Nếu không đạt được thỏa thuận với các nhà chức trách châu Âu, Facebook và Instagram có thể bị chấm dứt hoạt động tại đây
Công ty mẹ của mạng xã hội Facebook Meta cho biết công ty đang có phương án để thỏa thuận với các nhà chức trách, sau khi có tranh cãi về việc chuyển dữ liệu châu Âu sang Mỹ gia tăng.
Dữ liệu là trọng tâm hoạt động kinh doanh quảng cáo, tạo ra gần như toàn bộ hàng tỷ USD doanh thu của công ty và các khuôn khổ giám sát việc chuyển thông tin từ lục địa này hiện trong tình trạng lấp lửng.
Thỏa thuận bảo mật dữ liệu trực tuyến quan trọng “Privacy Shield” (Chương trình bảo vệ quyền riêng tư) giữa EU và Mỹ đã vô hiệu từ tháng 7/2020, theo phán quyết của tòa án cấp cao của EU. Điều này khiến việc chuyển tải dữ liệu của Meta rơi vào tình trạng không chắc chắn về mặt pháp lý.
Trong đơn trình lên các cơ quan quản lý thị trường Mỹ cuối tuần qua, Meta cho hay các cơ sở mà công ty sử dụng để truyền dữ liệu cũng đang gặp nguy hiểm về mặt pháp lý và quy định.
Theo đó, nếu không thông qua khuôn khổ truyền dữ liệu xuyên Đại Tây Dương mới, Meta sẽ không thể cung cấp một số sản phẩm và dịch vụ quan trọng nhất, bao gồm Facebook và Instagram, ở châu Âu.
Giới chức châu Âu và Chính phủ Mỹ vẫn đang thảo luận để tìm cách giải quyết vấn đề trên. Tuy nhiên, nếu không thuận lợi, công ty có thể sẽ phải dừng cung cấp một số dịch vụ quan trọng tại EU.
Gần đây, gã khổng lồ truyền thông xã hội chứng kiến giá trị thị trường sụt giảm tồi tệ nhất từ trước đến nay, sau kết quả kinh doanh hàng quý đầy thất vọng. Điều này đặt ra câu hỏi về tương lai của Meta.
Pháp luật EU quy định về vấn đề chuyển dữ liệu như thế nào?
Ngày 14/4/2016, Nghị viện châu Âu đã ban hành Quy định chung về bảo vệ dữ liệu cá nhân, trong đó mục tiêu hướng tới là bảo vệ dữ liệu cá nhân và quyền riêng tư của cá nhân tại Liên minh châu Âu (General Data Protection Regulation - GDPR). Quy định này được áp dụng trực tiếp trên lãnh thổ các quốc gia thành viên.
Trước khi ban hành GDPR, Liên minh châu Âu ban hành Chỉ thị số 95/46/EC về bảo vệ dữ liệu cá nhân đối với việc xử lý dữ liệu cá nhân và việc tự do lưu chuyển dữ liệu này. Chỉ thị này đã cụ thể hóa Công ước về bảo vệ cá nhân đối với việc xử lý tự động dữ liệu cá nhân (Công ước số 108 năm 1981 của Hội đồng châu Âu) để triển khai việc thực hiện các quy định của Công ước này trên lãnh thổ của các thành viên Liên minh châu Âu. Chỉ thị số 95/46/EC đã thiết lập được mức bảo vệ tối thiểu đối với dữ liệu cá nhân.
Tuy nhiên, với sự phát triển của khoa học công nghệ và trước bối cảnh mới của nền kinh tế số, Liên minh châu Âu thấy được sự cần thiết của việc ban hành quy định mới về vấn đề này. Chính vì vậy, GDPR đã ra đời và có hiệu lực từ ngày 25/5/2018.
So với Chỉ thị số 95/46/EC, GDPR được đánh giá là có mức độ bảo vệ dữ liệu cá nhân khắt khe hơn. GDPR còn được đánh giá là tạo ra cơ chế bảo vệ thông tin cá nhân khắt khe nhất trên thế giới hiện nay. Việc tách biệt quyền bảo vệ thông tin cá nhân ra khỏi quyền riêng tư trong GDPR đã cho thấy quan điểm ngày càng chú trọng quyền bảo vệ thông tin cá nhân của Liên minh châu Âu. Nếu như trước đây, theo Chỉ thị số 95/46/EC, bảo vệ thông tin cá nhân được coi là nhằm thực thi quyền riêng tư, quyền bảo vệ thông tin cá nhân nằm trong nội hàm của quyền riêng tư, thì nay, GDPR đã chọn cách tiếp cận ghi nhận quyền bảo vệ dữ liệu cá nhân là một quyền độc lập bên cạnh các quyền khác, trong đó có quyền riêng tư. Từ đó, hình thành nên cơ chế bảo vệ mạnh mẽ đối với việc thực thi quyền bảo vệ thông tin cá nhân.
GDPR đặt ra các nghĩa vụ của các tổ chức đối với việc xử lý dữ liệu cá nhân mà họ thu thập và xử lý. Việc sử dụng dữ liệu cá nhân phải tuân thủ đầy đủ các yêu cầu đặt ra của Liên minh châu Âu. Theo đó, việc xử lý dữ liệu cá nhân phải được thực hiện trên cơ sở sự chấp thuận của chủ thể dữ liệu cá nhân hoặc trên cơ sở hợp đồng với người này; việc xử lý dữ liệu cá nhân phải được thực hiện trên cơ sở tôn trọng các quyền cơ bản của cá nhân. Quy định này áp dụng cả đối với các tổ chức có trụ sở, hoạt động ở bên ngoài lãnh thổ của Liên minh châu Âu khi họ hướng tới mục tiêu hoặc thu thập các dữ liệu liên quan đến người dân sống ở Liên minh châu Âu thì đều thuộc phạm vi điều chỉnh của Liên minh châu Âu.
Cụ thể, Theo quy định của GDPR, chủ thể dữ liệu cá nhân có quyền được thông tin về việc dữ liệu cá nhân của mình được thu thập và sử dụng (right to be informed), chủ thể xử lý thông tin có nghĩa vụ thông tin về mục đích của việc xử lý dữ liệu cá nhân, thời gian lưu trữ dữ liệu và những chủ thể mà dữ liệu có thể được chia sẻ đến (Điều 13); chủ thể dữ liệu cá nhân có quyền được tiếp cận dữ liệu cá nhân của mình (right to data access); cụ thể, chủ thể dữ liệu cá nhân được quyền nhận xác nhận từ phía chủ thể kiểm soát thông tin về việc xử lý dữ liệu cá nhân của họ (Điều 15); chủ thể dữ liệu cá nhân có quyền chỉnh sửa dữ liệu trong trường hợp dữ liệu có lỗi (Điều 16), được xóa dữ liệu (right to erasure or right to be forgotten) nếu đáp ứng một số tiêu chí nhất định (Điều 17) và được quyền hạn chế một số trường hợp sử dụng dữ liệu của mình, trong đó bao gồm cả quyền tạm thời di chuyển dữ liệu cá nhân đã chọn sang hệ thống xử lý khác, làm cho dữ liệu cá nhân đã chọn không có sẵn cho người dùng hoặc tạm thời xóa dữ liệu cá nhân đã được công bố ra khỏi trang web (Điều 18); chủ thể dữ liệu cá nhân cũng có quyền nhận dữ liệu mà mình đã cung cấp cho chủ thể kiểm soát thông tin và yêu cầu truyền những dữ liệu này cho chủ thể kiểm soát khác, mà không bị cản trở từ phía chủ thể đang kiểm soát dữ liệu cá nhân của mình, khi đáp ứng yêu cầu đặt ra (Điều 20). Ngoài ra, trong những tình huống cụ thể, chủ thể dữ liệu cá nhân cũng có quyền phản đối việc xử lý dữ liệu cá nhân của họ (Điều 21).
Khi có những xâm phạm đối với quyền bảo vệ dữ liệu cá nhân, công dân của Liên minh châu Âu có thể khiếu nại đến cơ quan có thẩm quyền của Liên minh, Chính phủ, Tòa án các quốc gia thành viên của Liên minh hoặc những tổ chức nhân quyền để yêu cầu được bảo vệ. Chủ thể thông tin có quyền yêu cầu bồi thường thiệt hại đối với những vi phạm về dữ liệu thông tin của mình.
Đối với chủ thể kiểm soát, chủ thể xử lý dữ liệu cá nhân, GDPR cũng quy định rõ nghĩa vụ, trách nhiệm từ Điều 24 đến Điều 43. Theo đó, chủ thể kiểm soát dữ liệu là người xác định mục tiêu và ý nghĩa của việc xử lý dữ liệu cá nhân, còn chủ thể xử lý là người trực tiếp tiến hành xử lý dữ liệu cá nhân nhân danh chủ thể kiểm soát dữ liệu cá nhân.
Điều 24 GDPR về trách nhiệm của chủ thể kiểm soát thông tin yêu cầu chủ thể kiểm soát dữ liệu cá nhân có nghĩa vụ thiết lập những biện pháp bảo vệ dữ liệu cá nhân phù hợp và hiệu quả, đồng thời phải thể hiện được sự phù hợp và hiệu quả của các biện pháp này với các yêu cầu của GDPR.
Do hoạt động nhân danh chủ thể kiểm soát thông tin nên chủ thể kiểm soát thông tin phải chịu trách nhiệm đối với việc xử lý thông tin của chủ thể xử lý thông tin. Mối quan hệ giữa chủ thể xử lý thông tin và chủ thể kiểm soát thông tin được xác định trên cơ sở hợp đồng hoặc một hành vi pháp lý khác phù hợp quy định của Liên minh châu Âu hoặc của quốc gia thành viên.
Trường hợp dữ liệu bị tiết lộ, truy cập, thay đổi hoặc bị đánh cắp, chủ thể kiểm soát dữ liệu cần phải thực hiện nghĩa vụ báo cáo đến các chủ thể dữ liệu, kể cả khi vi phạm xảy ra từ chủ thể xử lý dữ liệu cho doanh nghiệp theo hợp đồng. Nếu chủ thể kiểm soát dữ liệu có thể xác định được rằng, không có dữ liệu cá nhân nào bị rủi ro, thì không phải thực hiện nghĩa vụ này trừ trường hợp dữ liệu bị mất là dữ liệu nhạy cảm.
Trường hợp không thực hiện đúng yêu cầu này, chủ thể kiểm soát dữ liệu sẽ đối mặt với án phạt của cơ quan có thẩm quyền. Tuy nhiên, nghĩa vụ thông báo có thể được miễn nếu chủ thể kiểm soát dữ liệu chứng minh được đã sử dụng các biện pháp bảo vệ công nghệ nhằm bảo vệ dữ liệu thông tin, như mã hóa, để làm cho dữ liệu thông tin trở nên vô dụng đối với kẻ tấn công.
GDPR cũng nêu rõ nghĩa vụ của chủ thể kiểm soát dữ liệu trong việc bảo vệ dữ liệu cá nhân và trách nhiệm của họ đối với những vi phạm của chủ thể xử lý dữ liệu cho mình. Nói một cách khác, các chủ thể kiểm soát dữ liệu phải bảo đảm rằng chủ thể xử lý dữ liệu của mình tuân thủ các nghĩa vụ về bảo vệ dữ liệu cá nhân. Nếu những người này để dữ liệu cá nhân gặp rủi ro thì chủ thể kiểm soát dữ liệu cá nhân phải chịu trách nhiệm. Đây là nghĩa vụ mới được quy định trong GDPR.
GDPR cũng quy định về nghĩa vụ, trách nhiệm của các chủ thể liên quan đến quá trình xử lý dữ liệu cá nhân như: người kiểm soát dữ liệu, người xử lý dữ liệu, cán bộ bảo vệ dữ liệu được chỉ định trong tổ chức… Những vi phạm quy định của GDPR sẽ bị phạt với mức phạt rất cao. Mức phạt cao nhất lên tới 20 triệu Euros hoặc 4% doanh thu toàn cầu (trong 12 tháng trước đó) của công ty vi phạm (Điều 83 GDPR). Ngoài ra, chủ thể kiểm soát thông tin hoặc chủ thể xử lý thông tin còn phải bồi thường thiệt hại gây ra khi vi phạm quy định của GDPR (Điều 82 GDPR)…
Đáng chú ý, theo quy định của GDPR, mỗi tổ chức xử lý dữ liệu cá nhân phải bảo đảm rằng dữ liệu cá nhân mà tổ chức đó xử lý đáp ứng các nguyên tắc cơ bản:
Thứ nhất, tính hợp pháp, công bằng và minh bạch. Việc xử lý dữ liệu phải được thực hiện trên cơ sở hợp pháp, công bằng và minh bạch đối với chủ thể dữ liệu cá nhân; chủ thể dữ liệu cá nhân phải được biết một cách minh bạch về việc dữ liệu cá nhân của họ được thu thập, sử dụng, tham khảo và về mức độ xử lý dữ liệu cá nhân của họ; các thông tin về việc xử lý dữ liệu cá nhân cần phải được dễ dàng truy cập, dễ hiểu, ngôn ngữ được sử dụng phải rõ ràng, đơn giản.
Thứ hai, giới hạn ở mục đích sử dụng. Việc xử lý dữ liệu phải được thực hiện theo các mục đích hợp pháp và đã được nêu rõ cho chủ thể dữ liệu cá nhân biết khi tiến hành thu thập dữ liệu; dữ liệu cá nhân cần phải được giới hạn ở mục đích mà chúng được xử lý.
Thứ ba, giảm thiểu dữ liệu. Chỉ được thu thập, xử lý những dữ liệu cá nhân cần thiết cho mục đích đã được chỉ định; dữ liệu cá nhân chỉ nên được xử lý nếu mục đích của việc xử lý không thể được thực hiện một cách hợp lý bằng phương thức khác.
Thứ tư, độ chính xác. Dữ liệu cá nhân được xử lý phải luôn chính xác và cập nhật; dữ liệu cá nhân không chính xác sẽ được chỉnh sửa hoặc xóa.
Thứ năm, giới hạn lưu trữ. Chỉ có thể lưu trữ dữ liệu cá nhân trong thời gian cần thiết cho mục đích sử dụng; thời gian mà dữ liệu cá nhân được lưu trữ được giới hạn ở mức tối thiểu; dữ liệu cá nhân không bị lưu giữ lâu hơn mức cần thiết, người kiểm soát nên thiết lập các giới hạn thời gian để xóa, hoặc đánh giá định kỳ.
Thứ sáu, tính toàn vẹn và bảo mật. Việc xử lý dữ liệu cá nhân phải được thực hiện theo cách thức bảo đảm tính bí mật, toàn vẹn và bảo mật phù hợp; thực hiện các biện pháp ngăn chặn truy cập hoặc sử dụng trái phép dữ liệu cá nhân và thiết bị được sử dụng để xử lý dữ liệu cá nhân.
Thứ bảy, trách nhiệm giải trình. Người kiểm soát dữ liệu có trách nhiệm chứng minh việc tuân thủ tất cả các nguyên tắc này của GDPR...
GDPR cũng thiết lập một cơ quan bảo vệ dữ liệu ở cấp Liên minh. Thành viên của cơ quan này đại diện cho các quốc gia thành viên Liên minh châu Âu, các quốc gia thuộc khu vực kinh tế châu Âu và Cơ quan giám sát về bảo vệ dữ liệu của Liên minh châu Âu (European data protection supervisor – EDPS). Nhiệm vụ của cơ quan này là hướng dẫn thực hiện GDPR, tham mưu cho Ủy ban châu Âu về những vấn đề liên quan đến bảo vệ dữ liệu cá nhân; giải quyết tranh chấp giữa các cơ quan quốc gia. Ngoài ra, Ủy ban châu Âu cũng phân công một lãnh đạo đăc trách theo dõi việc triển khai và áp dụng các quy định bảo vệ dữ liệu của Liên minh châu Âu trong các thiết chế của Liên minh.
