GDPR là gì? Giải thích các điểm so sánh với 'Luật Bảo vệ Thông tin Cá nhân' và những điểm doanh nghiệp Nhật Bản cần lưu ý

Khi mở rộng kinh doanh vào khu vực EU, việc nắm vững toàn diện về GDPR (Japanese General Data Protection Regulation) là điều cần thiết. Có trường hợp GDPR cũng được áp dụng cho các doanh nghiệp Nhật Bản không có cơ sở tại EU. Hãy trang bị kiến thức cơ bản về GDPR và luật bảo vệ thông tin cá nhân, để quản lý dữ liệu một cách phù hợp.

Bài viết này sẽ giải thích về GDPR, so sánh với luật bảo vệ thông tin cá nhân của Nhật Bản và điểm mà các doanh nghiệp Nhật Bản cần lưu ý. Nếu bạn là người phụ trách pháp lý đang xem xét việc “có cần thay đổi quy định bảo vệ dữ liệu hay không” hoặc “muốn biết những luật lệ cần chuẩn bị khi mở rộng kinh doanh vào EU”, xin hãy tham khảo bài viết này.

GDPR (Quy định chung về bảo vệ dữ liệu của EU) là gì?

“GDPR (General Data Protection Regulation)” hay còn được gọi là “Quy định chung về bảo vệ dữ liệu” tại Nhật Bản, là một quy định liên quan đến việc xử lý dữ liệu cá nhân (bảo vệ thông tin cá nhân) do Liên minh Châu Âu (EU) đặt ra.

Quy định này thiết lập các tiêu chuẩn nghiêm ngặt về việc xử lý dữ liệu cá nhân trong khu vực EU, với mục tiêu tăng cường bảo vệ quyền riêng tư của cá nhân.

Từ góc độ bảo vệ thông tin cá nhân, GDPR cung cấp các tiêu chuẩn về cách thức các doanh nghiệp và tổ chức nên xử lý dữ liệu, cũng như cách cá nhân có thể bảo vệ thông tin của mình.

Tham khảo: Ủy ban Bảo vệ Thông tin Cá nhân | “Bản dịch tiếng Nhật tạm thời của Quy định chung về bảo vệ dữ liệu (GDPR)[ja]“

Các nguyên tắc cơ bản của GDPR bao gồm:

• Tính hợp pháp, công bằng và minh bạch
• Giới hạn mục đích
• Minh bạch dữ liệu
• Độ chính xác
• Hạn chế lưu trữ hồ sơ
• Tính toàn vẹn và bảo mật

Chúng tôi sẽ giải thích từng nguyên tắc cơ bản dưới đây.

Tính hợp pháp, công bằng và minh bạch

Tính hợp pháp, công bằng và minh bạch được xem là những nguyên tắc cơ bản hàng đầu của GDPR (General Data Protection Regulation – Quy định Bảo vệ Dữ liệu Chung).

Khi thu thập và xử lý dữ liệu cá nhân, doanh nghiệp phải dựa trên một cơ sở pháp lý chính đáng và cần phải truyền đạt một cách dễ hiểu cho các bên liên quan về cách thức dữ liệu của họ được xử lý.

Ngoài ra, doanh nghiệp cần cung cấp thông tin liên quan đến quyền riêng tư một cách rõ ràng, đảm bảo rằng các bên liên quan có thể hiểu và kiểm soát cách thức dữ liệu của họ được xử lý, nhấn mạnh sự quan trọng của việc duy trì tính minh bạch.

Giới hạn Mục đích Sử dụng

Giới hạn mục đích sử dụng có nghĩa là việc thu thập và xử lý dữ liệu cần được thực hiện cho một mục đích cụ thể và rõ ràng.

Doanh nghiệp thu thập dữ liệu cá nhân cần phải chỉ ra mục đích một cách chính xác và cụ thể đối với các bên liên quan và phải nhận được sự đồng ý rõ ràng từ họ. Sau đó, doanh nghiệp phải hạn chế việc sử dụng dữ liệu đã thu thập cho những mục đích khác ngoài mục đích đã được sự đồng ý của chủ thể dữ liệu và quản lý chặt chẽ dữ liệu đó.

Tối thiểu hóa dữ liệu cá nhân

Việc thu thập dữ liệu cá nhân cần được giới hạn trong phạm vi cần thiết để đạt được mục tiêu (tối thiểu hóa). Chúng tôi chỉ thu thập dữ liệu cá nhân trong phạm vi phù hợp với mục đích yêu cầu và không thu thập thông tin cá nhân thừa.

Nhờ đó, lượng dữ liệu cá nhân được giữ lại sẽ được giảm thiểu tối đa, đảm bảo bảo vệ quyền riêng tư của cá nhân.

Độ Chính Xác

Theo nguyên tắc cơ bản của Quy định Chung về Bảo vệ Dữ liệu (GDPR), dữ liệu cá nhân phải chính xác. Dữ liệu cá nhân không chính xác cần được sửa chữa, và cần phải có các biện pháp để duy trì thông tin được cập nhật và chính xác.

Điều này đảm bảo quyền lợi và lợi ích của cá nhân được bảo vệ, và việc xử lý dữ liệu cá nhân được thực hiện dựa trên thông tin chính xác.

Hạn chế bảo quản hồ sơ

Trong các nguyên tắc cơ bản của GDPR, có khái niệm về hạn chế bảo quản hồ sơ. Dữ liệu cá nhân không còn cần thiết sau khi mục tiêu đã được đạt tới cần được xóa bỏ một cách nhanh chóng.

Việc không bảo quản dữ liệu cá nhân không cần thiết giúp thực hiện quản lý dữ liệu cá nhân một cách chính xác và bảo vệ quyền riêng tư một cách hiệu quả.

Tính Toàn Vẹn & Bảo Mật

Dữ liệu cá nhân phải được bảo toàn và bảo mật. Cần phải bảo vệ dữ liệu cá nhân khỏi sự thay đổi trái phép và mất mát, đồng thời áp dụng các biện pháp thích hợp để ngăn chặn truy cập trái phép.

Điều này sẽ cải thiện đáng kể độ tin cậy của dữ liệu cá nhân.

Phạm vi áp dụng của GDPR không chỉ giới hạn trong EU?

GDPR không chỉ áp dụng cho các công ty trong khu vực EU. Các công ty Nhật Bản cũng có thể nằm trong diện áp dụng của GDPR. Dưới đây là bốn loại công ty mà GDPR có thể áp dụng.

Các công ty nằm trong phạm vi áp dụng của GDPR cần tuân thủ việc xử lý dữ liệu một cách hợp pháp và minh bạch, đảm bảo an toàn, và phải phù hợp với các tiêu chuẩn của GDPR.

Bài viết liên quan: Trường hợp nào GDPR được áp dụng ngoài lãnh thổ? Giải thích cách thức đối phó[ja]

Xử lý dữ liệu cá nhân theo GDPR

GDPR cung cấp một khung pháp lý cho việc bảo vệ quyền riêng tư và khung cơ cấu cho việc lưu thông dữ liệu cá nhân.

GDPR bảo vệ quyền kiểm soát và tôn trọng dữ liệu cá nhân, đồng thời thúc đẩy sự lưu thông dữ liệu và đảm bảo tính tin cậy thông qua quản lý thích hợp.

Để làm được điều này, sự minh bạch trong xử lý dữ liệu và trách nhiệm của doanh nghiệp là quan trọng, và các doanh nghiệp cần phải xử lý dữ liệu một cách thích hợp dựa trên các quy định.

GDPR còn bao gồm các điều khoản khác như sau:

Tuy nhiên, có những trường hợp ‘xử lý’ dữ liệu cá nhân được phép mà không cần sự đồng ý của người đó. Các trường hợp cụ thể bao gồm:

• Khi cần thiết để thực hiện hợp đồng mà người đó là một bên.
• Khi cần thiết để thực hiện các biện pháp theo yêu cầu của người đó trước khi ký kết hợp đồng.
• Khi cần thiết để người quản lý tuân thủ nghĩa vụ pháp lý.
• Khi cần thiết để bảo vệ lợi ích liên quan đến sự sống của người đó hoặc người khác.
• Khi cần thiết cho lợi ích công cộng hoặc để thực hiện nhiệm vụ công vụ.
• Khi cần thiết cho mục đích lợi ích chính đáng của người quản lý hoặc bên thứ ba (cần cân nhắc so sánh với quyền lợi, tự do của người đó).

Các quyền chính liên quan đến dữ liệu cá nhân theo GDPR

Theo GDPR, chủ thể dữ liệu cá nhân chủ yếu được công nhận các quyền sau đây:

• Quyền truy cập vào dữ liệu cá nhân
• Quyền yêu cầu chỉnh sửa hoặc xóa dữ liệu cá nhân
• Quyền yêu cầu hạn chế sử dụng dữ liệu cá nhân
• Quyền phản đối việc xử lý dữ liệu cá nhân

Chủ thể dữ liệu cá nhân có quyền hiểu rõ thông tin của mình được sử dụng như thế nào bởi người cung cấp. Nếu cảm thấy thông tin không chính xác hoặc được sử dụng một cách không phù hợp, họ có thể yêu cầu chỉnh sửa hoặc xóa bỏ, đồng thời có thể yêu cầu tạm dừng sử dụng hoặc đưa ra phản đối.

Những trách nhiệm chính liên quan đến dữ liệu cá nhân trong GDPR

Trong khi các chủ thể dữ liệu cá nhân được công nhận các quyền như đã nêu trên, các doanh nghiệp thu thập và xử lý dữ liệu cá nhân chủ yếu phải chịu các trách nhiệm sau đây.

• Trách nhiệm thiết lập hệ thống và cơ cấu nhân sự xử lý dữ liệu cá nhân phù hợp với GDPR
• Trách nhiệm ghi chép các hoạt động xử lý dữ liệu cá nhân
• Trách nhiệm phản ứng khi có sự cố vi phạm dữ liệu cá nhân

Để đảm bảo dữ liệu cá nhân được bảo vệ một cách thích đáng, những trách nhiệm này của doanh nghiệp là vô cùng quan trọng.

Ngoài ra, việc ghi chép đầy đủ mọi hoạt động xử lý dữ liệu cá nhân là điều cần thiết để có thể thực hiện đánh giá khi cần thiết.

Khi xảy ra vi phạm dữ liệu cá nhân, doanh nghiệp có trách nhiệm thực hiện các biện pháp thích hợp và thông báo cho các bên liên quan.

Trường hợp vi phạm GDPR

Nếu người quản lý hoặc người xử lý vi phạm GDPR và gây thiệt hại cho chủ thể dữ liệu, họ có thể phải đối mặt với yêu cầu bồi thường thiệt hại (theo Điều 82, khoản 1 của GDPR).

Hơn nữa, vi phạm GDPR có thể dẫn đến hậu quả nghiêm trọng. Ví dụ, đối với hành vi vi phạm, có thể bị áp dụng biện pháp trừng phạt từ EU dựa trên Điều 83 của GDPR (theo Điều 83 của GDPR).

Sự khác biệt giữa GDPR và Luật Bảo vệ Thông tin Cá nhân

Sự khác biệt chính giữa GDPR và Luật Bảo vệ Thông tin Cá nhân bao gồm:

• Đối tượng bảo vệ
• Phản ứng khi dữ liệu cá nhân bị xâm phạm
• Việc thiết lập đại diện
• Hình phạt khi vi phạm

Dưới đây, chúng tôi sẽ giải thích chi tiết hơn.

Đối tượng bảo vệ

GDPR và Luật Bảo vệ Thông tin Cá nhân có sự khác biệt về đối tượng dữ liệu được bảo vệ. GDPR bảo vệ dữ liệu cá nhân được xử lý trong phạm vi rộng lớn của EU. Không chỉ các công ty có cơ sở tại EU mà cả các công ty cung cấp hàng hóa hoặc dịch vụ cho cá nhân trong EU cũng nằm trong diện bị quản lý.

Ngược lại, đối tượng bảo vệ của Luật Bảo vệ Thông tin Cá nhân thì tùy thuộc vào từng quốc gia hoặc khu vực.

Ví dụ, Luật Bảo vệ Thông tin Cá nhân của Nhật Bản (Japanese Personal Information Protection Law) chỉ nhắm đến thông tin cá nhân được xử lý trong nước, và phạm vi bảo vệ cơ bản là giới hạn trong nước.

Phản ứng khi dữ liệu cá nhân bị xâm phạm

GDPR và Luật Bảo vệ Thông tin Cá nhân có những phản ứng khác nhau khi dữ liệu cá nhân bị xâm phạm.

Theo GDPR, khi xảy ra vi phạm dữ liệu, doanh nghiệp có nghĩa vụ thông báo cho cơ quan giám sát trong vòng 72 giờ. Ngoài ra, họ cũng có trách nhiệm thông báo nhanh chóng và rõ ràng cho chủ thể dữ liệu cá nhân.

Trong khi đó, Luật Bảo vệ Thông tin Cá nhân cũng yêu cầu thông báo nhanh chóng khi có vi phạm dữ liệu, nhưng thời hạn báo cáo và nội dung thông báo thì tùy thuộc vào từng quốc gia hoặc khu vực.

Việc thiết lập đại diện

GDPR và Luật Bảo vệ Thông tin Cá nhân có những quy định khác nhau về việc thiết lập đại diện.

Theo GDPR, khi xử lý dữ liệu cá nhân của trẻ em, sự đồng ý của phụ huynh hoặc người đại diện hợp pháp là cần thiết. Ngoài ra, khi các công ty cung cấp dịch vụ trực tuyến xử lý dữ liệu cá nhân của trẻ em dưới 16 tuổi, họ cần phải có sự đồng ý của phụ huynh.

Luật Bảo vệ Thông tin Cá nhân cũng yêu cầu sự đồng ý của người đại diện hợp pháp khi xử lý thông tin cá nhân của trẻ em, nhưng độ tuổi cụ thể và phương thức lấy sự đồng ý thì tùy thuộc vào từng quy định pháp luật.

Hình phạt khi vi phạm

Một trong những sự khác biệt giữa GDPR và Luật Bảo vệ Thông tin Cá nhân là hình phạt áp dụng khi có vi phạm.

Theo GDPR, hành vi vi phạm có thể bị phạt lên đến 4% tổng doanh thu hàng năm của toàn công ty hoặc 20 triệu euro.

Hình phạt của Luật Bảo vệ Thông tin Cá nhân thì tùy thuộc vào từng quốc gia hoặc khu vực, nhưng nói chung là bao gồm cả phạt tiền và trách nhiệm pháp lý. Số tiền phạt sẽ thay đổi tùy theo nội dung và mức độ nghiêm trọng của vi phạm.

Các điểm cần lưu ý của doanh nghiệp Nhật Bản khi thực hiện biện pháp đối phó với GDPR

Các doanh nghiệp sau đây cần phải thực hiện các biện pháp đối phó với GDPR:

• Doanh nghiệp có con gái công ty, chi nhánh hoặc văn phòng kinh doanh tại khu vực EU
• Doanh nghiệp cung cấp hàng hóa hoặc dịch vụ từ Nhật Bản đến khu vực EU
• Doanh nghiệp được các công ty tại EU ủy thác xử lý dữ liệu cá nhân

Ví dụ về các biện pháp cụ thể trong doanh nghiệp, Điều 32 và Preamble (83) của GDPR khuyến nghị mã hóa là một trong những kỹ thuật bảo vệ dữ liệu.

Do đó, việc mã hóa dữ liệu cá nhân trên các thiết bị như máy tính cá nhân của khách hàng, ổ cứng HDD, USB, thư mục chia sẻ, v.v. là cần thiết.

Ngoài ra, cần phải thay đổi Chính sách Bảo mật để phù hợp với GDPR. Bài viết dưới đây sẽ giải thích chi tiết về việc tạo Chính sách Bảo mật phù hợp với GDPR.

Bài viết liên quan: Giải thích các điểm cần lưu ý khi tạo Chính sách Bảo mật phù hợp với GDPR[ja]

Tóm lược: Nên tham vấn chuyên gia về biện pháp tuân thủ GDPR

GDPR là quy định nhằm bảo vệ rộng rãi dữ liệu cá nhân được xử lý trong khu vực EU, đồng thời yêu cầu việc xử lý dữ liệu phải hợp pháp, minh bạch và đảm bảo an toàn. Các điểm khác biệt giữa GDPR và Luật Bảo vệ Thông Tin Cá Nhân Nhật Bản bao gồm đối tượng bảo vệ, phản ứng khi dữ liệu cá nhân bị xâm phạm, thiết lập đại lý và hình phạt khi vi phạm.

Các doanh nghiệp có cơ sở tại EU, doanh nghiệp cung cấp hàng hóa hoặc dịch vụ cho cá nhân trong EU, hoặc doanh nghiệp được giao nhiệm vụ xử lý dữ liệu cá nhân từ các công ty trong EU, là những đối tượng cần tuân thủ GDPR. Nếu vi phạm GDPR, doanh nghiệp có thể phải đối mặt với yêu cầu bồi thường thiệt hại hoặc bị áp đặt tiền phạt, vì vậy cần phải hết sức chú ý.

Đối với việc cần thiết phải thay đổi quy định bảo vệ dữ liệu của công ty bạn để phù hợp với GDPR, chúng tôi khuyến nghị bạn nên tham vấn ý kiến từ các chuyên gia.

Giới thiệu các biện pháp của Văn phòng Luật sư Monolith

Văn phòng Luật sư Monolith là một văn phòng luật sư có kinh nghiệm phong phú trong cả hai lĩnh vực IT, đặc biệt là Internet và luật pháp. Trong những năm gần đây, kinh doanh toàn cầu ngày càng mở rộng, và nhu cầu kiểm tra pháp lý bởi các chuyên gia ngày càng tăng. Văn phòng chúng tôi cung cấp các giải pháp liên quan đến pháp luật quốc tế.

Lĩnh vực hoạt động của Văn phòng Luật sư Monolith: Pháp luật quốc tế & Kinh doanh nước ngoài[ja]