GDPR

Hướng dẫn tuân thủ dữ liệu của Liên minh Châu Âu

1. Tổng quan về luật bảo vệ dữ liệu cá nhân của Liên minh Châu Âu

Liên minh Châu Âu đã ban hành Quy định chung về bảo vệ dữ liệu (GDPR) vào năm 2016 và có hiệu lực vào năm 2018. GDPR nhằm mục đích bảo vệ quyền riêng tư và quyền bảo vệ dữ liệu của tất cả các cá nhân trong Liên minh Châu Âu. GDPR áp dụng cho tất cả các doanh nghiệp và tổ chức xử lý dữ liệu cá nhân, bất kể vị trí địa lý của họ, miễn là các hoạt động xử lý dữ liệu của họ liên quan đến dữ liệu cá nhân của công dân Liên minh Châu Âu.

（一）Định nghĩa liên quan

1. Người kiểm soát dữ liệu là thể nhân, pháp nhân, cơ quan công quyền, cơ quan hành chính hoặc tổ chức phi pháp nhân có thể tự mình hoặc phối hợp quyết định mục đích và phương thức xử lý dữ liệu cá nhân, chịu trách nhiệm quyết định mục đích và phương thức xử lý dữ liệu cá nhân, tuy nhiên các tiêu chuẩn cụ thể phải tuân theo luật pháp của Liên minh Châu Âu hoặc các quốc gia thành viên.

2. Người xử lý dữ liệu là thể nhân, pháp nhân, cơ quan công quyền, cơ quan hành chính hoặc tổ chức phi pháp nhân xử lý dữ liệu cá nhân cho người kiểm soát dữ liệu. Tuy nhiên, đôi khi khó xác định một thực thể thuộc về người kiểm soát dữ liệu hay người xử lý dữ liệu.

3、Dữ liệu cá nhân là bất kỳ thông tin nào liên quan đến một thể nhân đã được xác định hoặc có thể xác định được (“chủ thể dữ liệu”). GDPR mở rộng phạm vi của dữ liệu cá nhân. Theo phạm vi được xác định bởi GDPR, dữ liệu cá nhân cũng bao gồm dấu vân tay kỹ thuật số (ví dụ: địa chỉ IP và Cookie). Ngoài ra, dữ liệu gen hoặc dữ liệu sinh trắc học cũng được bao gồm trong phạm vi của “dữ liệu nhạy cảm”.

4、GDPR nêu rõ rằng dữ liệu nhạy cảm cá nhân phải được bảo vệ nghiêm ngặt, những dữ liệu này bao gồm: nguồn gốc chủng tộc và dân tộc của một cá nhân, quan điểm chính trị, tín ngưỡng tôn giáo và triết học, thành viên công đoàn, dữ liệu gen, dữ liệu sinh trắc học, dữ liệu sức khỏe, thông tin về đời sống tình dục hoặc khuynh hướng tình dục và thông tin về hồ sơ tội phạm. Và các tổ chức y tế thường phải đáp ứng các tiêu chuẩn cao hơn về yêu cầu bảo vệ dữ liệu.

1. Nội dung chính

（一）Doanh nghiệp cần tuân theo các bước sau khi thực hiện tuân thủ GDPR:

（1）Kiểm toán dữ liệu: Kiểm toán các hoạt động xử lý dữ liệu hiện có để đảm bảo hiểu rõ nguồn gốc, mục đích sử dụng và thời gian lưu trữ của dữ liệu cá nhân.

（2）Cập nhật chính sách bảo mật: Cập nhật chính sách bảo mật để đảm bảo nội dung của chính sách tuân thủ các yêu cầu của GDPR, đồng thời thông báo rõ ràng cho người dùng về cách dữ liệu của họ được xử lý.

（3）Thiết lập cơ chế tuân thủ: Thiết lập hệ thống quản lý bảo vệ dữ liệu để đảm bảo rằng tất cả các hoạt động xử lý dữ liệu tuân theo các nguyên tắc của GDPR.

（4）Đào tạo nhân viên: Đào tạo nhân viên về kiến thức liên quan đến GDPR và bảo vệ dữ liệu để nâng cao nhận thức về tuân thủ của họ.

Giám sát và xem xét: Thường xuyên giám sát các hoạt động xử lý dữ liệu để đảm bảo tuân thủ liên tục các yêu cầu của GDPR.

2. Khi nào việc xử lý dữ liệu cá nhân là hợp pháp

Theo Điều 6 của GDPR, việc xử lý dữ liệu cá nhân phải tuân thủ sáu cơ sở pháp lý sau:

（1）Chủ thể dữ liệu đồng ý cho phép xử lý dữ liệu cá nhân của họ cho một hoặc nhiều mục đích cụ thể;

（2） Việc xử lý là cần thiết để thực hiện hợp đồng mà chủ thể dữ liệu tham gia, hoặc việc xử lý là do các biện pháp được thực hiện theo yêu cầu của chủ thể dữ liệu trước khi ký kết hợp đồng;

（3）Việc xử lý là cần thiết để tuân thủ nghĩa vụ pháp lý mà người kiểm soát phải tuân theo;

（4）Việc xử lý là cần thiết để bảo vệ lợi ích sống còn của chủ thể dữ liệu hoặc một thể nhân khác;

（5）Việc xử lý là cần thiết để thực hiện nhiệm vụ vì lợi ích công cộng hoặc thực hiện quyền lực công được giao cho người kiểm soát;

（6）Việc xử lý là cần thiết cho mục đích lợi ích hợp pháp của người kiểm soát hoặc bên thứ ba, trừ khi lợi ích đó bị ghi đè bởi lợi ích hoặc các quyền và tự do cơ bản của chủ thể dữ liệu yêu cầu bảo vệ dữ liệu cá nhân, đặc biệt là trong trường hợp chủ thể dữ liệu là trẻ em. (Lưu ý: Điều này không áp dụng cho việc xử lý do các cơ quan chính phủ thực hiện khi thực hiện nhiệm vụ của mình)

Việc có được sự đồng ý trước là điều kiện tiên quyết quan trọng nhất để các công ty xử lý hợp pháp dữ liệu cá nhân của công dân EU. Ví dụ: khi đối mặt với việc tuân thủ GDPR, Facebook nên cố gắng có được sự đồng ý thay vì tuân thủ nguyên tắc tối thiểu hóa dữ liệu.

Việc có được sự đồng ý phải có thể chứng minh được, phải được phân biệt rõ ràng với các vấn đề khác và có thể thu hồi. Điều đáng chú ý là việc xử lý dữ liệu nhạy cảm phải có được sự đồng ý rõ ràng. Sự đồng ý mơ hồ hoặc “trọn gói” đều bị coi là không hợp lệ. Các công ty phải trình bày cho chủ thể dữ liệu các tuyên bố bằng ngôn ngữ dễ hiểu để họ lựa chọn có đồng ý cho bên kia xử lý dữ liệu cá nhân hay không. Do đó, ít nhất về mặt lý thuyết, các yêu cầu đồng ý không rõ ràng, đầy thuật ngữ và dài hạn sẽ không còn tồn tại.

Ngoài ra, im lặng, đánh dấu trước hoặc không chủ động đều không cấu thành sự đồng ý hợp lệ. Khi người dùng cần đánh dấu hoặc đồng ý qua điện thoại, đây là một lựa chọn rõ ràng.

Trẻ vị thành niên dưới 16 tuổi không có quyền đồng ý hợp pháp, nhưng các quốc gia thành viên EU có thể nới lỏng giới hạn độ tuổi này xuống 13 tuổi.

（二）Truyền dữ liệu cá nhân xuyên biên giới

1、Chuyển giao nội bộ EU

Trong trường hợp truyền dữ liệu cá nhân trong nội bộ EU, GDPR không áp đặt bất kỳ yêu cầu bổ sung nào đối với khả năng áp dụng trực tiếp của GDPR. Tuy nhiên, khi bộ điều khiển thuê bộ xử lý, mối quan hệ giữa bộ điều khiển dữ liệu và bộ xử lý dữ liệu cần được kiểm soát bằng một thỏa thuận và phải tuân thủ các tiêu chuẩn tối thiểu do GDPR quy định trong những trường hợp này. Thỏa thuận giữa bộ xử lý và bộ xử lý (Điều 28 của GDPR) quy định chủ đề và thời gian xử lý, bản chất và mục đích của việc xử lý, loại dữ liệu cá nhân và danh mục chủ thể dữ liệu, cũng như nghĩa vụ và quyền của bộ điều khiển.

2. Truyền dữ liệu ngoài EU: Các bước tuân thủ GDPR

Đối với việc truyền dữ liệu ngoài EU, GDPR dự kiến các tình huống cụ thể mà việc truyền dữ liệu như vậy có thể diễn ra. Đặc biệt, các tổ chức tham gia vào việc truyền dữ liệu cá nhân ngoài EU sẽ cần xác minh.

Ủy ban Châu Âu có quyết định đầy đủ hay không và nếu không, thì cung cấp các biện pháp bảo đảm bổ sung thông qua thỏa thuận hợp đồng.

(1) Ủy ban Châu Âu có thể đưa ra các quyết định về mức độ bảo vệ dữ liệu của các quốc gia/khu vực ngoài EU (ví dụ: Lá chắn bảo vệ quyền riêng tư EU-Hoa Kỳ). Các quyết định này dựa trên đánh giá toàn diện về việc liệu quốc gia thứ ba có các biện pháp bảo vệ pháp lý về bảo vệ dữ liệu đầy đủ tương đương với EU hay không. Kết quả của quyết định đầy đủ là loại bỏ mọi rào cản đối với việc truyền dữ liệu từ EU (cũng như Na Uy, Liechtenstein và Iceland) sang quốc gia thứ ba đó mà không cần bất kỳ yêu cầu bảo vệ dữ liệu nào khác.

(2) Việc chuyển giao phải tuân thủ các biện pháp bảo vệ thích hợp

Nếu quốc gia thứ ba không thuộc phạm vi của quyết định đầy đủ, thì các tổ chức EU nên xem xét một trong các phương pháp thay thế sau:

1) Các điều khoản hợp đồng tiêu chuẩn. Ủy ban Châu Âu cũng có thể áp dụng các điều khoản hợp đồng tiêu chuẩn để tạo điều kiện cho các bên kiểm soát dữ liệu của EU cung cấp đủ các biện pháp bảo vệ dữ liệu khi truyền dữ liệu cá nhân cho các bên kiểm soát hoặc xử lý dữ liệu ngoài EU. Cho đến nay, Ủy ban Châu Âu đã ban hành hai bộ điều khoản hợp đồng tiêu chuẩn: dữ liệu được chuyển từ bên kiểm soát EU sang bên kiểm soát ngoài EU hoặc EEA và dữ liệu được chuyển từ bên kiểm soát EU sang bên xử lý ngoài EU hoặc EEA. Các cơ quan bảo vệ dữ liệu cũng có thể áp dụng các điều khoản mẫu. Tuy nhiên, các điều khoản này cần được Ủy ban phê duyệt. Cuối cùng nhưng không kém phần quan trọng, việc chuyển giao xuyên biên giới cũng có thể được thực hiện theo các điều khoản hợp đồng tạm thời được thỏa thuận giữa người xuất khẩu và người nhập khẩu dữ liệu, các điều khoản này phải được DPA có thẩm quyền phê duyệt.

2) Quy tắc ràng buộc của công ty (BCR). Nếu dữ liệu cá nhân được chuyển từ một thực thể công ty sang một thực thể công ty khác (không xem xét khu vực), thì việc truyền dữ liệu sẽ được thực hiện theo Quy tắc ràng buộc của công ty (BRC). Quy tắc ràng buộc của công ty là các quy tắc ràng buộc về mặt pháp lý được cơ quan quản lý có thẩm quyền phê duyệt, quy định việc truyền và xử lý dữ liệu cá nhân nội bộ của một nhóm doanh nghiệp hoặc một nhóm doanh nghiệp tham gia vào một hoạt động kinh tế chung và nhân viên của họ (bao gồm cả những người nằm ngoài EU lãnh thổ. So với các điều khoản hợp đồng tiêu chuẩn, ưu điểm của BCR là sau khi được cơ quan bảo vệ dữ liệu phê duyệt, tất cả các lần chuyển giao nội bộ nhóm trong tương lai có thể được thực hiện mà không cần bất kỳ yêu cầu bổ sung nào, bất kể khu vực.

Các biện pháp bảo đảm bổ sung Ngoài các lựa chọn trên, GDPR còn giới thiệu hai công cụ đầy đủ thay thế để truyền dữ liệu: cơ chế chứng nhận được phê duyệt và quy tắc ứng xử được phê duyệt. Cả hai cơ chế đều cho phép truyền dữ liệu, miễn là người nhập dữ liệu đưa ra cam kết ràng buộc và có thể thi hành để áp dụng các biện pháp bảo vệ thích hợp cho việc bảo vệ dữ liệu.

(3) Miễn trừ truyền dữ liệu

Trong nhiều trường hợp, việc truyền dữ liệu cá nhân có thể được thực hiện mà không cần các cơ chế truyền dữ liệu nói trên. Các tình huống này bị hạn chế và bao gồm các tình huống sau:

1. Chủ thể dữ liệu đồng ý rõ ràng;

2. Việc chuyển giao là cần thiết để ký kết hoặc thực hiện hợp đồng;

3. Có những lý do quan trọng vì lợi ích công cộng;

4. Cần thiết để thiết lập, thực hiện hoặc bảo vệ các yêu cầu pháp lý;

5. Cần thiết cho lợi ích sống còn của chủ thể dữ liệu hoặc người khác;

6. Nó liên quan đến dữ liệu đăng ký công khai;

Ngoài ra, GDPR giới thiệu các giới hạn mới đối với việc chuyển giao không lặp lại liên quan đến một số lượng hạn chế các chủ thể dữ liệu, cụ thể là sự suy giảm. Việc chuyển giao được cho phép khi không có cơ sở pháp lý nào khác, khi nó phục vụ lợi ích hợp pháp của nhà xuất khẩu dữ liệu bắt buộc mà không bị ghi đè bởi lợi ích hợp pháp của chủ thể dữ liệu và nhà xuất khẩu cung cấp đủ biện pháp bảo vệ cho dữ liệu được chuyển giao. Trong trường hợp này, nhà xuất khẩu phải thông báo cho cơ quan bảo vệ dữ liệu và chủ thể dữ liệu có liên quan về các trường hợp liên quan đến việc chuyển giao.