Ghi chú của biên tập viên: WRAL TechWire đang chạy một loạt bài gồm năm phần về luật bảo mật dữ liệu để mang lại sự rõ ràng cho một trong những lĩnh vực luật công nghệ đang phát triển nhanh nhất và phức tạp nhất, và phần đầu tiên là ở đây. Bài viết thứ hai trong loạt bài này được đóng góp bởi Steve Britt, Cố vấn về Mạng, Quyền riêng tư Dữ liệu & Công nghệ (CIPP / E, CIPM), Parker Poe và Sarah Hutchins, Đối tác về Không gian mạng, Quyền riêng tư Dữ liệu & Công nghệ (CIPP / US) , Parker Poe.
Lưu ý với độc giả: WRAL TechWire muốn nghe ý kiến của bạn về quan điểm của những người đóng góp của chúng tôi. Vui lòng gửi email đến: info@wraltechwire.com.
+ + +
QUYỀN BÁN - Việc ban hành Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu (GDPR) vào ngày 25 tháng 2018 năm XNUMX, là một sự kiện quan trọng trên toàn cầu về quyền riêng tư của dữ liệu.
Nó đã đặt ra tiêu chuẩn cao về bảo mật dữ liệu và, trong khi California thực hiện một số chuyển hướng trong lần lặp lại đầu tiên của Đạo luật Bảo vệ Người tiêu dùng California (CCPA), thì một số sự ra đi đó hiện đang được xem xét lại theo Đạo luật Quyền riêng tư của California (CPRA), mà chúng ta sẽ thảo luận tiếp theo trong loạt bài năm phần này.
Bảo mật dữ liệu và bạn: Những điều bạn thực sự cần biết theo quan điểm pháp lý
Hòa mình vào văn hóa EU
Nhưng điều đầu tiên cần hiểu về Châu Âu, bằng chứng là GDPR, đó là quyền riêng tư về dữ liệu được đưa vào văn hóa Châu Âu. Trên thực tế, vào năm 1995, ngay khi Mỹ phát hiện ra Internet dẫn đến sự bùng nổ của thương mại điện tử, Châu Âu đã ban hành Chỉ thị Bảo vệ Dữ liệu (DPD) chứa nhiều nguyên tắc tương tự như hiện nay đã được tìm thấy trong GDPR.
"Chỉ thị" ở Châu Âu là một tập hợp các hướng dẫn chung cho 27 quốc gia thuộc Liên minh Châu Âu và 3 khu vực Kinh tế Châu Âu (EEA). Vấn đề của một chỉ thị là nó yêu cầu mỗi quốc gia thành viên thực hiện các quy tắc đó bằng cách ban hành luật địa phương của chính họ.
Cũng giống như chúng ta đang thấy ở Hoa Kỳ ngay bây giờ, việc yêu cầu các luật địa phương riêng lẻ dẫn đến một bảng kiểm các quy tắc không nhất quán và thường mâu thuẫn. Mặt khác, một quy định tạo ra một bộ quy tắc bắt buộc áp dụng cho tất cả các quốc gia thành viên, đó là điều mà GDPR thể hiện. Mặc dù GDPR áp dụng cho tất cả các bang thuộc EEA, nó vẫn cho phép các quy tắc địa phương riêng biệt cho một số vấn đề cụ thể như đối với dữ liệu nhân sự.
Về phạm vi, GDPR áp dụng cho bất kỳ pháp nhân nào (lợi nhuận hoặc tổ chức phi lợi nhuận) được “thành lập” ở Liên minh Châu Âu. Một pháp nhân được “thành lập” nếu nó được thành lập ở EU, có chi nhánh, chi nhánh hoặc văn phòng ở EU hoặc thậm chí có nhân viên hoặc nhà thầu ở EU.
Một thay đổi lớn
Nhưng thay đổi lớn trong GDPR là ứng dụng ngoài lãnh thổ của nó. Ngay cả khi một doanh nghiệp không được thành lập ở EU, GDPR được áp dụng nếu tổ chức (không thuộc EU) tiếp thị hàng hóa hoặc dịch vụ cho các cư dân EU (thậm chí trực tuyến) hoặc các hồ sơ cư dân EU khác. Điều đó đã ảnh hưởng đến GDPR một loạt các công ty Hoa Kỳ đang kinh doanh trên phạm vi quốc tế cũng như các hoạt động ở châu Âu của họ.
GDPR áp đặt một loạt các nghĩa vụ mới, tất cả đều được hỗ trợ bởi nguy cơ bị phạt theo quy định lên tới 4% doanh thu của một công ty (tức là tổng doanh thu trên toàn thế giới). May mắn thay, GDPR chủ yếu được thực thi bởi các cơ quan giám sát dữ liệu (tương tự như Tổng chưởng lý của chúng tôi), mặc dù GDPR cho phép các tổ chức tiêu dùng khởi kiện tập thể nếu được luật pháp địa phương cho phép.
Các nhà cung cấp dịch vụ Internet phản đối luật bảo mật cứng rắn của Maine
Các điều khoản chính
Dưới đây là một số điều khoản chính của GDPR:
- Nó cấp các quyền dữ liệu rộng rãi cho một thể nhân có dữ liệu mà doanh nghiệp thu thập, bao gồm các quyền sau:
- Quyền được biết những thông tin cá nhân đã được thu thập
- Quyền sửa bất kỳ lỗi nào trong dữ liệu đó
- Quyền được quên (nghĩa là yêu cầu xóa dữ liệu cá nhân của mình)
- Quyền yêu cầu hạn chế hoặc phản đối việc xử lý dữ liệu cá nhân của họ
- Quyền trả lại dữ liệu cá nhân của họ ở định dạng máy có thể đọc được để dữ liệu có thể được chuyển tiếp đến một bộ xử lý khác
- Quyền không có các quyết định bất lợi dựa trên quá trình xử lý tự động và
- Quyền rút lại bất kỳ sự đồng ý trước nào được đưa ra đối với việc xử lý dữ liệu cá nhân của họ
- Các công ty phải tiến hành đánh giá tác động bảo vệ dữ liệu đối với các hoạt động có rủi ro cao,
- Các công ty cũng phải thực hiện quyền riêng tư theo thiết kế (PbD), có nghĩa là cài đặt mặc định để xử lý dữ liệu phải bảo vệ tối đa quyền riêng tư của dữ liệu,
- Các doanh nghiệp được bảo hiểm phải ghi lại tất cả các hoạt động xử lý dữ liệu và nỗ lực tuân thủ thông qua lưu trữ hồ sơ toàn diện,
- Các doanh nghiệp phải chỉ định một nhân viên bảo vệ dữ liệu nếu họ có cơ sở ở EU hoặc một đại diện ở EEA nếu họ không có,
- Các công ty phải ký các thỏa thuận xử lý dữ liệu chính thức với các bộ xử lý hạn chế việc xử lý dữ liệu cá nhân và
- Các công ty phải cung cấp các thông báo chi tiết về quyền riêng tư cho các chủ thể dữ liệu với nội dung quy định.
Sắp bắt đầu đàn áp dữ liệu: FTC khởi động nỗ lực bảo vệ quyền riêng tư của người tiêu dùng
Phức tạp hơn nữa
Một lĩnh vực phức tạp khác liên quan đến quy định của GDPR về chuyển tiền xuyên biên giới. Quyền dữ liệu GDPR gắn liền với dữ liệu cá nhân của Liên minh Châu Âu và các công ty không được phép xuất dữ liệu của Liên minh Châu Âu trừ khi các quyền đó sẽ được tôn trọng ở quốc gia nhập khẩu. Chỉ truy cập dữ liệu của Liên minh Châu Âu trong máy chủ dữ liệu của Liên minh Châu Âu là chuyển giao xuyên biên giới theo quy tắc này, yêu cầu sử dụng các cơ chế truyền dữ liệu đặc biệt ngoài các quy tắc thu thập và sử dụng dữ liệu ở lần đầu tiên.
Có nhiều yếu tố khác của GDPR, bao gồm sự điều phối quyền tài phán của nhiều cơ quan giám sát đối với các sự cố an ninh đa quốc gia. Hiện tại, chúng tôi xin lưu ý rằng mục tiêu đã nêu của Châu Âu vào năm 2016 là “thay đổi thế giới” về việc xử lý dữ liệu cá nhân, trên thực tế, đã được hiện thực hóa.
FCC: Thông tin dữ liệu không dây của bạn được nhà cung cấp dịch vụ lưu giữ, cung cấp cho cảnh sát
