Đối tượng áp dụng và các nguyên tắc cơ bản của GDPR

Trong thời đại số hóa hiện nay, việc bảo vệ dữ liệu cá nhân đã trở thành một vấn đề cấp thiết đối với mọi doanh nghiệp, bất kể quy mô hay vị trí địa lý. Quy định Bảo vệ Dữ liệu Chung (GDPR) của Liên minh Châu Âu không chỉ áp dụng cho các công ty trong EU mà còn ảnh hưởng đến bất kỳ tổ chức nào xử lý dữ liệu của công dân EU. Điều này có nghĩa là ngay cả các doanh nghiệp Việt Nam hay doanh nghiệp nhỏ cũng cần phải nhận thức và tuân thủ GDPR nếu họ có khách hàng hoặc đối tác tại EU.

1. Giới thiệu nhanh về GDPR

Quy định Bảo vệ Dữ liệu Chung (GDPR) là một văn bản quan trọng trong lĩnh vực bảo vệ dữ liệu và quyền riêng tư trên toàn cầu. Được Liên minh Châu Âu (EU) thông qua vào năm 2016 và chính thức có hiệu lực từ ngày 25 tháng 5 năm 2018, GDPR đánh dấu một bước tiến đáng kể trong việc cập nhật và thống nhất các quy định về bảo vệ dữ liệu trên toàn EU. Mục tiêu chính của GDPR là tăng cường quyền kiểm soát của cá nhân đối với dữ liệu cá nhân của họ và đơn giản hóa môi trường pháp lý cho các doanh nghiệp hoạt động trong khu vực. 

GDPR được xây dựng trên nền tảng của Chỉ thị Bảo vệ Dữ liệu 1995 của EU, nhưng đã mở rộng phạm vi để phù hợp với kỷ nguyên kỹ thuật số hiện đại. Quy định này đưa ra một loạt các nguyên tắc và quyền cũng như nghĩa vụ mới, bao gồm quyền được quên (right to be forgotten), quyền truy cập dữ liệu, và yêu cầu về thông báo vi phạm dữ liệu. 

Tính phức tạp của GDPR thể hiện ở việc nó áp dụng cho mọi tổ chức xử lý dữ liệu của công dân EU, bất kể tổ chức đó đặt trụ sở ở đâu. Điều này đã tạo ra một tác động toàn cầu, buộc các doanh nghiệp trên khắp thế giới phải xem xét lại và cải thiện các công việc bảo vệ dữ liệu của họ. Hơn nữa, GDPR đưa ra các hình phạt nghiêm khắc cho việc không tuân thủ, với mức phạt có thể lên tới 4% doanh thu hàng năm toàn cầu hoặc 20 triệu euro, tùy theo mức nào cao hơn. 

Một số vụ vi phạm GDPR điển hình cần tham khảo: 

• Meta (Facebook): Bị phạt 1,2 tỷ euro vào năm 2023 do chuyển dữ liệu người dùng EU sang Mỹ mà không có biện pháp bảo vệ đầy đủ. 

• Amazon: Phạt 746 triệu euro năm 2021 vì vi phạm quy định về quảng cáo và theo dõi người dùng. 

• WhatsApp: Bị phạt 225 triệu euro năm 2021 do thiếu minh bạch trong việc xử lý dữ liệu cá nhân. 

• Google: Phạt 50 triệu euro năm 2019 vì thiếu sự đồng thuận hợp lệ trong quảng cáo cá nhân hóa. 

• H&M: Bị phạt 35 triệu euro năm 2020 do giám sát quá mức nhân viên. 

Các vụ việc này nhấn mạnh tầm quan trọng của việc tuân thủ nghiêm ngặt GDPR, đặc biệt trong các lĩnh vực như chuyển dữ liệu quốc tế, minh bạch trong xử lý dữ liệu, và đảm bảo sự đồng thuận hợp lệ từ người dùng. 

2. Các đối tượng cần tuân thủ GDPR

GDPR đã mở rộng đáng kể phạm vi của quy định bảo vệ dữ liệu của EU, bao gồm các đối tượng sau: 

• Các tổ chức có cơ sở hiện diện (“establishment”) tại EU xử lý dữ liệu cá nhân sẽ thuộc phạm vi điều chỉnh của GDPR khi việc xử lý dữ liệu diễn ra trong bối cảnh hoạt động của họ ( “in the context of the activities”). Cách diễn giải về “bối cảnh hoạt động” được hiểu khá rộng, và tiêu chuẩn để được coi là một “cơ sở hiện diện” tương đối thấp. 

• Ngay cả khi không có sự hiện diện tại EU, GDPR vẫn áp dụng với các tổ chức sau:  

• Tổ chức thực hiện xử lý dữ liệu cá nhân của công dân EU liên quan đến việc cung cấp hàng hóa hoặc dịch vụ cho họ. 

• Tổ chức thực hiện xử lý dữ liệu cá nhân của công dân EU để theo dõi (”monitor”) hành vi của các cá nhân trong EU. 

Việc xác định liệu một tổ chức có thuộc các trường hợp này hay không sẽ rất phức tạp. Do đó, Ủy ban Bảo vệ Dữ liệu Châu Âu cũng đã ban hành hướng dẫn chi tiết cho các trường hợp cụ thể, mà các bên liên quan nên xem xét kỹ lưỡng để đảm bảo tuân thủ. 

Một vài hướng dẫn quan trọng bao gồm: 

• Khái niệm “cơ sở hiện diện” (“establishment”) đã được Tòa án Công lý Châu Âu (CJEU) xem xét trong vụ án Weltimmo v NAIH (C-230/14) năm 2015. Phán quyết này xác nhận rằng “cơ sở hiện diện” (“establishment”) là một thuật ngữ được diễn giải “rộng” và “linh hoạt”, không phụ thuộc vào hình thức pháp lý. Một tổ chức có thể được coi là có “cơ sở hiện diện” tại EU nếu họ thực hiện “bất kỳ hoạt động thực tế và hiệu quả nào – ngay cả ở mức tối thiểu” thông qua “các sắp xếp ổn định” (”stable arrangements”) trong EU. Thậm chí, sự hiện diện của một đại diện duy nhất cũng có thể đủ để được coi là có cơ sở hiện diện theo GDPR. 

• Đối với việc cung cấp hàng hóa và dịch vụ (không bao gồm hoạt động theo dõi), tổ chức cần thể hiện rõ “ý định” hướng các hoạt động của mình đến chủ thể dữ liệu tại EU. Theo đó, việc chỉ đơn thuần có thể truy cập trang web từ EU là chưa đủ để áp dụng GDPR. 

• Khác với việc cung cấp hàng hóa và dịch vụ, hoạt động theo dõi (”monitoring”) không nhất thiết phải có dấu hiệu rõ ràng về ý định của tổ chức thực hiện. Tuy nhiên, hướng dẫn của EDPB chỉ ra rằng “việc sử dụng từ ‘theo dõi’ ngụ ý rằng bên kiểm soát dữ liệu có một mục đích cụ thể khi thu thập và sau đó tái sử dụng các dữ liệu liên quan về hành vi của cá nhân trong EU”. Điều này có nghĩa là bất kỳ hoạt động nào nhằm phân tích hoặc dự đoán hành vi của người dùng EU, dù có chủ ý hay không, đều có thể được coi là hoạt động “theo dõi” và do đó phải tuân thủ theo GDPR. 

Tuy nhiên, GDPR cũng đề cập đến các trường hợp ngoại lệ mà không cần tuân thủ quy định của GDPR, một số trường hợp bao gồm: 

• Đối với các hoạt động nằm ngoài phạm vi điều chỉnh của luật pháp EU (ví dụ: các hoạt động liên quan đến an ninh quốc gia); 

• Liên quan đến chính sách đối ngoại và an ninh chung của EU; 

• Được thực hiện bởi các cơ quan có thẩm quyền với mục đích ngăn chặn, điều tra, phát hiện hoặc truy tố tội phạm và các vấn đề liên quan; 

• Được thực hiện bởi cá nhân hoặc như một phần của “hoạt động thuần túy cá nhân hoặc gia đình”. 

3. Các nguyên tắc bảo vệ dữ liệu cá nhân theo GDPR 

GDPR đặt ra một loạt các nguyên tắc và yêu cầu quan trọng về bảo vệ dữ liệu cá nhân mà các doanh nghiệp phải tuân thủ. Việc thực hiện các yêu cầu này đòi hỏi sự đầu tư đáng kể về thời gian, nguồn lực và cam kết từ phía doanh nghiệp. 

Một số nguyên tắc xuyên suốt mà GDPR đặt ra bao gồm: 

• Dữ liệu cá nhân phải được xử lý một cách hợp pháp, công bằng và minh bạch đối với chủ thể dữ liệu. Điều này đòi hỏi các tổ chức phải có cơ sở pháp lý rõ ràng cho việc xử lý dữ liệu, đảm bảo quy trình xử lý công bằng và cung cấp thông tin đầy đủ, dễ hiểu cho người dùng về cách thức dữ liệu của họ được sử dụng. 

• Doanh nghiệp chỉ được phép thu thập dữ liệu cần thiết cho mục đích cụ thể đã nêu và không được lưu trữ dữ liệu lâu hơn mức cần thiết. Thực hiện điều này đòi hỏi một hệ thống quản lý dữ liệu hiệu quả, có khả năng theo dõi vòng đời của dữ liệu và tự động xóa khi không còn cần thiết. 

• Doanh nghiệp phải đảm bảo tính chính xác của dữ liệu và cho phép chủ thể dữ liệu thực hiện các quyền của họ, như quyền truy cập, sửa đổi và xóa dữ liệu. Việc triển khai các quy trình để đáp ứng yêu cầu này có thể tốn kém và phức tạp, đặc biệt khi dữ liệu được lưu trữ trên nhiều hệ thống khác nhau. 

• Nghĩa vụ bảo vệ dữ liệu khỏi các rủi ro như mất mát, truy cập trái phép hoặc tiết lộ. 

• Doanh nghiệp phải lưu giữ hồ sơ chi tiết về các hoạt động xử lý dữ liệu và thực hiện đánh giá tác động bảo vệ dữ liệu (DPIA) khi cần thiết. 

Việc tuân thủ GDPR không chỉ là một yêu cầu pháp lý mà còn là cơ hội để nâng cao uy tín và xây dựng lòng tin với khách hàng. Bằng cách áp dụng các biện pháp bảo vệ dữ liệu nghiêm ngặt, doanh nghiệp có thể tạo ra lợi thế cạnh tranh, đặc biệt trong bối cảnh người tiêu dùng ngày càng quan tâm đến quyền riêng tư của họ. 

Bài viết liên quan:

1/ Bảo vệ dữ liệu cá nhân trong dự thảo nghị định mới

2/ Bảo Vệ Thông Tin Người Tiêu Dùng Theo Quy Định Của Pháp Luật Việt Nam

3/ Các Vấn Đề Pháp Lý Liên Quan Đến Cam Đoan, Cam Kết, Thư Tiết Lộ Trong Giao Dịch M&A

Chia sẻ: