Việc bảo vệ con người có liên quan đến việc xử lý dữ liệu cá nhân là một quyền cơ bản. Quyền được bảo vệ dữ liệu cá nhân phải được xem xét liên quan đến chức năng của nó trong xã hội và được cân bằng với các quyền cơ bản khác theo nguyên tắc tương xứng.
Ngày nay, phát triển công nghệ nhanh và toàn cầu hóa đã mang lại những thách thức mới cho việc bảo vệ dữ liệu cá nhân. Quy mô thu thập và chia sẻ dữ liệu cá nhân đã tăng đáng kể. Con người ngày càng làm cho thông tin cá nhân có sẵn công khai và toàn cầu.
Quy định 2016/679 đã được phê duyệt vào 27/04/2016 và nó sẽ có hiệu lực vào ngày 25 tháng 5 năm 2018 ở tất cả các quốc gia thành viên. Nó đã được chấp nhận như là một khối thống nhất trong khuôn khổ pháp lý, bãi bỏ các luật cũ.
Việc thành lập khung pháp lý thống nhất, đặt ra một loạt các trách nhiệm và hạn chế trong các tổ chức liên quan đến:
1. Xử lý các dữ liệu cá nhân trong suốt thời gian sống
2. Khả năng chuyển giao chúng ở các nước khác
3. Bảo vệ quyền của cá nhân
4. An ninh (bảo mật, tính khả dụng, và toàn vẹn) của dữ liệu cá nhân.
5. Các hành động tiết lộ mà tổ chức có nghĩa vụ phải thực hiện trong trường hợp vi phạm.
Quy định mới làm tăng trách nhiệm của các tổ chức, đồng thời còn có mức phạt và tiền phạt (lên tới 20 triệu euro hoặc 4% trên tổng doanh thu toàn cầu).
Các tổ chức chính phủ, các công ty nhà nước và tư nhân tập trung, thu thập, xử lý và lưu trữ chung, các dữ liệu cá nhân có liên quan đến khách hàng, nhân viên, cộng sự, hoặc các cá nhân khác được ghi trong quy định bao gồm tất cả các tổ chức được thành lập trong và ngoài Liên minh châu Âu với điều kiện các dữ liệu có liên quan đến công dân Châu Âu.
Các tổ chức, công ty thuộc phạm vi điều chỉnh phải:
1. Tuân thủ và thực hiện các nguyên tắc cơ bản về bảo vệ dữ liệu cá nhân và do đó thu thập các dữ liệu này vì có lý do cụ thể và vì hầu hết các dữ liệu này đều mang tính cần thiết.
2. Nghiêm cấm việc vxử lý dữ liệu thêm, vì lý do cập nhật.
3. Thực hiện các công cụ điện tử liên quan đến việc trả lời nhanh và miễn phí đối với các yêu cầu về dữ liệu;
4. Lưu giữ hồ sơ và thông báo mọi hành vi vi phạm cho Cơ quan Bảo vệ Dữ liệu Cá nhân trong vòng 72 giờ. Việc thông tin liên lạc phải được thực hiện trực tiếp với cá nhân hoặc trong một thông báo công khai.
5. Chuyển dữ liệu bên ngoài Liên minh chỉ thực hiện trong một số trường hợp nhất định. Việc chuyển giao chỉ có thể xảy ra nếu, dựa vào các điều khoản của Quy định, các điều kiện quy định trong Quy chế liên quan đến việc chuyển dữ liệu cá nhân cho các nước thứ ba hoặc các tổ chức quốc tế do người điều khiển hoặc người xử lý tuân thủ.
6. Lưu trữ chúng theo thời hạn yêu cầu tối thiểu, nhận được sự chấp thuận của cá nhân.
7. Thông qua đầy đủ các yêu cầu của Quy chế được đáp ứng.
Các công ty được giảm sát bởi GDPR sẽ phải chịu trách nhiệm về việc xử lý thông tin cá nhân của họ. Điều này có thể bao gồm việc có chính sách bảo vệ dữ liệu, đánh giá tác động bảo vệ dữ liệu và có các tài liệu liên quan về cách dữ liệu được xử lý.
Theo GDPR, “việc phá hủy, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập vào” dữ liệu của người dùng phải được báo cáo cho cơ quan quản lý dữ liệu của một quốc gia.
Chức năng thích hợp của thị trường nội bộ đòi hỏi sự chuyển vùng tự do của dữ liệu cá nhân trong Liên minh không bị hạn chế hoặc bị cấm vì những lý do liên quan đến việc bảo vệ cá nhân, liên quan đến việc xử lý dữ liệu cá nhân. Quy định này bao gồm một sự thay đổi đối với các tổ chức có ít hơn 250 nhân viên liên quan đến lưu giữ hồ sơ. Ngoài ra, các tổ chức và các cơ quan Liên hiệp và các Quốc gia thành viên và các cơ quan giám sát của họ được khuyến khích để tính đến các nhu cầu cụ thể của các doanh nghiệp nhỏ, vừa và nhỏ trong việc áp dụng Quy định.
Việc bảo vệ được quy định trong Quy chế nên áp dụng đối với thể nhân, bất kể quốc tịch hay nơi cư trú của họ, liên quan đến việc xử lý dữ liệu cá nhân của họ. Quy định không bao gồm việc xử lý dữ liệu cá nhân liên quan đến pháp nhân và các cam kết cụ thể được thành lập là pháp nhân, bao gồm tên và hình thức pháp nhân và các chi tiết liên lạc của pháp nhân.
Để tránh gây nguy hiểm nghiêm trọng cho việc gian lận, bảo vệ thể nhân phải trung lập về mặt công nghệ và không nên phụ thuộc vào các kỹ thuật được sử dụng. Việc bảo vệ nên áp dụng cho việc xử lý dữ liệu cá nhân bằng phương tiện tự động, cũng như xử lý thủ công, nếu dữ liệu cá nhân được chứa hoặc có ý định chứa trong một hệ thống hồ sơ. Các tập tin hoặc tập hợp các tập tin, cũng như các trang bìa của chúng, mà không được cấu trúc theo các tiêu chí cụ thể, không thuộc phạm vi của Quy định này.
Hướng dẫn việc thực hiện các biện pháp thích hợp và về việc chứng minh sự tuân thủ của người kiểm soát hoặc nhà chế biến, đặc biệt về việc xác định rủi ro liên quan đến chế biến, đánh giá về mặt nguồn gốc, tính chất, khả năng và mức độ nghiêm trọng của chúng và các phương pháp hay nhất để giảm thiểu rủi ro có thể được cung cấp cụ thể bằng các quy tắc ứng xử được chấp thuận, các chứng nhận đã được phê duyệt, các hướng dẫn được cung cấp bởi Hội đồng Quản trị hoặc các chỉ dẫn do nhân viên bảo vệ dữ liệu cung cấp. Hội đồng cũng có thể đưa ra các hướng dẫn về các hoạt động chế biến được coi là sẽ không gây ra nguy cơ cao đối với các quyền và tự do của những người tự nhiên và chỉ ra những biện pháp nào có thể đủ để giải quyết những rủi ro đó.
Việc bảo vệ quyền và tự do của thể nhân đối với việc xử lý dữ liệu cá nhân đòi hỏi các biện pháp kỹ thuật và tổ chức phù hợp để đảm bảo đáp ứng được các yêu cầu của Quy định. Để có thể chứng minh được việc tuân thủ Quy định, người điều khiển nên có chính sách nội bộ và thực hiện các biện pháp đáp ứng các nguyên tắc bảo vệ dữ liệu theo thiết kế và bảo vệ dữ liệu theo mặc định. Các biện pháp này có thể bao gồm, chẳng hạn như giảm thiểu việc xử lý dữ liệu cá nhân, giả mạo dữ liệu cá nhân càng sớm càng tốt, minh bạch đối với các chức năng và xử lý dữ liệu cá nhân, cho phép đối tượng dữ liệu giám sát việc xử lý dữ liệu, cho phép bộ điều khiển tạo và cải tiến các tính năng bảo mật. Khi phát triển, thiết kế, lựa chọn và sử dụng các ứng dụng, dịch vụ và sản phẩm mà dựa trên việc xử lý dữ liệu cá nhân hoặc xử lý dữ liệu cá nhân để hoàn thành nhiệm vụ của mình, các nhà sản xuất các sản phẩm, dịch vụ và ứng dụng cần được khuyến khích để xem xét quyền của dữ liệu bảo vệ khi phát triển và thiết kế các sản phẩm, dịch vụ và ứng dụng như vậy, và phải đảm bảo rằng các bộ điều khiển và bộ vi xử lý có thể thực hiện nghĩa vụ bảo vệ dữ liệu của mình. Các nguyên tắc bảo vệ dữ liệu theo thiết kế và theo mặc định cũng nên được xem xét trong các cuộc đấu thầu công khai.
Do đó, cần có một khung bảo vệ dữ liệu chặt chẽ và kết hợp hơn. Quy định này nhằm đảm bảo mức độ bảo vệ cao và nhất quán của thể nhân và để loại bỏ những trở ngại đối với dòng chảy của dữ liệu cá nhân thì mức độ bảo vệ các quyền và tự do sẽ là tương đương.
Phạm vi tăng cường và đưa ra các chi tiết về quyền đối với các đối tượng dữ liệu dường như là một sự bảo vệ có hiệu quả. Đồng thời, những người xử lý và xác định việc xử lý dữ liệu cá nhân có nghĩa vụ phải tuân thủ các yêu cầu của quy định cho phép giám sát và tuân thủ liên tục nhằm giảm thiểu các vi phạm.