Thực tiễn giải quyết các vụ việc dữ liệu cá nhân trên thế giới - Gợi mở cho Việt Nam

Bài viết "Thực tiễn giải quyết các vụ việc dữ liệu cá nhân trên thế giới - Gợi mở cho Việt Nam" tập trung phân tích (1) thực tiễn giải quyết các vụ việc dữ liệu cá nhân trên thế giới; (2) kinh nghiệm giải quyết của các quốc gia dưới góc độ so sánh với Việt Nam và (3) đề xuất giải pháp hoàn thiện hành lang pháp lý và công tác thực thi bảo vệ dữ liệu cá nhân ở Việt Nam. Mời các bạn cùng tham khảo!
Nội dung trích xuất từ tài liệu:
Thực tiễn giải quyết các vụ việc dữ liệu cá nhân trên thế giới - Gợi mở cho Việt NamTHỰC TIỄN GIẢI QUYẾT CÁC VỤ VIỆC DỮ LIỆU CÁ NHÂN TRÊN THẾ GIỚI - GỢI MỞ CHO VIỆT NAM ThS. Phạm Thị Hồng Mỵ Khoa Luật – Trường Đại học Sài Gòn, email:pthmy@sgu.edu.vnTóm tắt: Bảo vệ dữ liệu cá nhân là một bài toán cần được giải của mỗi quốc gia trong côngcuộc phát triển kinh tế số. Vì thế, bài viết tập trung phân tích (1) thực tiễn giải quyết các vụviệc dữ liệu cá nhân trên thế giới; (2) kinh nghiệm giải quyết của các quốc gia dưới góc độ sosánh với Việt Nam và (3) đề xuất giải pháp hoàn thiện hành lang pháp lý và công tác thực thibảo vệ dữ liệu cá nhân ở Việt Nam.Từ khóa: dữ liệu cá nhân; hành lang pháp lý; thực thi; Việt Nam.Abstract: Personal data protection is a problem that needs to be solved by each country in theprocess of developing the digital economy. Therefore, the article focuses on analyzing (1) thepractice of resolving personal data cases around the world; (2) experience of other countries incomparison with Vietnam and (3) propose solutions to improve the legal framework andenforcement of personal data protection in Vietnam.Keywords: personal data; legal framework; enforcement; VietnamThực tiễn giải quyết các vụ việc dữ liệu cá nhân trên thế giớiCác vụ việc về dữ liệu cá nhân được giải quyết bởi Cơ quan Ủy ban Bảo vệ Dữ liệu (DPC)Ủy ban Bảo vệ Dữ liệu (DPC) là cơ quan độc lập quốc gia ở Ireland chịu trách nhiệm duy trìquyền cơ bản của các cá nhân trong Liên minh Châu Âu (EU) trong việc bảo vệ dữ liệu cánhân. Theo đó, DPC là cơ quan giám sát của Ireland chịu trách nhiệm giám sát việc áp dụngQuy định chung về bảo vệ dữ liệu (GDPR) và có các chức năng, quyền hạn liên quan đến cáckhung pháp lý khác, bao gồm Quy định về quyền riêng tư điện tử của Ireland (2011) và Chỉ thịcủa EU như Chỉ thị Thực thi Pháp luật (LED). Nhiệm vụ chung nhất của DPC là bảo vệ quyềnbảo vệ dữ liệu bằng cách thúc đẩy tuân thủ thông qua hướng dẫn, giám sát và thực thi.TheoBáo cáo thường niên thì DPC đã xử lý 9.370 trường hợp mới (6.660 thắc mắc và 2.710 khiếunại) từ các cá nhân vào năm 2022. Dựa trên Báo cáo thường niên DPC công bố thì chúng ta cóthể tham khảo một số vụ việc như sau: 705Vụ việc thứ nhất: Quyền được lãng quên. Đơn khiếu nại liên quan đến việc cá nhân khônghài lòng với phản hồi (Người kiểm soát dữ liệu) của Microsoft Ireland Operations Limited đốivới yêu cầu về quyền được lãng quên của họ theo Điều 17 GDPR. Cá nhân đã yêu cầu xóa haiURL, người kiểm soát dữ liệu đã xác nhận với cá nhân đó rằng các URL đã bị xóa. Tuy nhiên,việc tìm kiếm tên của cá nhân do người đại diện hợp pháp của họ thực hiện cho thấy các URLtiếp tục được trả lại. DPC đã xem xét các URL khi nhận được đơn khiếu nại và xác nhận rằngcác URL đó vẫn đang được trả lại. DPC đã trao đổi với Bên kiểm soát dữ liệu và lưu ý rằngmặc dù đã xác nhận rằng các URL đã bị xóa nhưng chúng vẫn tiếp tục quay trở lại khi tìm kiếmtên của cá nhân đó. Sau khi điều tra sâu hơn, DPC xác định rằng mặc dù các URL ban đầuđược yêu cầu xóa không còn xuất hiện nữa nhưng một URL khác hiện đã xuất hiện, khác biệtvới các URL khác và chuyển hướng đến cùng một nội dung. Bên kiểm soát dữ liệu cũng đãxóa URL này theo yêu cầu của DPC thay mặt cho cá nhân đó. DPC đã viết thư cho cá nhân đóvà phác thảo các hành động của người kiểm soát dữ liệu. DPC xác nhận rằng cả ba URL đềuđã bị Bên kiểm soát dữ liệu xóa. Trường hợp này thể hiện tầm quan trọng của Cơ quan giámsát, trong trường hợp này là DPC, thực hiện các cuộc điều tra của riêng họ và đảm bảo rằngcác yêu cầu của cá nhân được đáp ứng phù hợp với GDPR. Đây là trường hợp điển hình thểhiện cách DPC thực hiện các biện pháp bổ sung để đảm bảo rằng cá nhân đó có thể đạt đượckết quả thỏa đáng một cách toàn diện, thay vì phải gửi đơn khiếu nại mới về URL mới.Vụ việc thứ hai: Dữ liệu không chính xác dẫn đến rủi ro cao tiềm ẩn do dữ liệu - Sổ đăngký tín dụng trung ương không chính xác. DPC đã nhận được thông báo từ bộ điều khiển dữliệu khu vực tài chính liên quan đến một cá nhân có tài khoản đã được báo cáo không chínhxác cho Cơ quan đăng ký tín dụng trung ương (CCR). Người kiểm soát đã mua tài khoản củacá nhân như một phần của việc mua bán danh mục đầu tư vào năm 2015 và không biết rằng cánhân đó đã bị tuyên bố phá sản vào năm 2014. Những cá nhân bị tuyên bố phá sản nằm ngoàiphạm vi nghĩa vụ báo cáo với CCR. Ngoài ra, các tài khoản có lợi nhuận trước khi bắt đầu vàongày 30 tháng 6 năm 2017 sẽ không được báo cáo cho CCR. Cá nhân này gặp khó khăn trongviệc vay vốn vì hồ sơ CCR của họ đã bị cơ quan kiểm soát báo cáo do nhầm lẫn là còn tồn tạivà đang bị truy thu. Rủi ro đối với quyền tự do của cá nhân được đánh giá là cao và vi phạmđã được bên kiểm soát thông bá ...