Kể từ ngày 25 tháng 5 năm 2018,CácQuy định chung về bảo vệ dữ liệu(GDPR)các quy tắc có hiệu lực đầy đủ trênLiên minh Châu Âu (EU). Luật GDPR đã thiết lập các hướng dẫn về cách thu thập, xử lý và sử dụng thông tin cá nhân, đồng thời quy định quyền kiểm soát những gì được sử dụng. Xóa lịch sử tìm kiếm trên Chrome là một chuyện, nhưng GDPR không chỉ là một tùy chọn bảo mật đơn thuần. GDPR cũng ảnh hưởng đến tất cả các quốc gia xử lý dữ liệu cá nhân của các cá nhân trong Liên minh Châu Âu. Tiền phạt là quá lớn cho những người không tuân thủ GDPR đúng cách. Điểm mấu chốt là GDPR bảo vệ cư dân EU và cho họ quyền kiểm soát thông tin mà một người hoặc công ty giữ lại và sử dụng.
Các Vụ bê bối của Facebook và Cambridge Analytica năm 2018 đã đưa các khái niệm về quảng cáo được cá nhân hóa và thu thập dữ liệu vào tầm nhìn, đồng thời nó nêu bật sự nguy hiểm của những phương thức như vậy. Tóm lại, công ty phân tích của Anh, Cambridge Analytica, đã bị cáo buộc thu thập dữ liệu từ hàng triệu tài khoản Facebook mà không có sự đồng ý của người dùng và không biết để ảnh hưởng đến thói quen bỏ phiếu trong Cuộc bầu cử Tổng thống năm 2016.
Nguồn: Chưa chỉnh sửa, Flickr: Danh mục sách thông qua www.shopcatalog.com , CC BY-SA 2.0
Vụ bê bối Cambridge Analytica + Facebook thậm chí có thể đóng một vai trò trong cuộc bỏ phiếu Brexit. Facebook bị cáo buộc đã mở ra cánh cửa để có thể thực hiện một sự phản bội lòng tin thô bạo như vậy.
Mặc dù được thiết lập để quản lý cách các doanh nghiệp xử lý dữ liệu, GDPR nhằm mục đích bảo vệ bất kỳ ai sử dụng web. Nếu bạn mua sắm trực tuyến, cho phép cookie trên các trang web, đăng ký mạng xã hội và thậm chí đăng ký nhận bản tin, các quy định mới sẽ ảnh hưởng trực tiếp đến bạn và cách bạn duyệt web. Nếu bạn từng chia sẻ dữ liệu cá nhân với một người hoặc công ty khác, GDPR sẽ đóng một vai trò trong cách dữ liệu được sử dụng.
Đây là mọi thứ bạn cần biết.
GDPR là gì?
Nguồn: https://gdpr.eu/
của EU Quy định chung về bảo vệ dữ liệu (GDPR) kết quả từ bốn năm làm việc của Liên minh Châu Âu để đưa luật bảo vệ dữ liệu phù hợp với các cách thức sử dụng dữ liệu mới chưa lường trước được trước đây.
Vương quốc Anh đã dựa vào Đạo luật Bảo vệ Dữ liệu 1998, được ban hành sau Chỉ thị Bảo vệ Dữ liệu của Liên minh Châu Âu năm 1995, nhưng luật mới sẽ thay thế điều này. GDPR đưa ra các khoản tiền phạt nghiêm ngặt hơn đối với việc không tuân thủ và vi phạm, đồng thời cho mọi người biết thêm về những gì các công ty có thể làm với dữ liệu của họ. Nó cũng làm cho các quy tắc bảo vệ dữ liệu ít nhiều giống hệt nhau trên toàn EU.
Tại sao GDPR được soạn thảo?
Các động lực đằng sau GDPR gấp đôi.
cách cài đặt ứng dụng trên smart tv vizio từ usb
Đầu tiên , EU muốn cung cấp cho mọi người nhiều quyền kiểm soát hơn đối với cách dữ liệu của họ được sử dụng. Nhiều công ty như Facebook và Google hoán đổi quyền truy cập vào dữ liệu của mọi người để sử dụng dịch vụ của họ. Luật hiện hành được ban hành trước khi internet và công nghệ đám mây tạo ra những cách khai thác dữ liệu mới và GDPR tìm cách giải quyết vấn đề đó. Bằng cách tăng cường luật bảo vệ dữ liệu và đưa ra các biện pháp thực thi chặt chẽ hơn, EU hy vọng sẽ cải thiện niềm tin vào nền kinh tế kỹ thuật số mới nổi.
Thứ hai , EU muốn cung cấp cho các doanh nghiệp một môi trường pháp lý đơn giản hơn, rõ ràng hơn để hoạt động, làm cho luật bảo vệ dữ liệu đồng nhất trên toàn thị trường (EU ước tính điều này sẽ tiết kiệm cho các công ty 2,6 tỷ tập thể mỗi năm).
GDPR có hiệu lực khi nào?
GDPR có hiệu lực vào ngày 25 tháng 5 năm 2018. Vì GDPR là một quy định, không phải là chỉ thị, nên Vương quốc Anh không cần phải đưa ra luật mới. Thay vào đó, các luật được áp dụng tự động. Quy định thực sự bắt đầu vào ngày 24 tháng 5 năm 2016, khi tất cả các bộ phận của EU đồng ý với văn bản cuối cùng. Tuy nhiên, các doanh nghiệp và tổ chức vẫn phải áp dụng luật cho đến ngày 25 tháng 5 năm 2018.
GDPR áp dụng cho ai? 
Bộ điều khiển và bộ xử lý dữ liệu cần tuân theo GDPR. Bộ kiểm soát dữ liệu nêu cách thức và lý do dữ liệu cá nhân được xử lý, trong khi bộ xử lý là một bên thực hiện việc xử lý dữ liệu thực tế. Vì vậy, người kiểm soát có thể là bất kỳ tổ chức nào, từ công ty tìm kiếm lợi nhuận đến tổ chức từ thiện hoặc thậm chí là chính phủ. Một bộ xử lý có thể là một công ty CNTT thực hiện việc xử lý dữ liệu thực tế.
Như đã đề cập trước đó, nhưng rất quan trọng, bộ kiểm soát và bộ xử lý có trụ sở bên ngoài EU sẽ vẫn yêu cầu tuân thủ GDPR khi xử lý dữ liệu thuộc về các cư dân EU.
Bên kiểm soát có trách nhiệm đảm bảo bộ xử lý của họ tuân thủ luật bảo vệ dữ liệu và bản thân bên xử lý phải tuân thủ các quy tắc để duy trì hồ sơ về hoạt động xử lý của họ. Nếu các bộ xử lý có liên quan đến vi phạm dữ liệu, thì họ phải chịu trách nhiệm pháp lý theo GDPR cao hơn nhiều so với theo Đạo luật bảo vệ dữ liệu.
Làm cách nào để tôi đồng ý theo GDPR?
Sự đồng ý phải là một hành động chủ động, khẳng định của chủ thể dữ liệu, chứ không phải là sự chấp nhận thụ động theo một số mô hình hiện tại cho phép đánh dấu trước hoặc chọn không tham gia.
Kiểm soát viên phải ghi lại cách thức và thời điểm một cá nhân đồng ý và các cá nhân đó có thể rút lại sự đồng ý của mình bất cứ khi nào họ muốn. Nếu mô hình hiện tại của bạn để lấy sự đồng ý không đáp ứng các quy tắc mới này, bạn sẽ phải tăng tốc hoặc ngừng thu thập dữ liệu theo mô hình đó.
Dữ liệu nào được coi là dữ liệu cá nhân theo GDPR?
EU đã mở rộng đáng kể định nghĩa về dữ liệu cá nhân theo GDPR. Để phản ánh các loại dữ liệu mà các tổ chức hiện thu thập về con người, số nhận dạng trực tuyến như địa chỉ IP đủ điều kiện là dữ liệu cá nhân . Dữ liệu khác, chẳng hạn như thông tin kinh tế, văn hóa và sức khỏe tâm thần, cũng được coi là thông tin nhận dạng cá nhân .
Dữ liệu cá nhân giả danh cũng có thể tuân theo các quy tắc GDPR, tùy thuộc vào mức độ dễ dàng hay khó xác định đó là dữ liệu của ai.
cách mở tệp .psd
Bất kỳ thứ gì được coi là dữ liệu cá nhân theo Đạo luật bảo vệ dữ liệu cũng đủ điều kiện là dữ liệu cá nhân theo GDPR.
Khi nào tôi có thể truy cập dữ liệu công ty lưu trữ về tôi?
Bạn có thể yêu cầu quyền truy cập vào những khoảng thời gian hợp lý và bộ điều khiển thường phải trả lời trong vòng một tháng. GDPR yêu cầu bộ kiểm soát và bộ xử lý phải minh bạch về cách họ thu thập dữ liệu, họ làm gì với dữ liệu đó và cách họ xử lý dữ liệu đó. Các giải thích phải rõ ràng (sử dụng ngôn ngữ đơn giản) trong việc mô tả các chính sách và quy trình dữ liệu cho bạn.
Bạn có quyền truy cập vào bất kỳ thông tin nào mà một công ty nắm giữ về bạn , và quyền được biết tại sao dữ liệu đó đang được xử lý , nó được lưu trữ trong bao lâu , và ai được xem nó . Khi có thể, bộ điều khiển dữ liệu nên cung cấp quyền truy cập trực tiếp, an toàn để mọi người xem xét thông tin mà bộ điều khiển lưu trữ về họ.
Bạn cũng có thể yêu cầu dữ liệu đó, nếu không chính xác hoặc không đầy đủ, để được chỉnh sửa bất cứ khi nào bạn muốn.
Quyền bị lãng quên của GDPR là gì? 
Bạn có quyền yêu cầu xóa dữ liệu của mình nếu dữ liệu đó không còn cần thiết cho mục đích được thu thập. Kịch bản này được gọi là quyền được lãng quên.Theo quy tắc này, bạn có thể yêu cầu dữ liệu của bạn bị xóa nếu bạn đã rút lại sự đồng ý cho phép thu thập dữ liệu đó hoặc phản đối cách nó được xử lý.
Người kiểm soát có trách nhiệm thông báo cho các tổ chức khác (ví dụ: Google) xóa bất kỳ liên kết nào đến các bản sao dữ liệu và chính các bản sao đó.
Điều gì xảy ra nếu tôi muốn di chuyển dữ liệu của mình sang nơi khác?
Người kiểm soát hiện phải lưu trữ thông tin của mọi người ở các định dạng thường được sử dụng (chẳng hạn như tệp CSV) để di chuyển dữ liệu của một người sang tổ chức khác (miễn phí) nếu người đó yêu cầu. Kiểm soát viên phải thực hiện việc này trong vòng một tháng.
Điều gì sẽ xảy ra nếu một công ty bị vi phạm dữ liệu?
Công ty có trách nhiệm thông báo cho cơ quan bảo vệ dữ liệu về bất kỳ vi phạm dữ liệu nào có nguy cơ gây rủi ro cho quyền và tự do của mọi người trong vòng 72 giờ kể từ khi tổ chức biết được điều đó. Cơ quan có thẩm quyền của Vương quốc Anh là Văn phòng Ủy viên Thông tin. Ủy viên Thông tin Elizabeth Denham tin rằng chính quyền cần thêm nguồn lực để đối phó với việc kiểm soát GDPR và phản hồi các tổ chức thông báo về vi phạm. Vào tháng 3 năm 2017, bà nói với Tiểu ban Nội vụ EU rằng cần phải có thêm kinh phí để tuyển dụng và giữ chân những người có kỹ năng.
Thời hạn đó đủ chặt chẽ để có nghĩa là các công ty có thể sẽ không biết mọi chi tiết của một vi phạm cho đến khi phát hiện ra nó. Tuy nhiên, liên hệ ban đầu của họ với cơ quan bảo vệ dữ liệu của họ nên phác thảo bản chất của dữ liệu bị ảnh hưởng , khoảng bao nhiêu người bị ảnh hưởng , hậu quả có thể có ý nghĩa gì đối với họ , và những biện pháp nào họ đã thực hiện hoặc lên kế hoạch hành động để đáp ứng .
Ngay cả trước khi bạn gọi cho cơ quan bảo vệ dữ liệu, công ty nên thông báo cho những người bị ảnh hưởng bởi vi phạm dữ liệu. Những người không đáp ứng thời hạn 72 giờ có thể phải đối mặt với hình phạt lên đến 2% doanh thu hàng năm trên toàn thế giới của họ, hoặc 10 triệu euro (đô la11.305.550kể từ ngày 12 tháng 7 năm 2020 và tùy thuộc vào biến động tiền tệ), tùy theo giá trị nào cao hơn.
Được rồi, còn những khoản phạt nào khác nếu không tuân thủ GDPR?
Nếu một công ty không tuân theo các nguyên tắc cơ bản để xử lý dữ liệu, chẳng hạn như sự đồng ý, bỏ qua quyền của cá nhân đối với dữ liệu của họ hoặc chuyển dữ liệu sang một quốc gia khác, thì tiền phạt sẽ nặng hơn. Cơ quan bảo vệ dữ liệu có thể đưa ra hình phạt lên đến € 20 triệu ($22.611.500kể từ ngày 12 tháng 7 năm 2020 và tùy thuộc vào biến động tiền tệ) hoặc 4% doanh thu hàng năm toàn cầu của công ty, tùy theo giá trị nào lớn hơn.
