Tin tức

GDPR, dữ liệu cá nhân nhạy cảm như thế nào?

Categories: Uncategorized

Kính chào bạn đọc. Chủ đề của tuần này là về bản chất của dữ liệu cá nhân. Khi quý công ty bắt đầu thực việc việc tuân thủ GDPR, bạn phải bắt đầu với việc . Loại dữ liệu cá nhân nào mà quý công ty đang sở hữu? Dữ liệu này nhạy cảm như thế nào? Và bạn đang xử lý nó trên cơ sở nào? Để trả lời các câu hỏi trên, bạn cần biết dữ liệu cá nhân được định nghĩa như thế nào trong GDPR.

“Dữ liệu cá nhân” được định nghĩa như thế nào theo GDPR?
Định nghĩa chính xác trong GDPR về dữ liệu cá nhân có thể được tìm thấy tại Điều 4(1):

‘Dữ liệu cá nhân’ có nghĩa là bất kỳ thông tin nào liên quan đến một thể nhân (‘chủ thể dữ liệu’) đã được xác định hoặc có thể xác định được; một thể nhân có thể nhận dạng được là một người mà có thể được xác định, trực tiếp hoặc gián tiếp, cụ thể bằng cách tham chiếu đến một mã định danh như tên, số , dữ liệu về vị trí, mã nhận dạng trực tuyến hoặc một hoặc nhiều yếu tố cụ thể về danh tính về thể chất, sinh lý, di truyền, tâm lý, kinh tế, văn ha và xã hội của thể nhân đó.

Điều mới về định nghĩa này chính là ba điểm nhận dạng được thêm vào: tên, dữ liệu về vị trí (dữ liệu với vị trí địa lý được gắn liền với nó), và mã nhận dạng trực tuyến (địa chỉ IP, ID của thiết bị di động, v.v.). Nhiều công ty đã coi các loại dữ liệu này là dữ liệu cá nhân, nhưng theo GDPR những loại dữ liệu này mới chính thức trở thành một phần trong định nghĩa của dữ liệu cá nhân.

Khi nào dữ liệu cá nhân được xem là nhạy cảm theo GDPR?
Tại điều 9(1), GDPR quy định một số loại dữ liệu cá nhân bị cấ xử lý, trừ khi đáp ứng các điều kiện cụ thể:

  • Nguồn gốc chủng tộc hoặc dân tộc
  • Quan điểm chính trị
  • Niềm tin tôn giáo hay triết học
  • Thành viên công đoàn
  • Dữ liệu về di truyền hoặc sinh trắc học
  • Sức khỏe hoặc đời sống tình dục

Những loại dữ liệu cá nhân này có thể được xử lý nếu đáp ứng các yêu cầu cụ thể, và nên được xử lý với các biện pháp an toàn và thận trọng hơn. Điều mới về định nghĩa này là GDPR bao gồm dữ liệu di truyền và sinh trắc học (trình tự gen, dấu vân tay, nhận điện khuôn mặt, v.v.)

Dữ liệu cá nhân được xử lý dựa trên những cơ sở nào? Để xử lý dữ liệu cá nhân, bên dữ liệu phải đáp ứng ít nhất một trong các điều kiện được tìm thấy tại điều 6 GDPR:

a) Chủ thể dữ liệu đồng ý việc xử lý dữ liệu cá nhân của họ cho một hoặc nhiều mục đích cụ thể;

b) Việc xử lý là cần thiết cho việc thực hiện một hợp đồng mà chủ thể dữ là là một bên hoặc để thực hiện các bước tiếp theo theo yêu cầu của chủ thể dữ liệu trước khi ký kết hợp đồng;

c) Việc xử lý là cần thiết cho việc tuân thủ một nghĩa vụ pháp lý đối mà bên kiểm soát phải tuân theo;

d) Việc xử lý là cần thiết để bảo vệ lợi ích sống còn của chủ thể dữ liệu hoặc của thể nhân khác;

e) Việc xử lý là cần thiết để thực hiện một nhiệm vụ vì lợi ích cộng đồng hoặc trong việc thực thi quyền lực được giao của bên điều khiển;

f) Việc xử lý là cần thiết cho các mục đích lợi ích hợp pháp mà bên điều khiển hoặc bên thứ ba theo đuổi, trừ trường hợp những lợi ích đó xâm phạm quyền lợi hoặc quyền tự do cơ bản của chủ thể dữ liệu có yêu cầu bảo vệ dữ liệu cá nhân, cụ thể trong trường hợp chủ thể dữ liệu là trẻ em

a, b, và f là những điều kiện mà hầu hết các công ty sử dụng để xử lý dữ liệu. Xử lý dữ liệu nhạy cảm, hoặc cái mà GDPR gọi là ‘các loại dữ liệu cá nhân đặc biệt’ tại điều 9, bị cấm trừ khi đáp ứng các điều kiện cụ thể. Những điều kiện cụ thể này có thể được tìm thấy tại điều 9(2). Trong blogpost sau, chúng tôi sẽ giải thích thêm về các điều kiện xử lý dữ liệu cá nhân và dữ liệu cá nhân nhạy cảm.

Cảm ơn bạn đã đọc toàn bộ blogpost này, dù nó khá khô khan. Nhưng nó là một khía cạnh quan trọng của GDPR, có thể giúp bạn có hình dung tốt hơn về các blogposts tiếp theo của chúng tôi. Chúng tôi sẽ có thêm nhiều bài viết hơn (và thú vị hơn để đọc)!

Takeda Activity Management được triển khai thành công toàn EU
Một chủ đề hấp dẫn khác về GDPR: Sự đồng thuận
Menu