GDPR bao gồm những gì?

Quy định chung về bảo vệ dữ liệu (GDPR) bao gồm một định nghĩa rộng và chính xác về dữ liệu cá nhân, vượt xa các định danh cơ bản. Theo Điều 4(1) của GDPR, dữ liệu cá nhân là “bất kỳ thông tin nào liên quan đến một thể nhân được xác định hoặc có thể xác định (‘chủ thể dữ liệu’)” [1]. Điều này bao gồm, nhưng không giới hạn ở:

• Tên
• Số nhận dạng
• Dữ liệu vị trí
• Định danh trực tuyến (chẳng hạn như địa chỉ IP)
• Địa chỉ email, số điện thoại và địa chỉ thực tế

GDPR mở rộng thêm phạm vi bằng cách phân loại một số dữ liệu nhất định là các loại dữ liệu cá nhân đặc biệt. Những dữ liệu này được bảo vệ ở mức độ cao hơn do tính chất nhạy cảm của chúng. Điều 9(1) liệt kê các loại này, bao gồm:

• Nguồn gốc chủng tộc hoặc dân tộc
• Quan điểm chính trị
• Tín ngưỡng tôn giáo hoặc triết học
• Thành viên công đoàn
• Dữ liệu di truyền
• Dữ liệu sinh trắc học (khi được sử dụng để nhận dạng)
• Dữ liệu sức khỏe
• Dữ liệu liên quan đến đời sống tình dục hoặc xu hướng tính dục của một người

Quy định nghiêm cấm rõ ràng việc xử lý các loại dữ liệu đặc biệt như vậy trừ khi đáp ứng các điều kiện cụ thể, chẳng hạn như sự đồng ý rõ ràng hoặc lợi ích công cộng đáng kể [2].

Khả năng áp dụng
GDPR có hiệu lực ngoài lãnh thổ. Điều 3 quy định rằng bất kỳ tổ chức nào, bất kể vị trí thực tế của nó, đều phải tuân thủ nếu tổ chức đó:

• Cung cấp hàng hóa hoặc dịch vụ cho các cá nhân trong EU/EEA
• Giám sát hành vi của các cá nhân trong EU/EEA

Phân tích thực nghiệm cho thấy rằng các tổ chức không thuộc EU thường xuyên phải tuân thủ các nghĩa vụ của GDPR khi thu thập hoặc xử lý dữ liệu của cư dân EU, đặc biệt là trong các kịch bản thương mại kỹ thuật số và phân tích web [3].

Kết quả chính

• Định nghĩa về dữ liệu cá nhân theo GDPR được cố tình mở rộng, đảm bảo bao quát các hình thức nhận dạng truyền thống và mới nổi (ví dụ: cookie, ID thiết bị).
• Dữ liệu cá nhân nhạy cảm, như được định nghĩa bởi GDPR, yêu cầu các tiêu chuẩn xử lý nghiêm ngặt hơn và cơ sở pháp lý rõ ràng.
• Phạm vi của GDPR là toàn cầu: các tổ chức bên ngoài EU/EEA phải đánh giá các hoạt động xử lý dữ liệu của mình để xem xét khả năng áp dụng.
• Việc giải thích quy định của các cơ quan giám sát và tòa án đã luôn ủng hộ việc bảo vệ toàn diện, nhấn mạnh mục tiêu của quy định là bảo vệ quyền của chủ thể dữ liệu [4].

Tài liệu tham khảo:
[1] Quy định (EU) 2016/679 (Quy định chung về bảo vệ dữ liệu), Điều 4(1). Official Journal of the European Union
[2] Quy định (EU) 2016/679, Điều 9(1).
[3] Kuner, C., Bygrave, L. A., & Docksey, C. (2020). The EU General Data Protection Regulation (GDPR): A Commentary. Oxford University Press. Tham chiếu OUP
[4] Voigt, P., & Von dem Bussche, A. (2017). The EU General Data Protection Regulation (GDPR): Practical Guide. Springer. Tham chiếu Springer