài chính, sự cố phải được báo cáo với cơ quan có thẩm quyền và từng cá nhân bị ảnh hưởng trong vòng 72 giờ. Trong những tình huống vi phạm, GDPR cho phép cá nhân có quyền nộp đơn khiếu nại đến Cơ quan Quản lý Dữ liệu đặt tại các quốc gia thành viên nơi cá nhân đang làm việc hoặc sinh sống, hoặc nơi việc vi phạm đã diễn ra. Các cá nhân sau khi được thẩm định quyền bị xâm hại sẽ được xử lý đền bù theo quyết định của Cơ quan Quản lý Dữ liệu, theo tinh thần của những quyết định đưa ra bởi Hội đồng Bảo vệ Dữ liệu châu Âu (EDPB).
GDPR không áp dụng cho việc xử lý dữ liệu cá nhân nhằm phục vụ cho các hoạt động an ninh quốc gia hoặc thực thi pháp luật của EU.
Ở cấp độ toàn Liên minh châu Âu, bộ luật này là nền tảng vững chắc tạo điều kiện thuận lợi và an toàn cho giao dịch thương mại trực tuyến, giảm nguy cơ dữ liệu cá nhân bị khai thác bất hợp pháp, nhằm tác động đến lựa chọn của người dân.
Theo đánh giá của các chuyên gia, khi GDPR có hiệu lực, không chỉ người dân được hưởng lợi từ các luật bảo vệ dữ liệu cá nhân, mà các doanh nghiệp cũng có thể tránh được những bê bối trong việc để lộ thông tin người dùng.
Tại Liên minh châu Âu, khuôn khổ pháp luật về quyền riêng tư và bảo vệ dữ liệu đã được chứng minh là một công cụ đủ linh hoạt để cho phép phát triển các giải pháp thực tế (ví dụ như ứng dụng theo dõi) trong khi vẫn đảm bảo mức độ bảo vệ cao đối với dữ liệu cá nhân.
Một số nước thành viên EU đã sửa đổi luật bảo vệ dữ liệu của họ để tuân thủ các yêu cầu GDPR. Ví dụ, Pháp đã điều chỉnh luật pháp nước mình theo GDPR với việc ban hành Luật số 2018-493 (FDPA) ngày 20/6/2018 về bảo vệ dữ liệu cá nhân, trong đó thay thế logic của các thủ tục trước đó (thông báo hoặc ủy quyền trước bởi CNIL) dựa trên triết lý về trách nhiệm giải trình nâng cao của các bên liên quan trong GDPR.
Nước Anh cũng đã thông qua Luật Bảo vệ dữ liệu quốc gia mới (DPA) có hiệu lực vào ngày 25/5/2018, trong đó cho phép tiếp tục áp dụng GDPR kể cả khi nước này rời Liên minh châu Âu. DPA chuyển đổi Chỉ thị thực thi pháp luật (EU 2016/680) thành luật pháp của Vương quốc Anh, tạo ra một chế độ bảo vệ dữ liệu dành riêng cho việc xử lý dữ liệu cá nhân của cơ quan thực thi pháp luật, trong đó Phần 4 của DPA cập nhật chế độ bảo vệ dữ liệu để xử lý an ninh quốc gia; các Phần 5 và 6 đưa ra phạm vi nhiệm vụ và quyền hạn của Ủy viên Thông tin, đồng thời quy định một số tội hình sự liên quan đến xử lý dữ liệu cá nhân.
GDPR bảo vệ dữ liệu cá nhân ở 28 nước thành viên của EU, ngay cả khi dữ liệu được xử lý ở nơi khác. Mặc dù đạo luật nói trên chỉ áp dụng ở châu Âu, nhưng điều này được đánh giá sẽ tác động đến các công ty cũng như quốc gia trên toàn cầu trong việc duy trì nguyên tắc bảo mật thông tin người dùng, đặc biệt là các doanh nghiệp, tổ chức ngoài EU cung cấp hàng hóa hoặc dịch vụ cho khách hàng hoặc doanh nghiệp ở EU.
Ngoài ra, GDPR được tuyên truyền rộng rãi trên mạng internet, các nền tảng lớn. Do đó, điều này cũng gián tiếp nâng cao nhận thức về bảo vệ dữ liệu cá nhân không chỉ tại các nước EU mà còn ở nhiều quốc gia khác trên thế giới.
Việc áp dụng GDPR đã thúc đẩy các quốc gia khác ở nhiều khu vực trên thế giới xem xét làm theo. Đây thực sự là một xu hướng toàn cầu diễn ra từ Chile đến Hàn Quốc, Brazil, Nhật Bản, Kenya, Ấn Độ, Indonesia và bang California (Mỹ).
Còn tại Việt Nam, Chính phủ đã quyết nghị thông qua đề nghị xây dựng Nghị định bảo vệ dữ liệu cá nhân. Một trong những yêu cầu đặt ra với việc xây dựng Nghị định này là phải phù hợp với quy định của pháp luật một số quốc gia trên thế giới về bảo vệ dữ liệu cá nhân, trong đó có Quy định bảo vệ dữ liệu chung của Liên minh châu Âu (GDPR). Vì vậy, việc nghiên cứu, tham khảo những nội dung của GDPR sẽ là rất cần thiết trong quá trình tiếp tục xây dựng, hoàn thiện hệ thống pháp luật để thúc đẩy và bảo vệ hiệu quả hơn quyền về sự riêng tư nói chung, quyền về dữ liệu cá nhân nói riêng theo đúng tinh thần của Hiếp pháp năm 2013 và các điều ước quốc tế mà Việt Nam đã tham gia.
ThS. Vũ Bình Minh – Viện Nghiên cứu châu Âu