Luật riêng tư GDPR là gì và tại sao bạn nên quan tâm?
Quy định bảo vệ dữ liệu chung (GDPR) là một luật mới của Liên minh châu Âu có hiệu lực ngày hôm nay và đó là lý do bạn đã nhận được email và thông báo không ngừng về các cập nhật chính sách bảo mật. Vậy điều này ảnh hưởng đến bạn như thế nào? Đây là những gì bạn cần biết.
Luật GDPR mới có hiệu lực vào ngày hôm nay, 25 tháng 5 năm 2018 và nó bao gồm bảo vệ dữ liệu và quyền riêng tư cho công dân EU, nhưng nó cũng áp dụng cho nhiều quốc gia khác theo nhiều cách khác nhau và vì tất cả các đại gia công nghệ đều là những tập đoàn đa quốc gia khổng lồ. , nó ảnh hưởng đến rất nhiều thứ bạn sử dụng hàng ngày.
Vấn đề GDPR đang cố gắng giải quyết: Các công ty đang thu thập và lạm dụng thông tin cá nhân của bạn
Kể từ buổi bình minh của internet, các công ty đã thu thập càng nhiều dữ liệu càng tốt về bất cứ ai họ có thể. Thật đơn giản để thu thập thông tin đó, vì vậy không có lý do gì để họ không tích trữ thông tin đó.
Vấn đề là trong vài năm qua, rất nhiều công ty đã bị bắt vì không bảo vệ - hoặc lạm dụng hoàn toàn - thông tin cá nhân của bạn. Vụ bê bối Cambridge Analytica, nơi một nhà nghiên cứu đã sử dụng bài kiểm tra trên Facebook để thu thập lượng dữ liệu khổng lồ trên hàng triệu người dùng Facebook và sau đó bán nó cho một công ty tư vấn, chỉ là ví dụ gần đây nhất. Vụ hack Equachus năm ngoái đặc biệt tồi tệ vì thông tin bị rò rỉ có thể được sử dụng để mở thẻ tín dụng. Và đó chỉ là những vụ bê bối lớn. Rất nhiều công ty đã lạm dụng dữ liệu của bạn theo những cách nhỏ hơn, như bán nó cho các công ty quảng cáo bên thứ ba.
EU đã có một cái nhìn mờ nhạt về tình hình và đang sử dụng GDPR để thử và khắc phục nó. Theo luật mới, các công ty không bảo vệ đầy đủ dữ liệu của người tiêu dùng hoặc lạm dụng dữ liệu đó theo bất kỳ cách nào phải đối mặt với khoản tiền phạt khổng lồ.
Dữ liệu cá nhân được coi là gì?
GDPR bảo vệ dữ liệu cá nhân của người Viking, ở đây có nghĩa là bất kỳ thông tin nào liên quan đến một người tự nhiên được xác định hoặc nhận dạng - và đó là một định nghĩa khá rộng. Trong thực tế, dữ liệu cá nhân thường bao gồm những thứ như:
- Dữ liệu tiểu sử như tên, địa chỉ, số điện thoại, số an sinh xã hội, v.v..
- Dữ liệu liên quan đến ngoại hình và hành vi của bạn như màu tóc, chủng tộc và chiều cao.
- Thông tin về giáo dục và lịch sử công việc của bạn như tiền lương, bằng đại học, GPA, ID thuế, v.v..
- Bất kỳ dữ liệu y tế hoặc di truyền.
- Những thứ như lịch sử cuộc gọi, tin nhắn riêng tư hoặc dữ liệu vị trí địa lý của bạn.
Đây là xa danh sách đầy đủ. Điều quan trọng là bất kỳ dữ liệu nào làm cho bạn có thể nhận dạng được. Trong một số trường hợp nhất định, màu tóc của bạn có thể là đủ. Ở những người khác, ngay cả tên đầy đủ của bạn - nếu đó là một cái gì đó phổ biến như Robert Smith - có thể không khiến bạn nhận dạng được.
GDPR làm gì?
GDPR cung cấp cho các cư dân EU, những người đang thu thập dữ liệu cá nhân của họ - được gọi là các đối tượng dữ liệu của Google trong các quyền của luật pháp. Họ đang:
- Quyền được thông báo: Nếu một công ty đang thu thập dữ liệu, họ cần thông báo cho các đối tượng dữ liệu những gì được thu thập, tại sao nó được thu thập, nó sẽ được sử dụng trong bao lâu, nó sẽ được lưu giữ trong bao lâu và nếu nó sẽ được chia sẻ với bên thứ ba. Thông tin này không thể bị chôn vùi sâu trong điều khoản dịch vụ mà không ai đọc được; nó phải ngắn gọn và bằng ngôn ngữ đơn giản.
- Quyền truy cập: Nếu họ yêu cầu, bất kỳ tổ chức nào có dữ liệu cá nhân liên quan đến chủ đề dữ liệu phải cung cấp cho họ trong vòng một tháng.
- Quyền cải chính: Nếu một chủ thể dữ liệu phát hiện ra rằng một công ty có dữ liệu về họ không chính xác, họ có thể yêu cầu nó được cập nhật. Các công ty có một tháng để tuân thủ.
- Quyền xóa: Chủ thể dữ liệu có thể yêu cầu một công ty xóa bất kỳ dữ liệu nào được lưu giữ trên chúng trong một số trường hợp nhất định. Ví dụ: nếu dữ liệu không còn cần thiết hoặc họ đang rút lại sự đồng ý của họ để sử dụng nó.
- Quyền hạn chế xử lý: Nếu một tổ chức không thể xóa dữ liệu của chủ thể dữ liệu - ví dụ: vì họ cần nó cho trường hợp pháp lý - thì họ có thể yêu cầu công ty giới hạn cách sử dụng.
- Quyền chuyển đổi dữ liệu: Chủ thể dữ liệu có quyền lấy dữ liệu cá nhân của họ từ một dịch vụ và sử dụng dữ liệu đó với dịch vụ khác.
- Quyền phản đối: Nếu dữ liệu được thu thập mà không có sự đồng ý nhưng vì lợi ích kinh doanh hợp pháp, vì lợi ích công cộng hoặc bởi cơ quan chính thức, chủ thể dữ liệu có thể phản đối. Sau đó, tổ chức phải ngừng xử lý dữ liệu cho đến khi họ có thể chứng minh rằng họ có lý do chính đáng để làm như vậy.
- Các quyền liên quan đến việc ra quyết định tự động bao gồm hồ sơ: GDPR đưa ra các biện pháp bảo vệ để các cá nhân có thể phản đối hoặc nhận được lời giải thích về các quyết định tự động ảnh hưởng đến họ và dữ liệu của họ.
Một phần lớn của các quy định là các công ty phải có lý do hợp pháp để thu thập hoặc xử lý bất kỳ dữ liệu nào. Một trong những lý do hợp pháp là họ đã có được sự đồng ý sử dụng nó cho một mục đích cụ thể, nhưng có những lý do khác như họ cần nó để tuân thủ nghĩa vụ pháp lý hoặc thu thập nó là vì lợi ích công cộng.
Như bạn có thể thấy, các quyền được trao cho cư dân EU theo luật khá rộng và đang buộc các công ty thu thập dữ liệu từ họ phải thực sự nghĩ về những gì họ đang thu thập và tại sao. Ngày xưa chỉ thu thập mọi thứ họ có thể và hy vọng họ tìm thấy việc sử dụng nó sau này đã biến mất - ít nhất là ở châu Âu. Đây là lý do tại sao khá nhiều dịch vụ bạn từng cung cấp địa chỉ email của bạn liên hệ với bạn.
Điều khiến nhiều công ty lo lắng là các biện pháp trừng phạt vì không tuân thủ GDPR là khá khắc nghiệt. Một tổ chức có thể bị phạt tới 20 triệu euro hoặc 4% doanh thu hàng năm trên toàn thế giới của họ (tùy theo mức nào cao hơn) theo luật. Đối với những người như Amazon hay Google, khoản tiền này lên tới hàng tỷ đô la tiền phạt tiềm năng nếu họ xử lý sai dữ liệu của cư dân EU.
GDPR có ý nghĩa gì đối với người Mỹ?
Trong suốt bài viết này, chúng tôi đã tập trung vào những quyền mà GDPR mang lại cho cư dân EU vì lý do đơn giản đó là luật của EU. Nó thực sự không áp dụng cho công dân Mỹ, trừ khi họ cũng cư trú tại EU. Lý do bạn nhận được tất cả các email là vì hầu hết các công ty không có cách nào để nói ai là cư dân EU và ai không.
Tuy nhiên, điều này không có nghĩa là GDPR sẽ không ảnh hưởng đến bạn. Điều đó khiến nhiều công ty đánh giá lại cách họ xử lý dữ liệu của người tiêu dùng và một số trong số họ đã bắt đầu nói về việc trao quyền GDPR cho cư dân ngoài EU. Và nó cũng đơn giản hơn cho các công ty để thực thi một bộ quy tắc cho tất cả khách hàng trong nhiều trường hợp.
Ví dụ: Apple đã ra mắt một cổng thông tin bảo mật mới, nơi mọi người có thể tải xuống tất cả dữ liệu cá nhân của họ hoặc xóa tài khoản của họ, nói cách khác là cung cấp cho mọi người quyền truy cập và xóa. Hiện tại, chỉ có các tài khoản tại EU có thể sử dụng nó nhưng Apple có kế hoạch tung ra trên toàn thế giới trong vài tháng tới. Tương tự, Facebook đang lẩm bẩm về việc đưa ra các biện pháp bảo vệ GDPR tương tự cho một số người dùng bên ngoài EU.