GDPR có áp dụng cho cá nhân không?

Khả năng áp dụng của Quy định chung về bảo vệ dữ liệu (GDPR) đối với cá nhân phụ thuộc vào bản chất hoạt động xử lý dữ liệu của họ. Điều 2 của GDPR miễn trừ rõ ràng việc xử lý dữ liệu cá nhân do một thể nhân thực hiện cho “hoạt động hoàn toàn cá nhân hoặc hộ gia đình.” Miễn trừ này phân định ranh giới giữa việc sử dụng cho mục đích cá nhân và các hoạt động chịu sự giám sát của cơ quan quản lý.

Việc giải thích hoạt động “cá nhân hoặc hộ gia đình” vẫn còn gây tranh cãi. Tòa án Công lý Châu Âu (ECJ) trong vụ C-101/01, đoạn 47, đã làm rõ rằng:

“Do đó, ngoại lệ đó phải được giải thích là chỉ liên quan đến các hoạt động được thực hiện trong quá trình sinh hoạt riêng tư hoặc gia đình của các cá nhân, điều này rõ ràng không đúng với trường hợp xử lý dữ liệu cá nhân bao gồm việc công bố trên internet để dữ liệu đó có thể được truy cập bởi một số lượng người không xác định.”

Phán quyết này thiết lập một tiêu chí quan trọng: khi hoạt động xử lý dữ liệu của một cá nhân vượt ra ngoài bối cảnh riêng tư hoặc gia đình—cụ thể là khi nó liên quan đến việc phổ biến công khai cho một lượng khán giả không xác định—thì GDPR sẽ được áp dụng.

Các điểm chính từ việc giải thích pháp lý này bao gồm:

• Miễn trừ cho mục đích cá nhân hoặc gia đình áp dụng nghiêm ngặt cho các hoạt động riêng tư, phi thương mại.
• Phổ biến công khai (ví dụ: đăng dữ liệu cá nhân lên internet để mọi người có thể truy cập rộng rãi) không thuộc phạm vi miễn trừ này.
• Do đó, phạm vi của GDPR bao gồm cả các cá nhân khi hoạt động xử lý của họ không chỉ giới hạn trong đời sống riêng tư hoặc gia đình.

Sự phân biệt này rất quan trọng, vì các cá nhân tham gia vào các hoạt động trực tuyến như viết blog, chia sẻ trên mạng xã hội, hoặc các hình thức xử lý dữ liệu công khai khác có thể phải tuân thủ các nghĩa vụ của GDPR. Mục đích của quy định là bảo vệ các chủ thể dữ liệu khỏi bị lạm dụng, bất kể người kiểm soát dữ liệu là một thể nhân hay một pháp nhân, một khi hoạt động đó vượt ra ngoài mục đích sử dụng cá nhân.

Để tìm hiểu thêm, hãy tham khảo phân tích của Kloza và cộng sự (2016), trong đó thảo luận về các tác động của GDPR đối với những người kiểm soát dữ liệu cá nhân và những thách thức trong việc xác định xử lý dữ liệu cá nhân so với xử lý dữ liệu công khai:

Kloza, D., et al. (2016). Hiểu về GDPR: các tác động đối với người kiểm soát dữ liệu cá nhân. International Data Privacy Law, 6(3), 169–182. https://doi.org/10.1093/idpl/ipw017

Thảo luận này nhấn mạnh rằng phạm vi của GDPR không chỉ giới hạn ở các tổ chức mà còn có thể mở rộng ra các cá nhân trong những điều kiện cụ thể, nhấn mạnh ý định của cơ quan quản lý nhằm bảo vệ dữ liệu cá nhân trong cả lĩnh vực riêng tư và công cộng.