Bảo vệ dữ liệu và mở dữ liệu

Quy định Bảo vệ Dữ liệu Chung - GDPR (General Data Protection Regulation) là người bảo vệ cho Dữ liệu Mở

Protecting data and opening data

General Data Protection Regulation (GDPR) as a supporter for Open Data

06/06/2018

Theo: https://data.europa.eu/en/datastories/protecting-data-and-opening-data

Bài được đưa lên Internet ngày: 06/06/2018

Nền tảng của GDPR là gì?

Khi các công nghệ phát triển và ngày càng nhiều dữ liệu được sản xuất và thu thập, vài sáng kiến nắm bắt tiềm năng của dữ liệu bằng việc sử dụng lại nó để giành được sự thấu hiểu hoặc cung cấp các sản phẩm và dịch vụ mới. Các ứng dụng di động có thể, ví dụ, nói cho người sử dụng khi nào sẽ có mưa ở vùng nào bằng việc kết nối dữ liệu thời tiết và địa lý. Các trang web về mua sắm công cung cấp nội dung về chi tiêu công và ra quyết định. Những trang khác kết hợp lịch trình và các tuyến xe buýt và tàu hỏa để cải thiện giao thông công cộng và các sáng kiến thành phố thông minh. Hầu hết các dữ liệu được sử dụng lại là Dữ liệu Mở không bao gồm dữ liệu cá nhân.

Việc sử dụng lại dữ liệu cá nhân, có thể giúp các tổ chức hiểu hành vi của người sử dụng và nhằm vào các hoạt động tiếp thị hiệu quả hơn. Vì dữ liệu cá nhân là thông tin liên quan tới một cá nhân có thể được nhận dạng, trực tiếp hoặc gián tiếp bằng dữ liệu, quyền riêng tư được quan tâm. Quyền riêng tư là quyền con người nằm trong hầu hết các nền dân chủ đương thời. Theo Điều 8 của Công ước châu Âu về Quyền Con người, nó nêu rằng “Mọi người có quyền tôn trọng cuộc sống riêng tư và gia đình của mình, ngôi nhà của mình và thư từ của mình”. Vì việc xử lý dữ liệu cá nhân liên quan tới quyền riêng tư của các cá nhân, sử dụng dữ liệu cá nhân được quy định.

Mục tiêu của GDPR là gì?

Để thiết lập một khung pháp lý cho quyền riêng tư dữ liệu vào giữa những năm 1990, Chỉ thị 95/46/EC đã được viết. Khi đó Internet vẫn còn là sự đổi mới sáng tạo và phương tiện xã hội mới có còn chưa phổ biến. Kể từ đó, công nghệ và sử dụng lại dữ liệu đã vượt trội hơn Chỉ thị đó, làm cho việc cập nhật trở nên cần thiết. Để đảm bảo quyền riêng tư, các quy định đã phải mở rộng cho các nhánh quyền riêng tư kỹ thuật số. Quy định (EU) 2016/679 (Quy định Bảo về Dữ liệu Chung, hay "GDPR"), thay thế cho Chỉ thị 95/46/EC với mục đích nâng cao nhận thức, minh bạch và tuân thủ. Nó tác động tới hầu hết mọi tổ chức nằm ở Liên minh châu Âu, cũng như mọi tổ chức làm kinh doanh ở Liên minh châu Âu, thậm chí nếu có trụ sở ở nước ngoài. Để nâng cao nhận thức ở mức các lãnh đạo cao cấp của công ty, các hình phạt trong trường hợp không tuân thủ được nâng cao tới 20 triệu euro hoặc 4% doanh số toàn cầu.

GDPR làm gia tăng hiểu biết và tin cậy trong chia sẻ dữ liệu như thế nào?

Tuy nhiên, mục tiêu của GDPR không phải là phạt những người sử dụng dữ liệu mà là để hướng dẫn cho việc xử lý dữ liệu, nâng cao sự tin cậy và khuyến khích chia sẻ và sử dụng lại dữ liệu. Động lực đối với GDPR là để nâng cao hiểu biết về cách thức dữ liệu cá nhân được đối xử và xử lý. Vì dữ liệu số hầu hết không là hữu hình, nó làm cho khó khăn hơn để hiểu cũng vì các thuật ngữ kỹ thuật hoặc pháp lý thường được sử dụng. GDPR nhằm trao lại cho các công dân sự kiểm soát đối với các dữ liệu cá nhân của họ, để đơn giản hóa môi trường pháp lý và nhấn mạnh lợi ích của sử dụng lại dữ liệu tuân thủ với các quy định về quyền riêng tư dữ liệu.

Trong trường hợp không có sự hiểu biết rõ ràng về các quy định về quyền riêng tư của dữ liệu, việc né tránh, lo lắng và hiểu lầm sẽ cản trở sự tin tưởng và xử lý dữ liệu an toàn. Bằng việc thiết lập khung pháp lý vững chắc và thức thời để bảo vệ dữ liệu cá nhân, nó làm giảm rủi ro sử dụng sai và những lỗ hổng về quyền riêng tư (có chủ ý hoặc vì thiếu hiểu biết hoặc nhận thức). GDPR xác định các điều kiện đồng thuận:

“… các công ty sẽ không còn có thể sử dụng các điều khoản và điều kiện dài dòng đầy tính pháp lý, vì yêu cầu đồng ý phải được đưa ra dưới dạng dễ hiểu và dễ tiếp cận, với mục đích xử lý dữ liệu kèm theo sự đồng ý đó. Sự đồng ý phải là rõ ràng và có khả năng phân biệt được với các vấn đề khác và được cung cấp ở dạng truy cập được dễ hiểu và dễ dàng, sử dụng ngôn ngữ rõ ràng và giản dị. Việc rút lại sự đồng ý phải dễ dàng như việc cho phép.”

Bằng cách này, việc xử lý dữ liệu cá nhân sẽ minh bạch và toàn diện hơn, được các hướng dẫn và các rào cản pháp lý hạn chế. Điều đó cũng làm cho nó dễ dàng hơn và có lợi hơn cho những người sử dụng (lại) dữ liệu để xử lý và tạo ra giá trị từ dữ liệu và Dữ liệu Mở. Ngoài ra, nó cho phép nâng cao hiểu biết về lợi ích của việc chia sẻ dữ liệu vì nó không bị lu mờ bởi sự bất an và lo lắng về việc sử dụng sai mục đích. Điều này nhấn mạnh GDPR hỗ trợ việc chia sẻ và sử dụng lại dữ liệu bằng việc gia tăng minh bạch và hiểu biết về cách để xử lý dữ liệu như thế nào theo một cách thức an toàn và hợp pháp. Với việc các tổ chức buộc phải xử lý dữ liệu một cách cẩn thận hơn, người tiêu dùng có thể có xu hướng không chỉ chia sẻ dữ liệu của họ mà còn hiểu được lợi ích của việc chia sẻ và sử dụng lại dữ liệu. Vì thế, GDPR trên thực tế ủng hộ khái niệm Dữ liệu Mở.

Dạng dữ liệu nào GDPR quan tâm?

EUgdpr.org đưa ra một cái nhìn tổng quan toàn diện và đầy đủ về GDPR và nó có nghĩa gì. Để giúp hiểu GDPR có liên quan tới Dữ liệu Mở, 2 định nghĩa dữ liệu có thể giúp.

Dữ liệu cá nhân là “bất kỳ thông tin nào có liên quan tới một thể nhân nhận dạng được hoặc có thể nhận dạng được (‘chủ thể dữ liệu ’); một thể nhân có thể nhận dạng được là một thể nhân có thể nhận dạng được, trực tiếp hoặc gián tiếp, đặc biệt bằng sự tham chiếu tới một mã nhận dạng như tên, số nhận dạng, dữ liệu vị trí, mã nhận dạng trên trực tuyến hoặc một hoặc nhiều yếu tố đặc thù về xác thức vật ý, tâm lý, gen, tinh thần, kinh tế, văn hóa hoặc xã hội của thể nhân đó.” GDPR làm việc riêng với dữ liệu cá nhân.

Dữ liệu Mở tham chiếu tới dữ liệu là mở để tự do không mất tiền truy cập, sử dụng và sửa đổi sẽ được chia sẻ vì bất kỳ mục đích gì. Các nguyên tắc cho Dữ liệu Mở được mô tả chi tiết trong Định nghĩa Mở (bản dịch sang tiếng Việt). Dữ liệu Mở không thể được coi là mở nếu nó không đi với một giấy phép đảm bảo tự do không mất tiền để sử dụng lại nó.

Ý nghĩa của GDPR đối với Dữ liệu mở là gì?

Vẫn có sự hiểu nhầm về cách để bảo vệ dữ liệu và mở dữ liệu có thể tuân thủ cùng một mục đích. Vài người thậm chí nói GDPR là xung đột với khái niệm Dữ liệu Mở. GDPR làm việc riêng với dữ liệu cá nhân. Tình huống duy nhất khi GDPR trực tiếp ảnh hưởng tới Dữ liệu Mở là khi Dữ liệu Mở bao gồm dữ liệu cá nhân. Theo GDPR, các công dân châu Âu phải đưa ra sự đồng ý rõ ràng và kiên quyết của họ về việc xử lý dữ liệu của họ. Vì thế, không dữ liệu cá nhân nào có thể được xuất bản để sử dụng lại mà không có sự đồng ý của bên bị ảnh hưởng.

Có vài ngoại lệ, khi dữ liệu cá nhân có thể được xuất bản:

1. Nếu có các lý do hợp pháp để xuất bản dữ liệu. Ví dụ, trong trường hợp quyết định của tòa án. Quy định này hạn chế các quyền riêng tư nói chung.

2. Nếu dữ liệu đó đã được ẩn danh (Anonymized).

Ẩn danh là quá trình loại bỏ thông tin cá nhân có thể nhận dạng được khỏi dữ liệu. Vì thế, dữ liệu đó không còn được tham chiếu tới như là “dữ liệu cá nhân” và không còn phải tuân thủ với GDPR. Bằng việc đảm bảo rằng dữ liệu cá nhân được xử lý minh bạch, nghiêm ngặt tuân theo GDPR, nó có thể làm giảm rào cản xuất bản và sử dụng lại Dữ liệu Mở. Vì thế, GDPR có thể tạo thuận lợi cho nền kinh tế do dữ liệu dẫn dắt, sinh ra các sản phẩm và dịch vụ mới để tạo ra giá trị cho xã hội, trong khi vẫn tôn trọng các quyền của công dân.

What is the background of the GDPR?

As technologies develop and more and more data are produced and collected, several initiatives seize the potential of the data by re-using it to gain insight or provide new products and services. Mobile applications can, for example, tell users when it will rain in which area by linked weather and geo data. Websites on public procurement provide inside on public spending and decision making. Others combine bus and train schedules and routes to improve public transport and smart city initiatives. Most of the data that is re-used is Open Data not including personal data.

Re-using personal data, can help organisations understand user behaviour and target their marketing activities more effectively. Because personal data is information relating to a person who can be identified, directly or indirectly by the data, the right of privacy is concerned. The right of privacy is a human right anchored in most modern democracies. In Article 8 of the European Convention on Human Rights, Link opens in a new window, it states that "Everyone has the right to respect for his private and family life, his home and his correspondence." Because processing personal data concerns the privacy of individuals, the use of personal data is regulated.

What is the aim of GDPR?

In order to set a legal framework for data privacy in the mid-1990s, the Directive 95/46/EC was written. In that time the internet was still a recent innovation and social media was not spread yet. Since then, the technology and the re-use of data outgrew the Directive, making an update necessary. To ensure data privacy, regulations had to expand to digital privacy breaches. Regulation (EU) 2016/679 (the General Data Protection Regulation, or "GDPR"), Link opens in a new window replaces the Directive 95/46/EC with the aim to raise awareness, transparency and compliance. It impacts almost every organisation that is based in the EU, as well as every organisation that does business in the EU, even if based abroad. To increase awareness at the level of company's senior executives, penalties in case of non-compliance are increased to up to 20 million Euro or 4% of the worldwide turnover.

How can GDPR increase understanding and trust in sharing data?

However, the aim of GDPR is not to penalise data users but to guide data processing, increase trust and encourage sharing and re-using data. A driver for GDPR is to increase understanding of how personal data is treated and processed. Since digital data is mostly not tangible, it makes it more difficult to understand also because often technical or legal jargon is used. GDPR aims to give citizens back the control on their personal data, to simplify the regulatory environment and to highlight the benefit of data re-use in compliance with data privacy regulations.

In the absence of a clear understanding of data privacy regulations, avoidance, anxiety and misunderstanding hinder trust and literate safe data handling. By setting a solid and current legal framework that protects personal data, it reduces the risk of misuse and privacy breaches (attentionally or due to a lack of knowledge or awareness). GDPR determines the conditions for consent:, Link opens in a new window

"... companies will no longer be able to use long illegible terms and conditions full of legalese, as the request for consent must be given in an intelligible and easily accessible form, with the purpose for data processing attached to that consent. Consent must be clear and distinguishable from other matters and provided in an intelligible and easily accessible form, using clear and plain language. It must be as easy to withdraw consent as it is to give it.

This way, processing personal data will be more transparent and comprehensible restricted by guidelines and legal barriers. That makes it also easier and more favourable for data (re-)users to process and create value out of data and Open Data. Additionally, it enables to rise understanding for the benefit of sharing data because it is not overshadowed by the insecurity and anxiety of misuse. This highlights that the GDPR supports sharing and re-using data by increasing transparency and knowledge about how to process data in a safe and legal way. With organisations compelled to handle data with greater care, consumers can be more inclined to not only share their data but understand the benefits of sharing and re-using data. Therefore, GDPR in fact supports the concept of Open Data.

What kind of data is concerned by the GDPR?

EUgdpr.org, Link opens in a new window provides a highly exhaustive and comprehensible overview on GDPR and what is means. To help understand GDPR related to Open Data, two definitions of data can help.

Personal data is "any information relating to an identified or identifiable natural person ('data subject'); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person". GDPR deals exclusively with personal data.

Open Data refers to data which is open for free access, use and modification to be shared for any purpose. The principles for Open Data are described in detail in the Open Definition, Link opens in a new window. Open Data cannot be considered open if it is not accompanied by a licence that ensures its free re-use.

What are the implications of GDPR for Open Data?

There is still a misunderstanding about how protecting data and opening data can pursue the same goal. Some even claim GDPR is controversial to the concept of Open Data. GDPR deals exclusively with personal data. The only situation when GDPR directly affects Open Data is when Open Data includes personal data. According to GDPR, European citizens must give their clear and explicit consent to the processing of their data. Therefore, no personal data can be published for re-use without the consent of the affected party.

There are a few exceptions, when personal data can be published:

1. If there are legitimate reasons to publish data. For example, in the case of a court decision. This rule restricts privacy rights in general.

2. If the data has been anonymized.

Anonymization is the process of removing personally identifiable information from data. Therefore, these data can no longer be referred to as "personal data" and is no longer subject to GDPR. By ensuring that personal data is processed transparent, strictly following GDPR, it can lower the barrier to publish and re-use Open data. Therefore, GDPR can facilitate the data-driven economy, generating new products and services that create value to society, while respecting the rights of citizens.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com