Luật GDPR mới có hiệu lực ngày hôm nay, ngày 25 tháng 5 năm 2018 và bao gồm bảo vệ dữ liệu và quyền riêng tư cho công dân EU, nhưng cũng áp dụng cho nhiều quốc gia khác theo nhiều cách khác nhau và vì tất cả các công ty khổng lồ đều là các tập đoàn đa quốc gia lớn, nó ảnh hưởng đến rất nhiều thứ mà bạn sử dụng hàng ngày.
Vấn đề GDPR đang cố gắng giải quyết: Các công ty đang thu thập và lạm dụng thông tin cá nhân của bạn
Kể từ buổi bình minh của internet, các công ty đã thu thập càng nhiều dữ liệu càng tốt trên bất cứ ai họ có thể. Thật đơn giản để thu thập thông tin đó, vì vậy không có lý do gì để họ không tích trữ nó.
Vấn đề là trong vài năm qua, rất nhiều công ty đã bị bắt không bảo vệ được - hoặc ngược đãi - thông tin cá nhân của bạn. Vụ bê bối Cambridge Analytica, nơi một nhà nghiên cứu sử dụng một bài kiểm tra Facebook để thu thập một lượng lớn dữ liệu trên hàng triệu người dùng Facebook và sau đó bán nó cho một công ty tư vấn, chỉ là ví dụ mới nhất. Việc Equifax hack năm ngoái đặc biệt tồi tệ vì thông tin bị rò rỉ có thể được sử dụng để mở thẻ tín dụng. Và đó chỉ là những vụ bê bối lớn. Rất nhiều công ty đã lạm dụng dữ liệu của bạn theo những cách nhỏ hơn, như bán nó cho các công ty quảng cáo của bên thứ ba.
EU đã có một cái nhìn mờ về tình hình và đang sử dụng GDPR để thử và sửa chữa nó. Theo luật mới, các công ty không bảo vệ đầy đủ dữ liệu người tiêu dùng hoặc lạm dụng dữ liệu đó theo bất kỳ cách nào đối mặt với tiền phạt rất lớn.
Dữ liệu cá nhân được coi là gì?
GDPR bảo vệ "dữ liệu cá nhân", có nghĩa là "bất kỳ thông tin nào liên quan đến một người tự nhiên được xác định hoặc nhận dạng" -và đó là một định nghĩa khá rộng. Trong thực tế, dữ liệu cá nhân nói chung sẽ bao gồm những thứ như:
- Dữ liệu tiểu sử như tên, địa chỉ, số điện thoại, số an sinh xã hội, v.v.
- Dữ liệu liên quan đến ngoại hình và hành vi thể chất của bạn như màu tóc, chủng tộc và chiều cao.
- Thông tin về giáo dục và lịch sử công việc của bạn như tiền lương, bằng đại học, GPA, ID thuế, v.v.
- Bất kỳ dữ liệu y tế hoặc di truyền nào.
- Những thứ như lịch sử cuộc gọi, tin nhắn cá nhân hoặc dữ liệu vị trí địa lý của bạn.
Đây là một danh sách hoàn chỉnh. Điều quan trọng là bất kỳ dữ liệu nào làm cho bạn có thể nhận dạng được số lượng. Trong một số trường hợp, màu tóc của bạn có thể là đủ. Ở những người khác, ngay cả tên đầy đủ của bạn - nếu đó là một cái gì đó phổ biến như Robert Smith - có thể không làm cho bạn có thể nhận dạng được.
GDPR làm gì?
GDPR cung cấp cho các cư dân EU đang thu thập dữ liệu cá nhân của họ - được gọi là “đối tượng dữ liệu” trong luật - tám quyền. Họ đang:
- Quyền được thông báo: Nếu một công ty đang thu thập dữ liệu, họ cần phải thông báo cho đối tượng dữ liệu những gì đang được thu thập, lý do tại sao dữ liệu được thu thập, nội dung được sử dụng, thời gian lưu giữ và liệu nó sẽ được chia sẻ với bên thứ ba hay không. Thông tin này không thể được chôn sâu trong một điều khoản dịch vụ mà không ai đọc; nó phải súc tích và bằng ngôn ngữ đơn giản.
- Quyền truy cập: Nếu họ yêu cầu, bất kỳ tổ chức nào có dữ liệu cá nhân về chủ đề dữ liệu đều phải cung cấp cho họ trong vòng một tháng.
- Quyền cải chính: Nếu một chủ đề dữ liệu phát hiện ra rằng một công ty có dữ liệu về chúng không chính xác, họ có thể yêu cầu nó được cập nhật. Các công ty có một tháng để tuân thủ.
- Quyền xóa: Một chủ đề dữ liệu có thể yêu cầu một công ty xóa bất kỳ dữ liệu nào được lưu giữ trong một số trường hợp nhất định. Ví dụ, nếu dữ liệu không còn cần thiết hoặc họ đang rút lại sự chấp thuận của họ cho nó để được sử dụng.
- Quyền hạn chế xử lý: Nếu một tổ chức không thể xóa dữ liệu của đối tượng dữ liệu - ví dụ: vì họ cần dữ liệu cho trường hợp pháp lý - thì họ có thể yêu cầu công ty giới hạn cách sử dụng dữ liệu đó.
- Quyền di chuyển dữ liệu: Các đối tượng dữ liệu có quyền lấy dữ liệu cá nhân của họ từ một dịch vụ và sử dụng nó với một dịch vụ khác.
- Quyền phản đối: Nếu dữ liệu được thu thập mà không có sự đồng ý nhưng vì lợi ích kinh doanh hợp pháp, vì lợi ích công cộng, hoặc bởi một cơ quan chính thức, đối tượng dữ liệu có thể phản đối. Tổ chức phải ngừng xử lý dữ liệu cho đến khi họ có thể chứng minh họ có lý do chính đáng để làm như vậy.
- Các quyền liên quan đến việc đưa ra quyết định tự động bao gồm lược tả: GDPR đưa vào các biện pháp bảo vệ địa điểm để các cá nhân có thể phản đối hoặc nhận được giải thích về các quyết định tự động ảnh hưởng đến họ và dữ liệu của họ.
Một phần quan trọng khác của quy định là các công ty phải có lý do hợp pháp để thu thập hoặc xử lý bất kỳ dữ liệu nào. Một trong những lý do hợp pháp là họ đã có được sự chấp thuận để sử dụng nó cho một mục đích cụ thể, nhưng có những người khác như họ cần nó để tuân thủ các nghĩa vụ pháp lý hoặc thu thập nó là vì lợi ích công cộng.
Như bạn có thể thấy, các quyền dành cho cư dân EU theo luật là khá rộng và buộc các công ty thu thập dữ liệu từ họ thực sự nghĩ về những gì họ đang thu thập và lý do tại sao.Những ngày xưa của chỉ thu thập tất cả mọi thứ họ có thể và hy vọng họ tìm thấy một sử dụng cho nó sau này đã biến mất ít nhất ở châu Âu. Đây là lý do tại sao hầu hết mọi dịch vụ bạn đã từng đưa ra địa chỉ email của bạn để liên lạc với bạn.
Những gì có rất nhiều công ty trong một fuss là các biện pháp trừng phạt cho không được tuân thủ GDPR là khá khắc nghiệt. Một tổ chức có thể bị phạt tới ‚Ǩ20 triệu hoặc 4% doanh thu hàng năm trên toàn thế giới của họ (tùy theo mức nào cao hơn) theo luật. Đối với những người như Amazon hay Google, số tiền này lên tới hàng tỷ đô la tiền phạt tiềm năng nếu họ xử lý sai các dữ liệu của cư dân EU.
GDPR có ý nghĩa gì đối với người Mỹ?
Trong suốt bài viết này, chúng tôi đã tập trung vào những quyền mà GDPR trao cho các cư dân EU vì một lý do đơn giản là đó là luật của EU. Nó thực sự không áp dụng cho công dân Mỹ, trừ khi họ cũng cư trú tại EU. Lý do bạn nhận được tất cả các email là hầu hết các công ty không có cách nào để nói với ai là một cư dân EU và không phải là người.
Tuy nhiên, điều này không có nghĩa là GDPR không ảnh hưởng đến bạn. Điều này khiến nhiều công ty đánh giá lại cách họ xử lý dữ liệu người tiêu dùng và một số người trong số họ đã bắt đầu nói về việc chuyển quyền GDPR cho người không phải là người EU. Và nó cũng đơn giản hơn cho các công ty để thực thi một bộ quy tắc duy nhất cho tất cả khách hàng trong nhiều trường hợp.
Ví dụ, Apple đã đưa ra một cổng riêng tư mới, nơi mọi người có thể tải xuống tất cả dữ liệu cá nhân của họ hoặc xóa tài khoản của họ, nói cách khác là cung cấp cho mọi người quyền truy cập và xóa. Hiện tại, chỉ có các tài khoản dựa trên EU mới có thể sử dụng nó, nhưng Apple dự định tung ra toàn thế giới trong vài tháng tới. Tương tự như vậy, Facebook đang lẩm bẩm về việc bảo vệ GDPR cho một số người dùng bên ngoài EU.
