Quy định Bảo vệ Dữ liệu Chung (GDPR) là một trong những luật bảo vệ dữ liệu nghiêm ngặt nhất thế giới. Quy định này cung cấp khuôn khổ pháp lý cho việc thu thập và xử lý dữ liệu cá nhân của công dân EU.
GDPR phân biệt giữa "các loại dữ liệu cá nhân đặc biệt" (còn được gọi là "nhạy cảm") và các dữ liệu cá nhân khác, đồng thời áp đặt các yêu cầu nghiêm ngặt hơn về việc thu thập và xử lý dữ liệu nhạy cảm. Hiểu rõ những khác biệt này sẽ giúp công ty của bạn tuân thủ các yêu cầu và tránh bị phạt nặng.
Trong bài viết này, chúng tôi sẽ giải thích dữ liệu cá nhân nào được coi là "nhạy cảm" theo GDPR. Chúng tôi cũng sẽ xem xét cách một giải pháp phân tích web như Matomo có thể giúp bạn duy trì sự tuân thủ.
Dữ liệu cá nhân nhạy cảm là gì?
Các loại dữ liệu sau đây được coi là nhạy cảm:
- Tiết lộ dữ liệu cá nhân:
- Nguồn gốc chủng tộc hoặc dân tộc;
- Quan điểm chính trị;
- Niềm tin tôn giáo hoặc triết học;
- Thành viên công đoàn;
- Dữ liệu di truyền và sinh trắc học;
- Dữ liệu liên quan đến một người:
- Sức khỏe; hoặc
- Đời sống tình dục hoặc khuynh hướng tình dục.
Dữ liệu cá nhân nhạy cảm và không nhạy cảm: Sự khác biệt là gì?
Mặc dù cả hai loại đều bao gồm thông tin về một cá nhân, dữ liệu nhạy cảm được coi là riêng tư hơn hoặc cần được bảo vệ chặt chẽ hơn.
Dữ liệu nhạy cảm thường mang mức độ rủi ro và tác hại cao hơn đối với chủ thể dữ liệu nếu dữ liệu bị lộ. Ví dụ, việc rò rỉ dữ liệu làm lộ hồ sơ sức khỏe có thể dẫn đến phân biệt đối xử đối với những cá nhân liên quan. Công ty bảo hiểm có thể sử dụng thông tin này để tăng phí bảo hiểm hoặc từ chối bảo hiểm.
Ngược lại, dữ liệu cá nhân như tên hoặc giới tính được coi là ít nhạy cảm hơn vì chúng không gây ra mức độ nguy hại như dữ liệu nhạy cảm.
Việc truy cập trái phép vào tên của một người ít có khả năng gây hại hoặc xâm phạm các quyền và tự do cơ bản của họ hơn là việc truy cập trái phép vào hồ sơ sức khỏe hoặc dữ liệu sinh trắc học của họ. Lưu ý rằng thông tin tài chính (ví dụ: chi tiết thẻ tín dụng) không thuộc các loại dữ liệu đặc biệt.
Tính hợp pháp của việc xử lý
Theo GDPR, cả dữ liệu cá nhân nhạy cảm và không nhạy cảm đều được bảo vệ. Tuy nhiên, các quy tắc và điều kiện xử lý dữ liệu nhạy cảm nghiêm ngặt hơn.
Điều 6 đề cập đến việc xử lý dữ liệu không nhạy cảm và nêu rõ rằng việc xử lý là hợp pháp nếu một trong sáu cơ sở hợp pháp để xử lý được áp dụng.
Ngược lại, Điều 9 của GDPR quy định rằng việc xử lý dữ liệu nhạy cảm bị cấm theo quy định, nhưng có mười trường hợp ngoại lệ.
Điều quan trọng cần lưu ý là cơ sở pháp lý trong Điều 6 không giống với các ngoại lệ trong Điều 9. Ví dụ, trong khi việc thực hiện hợp đồng hoặc lợi ích hợp pháp của bộ điều khiển là cơ sở pháp lý để xử lý dữ liệu cá nhân không nhạy cảm, thì chúng không được coi là ngoại lệ trong Điều 9. Điều tiếp theo là bộ điều khiển không được phép xử lý dữ liệu nhạy cảm trên cơ sở hợp đồng hoặc lợi ích hợp pháp.
Các trường hợp ngoại lệ cho phép xử lý dữ liệu cá nhân nhạy cảm (tuân theo các yêu cầu bổ sung) là:
- Sự đồng ý rõ ràng: Cá nhân đã đồng ý rõ ràng cho phép xử lý dữ liệu cá nhân nhạy cảm của mình cho các mục đích cụ thể, trừ trường hợp một quốc gia thành viên EU cấm sự đồng ý đó. Xem bên dưới để biết thêm thông tin về sự đồng ý rõ ràng.
- Việc làm, an sinh xã hội hoặc bảo vệ xã hội: Việc xử lý dữ liệu nhạy cảm là cần thiết để thực hiện các nhiệm vụ theo luật việc làm, an sinh xã hội hoặc bảo vệ xã hội.
- Lợi ích quan trọng: Việc xử lý dữ liệu nhạy cảm là cần thiết để bảo vệ lợi ích của chủ thể dữ liệu hoặc nếu cá nhân đó không có năng lực đồng ý về mặt thể chất hoặc pháp lý.
- Các tổ chức phi lợi nhuận: Các tổ chức từ thiện, hiệp hội hoặc phi lợi nhuận có mục đích chính trị, triết học, tôn giáo hoặc công đoàn có thể xử lý dữ liệu nhạy cảm của các thành viên hoặc những người mà họ thường xuyên liên lạc, liên quan đến mục đích của họ (và không được phép tiết lộ dữ liệu bên ngoài tổ chức, nếu không có sự đồng ý của chủ thể dữ liệu).
- Công khai: Trong một số trường hợp, việc xử lý dữ liệu nhạy cảm của chủ thể dữ liệu có thể được phép nếu cá nhân đó đã công khai và cho phép truy cập dữ liệu đó.
- Khiếu nại pháp lý: Việc xử lý dữ liệu nhạy cảm là cần thiết để thiết lập, thực hiện hoặc bảo vệ các khiếu nại pháp lý, bao gồm các thủ tục pháp lý hoặc tại tòa án.
- Lợi ích công cộng: Việc xử lý là cần thiết vì những lý do quan trọng liên quan đến lợi ích công cộng, chẳng hạn như ngăn chặn các hành vi bất hợp pháp hoặc bảo vệ công chúng.
- Chăm sóc sức khỏe hoặc xã hội: Việc xử lý dữ liệu danh mục đặc biệt là cần thiết cho: y học phòng ngừa hoặc y học nghề nghiệp, cung cấp dịch vụ chăm sóc sức khỏe và xã hội, chẩn đoán y tế hoặc quản lý hệ thống chăm sóc sức khỏe.
- Y tế công cộng: Được phép xử lý dữ liệu nhạy cảm vì lý do sức khỏe cộng đồng, chẳng hạn như bảo vệ chống lại các mối đe dọa xuyên biên giới đối với sức khỏe hoặc đảm bảo an toàn cho các sản phẩm thuốc hoặc thiết bị y tế.
- Lưu trữ, nghiên cứu và thống kê: Bạn có thể xử lý dữ liệu nhạy cảm nếu việc đó được thực hiện vì mục đích lưu trữ vì lợi ích công cộng, mục đích nghiên cứu khoa học hoặc lịch sử hoặc mục đích thống kê.
Ngoài ra, bạn phải tuân thủ mọi yêu cầu xử lý dữ liệu do GDPR đặt ra.
Quan trọng: Lưu ý rằng đối với bất kỳ dữ liệu nào được gửi đi mà bạn đang xử lý, bạn luôn cần xác định cơ sở hợp pháp theo Điều 6. Ngoài ra, nếu dữ liệu được gửi có chứa dữ liệu nhạy cảm, bạn phải tuân thủ Điều 9.
Sự đồng ý rõ ràng
Mặc dù sự đồng ý là cơ sở pháp lý hợp lệ để xử lý dữ liệu cá nhân không nhạy cảm, nhưng bên kiểm soát chỉ được phép xử lý dữ liệu nhạy cảm khi có "sự đồng ý rõ ràng" của chủ thể dữ liệu.
GDPR không định nghĩa sự đồng ý “rõ ràng”, nhưng được chấp nhận rằng sự đồng ý này phải đáp ứng tất cả các điều kiện của Điều 7 về sự đồng ý, ở ngưỡng cao hơn. Để được coi là “rõ ràng”, sự đồng ý đòi hỏi một tuyên bố rõ ràng (bằng lời nói hoặc bằng văn bản) của chủ thể dữ liệu. Sự đồng ý suy ra từ hành động của chủ thể dữ liệu không đáp ứng ngưỡng.
Người kiểm soát phải lưu giữ hồ sơ về sự đồng ý rõ ràng và cung cấp phương pháp rút lại sự đồng ý phù hợp để cho phép chủ thể dữ liệu thực hiện các quyền của họ.
Ví dụ về xử lý dữ liệu nhạy cảm tuân thủ và không tuân thủ
Sau đây là các ví dụ về trường hợp bạn có thể và không thể xử lý dữ liệu nhạy cảm:
- Khi nào bạn có thể xử lý dữ liệu nhạy cảm: Bác sĩ ghi lại dữ liệu nhạy cảm về bệnh nhân, bao gồm tên, triệu chứng và đơn thuốc. Bệnh viện có thể xử lý dữ liệu này để cung cấp dịch vụ chăm sóc y tế phù hợp cho bệnh nhân. Nhà sản xuất thiết bị IoT và phần mềm xử lý dữ liệu sức khỏe của khách hàng dựa trên sự đồng ý rõ ràng của từng khách hàng.
- Khi bạn không thể xử lý dữ liệu nhạy cảm : Một ví dụ là khi bạn không có sự đồng ý rõ ràng từ chủ thể dữ liệu. Một ví dụ khác là khi không có cơ sở pháp lý để xử lý dữ liệu hoặc bạn đang thu thập dữ liệu cá nhân mà bạn đơn giản là không cần. Ví dụ: bạn không cần nguồn gốc dân tộc của khách hàng để thực hiện đơn hàng trực tuyến.
Những tác động khác của việc xử lý dữ liệu nhạy cảm
Nếu bạn xử lý dữ liệu nhạy cảm, đặc biệt là trên quy mô lớn, GDPR sẽ áp dụng các yêu cầu bổ sung, chẳng hạn như phải có Đánh giá tác động quyền riêng tư dữ liệu, chỉ định Cán bộ bảo vệ dữ liệu và Đại diện EU, nếu bạn là đơn vị kiểm soát có trụ sở bên ngoài EU.
Hình phạt cho việc không tuân thủ GDPR
Việc xử lý dữ liệu nhạy cảm sai cách (hoặc xử lý dữ liệu khi không được phép) có thể dẫn đến hình phạt rất nặng. Có hai mức phạt theo GDPR :
- 10 triệu euro hoặc 2% doanh thu hàng năm của công ty đối với các hành vi vi phạm ít nghiêm trọng hơn
- 20 triệu euro hoặc 4% doanh thu hàng năm của công ty đối với các hành vi vi phạm nghiêm trọng hơn
Chỉ riêng trong nửa đầu năm 2023, số tiền phạt áp dụng tại EU do vi phạm GDPR đã vượt quá 1,6 tỷ euro , tăng so với mức 73 triệu euro vào năm 2019.
Các ví dụ về những vi phạm nghiêm trọng trong vài năm gần đây bao gồm:
- Amazon: Ủy ban quốc gia Luxembourg đã phạt gã khổng lồ bán lẻ này số tiền lên tới 887 triệu đô la vào năm 2021 vì không xử lý dữ liệu cá nhân theo GDPR.
- Google: Ủy ban Bảo vệ Dữ liệu Quốc gia (CNIL) đã phạt Google 50 triệu euro vì không nhận được sự đồng ý phù hợp để hiển thị quảng cáo được cá nhân hóa.
- H&M: Ủy viên Hamburg về Bảo vệ Dữ liệu và Tự do Thông tin đã phạt công ty quần áo đa quốc gia này 35,3 triệu euro vào năm 2020 vì thu thập và lưu trữ dữ liệu nhân viên trái phép tại trung tâm dịch vụ của công ty.
Một trong những tiêu chí ảnh hưởng đến mức độ nghiêm trọng của khoản tiền phạt là "danh mục dữ liệu" — loại dữ liệu cá nhân đang được xử lý. Các công ty cần phải thực hiện các biện pháp phòng ngừa bổ sung với dữ liệu nhạy cảm, nếu không họ có nguy cơ phải chịu mức phạt nghiêm khắc hơn.
Hơn nữa, vi phạm GDPR có thể ảnh hưởng tiêu cực đến danh tiếng thương hiệu của bạn và khiến bạn mất đi cơ hội kinh doanh từ những người tiêu dùng lo ngại về hoạt động dữ liệu của bạn. 76% người tiêu dùng cho biết họ sẽ không mua hàng từ những công ty mà họ không tin tưởng chia sẻ dữ liệu cá nhân của mình.
Các tổ chức nên trình bày các hoạt động xử lý dữ liệu của mình một cách đơn giản và dễ dàng truy cập thông tin này để khách hàng biết dữ liệu của họ đang được xử lý như thế nào.
Bắt đầu với phân tích trang web tuân thủ GDPR
GDPR cung cấp một khuôn khổ để bảo mật và bảo vệ dữ liệu cá nhân. Tuy nhiên, nó cũng phân biệt giữa dữ liệu nhạy cảm và dữ liệu không nhạy cảm. Việc hiểu rõ những khác biệt này và áp dụng cơ sở pháp lý để xử lý loại dữ liệu này sẽ giúp đảm bảo tuân thủ.
Bạn đang tìm kiếm giải pháp phân tích web tuân thủ GDPR?
Tại Matomo, chúng tôi coi trọng quyền riêng tư dữ liệu.
Nền tảng của chúng tôi đảm bảo quyền sở hữu dữ liệu 100% , giúp bạn hoàn toàn kiểm soát dữ liệu của mình. Không giống như các giải pháp phân tích web khác, dữ liệu của bạn hoàn toàn thuộc về bạn và không bị bán hoặc đấu giá cho các nhà quảng cáo.
Ngoài ra, với Matomo, bạn có thể tin tưởng vào độ chính xác của thông tin chi tiết bạn nhận được vì chúng tôi cung cấp dữ liệu đáng tin cậy và chưa được lấy mẫu.
Matomo cũng tuân thủ đầy đủ GDPR và các luật bảo mật dữ liệu khác như CCPA , LGPD , v.v.
Bắt đầu dùng thử miễn phí 21 ngày ngay hôm nay; không cần thẻ tín dụng.
Tuyên bố miễn trừ trách nhiệm
Chúng tôi không phải là luật sư và cũng không tự nhận mình là luật sư. Thông tin được cung cấp ở đây nhằm mục đích giúp bạn hiểu rõ hơn về GDPR. Chúng tôi khuyến khích mọi doanh nghiệp và trang web coi trọng quyền riêng tư dữ liệu và thảo luận những vấn đề này với luật sư nếu bạn có bất kỳ thắc mắc nào.
Nguồn Matomo quốc tế: https://matomo.org/blog/2024/05/gdpr-sensitive-personal-data/
Tham khảo thêm về Xhan Analytics tại: https://www.24h.com.vn/kham-pha-cong-nghe/matomo-xhan-analyitcs-da-co-mat-tai-thi-truong-viet-nam-c675a1684101.html
Tham khảo thêm về Xhan Analytics tại: https://www.nguoiduatin.vn/matomo-xhan-analytics-ra-mat-cong-cu-tri-tue-nhan-tao-xhan-ai-phan-tich-hieu-quang-quang-cao-google-ads-va-du-lieu-chuyen-sau-danh-cho-nha-quang-cao-duoc-tin-dung-tai-chau-au-va-hoa-ky-204250807103939092.htm
