Quy định quản lý dữ liệu phi cá nhân của EU chính thức có hiệu lực từ tháng 5/2019

11:28 AM 29/04/2019 In bài viết

A circle of 12 gold stars on a blue background of lines of binary data, representing the European Union flag.

Chính thức được thông qua vào ngày 14 tháng 11 năm 2018, Quy định 2018/1807 của Nghị viện và Hội đồng châu Âu (EU) về khuôn khổ cho dòng dữ liệu phi cá nhân tự do trong Liên minh châu Âu là sự tiếp nối của GDPR và là một trong những trụ cột chính của nỗ lực thiết lập Thị trường chung kỹ thuật số (Digital Single Market) của EU. Quy định sẽ bắt đầu có hiệu lực vào tháng 5 năm 2019.

Nền kinh tế dữ liệu

Chiến lược Thị trường chung kỹ thuật số là một sáng kiến ​​của Ủy ban châu Âu với mục tiêu là đảm bảo quyền truy cập rộng rãi vào các hoạt động trực tuyến cho các cá nhân và doanh nghiệp. Một yếu tố quan trọng trong Thị trường chung kỹ thuật số là những gì EU xác định là “kinh tế dữ liệu” nhằm mục đích sử dụng dữ liệu hiệu quả nhất có thể để mang lại lợi ích cho các quốc gia thành viên EU.

Kinh tế dữ liệu chiếm khoảng 2% GDP của EU và hy vọng rằng quy định mới sẽ tăng cường cơ sở hạ tầng và quy trình liên quan dẫn đến sự phát triển của Thị trường chung kỹ thuật số.

Những hạn chế nội địa hóa dữ liệu và sự không chắc chắn về pháp lý xung quanh chúng được xác định là những nhân tố cản trở các lựa chọn trong khu vực công và tư trên toàn EU, kìm hãm sự cạnh tranh. Điều này đã được Ủy ban Châu Âu thừa nhận khi họ đưa ra quy định, lưu ý rằng nó sẽ có lợi cho khả năng cạnh tranh của các doanh nghiệp châu Âu và dẫn đến việc hiện đại hóa các dịch vụ công cộng, phát triển một thị trường EU hiệu quả cho dịch vụ dữ liệu.

Dữ liệu phi cá nhân là gì?

Dữ liệu phi cá nhân được định nghĩa là bất kỳ dữ liệu nào không tạo thành dữ liệu cá nhân theo Điều 4 của GDPR.

Đây là một định nghĩa khá mở và nó có thể bao gồm các bộ dữ liệu khác nhau, cả tổng hợp và ẩn danh, cũng như các bộ dữ liệu cụ thể như dữ liệu về hoạt động canh tác có thể được sử dụng để giám sát và tối ưu hóa các hoạt động nông nghiệp hoặc dữ liệu về nhu cầu bảo trì cho máy móc công nghiệp.

Quy định mới

Thay đổi quan trọng được đưa ra trong Quy định (EU) 2018/1807 là các quốc gia thành viên sẽ bị cấm thực thi các chính sách nội địa hóa dữ liệu liên quan đến việc xử lý hoặc lưu trữ dữ liệu phi cá nhân. Mục đích của việc này là để thúc đẩy sự di chuyển tự do của dữ liệu phi cá nhân trên toàn EU mà không có sự can thiệp nào từ các quốc gia thành viên.

Sự miễn trừ duy nhất đối với lệnh cấm này xuất hiện dưới hình thức hạn chế di chuyển khi điều này là cần thiết cho an ninh công cộng. Để có được sự miễn trừ này, quốc gia thành viên có liên quan phải thông báo bất kỳ chính sách nội địa hóa dữ liệu nào đang còn hiệu lực hoặc ở dạng dự thảo cho Ủy ban châu Âu cùng với các biện minh cho việc hạn chế.

Không giống như cơ chế một cửa tồn tại trong GDPR, tức là các tổ chức thực hiện các hoạt động xử lý dữ liệu cá nhân xuyên biên giới sẽ chỉ phải chịu sự quản lý bởi một cơ quan giám sát, quy định này chỉ rõ rằng các quốc gia thành viên phải cung cấp dữ liệu phi cá nhân cho bất kỳ cơ quan có thẩm quyền nào, bất kể dữ liệu được lưu trữ hoặc xử lý ở đâu trong EU. Để thực hiện điều này, quy định bao gồm một định nghĩa mở về cơ quan có thẩm quyền nhằm mở rộng phạm vi tới một loạt các cơ quan thực thi nhiệm vụ, và cấm các tổ chức từ chối cung cấp cho những cơ quan này dữ liệu khi được yêu cầu.

Quy định mới cũng nhấn mạnh tầm quan trọng của việc tự điều chỉnh đối với Thị trường chung kỹ thuật số và nền kinh tế dữ liệu vừa chớm nở. Nó sẽ tạo điều kiện và khuyến khích sự phát triển của các bộ quy tắc ứng xử cụ thể, thứ sẽ sẽ tạo điều kiện cho việc chia sẻ dữ liệu có cấu trúc và liền mạch giữa các nhà cung cấp dịch vụ một cách minh bạch. Mục đích của phương pháp tự điều chỉnh này là nhằm hướng tới việc giúp khách hàng chuyển đổi nhà cung cấp dịch vụ dễ dàng hơn, dẫn đến cạnh tranh gia tăng - điều mà các quyền của GDPR đối với tính di động dữ liệu cũng khuyến khích.

Mặc dù quy định này được thiết lập để tác động đến một số lĩnh vực nhưng các lợi ích chính của nó bao gồm:

  • Tạo thuận lợi cho kinh doanh xuyên biên giới ở EU vì sẽ có ít sự trùng lặp hơn của các cơ sở lưu trữ dữ liệu.
  • Tăng sự ổn định cho các doanh nghiệp vừa và nhỏ khởi nghiệp, giúp họ thâm nhập vào các thị trường xuyên biên giới mới.
  • Có khả năng tiết kiệm tiềm năng lên tới 55% cho các nhà cung cấp dịch vụ và giá thấp hơn cho người dùng.
  • Một thị trường kỹ thuật số EU, cạnh tranh cho các dịch vụ đám mây an toàn, đáng tin cậy và giá cả phải chăng.
  • Cho phép mở rộng các dịch vụ dữ liệu sáng tạo trên toàn EU.

Tuy nhiên, quy định không giải quyết một cách thỏa đáng cách nó sẽ tương tác với GDPR. Mặc dù mục đích và ý định của nó tương đối rõ ràng và đáng được hoan nghênh nó lại không bao trùm một thực tế là có rất nhiều bộ dữ liệu lớn chắc chắn sẽ chứa cả dữ liệu phi cá nhân và dữ liệu cá nhân.

Mặc dù quy định sắp tới không đề cập đến việc các tổ chức nên tiếp cận những thách thức như vậy như thế nào nhưng cần lưu ý rằng, các hướng dẫn cụ thể dự kiến ​​sẽ được công bố trước khi quy định có hiệu lực vào tháng 5 năm 2019, lúc đó chúng ta có thể sẽ có một cái nhìn rõ ràng hơn.

Bắt đầu tuân thủ

Mặc dù trọng tâm của các quy tắc mới phần lớn được thiết kế để ngăn chặn việc ban hành các quy tắc nội địa hóa dữ liệu mới nhưng nó cũng có khả năng ảnh hưởng đến một số doanh nghiệp. Đối với những người bị ảnh hưởng, sẽ là khôn ngoan khi xem xét một cơ chế để tiến hành đánh giá các bộ dữ liệu, xác định cái nào có khả năng nằm trong phạm vi của quy định sắp tới.

Các doanh nghiệp đã thực hiện các quy trình và thủ tục như lập bản đồ dữ liệu, kiểm kê dữ liệu và duy trì hồ sơ của các hoạt động xử lý như là một phần của sự sẵn sàng GDPR sẽ có lợi thế trong việc sẵn sàng cho quy định mới này.

Thanh Hương