Privacy Shield là gì và nó ảnh hưởng đến người tiêu dùng và doanh nghiệp như thế nào?
Mối quan tâm về quyền riêng tư đứng đầu danh sách cho người dùng internet trên toàn thế giới. Sự tăng trưởng trong thương mại trực tuyến và trao đổi dữ liệu qua biên giới quốc tế, đặc biệt là giữa Hoa Kỳ và Châu Âu, cũng đã gây ra một số lo ngại về quyền riêng tư ở cấp chính phủ. Không phải tất cả điều này là do hack hình sự. Nhiều điều phải làm với cách các doanh nghiệp lớn và nhỏ đang sử dụng dữ liệu khách hàng.
Trong nỗ lực phục vụ tốt hơn cho người dùng châu Âu có dữ liệu qua biên giới Hoa Kỳ, Bộ Thương mại Hoa Kỳ và Ủy ban châu Âu đã hợp tác để phát triển cái gọi là Privacy Shield, một triển khai quy định được thiết kế để đảm bảo công dân châu Âu được bảo vệ đầy đủ theo dữ liệu của EU luật bảo vệ khi dữ liệu của họ đi vào và ra khỏi Hoa Kỳ.
Giới thiệu về Privacy Shield
Vào ngày 12 tháng 7 năm 2016, chính phủ Hoa Kỳ và Ủy ban Châu Âu đã cùng phê duyệt Khung Bảo vệ Quyền riêng tư. Tài liệu thực tế cho Privacy Shield Framework cung cấp rất nhiều thông tin tiêu dùng có giá trị. Tuy nhiên, có thể khó phân tích thông qua các tài liệu và lượm lặt chính xác tất cả những gì nó có nghĩa. Ở đây, một cách đơn giản để hiểu khái niệm.
Hoa Kỳ và các quốc gia thành viên Liên minh Châu Âu làm rất nhiều thương mại. Trên thực tế, thương mại xuyên Đại Tây Dương tạo ra gần 5 nghìn tỷ đô la mỗi năm. Phần lớn thương mại này yêu cầu các công ty thu thập dữ liệu qua biên giới quốc tế. Trong một số trường hợp, các công ty mang lại vô số khách hàng và người dùng từ Liên minh Châu Âu, như Google hoặc Facebook, thu thập và xử lý lượng dữ liệu người dùng khổng lồ.
Đôi khi, Google và Facebook có thể xử lý dữ liệu đó, giữ nó trong khoảng thời gian không xác định, sử dụng nó cho các số liệu và phân tích hoặc thậm chí chuyển nó cho các bên thứ ba cho các mục đích khác. Tương tự, chính phủ Hoa Kỳ có thể giám sát một số dữ liệu đó hoặc thậm chí thu thập nó từ các công ty đó.
Liên minh châu Âu có luật rất cụ thể, Chỉ thị bảo vệ dữ liệu, giới hạn nghiêm ngặt cách các doanh nghiệp như Google hoặc Facebook hoặc các tổ chức như NSA, có thể sử dụng hoặc thậm chí thu thập dữ liệu. Điều này bao gồm cách chính phủ có thể thu thập dữ liệu từ các doanh nghiệp cho mục đích giám sát. (DPD được thiết lập hết hạn vào năm 2023, để được thay thế bởi các quy định mới mà chúng tôi thảo luận vào cuối.)
Privacy Shield Framework hoạt động như một bộ quy tắc quản lý các doanh nghiệp Hoa Kỳ có hoạt động tại Châu Âu. Nó cho phép doanh nghiệp thực hiện hai điều:
- Tự xác nhận rằng họ đồng ý với Khung bảo vệ quyền riêng tư
- Thúc đẩy bản thân và tuân thủ các Nguyên tắc Bảo vệ Quyền riêng tư
Về Privacy Shield, những điều sau đây rất quan trọng cần lưu ý:
- Tuân thủ khuôn khổ là tự nguyện. Tuy nhiên, hiện có hàng trăm doanh nghiệp Mỹ đã tự nguyện chứng nhận. Điều này tạo ra một con đường dễ dàng cho các doanh nghiệp này để thu thập dữ liệu riêng tư của công dân EU cho mục đích kinh doanh, làm tăng lưu lượng thương mại internet.
- Tất cả các doanh nghiệp đồng ý tham gia chương trình phải đăng công khai sự tham gia của họ. Một khi điều này được hoàn thành, các doanh nghiệp được giữ vững theo tiêu chuẩn đó, với việc không tuân theo Khung dẫn đến tiền phạt tiềm năng là 21.842.000 đô la hoặc 4 phần trăm của tổng thu nhập trên toàn thế giới của công ty trong năm, con số nào lớn hơn. Cưỡng chế xuất phát trực tiếp từ các quy tắc của Ủy ban thương mại liên bang, nghiêm cấm các hành vi lừa đảo và bất công.
- Báo cáo vi phạm dữ liệu phải được thực hiện trong vòng 72 giờ. Vì Privacy Shield bao gồm bảo mật thông tin trong khung Nguyên tắc của nó, đây là điều mà các doanh nghiệp phải thực hiện nghiêm túc.
Tích cực, nhiều doanh nghiệp đã có sẵn các giao thức thích hợp để dễ dàng tự báo cáo.
Quyền riêng tư là gì? Tổng quan chi tiết
Đầu tiên, bạn nên hiểu rõ nhất về Shield Shield là gì, để giúp đóng khung tốt hơn cho cuộc thảo luận về những gì nó thực sự là.
Privacy Shield không phải là một chương trình hoặc phần mềm bảo mật dữ liệu
Điều này rất quan trọng để hiểu, vì tên có vẻ như chuyển tiếp một thông điệp khác. Privacy Shield không phải là thứ mà người dùng có thể cài đặt trên máy tính của họ để bảo vệ quyền riêng tư của họ, cũng không phải là một loại bộ lọc internet nào đó giám sát và lọc hoặc mã hóa dữ liệu người dùng.
Privacy Shield không bắt buộc đối với tất cả các doanh nghiệp Hoa Kỳ
Có lẽ một trong những điểm yếu lớn hơn của Khung bảo vệ quyền riêng tư là thực tế rằng nó là một chương trình hoàn toàn tự nguyện. Trên thực tế, nó thậm chí không bắt buộc đối với các công ty Mỹ tiến hành kinh doanh ở châu Âu. Các doanh nghiệp muốn tham gia phải hoàn thành quy trình tự chứng nhận, điều này xác minh rằng mô hình bảo mật dữ liệu kinh doanh của họ phù hợp với các nguyên tắc cốt lõi của khung.
Privacy Shield không phải là con đường hai chiều
Đối với tất cả các ý định và mục đích, Privacy Shield tồn tại như một loại quở trách đối với Hoa Kỳ và thiếu quy định có tổ chức thay mặt cho dữ liệu cá nhân của người tiêu dùng. Privacy Shield được thiết kế dành riêng cho các doanh nghiệp Hoa Kỳ như một phần của nỗ lực thiện chí đối với các doanh nghiệp Hoa Kỳ nhằm xử lý an toàn dữ liệu thu được từ người dùng internet EU theo cách phù hợp hơn với luật bảo vệ dữ liệu của Liên minh Châu Âu.
Sự khác biệt giữa các tiêu chuẩn bảo vệ dữ liệu của Hoa Kỳ và EU có đáng kể không?
Ở đây, phiên bản ngắn: Liên minh châu Âu có các tiêu chuẩn rất nghiêm ngặt để bảo vệ cách thức dữ liệu cá nhân của ai đó được thu thập và sử dụng bởi các công ty và chính phủ. Ý tưởng rằng các cá nhân có quyền riêng tư trước tiên trên quyền của chính phủ hoặc doanh nghiệp hoặc mong muốn thu thập dữ liệu cá nhân cho các mục đích khác nhau, thậm chí các mục đích có thể được coi là xứng đáng. Hơn nữa, nó quy định rằng bất cứ ai cảm thấy dữ liệu của họ bị lạm dụng đều có quyền nộp đơn sửa chữa từ công ty hoặc chính phủ đã lạm dụng nó.
Nếu bạn có một vài giờ rảnh rỗi (và có lẽ là một kỹ năng phân tích pháp lý), bạn có thể duyệt ngôn ngữ cụ thể nằm trong Sáng kiến bảo vệ dữ liệu.
Trong khi đó, Mỹ không có luật pháp chính thức ở cấp liên bang bảo vệ quyền dữ liệu của người tiêu dùng cá nhân. Đây là lý do tại sao tiết lộ bẩn thỉu của Edward Snowden về chương trình gián điệp NSA, gây ra rất nhiều sóng gió. Nhiều người Mỹ và những người khác trên thế giới có thể đã nghi ngờ rằng chính phủ liên bang Hoa Kỳ đang theo dõi các công dân vô tội, cá nhân, nhưng cho đến thời điểm đó, rất ít trong cách chứng minh. Năm 2013, Snowden cung cấp xác minh đó. Chương trình gián điệp của Hoa Kỳ rất rộng và rộng đến mức Snowden cảm thấy bị buộc phải rò rỉ thông tin về nó chỉ vài tháng sau khi được NSA thuê.
Đạo luật Yêu nước Hoa Kỳ đã tạo ra các chương trình như PRISM và Đạo luật Giám sát Tình báo Nước ngoài (FISA) thu thập dữ liệu từ công dân Hoa Kỳ và nước ngoài. Nhiều sự xâm nhập trong Đạo luật Yêu nước đã bị hạn chế nghiêm trọng bởi Đạo luật Tự do 2015, một đạo luật mở rộng Đạo luật Yêu nước với những hạn chế đáng kể đối với cách chính phủ có thể thu thập dữ liệu. Những luật này chi phối nhiều biện pháp bảo vệ mà người Mỹ chưa có trong khi áp đặt các giới hạn đối với các quyền tự do theo những cách không phổ biến ở châu Âu. (Chúng tôi đã khám phá phạm vi của Đạo luật Yêu nước, Đạo luật Tự do và FISA, mà bạn có thể đọc về đây.)
Điều đó nói rằng, Hoa Kỳ không phải là miền Tây hoang dã của dữ liệu người dùng bị đánh cắp, từ chính phủ hoặc mặt khác. Có luật về các cuốn sách trên khắp các cơ quan chính phủ ở cả cấp tiểu bang và liên bang. Mối quan tâm lớn nhất đối với EU liên quan đến việc thiếu thông điệp toàn diện và rõ ràng trong nội bộ Hoa Kỳ về cách thu thập và xử lý dữ liệu người dùng, cũng như không có chỉ dẫn rõ ràng về quyền cá nhân có quyền khắc phục. Các luật lệ chi phối một phần bảo vệ dữ liệu cá nhân ở Hoa Kỳ bao gồm:
- Đạo luật Ủy ban Thương mại Liên bang
- Đạo luật hiện đại hóa dịch vụ tài chính
- Đạo luật về trách nhiệm giải trình và trách nhiệm bảo hiểm y tế (HIPAA)
- Quy tắc thông báo vi phạm an ninh
- Luật báo cáo tín dụng công bằng
- Kiểm soát hành vi tấn công của đạo luật tiếp thị và khiêu dâm không được mời (CAN-SPAM)
- Đạo luật bảo vệ người tiêu dùng qua điện thoại
- Đạo luật bảo mật thông tin liên lạc điện tử
- Đạo luật lạm dụng và gian lận máy tính
- Đạo luật khắc phục tư pháp (Luật pháp Hoa Kỳ chỉ cung cấp cho công dân các quốc gia thành viên EU quyền tìm kiếm sự khắc phục từ việc chia sẻ dữ liệu cá nhân của chính phủ hoặc cơ quan thực thi pháp luật)
Mặc dù Chỉ thị bảo vệ dữ liệu của EU không được đọc nhiều, nhưng sự pha trộn luật pháp vô cùng đa dạng ở Mỹ về chủ đề này tạo ra một cơn ác mộng quan liêu trong khi hạn chế khả năng của một cá nhân hiểu rõ hơn về quyền của mình đối với cách chính phủ và doanh nghiệp thu thập và sử dụng dữ liệu cá nhân. Hơn nữa, nhiều luật trong số này, trong khi được áp dụng, đã lỗi thời nghiêm trọng và thiếu ngôn ngữ để phù hợp nhất với thế hệ máy tính và xử lý dữ liệu hiện nay.
Privacy Shield Framework khắc phục các sự cố riêng tư như thế nào?
Theo Ủy ban châu Âu, chuyển dữ liệu cá nhân bên ngoài EU hoặc EEA không được phép khi mức độ bảo vệ đầy đủ không thể được đảm bảo. Điều này có nghĩa là các doanh nghiệp thu thập dữ liệu từ các công dân EU và chuyển dữ liệu đó qua biên giới hoặc các công dân EU gửi dữ liệu của họ cho các công ty Mỹ, đang rơi vào tình trạng bế tắc pháp lý. Giải pháp cho vấn đề này là Privacy Shield Framework.
Đối với các quốc gia thành viên Liên minh Châu Âu và công dân của họ, Privacy Shield dự định sẽ thực hiện một số điều:
- Cung cấp sự minh bạch từ các công ty dưới dạng tuyên bố công khai về chính sách sử dụng dữ liệu của họ
- Cung cấp cho các cá nhân cơ hội từ chối nhận dữ liệu của họ cho bên thứ ba
- Đặt các biện pháp bảo vệ để đảm bảo rằng các tổ chức chuyển dữ liệu cho bên thứ ba chỉ chuyển dữ liệu đó cho các bên đó để sử dụng hạn chế và những người nhận bên thứ ba đó cũng tuân thủ các yêu cầu bảo vệ dữ liệu
- Đảm bảo rằng các công ty và tổ chức đang bảo vệ dữ liệu khỏi mất mát thông qua các phương thức bảo mật và mã hóa
- Bảo vệ khỏi việc lạm dụng dữ liệu cá nhân ngoài mục đích đã định
- Cung cấp cho các cá nhân quyền truy cập vào thông tin mà các tổ chức lưu giữ trên họ, với tùy chọn sửa đổi, chỉnh sửa hoặc xóa dữ liệu đó khi dữ liệu đó không chính xác hoặc đã bị sử dụng sai theo Nguyên tắc Bảo vệ Quyền riêng tư
- Thực thi các nguyên tắc bảo vệ dữ liệu thông qua trọng tài nhanh chóng cho các cá nhân nộp đơn khiếu nại, miễn phí cho cá nhân nộp đơn khiếu nại, với điều tra thích hợp về khiếu nại và xác minh hoặc bảo vệ quyền riêng tư, cũng như các quy trình giải quyết nhanh chóng
Tất cả điều này có thể cảm thấy một chút nặng nề cho người dùng internet trung bình. Nói một cách đơn giản, Privacy Shield tồn tại dưới dạng một bộ quy trình mà các tổ chức và doanh nghiệp Hoa Kỳ phải tuân theo khi xử lý dữ liệu người dùng cá nhân, đảm bảo rằng việc thu thập và sử dụng của nó tuân thủ luật pháp của Liên minh Châu Âu.
Privacy Shield có ý nghĩa gì đối với người tiêu dùng?
Đối với người tiêu dùng, Privacy Shield phục vụ một mục đích chính: bảo vệ chống lại việc lạm dụng và thu thập thông tin nhận dạng cá nhân không chính đáng. Vì Privacy Shield được thiết kế để bảo vệ công dân Liên minh Châu Âu khỏi việc lạm dụng dữ liệu của họ khi dữ liệu đi vào và ra khỏi Hoa Kỳ, Privacy Shield chỉ bảo vệ các thành viên EU và ba quốc gia thuộc Khu vực Kinh tế Châu Âu: Na Uy, Liechtenstein và Iceland.
Nó không được thiết kế để bảo vệ người tiêu dùng Mỹ hoặc mở rộng cho người tiêu dùng Mỹ các biện pháp bảo vệ tương tự được trao cho các thành viên EU theo Chỉ thị bảo vệ dữ liệu. Thay vào đó, Privacy Shield là một thỏa thuận giữa Mỹ và EU tập trung vào thương mại điện tử và giám sát của chính phủ. Những biện pháp bảo vệ này cũng bao gồm thu thập dữ liệu hàng loạt, cả từ các doanh nghiệp và từ chính phủ Hoa Kỳ, nơi từ ngữ bao gồm những hạn chế đáng kể đối với những gì cả doanh nghiệp và cơ quan tình báo và thực thi pháp luật của Hoa Kỳ có thể và không thể làm với dữ liệu cá nhân.
Quan trọng nhất đối với công dân EU, việc kết hợp cơ chế khắc phục và nhiệm vụ Thanh tra viên với việc xử lý các mối quan tâm về quyền riêng tư là không thể thiếu trong việc đảm bảo rằng thỏa thuận khó khăn có thể vượt qua được..
Privacy Shield có ý nghĩa gì đối với các doanh nghiệp?
Đối với các doanh nghiệp, Privacy Shield cung cấp yếu tố tin cậy cho người tiêu dùng EU và con đường dễ dàng hơn để sử dụng dữ liệu khách hàng của EU. Trước Privacy Shield, hệ thống tại chỗ được gọi là Safe Harbor. Những nguyên tắc này tương tự như những gì hiện có trong Privacy Shield, chỉ với các biện pháp bảo vệ quyền riêng tư ít hạn chế hơn. Sau khi luật sư người Áo Max Schrems chứng minh rằng Nguyên tắc che giấu an toàn của Mỹ-EU không bao gồm dữ liệu Facebook riêng của mình, Tòa án Công lý Liên minh châu Âu đã vô hiệu hóa luật năm 2015. Safe Harbor đã tồn tại 15 năm, kể từ năm 2000 cho đến khi nó bị vô hiệu Năm 2015. Nó đã được soạn thảo trước các dịch vụ truyền thông xã hội thu thập dữ liệu lớn như Facebook và Đạo luật Yêu nước cho thấy lý do tại sao nó không đáp ứng nhu cầu bảo mật thay đổi và đặc biệt là những điều được nêu trong Chỉ thị Bảo vệ Dữ liệu.
Khi Safe Harbor bị vô hiệu, nhiều doanh nghiệp Mỹ không thể thu thập hoặc lưu trữ dữ liệu hợp pháp từ khách hàng châu Âu. Do đó, EU và Hoa Kỳ đã nhanh chóng soạn thảo một bản thay thế, cuối cùng dẫn đến Quyền riêng tư. Đối với các doanh nghiệp, điều này cho phép các hoạt động tiếp tục như bình thường, đồng thời cung cấp cho khách hàng EU các biện pháp bảo vệ bổ sung mà họ muốn với việc sử dụng dữ liệu của họ. Các bản cập nhật cho Privacy Shield từ Safe Harbor buộc phải có một vài thay đổi cho các doanh nghiệp:
- Một tuyên bố công khai, chi tiết liên quan đến việc tham gia vào chương trình. Tuyên bố này phải bao gồm một lời giải thích cụ thể về các bước mà công ty đang thực hiện để đảm bảo quyền riêng tư được bảo vệ và công ty đáp ứng các Nguyên tắc về Quyền riêng tư.
- Một sự thắt chặt về chuyển dữ liệu và chia sẻ dữ liệu. Trong Safe Harbor, các bên thứ ba có một vài hạn chế về cách họ có thể sử dụng dữ liệu của bên thứ nhất được chuyển cho họ. Theo Privacy Shield, các bên thứ ba bị hạn chế trong việc sử dụng dữ liệu như các bên đầu tiên họ có được từ đó và cũng phải thể hiện sự tuân thủ của họ đối với Privacy Shield.
- FTC hiện đang duy trì một bức tường xấu hổ trên mạng dành cho những công ty vi phạm Nguyên tắc Bảo vệ Quyền riêng tư sau khi đăng ký công khai với họ.
- Các doanh nghiệp phải đáp ứng các mối quan tâm khắc phục và phải cho phép người dùng cập nhật, thay đổi hoặc xóa dữ liệu theo yêu cầu, miễn là các yêu cầu đó nằm trong lý do.
Các doanh nghiệp tham gia chương trình Privacy Shield phải đảm bảo rằng dữ liệu của họ được bảo mật, rằng họ đã tuân thủ đầy đủ các Nguyên tắc và đội ngũ pháp lý và nhân viên của họ nhận thức đầy đủ các yêu cầu của FTC liên quan đến sự tham gia của Shield Shield.
Các tập đoàn lớn bị ảnh hưởng độc đáo
Đối với các doanh nghiệp lớn như Apple, Facebook và Google, nguyên tắc giới hạn toàn vẹn và mục đích dữ liệu thực sự là khía cạnh hạn chế nhất đối với Privacy Shield. Nguyên tắc này hạn chế đáng kể cách các doanh nghiệp có thể sử dụng dữ liệu hàng loạt cho mục đích phân tích dữ liệu, nói rằng thông tin cá nhân của Cameron phải được giới hạn ở thông tin có liên quan cho mục đích xử lý của ED. Các trang web truyền thông xã hội lớn có mối quan tâm pháp lý sâu sắc về pháp luật. Người chịu trách nhiệm trực tiếp cho sự sụp đổ cuối cùng của Safe Harbor, Max Schrems, tin rằng Privacy Shield không đủ cho các công ty như Facebook, Apple và Google và hy vọng nó sẽ thất bại cuối cùng.
Tương tự như vậy, các công ty lớn có nhiều khả năng lưu trữ dữ liệu và nhiều khả năng gửi dữ liệu khách hàng cho các bên thứ ba. Điều này tạo ra một vị trí mong manh cho các công ty này, vì những hạn chế trong việc lưu trữ dữ liệu và chuyển dữ liệu đó cho các bên thứ ba là vô cùng hạn chế. Cơ hội đến với các nguyên tắc theo cách tiêu cực chỉ tăng lên đối với các tập đoàn lớn này.
Việc tham gia Privacy Shield là tự nguyện
Không có doanh nghiệp nào ở Mỹ bị buộc phải tham gia Privacy Shield. Ngay cả các doanh nghiệp muốn mang lại khách hàng từ châu Âu cũng không bắt buộc phải tham gia. Điều đó nói rằng, sự tham gia được khuyến khích mạnh mẽ cho các doanh nghiệp vì một lý do chính: hậu quả pháp lý.
Những doanh nghiệp chọn tự chứng nhận theo Privacy Shield đang xác định rằng họ đã liên kết các tiêu chuẩn bảo vệ dữ liệu của họ với các tiêu chuẩn đáp ứng các tiêu chuẩn pháp lý của EU để thu thập và xử lý dữ liệu. Sự rõ ràng này đi một chặng đường dài hướng tới việc cung cấp sự bảo vệ pháp lý cho công ty đó. Tuy nhiên, các công ty chọn không áp dụng các tiêu chuẩn này khiến cuộc sống của họ trở nên khó khăn hơn. Mặc dù vẫn có thể kinh doanh tại EU, nhưng sự thiếu rõ ràng khiến các doanh nghiệp cởi mở hơn với những thách thức pháp lý. Đối với hầu hết các bên, sự tham gia của Privacy Shield là một cách đơn giản để giúp giảm bất kỳ thách thức pháp lý nào có thể phát sinh.
Privacy Shield không bảo vệ doanh nghiệp khỏi các yêu cầu dữ liệu của chính phủ
Điều quan trọng đối với cả doanh nghiệp và người tiêu dùng là hiểu rằng Privacy Shield không ngăn chính phủ Hoa Kỳ hoặc các cơ quan thực thi pháp luật yêu cầu dữ liệu từ các doanh nghiệp như Facebook hoặc Google. Tuy nhiên, Privacy Shield, cùng với một phiên bản sửa đổi của Đạo luật Yêu nước, đã hạn chế đáng kể loại thông tin nào có thể thu được và theo tiền đề nào.
Tuy nhiên, nhiều nhà quan sát chỉ ra rằng Nguyên tắc Bảo vệ Quyền riêng tư có những điểm yếu rõ ràng về mục đích này, đặc biệt khi nói đến việc thực thi từ các cơ quan quản lý Hoa Kỳ. Vẫn còn phải xem liệu một công ty Mỹ có thể bị phạt theo Privacy Shield vì đã tuân thủ chính phủ Liên bang hoặc yêu cầu dữ liệu thực thi pháp luật hay không. Tuy nhiên, Privacy Shield cung cấp cho các doanh nghiệp một đại lộ và biện minh cho việc từ chối, ít nhất là liên quan đến dữ liệu của công dân EU.
Privacy Shield có thể phải thay đổi vào năm 2023 với các quy định mới của EU
Privacy Shield được thiết kế để đáp ứng mối quan tâm về quyền riêng tư của các quốc gia thành viên EU và công dân của mình bằng cách làm việc với Chỉ thị bảo vệ dữ liệu. Tuy nhiên, vào tháng 4 năm 2016, Ủy ban Châu Âu đã thông qua một luật mới quy định những lo ngại về quyền riêng tư dữ liệu: Quy định bảo vệ dữ liệu chung. GDPR được thiết kế để thay thế DPD vào năm 2023. Điều này là do DPD, được thông qua vào năm 1995, đã không giải quyết thỏa đáng những thay đổi trong công nghệ mà các doanh nghiệp và người tiêu dùng hiện đang xử lý, đặc biệt là những vấn đề liên quan đến dữ liệu lớn và tầm quan trọng của nó kinh doanh.
Có một số khác biệt đáng chú ý giữa Chỉ thị và Quy định:
- GDPR mới không có nhiều khả năng để giải thích bởi các quốc gia thành viên riêng lẻ, trong khi Chỉ thị được các quốc gia EU khác nhau giải thích. Điều này bao gồm một định nghĩa mới, duy nhất về ý nghĩa của dữ liệu cá nhân của Cameron, điều gì đó mà DPD cũng để lại để giải thích.
- GDPR mới có một đường lối cứng rắn về cách các tổ chức có thể sử dụng dữ liệu cá nhân, yêu cầu họ hiển thị và giải thích nổi bật cách họ dự định sử dụng dữ liệu và thực sự thông báo cho người dùng khi họ muốn sử dụng dữ liệu đó theo những cách khác nhau. Ngoài ra, còn có một mệnh đề opt-in nghén mới để lưu trữ dữ liệu, do đó các tổ chức không thể lưu trữ dữ liệu theo mặc định.
- GDPR mới áp dụng cho tất cả các doanh nghiệp và tổ chức xử lý dữ liệu công dân EU, bất kể họ có tham gia Bảo vệ quyền riêng tư hay không. Điều này mở rộng phạm vi của quy định bao gồm các công dân EU Dữ liệu riêng tư vượt ra ngoài biên giới EU.
- Các tổ chức bây giờ cũng phải theo dõi cách họ sử dụng dữ liệu và dữ liệu đó đi đâu. Thông tin này phải có sẵn theo yêu cầu. Các tổ chức lớn (250 nhân viên trở lên) phải có Nhân viên bảo vệ dữ liệu để giúp theo dõi nơi dữ liệu được di chuyển trong và ngoài tổ chức.
- Cả bộ điều khiển dữ liệu và bộ xử lý dữ liệu hiện chịu trách nhiệm và chịu trách nhiệm về cách dữ liệu được sử dụng và bảo vệ. Điều này có nghĩa là các tổ chức bên thứ ba cũng có trách nhiệm như các bên thứ hai.
- GDPR bao gồm chính sách thông báo vi phạm bắt buộc. Bất kỳ vi phạm dữ liệu phải được báo cáo trong vòng 72 giờ. Điều này cũng dẫn đến một cuộc điều tra bên ngoài về các phương pháp bảo mật dữ liệu được sử dụng tại thời điểm vi phạm.
Tất cả những quy tắc này nghe có vẻ quen thuộc. Chúng trùng khớp với phần lớn những gì chúng ta tìm thấy trong Nguyên tắc Quyền riêng tư. Đây không phải là do tai nạn. Privacy Shield và GDPR mới đã được tiến hành đồng thời và được thiết kế để hoạt động cùng nhau. Tuy nhiên, GDPR không có hiệu lực cho đến năm 2023. Nhiều nhà quan sát đang chờ xem liệu Privacy Shield có giữ đủ tốt để biến nó thành đối tác hiệu quả với các quy định GDPR mới không.
Mối quan tâm lớn nhất hiện đang nằm trong quy trình tự chứng nhận của người dùng, mà một số nhà quan sát xem là điểm yếu lớn nhất của Privacy Shield. Với chưa đầy hai năm trước khi GDPR có hiệu lực, vẫn còn phải xem liệu Privacy Shield có giữ được sự giám sát thêm hay không.
Cấm cảng an toàn của Cameron bởi Simon McGarr Được cấp phép theo CC BY 2.0