Bảo vệ dữ liệu và mở dữ liệu

Quy định Bảo vệ Dữ liệu Chung - GDPR (General Data Protection Regulation) là người bảo vệ cho Dữ liệu Mở

Protecting data and opening data

General Data Protection Regulation (GDPR) as a supporter for Open Data

06/06/2018

Theo: https://data.europa.eu/en/datastories/protecting-data-and-opening-data

Bài được đưa lên Internet ngày: 06/06/2018

Nền tảng của GDPR là gì?

Khi các công nghệ phát triển và ngày càng nhiều dữ liệu được sản xuất và thu thập, vài sáng kiến nắm bắt tiềm năng của dữ liệu bằng việc sử dụng lại nó để giành được sự thấu hiểu hoặc cung cấp các sản phẩm và dịch vụ mới. Các ứng dụng di động có thể, ví dụ, nói cho người sử dụng khi nào sẽ có mưa ở vùng nào bằng việc kết nối dữ liệu thời tiết và địa lý. Các trang web về mua sắm công cung cấp nội dung về chi tiêu công và ra quyết định. Những trang khác kết hợp lịch trình và các tuyến xe buýt và tàu hỏa để cải thiện giao thông công cộng và các sáng kiến thành phố thông minh. Hầu hết các dữ liệu được sử dụng lại là Dữ liệu Mở không bao gồm dữ liệu cá nhân.

Việc sử dụng lại dữ liệu cá nhân, có thể giúp các tổ chức hiểu hành vi của người sử dụng và nhằm vào các hoạt động tiếp thị hiệu quả hơn. Vì dữ liệu cá nhân là thông tin liên quan tới một cá nhân có thể được nhận dạng, trực tiếp hoặc gián tiếp bằng dữ liệu, quyền riêng tư được quan tâm. Quyền riêng tư là quyền con người nằm trong hầu hết các nền dân chủ đương thời. Theo Điều 8 của Công ước châu Âu về Quyền Con người, nó nêu rằng “Mọi người có quyền tôn trọng cuộc sống riêng tư và gia đình của mình, ngôi nhà của mình và thư từ của mình”. Vì việc xử lý dữ liệu cá nhân liên quan tới quyền riêng tư của các cá nhân, sử dụng dữ liệu cá nhân được quy định.

Mục tiêu của GDPR là gì?

Để thiết lập một khung pháp lý cho quyền riêng tư dữ liệu vào giữa những năm 1990, Chỉ thị 95/46/EC đã được viết. Khi đó Internet vẫn còn là sự đổi mới sáng tạo và phương tiện xã hội mới có còn chưa phổ biến. Kể từ đó, công nghệ và sử dụng lại dữ liệu đã vượt trội hơn Chỉ thị đó, làm cho việc cập nhật trở nên cần thiết. Để đảm bảo quyền riêng tư, các quy định đã phải mở rộng cho các nhánh quyền riêng tư kỹ thuật số. Quy định (EU) 2016/679 (Quy định Bảo về Dữ liệu Chung, hay "GDPR"), thay thế cho Chỉ thị 95/46/EC với mục đích nâng cao nhận thức, minh bạch và tuân thủ. Nó tác động tới hầu hết mọi tổ chức nằm ở Liên minh châu Âu, cũng như mọi tổ chức làm kinh doanh ở Liên minh châu Âu, thậm chí nếu có trụ sở ở nước ngoài. Để nâng cao nhận thức ở mức các lãnh đạo cao cấp của công ty, các hình phạt trong trường hợp không tuân thủ được nâng cao tới 20 triệu euro hoặc 4% doanh số toàn cầu.

GDPR làm gia tăng hiểu biết và tin cậy trong chia sẻ dữ liệu như thế nào?

Tuy nhiên, mục tiêu của GDPR không phải là phạt những người sử dụng dữ liệu mà là để hướng dẫn cho việc xử lý dữ liệu, nâng cao sự tin cậy và khuyến khích chia sẻ và sử dụng lại dữ liệu. Động lực đối với GDPR là để nâng cao hiểu biết về cách thức dữ liệu cá nhân được đối xử và xử lý. Vì dữ liệu số hầu hết không là hữu hình, nó làm cho khó khăn hơn để hiểu cũng vì các thuật ngữ kỹ thuật hoặc pháp lý thường được sử dụng. GDPR nhằm trao lại cho các công dân sự kiểm soát đối với các dữ liệu cá nhân của họ, để đơn giản hóa môi trường pháp lý và nhấn mạnh lợi ích của sử dụng lại dữ liệu tuân thủ với các quy định về quyền riêng tư dữ liệu.

Trong trường hợp không có sự hiểu biết rõ ràng về các quy định về quyền riêng tư của dữ liệu, việc né tránh, lo lắng và hiểu lầm sẽ cản trở sự tin tưởng và xử lý dữ liệu an toàn. Bằng việc thiết lập khung pháp lý vững chắc và thức thời để bảo vệ dữ liệu cá nhân, nó làm giảm rủi ro sử dụng sai và những lỗ hổng về quyền riêng tư (có chủ ý hoặc vì thiếu hiểu biết hoặc nhận thức). GDPR xác định các điều kiện đồng thuận:

“… các công ty sẽ không còn có thể sử dụng các điều khoản và điều kiện dài dòng đầy tính pháp lý, vì yêu cầu đồng ý phải được đưa ra dưới dạng dễ hiểu và dễ tiếp cận, với mục đích xử lý dữ liệu kèm theo sự đồng ý đó. Sự đồng ý phải là rõ ràng và có khả năng phân biệt được với các vấn đề khác và được cung cấp ở dạng truy cập được dễ hiểu và dễ dàng, sử dụng ngôn ngữ rõ ràng và giản dị. Việc rút lại sự đồng ý phải dễ dàng như việc cho phép.”

Bằng cách này, việc xử lý dữ liệu cá nhân sẽ minh bạch và toàn diện hơn, được các hướng dẫn và các rào cản pháp lý hạn chế. Điều đó cũng làm cho nó dễ dàng hơn và có lợi hơn cho những người sử dụng (lại) dữ liệu để xử lý và tạo ra giá trị từ dữ liệu và Dữ liệu Mở. Ngoài ra, nó cho phép nâng cao hiểu biết về lợi ích của việc chia sẻ dữ liệu vì nó không bị lu mờ bởi sự bất an và lo lắng về việc sử dụng sai mục đích. Điều này nhấn mạnh GDPR hỗ trợ việc chia sẻ và sử dụng lại dữ liệu bằng việc gia tăng minh bạch và hiểu biết về cách để xử lý dữ liệu như thế nào theo một cách thức an toàn và hợp pháp. Với việc các tổ chức buộc phải xử lý dữ liệu một cách cẩn thận hơn, người tiêu dùng có thể có xu hướng không chỉ chia sẻ dữ liệu của họ mà còn hiểu được lợi ích của việc chia sẻ và sử dụng lại dữ liệu. Vì thế, GDPR trên thực tế ủng hộ khái niệm Dữ liệu Mở.

Dạng dữ liệu nào GDPR quan tâm?

EUgdpr.org đưa ra một cái nhìn tổng quan toàn diện và đầy đủ về GDPR và nó có nghĩa gì. Để giúp hiểu GDPR có liên quan tới Dữ liệu Mở, 2 định nghĩa dữ liệu có thể giúp.

Dữ liệu cá nhân là “bất kỳ thông tin nào có liên quan tới một thể nhân nhận dạng được hoặc có thể nhận dạng được (‘chủ thể dữ liệu ’); một thể nhân có thể nhận dạng được là một thể nhân có thể nhận dạng được, trực tiếp hoặc gián tiếp, đặc biệt bằng sự tham chiếu tới một mã nhận dạng như tên, số nhận dạng, dữ liệu vị trí, mã nhận dạng trên trực tuyến hoặc một hoặc nhiều yếu tố đặc thù về xác thức vật ý, tâm lý, gen, tinh thần, kinh tế, văn hóa hoặc xã hội của thể nhân đó.” GDPR làm việc riêng với dữ liệu cá nhân.

Dữ liệu Mở tham chiếu tới dữ liệu là mở để tự do không mất tiền truy cập, sử dụng và sửa đổi sẽ được chia sẻ vì bất kỳ mục đích gì. Các nguyên tắc cho Dữ liệu Mở được mô tả chi tiết trong Định nghĩa Mở (bản dịch sang tiếng Việt). Dữ liệu Mở không thể được coi là mở nếu nó không đi với một giấy phép đảm bảo tự do không mất tiền để sử dụng lại nó.

Ý nghĩa của GDPR đối với Dữ liệu mở là gì?

Vẫn có sự hiểu nhầm về cách để bảo vệ dữ liệu và mở dữ liệu có thể tuân thủ cùng một mục đích. Vài người thậm chí nói GDPR là xung đột với khái niệm Dữ liệu Mở. GDPR làm việc riêng với dữ liệu cá nhân. Tình huống duy nhất khi GDPR trực tiếp ảnh hưởng tới Dữ liệu Mở là khi Dữ liệu Mở bao gồm dữ liệu cá nhân. Theo GDPR, các công dân châu Âu phải đưa ra sự đồng ý rõ ràng và kiên quyết của họ về việc xử lý dữ liệu của họ. Vì thế, không dữ liệu cá nhân nào có thể được xuất bản để sử dụng lại mà không có sự đồng ý của bên bị ảnh hưởng.

Có vài ngoại lệ, khi dữ liệu cá nhân có thể được xuất bản:

1. Nếu có các lý do hợp pháp để xuất bản dữ liệu. Ví dụ, trong trường hợp quyết định của tòa án. Quy định này hạn chế các quyền riêng tư nói chung.

2. Nếu dữ liệu đó đã được ẩn danh (Anonymized).

Ẩn danh là quá trình loại bỏ thông tin cá nhân có thể nhận dạng được khỏi dữ liệu. Vì thế, dữ liệu đó không còn được tham chiếu tới như là “dữ liệu cá nhân” và không còn phải tuân thủ với GDPR. Bằng việc đảm bảo rằng dữ liệu cá nhân được xử lý minh bạch, nghiêm ngặt tuân theo GDPR, nó có thể làm giảm rào cản xuất bản và sử dụng lại Dữ liệu Mở. Vì thế, GDPR có thể tạo thuận lợi cho nền kinh tế do dữ liệu dẫn dắt, sinh ra các sản phẩm và dịch vụ mới để tạo ra giá trị cho xã hội, trong khi vẫn tôn trọng các quyền của công dân.