GDPR và quy trình nghiên cứu: Bạn cần biết điều gì

GDPR and the research process: What you need to know

Lisa Matthias 2018-06-01

Theo: https://blogs.openaire.eu/?p=3248

Bài được đưa lên Internet ngày: 01/06/2018

Xem thêm: Các nguyên tắc của tính mở đối với các tổ chức xử lý dữ liệu cá nhân

Xem thêm: Khoa học Mở - Open Science

Xem thêm: Chương trình gián điệp của NSA trên không gian mạng

Vào ngày 25/05/2018, Quy định Bảo vệ Dữ liệu Chung - GDPR (General Data Protection Regulation) mới, quy định của Liên minh châu Âu 2016/679, có hiệu lực và bây giờ điều chỉnh việc xử lý dữ liệu cá nhân. Mục đích của GDPR là để hài hòa hóa tính riêng tư của dữ liệu và khuyến khích dòng chảy tự do hợp pháp của dữ liệu khắp châu Âu. Theo cách y hệt đó, GDPR cũng tác động tới các hoạt động nghiên cứu khoa học. GDPR đưa ra các nguyên tắc chung cũng như các điều khoản có liên quan tới các tình huống xử lý dữ liệu đặc thù, như nghiên cứu khoa học, lịch sử, thống kê và y tế.

Các dạng dữ liệu bị ảnh hưởng bởi GDPR

Dữ liệu cá nhân: Dữ liệu có liên quan tới cá nhân về bản chất (chủ thể dữ liệu) những người có thể được nhận diện bằng sự tham chiếu tới một mã nhận diện như là tên, số nhận diện, dữ liệu vị trí, mã nhận diện trên trực tuyến.

Dữ liệu cá nhân nhạy cảm: Thông tin có liên quan tới nguồn gốc chủng tộc hoặc dân tộc; quan điểm chính trị; lòng tin tôn giáo; thành viên liên đoàn lao động; dữ liệu y tế; đời sống tình dục; dữ liệu gen; dữ liệu sinh trắc học và tội phạm hình sự.

Dữ liệu theo bí danh (chúng cũng vẫn là dữ liệu cá nhân): Dữ liệu cá nhân có thể không còn có đặc trung cho chủ thể dữ liệu đặc thù nếu không sử dụng thông tin bổ sung; thông tin bổ sung này phải được giữ tách biệt.

Dữ liệu được ẩn danh (chúng không còn là dữ liệu cá nhân nữa): Thông tin không có liên quan tới dữ liệu riêng tư hoặc cá nhân nhận diện được hoặc có khả năng nhận diện được, được trả về ẩn danh theo cách thức sao cho chủ thể dữ liệu không hoặc không còn nhận diện được ra nữa.

Các nguyên tắc chung điều chỉnh GDPR

1. Hợp pháp, công bằng, minh bạch

Tổng cộng, có 6 điều cơ bản để đảm bảo cho việc xử lý hợp pháp các dữ liệu cá nhân, bao gồm các dữ liệu nhạy cảm. Có khả năng áp dụng được nhiều nhất cho các mục đích nghiên cứu gồm: lợi ích của công chúng; sự đồng ý của chủ thể dữ liệu; và những lợi ích hợp pháp. Theo ngữ cảnh này, sự đồng ý phải được tự do đưa ra và nó nên là đặc thù, được thông báo, không mù mờ và có tính khẳng định.

Các dữ liệu cá nhân nhạy cảm có thể được xử lý khi một trong 6 điều cơ bản hợp pháp của dữ liệu cá nhân thuộc chủng loại không đặc biệt đó áp dụng, bản chất thực của các quyền bảo vệ dữ liệu được tôn trọng, và các biện pháp an toàn và bảo vệ phù hợp hiện diện tại chỗ. Nhiều biện pháp bảo vệ đó làm một phần rồi của quy trình nghiên cứu, như tối thiểu hóa dữ liệu (chỉ xử lý dữ liệu cá nhân cần thiết), sử dụng tên giả (pseudonymization), ẩn danh hóa, và an toàn dữ liệu.

Yêu cầu về sự công bằng và minh bạch bắt đầu với thu thập dữ liệu và áp dụng được qua vòng đời dữ liệu. Công bằng đòi hỏi tính tới cách để sử dụng dữ liệu cá nhân có ảnh hưởng tới các lợi ích của các cá nhân đó (chủ thể dữ liệu), trong khi minh bạch tham chiếu tới việc cung cấp cho những người tham gia các thông tin sau:

• các chi tiết liên hệ và nhận diện của người kiểm soát dữ liệu;
• thông tin cá nhân được nắm giữ về chủ thể dữ liệu;
• cách thức thông tin cá nhân được thu thập từ chủ thể dữ liệu;
• mục đích của việc xử lý;
• (các) cơ sở hợp pháp đang được sử dụng để minh chứng cho việc xử lý;
• dữ liệu cá nhân sẽ được chia sẻ với ai;
• độ dài thời gian theo đó dữ liệu cá nhân sẽ được giử lại;
• liệu dữ liệu cá nhân sẽ được truyền ra ngoài khu vực nghiên cứu châu Âu (EEA) hay không;
• khả năng đưa ra khiếu nại với cơ quan giám sát.

Thông tin được cung cấp cho những người tham gia nên là ngắn gọn súc tích và với ngôn từ rõ ràng và dễ hiểu.

2. Giới hạn mục đích

Dữ liệu cá nhân chỉ có thể được thu thập và xử lý vì các mục đích được chỉ định; không được phép sử dụng dữ liệu vì các mục đích khác (như, ‘xử lý tiếp’) không tương thích với các mục đích ban đầu đó.

3. Tối thiểu hóa dữ liệu

Nguyên tắc bảo vệ dữ liệu này có ý định để ngăn ngừa thu thập dữ liệu cá nhân không cần thiết, nhưng cũng áp dụng cho tất cả các khía cạnh xử lý. Điều này ngụ ý, việc đảm bảo dữ liệu là phù hợp với các mục đích của bạn, hạn chế truy cập tới dữ liệu cá nhân, và xem xét liệu dữ liệu được ẩn danh hóa, được tổng hợp hoặc được làm với tên giả vì các mục đích nghiên cứu của bạn.

4. Chính xác

Từng bước hợp lý nên được tiến hành để đảm bảo rằng các dữ liệu cá nhân là chính xác (và các dữ liệu không chính xác được xóa hoặc được điều chỉnh) và ở những nơi cần thiết thì giữ cho được cập nhật.

5. Giới hạn lưu trữ

GDPR nêu rằng dữ liệu cá nhân nên được giữ có khả năng nhận diện được chỉ khi cần thiết để làm thỏa mãn các mục đích nghiên cứu của bạn. Những người tham gia phải được thông báo về giai đoạn găm giữ lại, hoặc ít nhất điều cơ bản và hợp lý của nó (nếu không chi tiết chính xác).

6. Tính toàn vẹn và bí mật

Qua vòng đời dữ liệu, bạn phải tiến hành các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân chống lại việc xử lý không được ủy quyền hoặc bất hợp pháp các dữ liệu cá nhân và chống lại sự ngẫu nhiên mất mát hoặc phá hủy của, hoặc gây hại cho, dữ liệu cá nhân.

Các biện pháp an toàn nên đảm bảo rằng (a) chỉ những người được ủy quyền mới có thể truy cập, sửa đổi, mở ra hoặc phá hủy dữ liệu cá nhân; (b) những người chỉ hành động trong phạm vi ủy quyền của họ; và (c) nếu dữ liệu cá nhân ngẫu nhiên bị mất hoặc bị phá hủy thì có có thể được phục hồi để ngăn chặn bất kỳ sự thiệt hại hay tai họa nào cho các cá nhân có liên quan.

7. Trách nhiệm giải trình

Bạn phải có khả năng chứng minh tuân thủ với các nguyên tắc GDPR. Vì thế, là cơ bản bất kỳ chính sách hoặc thủ tục nào bạn áp dụng để tuân thủ với các yêu cầu bảo vệ dữ liệu sẽ được làm thành tài liệu. Hơn nữa, bạn được yêu cầu giữ hồ sơ các hoạt động xử lý của bạn. Quan trọng hơn, hồ sơ các hoạt động xử lý đó nên bao gồm:

• các chủng loại chủ thể dữ liệu từ ai bạn thu thập các dữ liệu đó;
• các dạng dữ liệu nào bạn thu thập: các bên nào khác dữ liệu đó được chia sẻ với và nếu áp dụng được, các chi tết của bất kỳ sự truyền dữ liệu cá nhân nào tới các quốc gia thứ 3 (nếu bên ngoài Liên minh châu Âu).
• khoảng thời gian để xóa;
• và mô tả chung các biện pháp an toàn.

Truyền dữ liệu cá nhân theo GDPR

GDPR cấm truyền dữ liệu cá nhân tới các quốc gia ngoài Liên minh châu Âu (EU), trừ phi biện pháp đảm bảo an toàn đặc biệt được triển khai, hoặc nếu chủ thể dữ liệu đã đưa ra sự đồng ý rõ ràng sau khi được thông báo về các rủi ro có liên quan tới sự truyền đó.

Bạn cũng có thể truyền dữ liệu tới các quốc gia được Ủy ban châu Âu (EC) xem xét để đảm bảo mức độ bảo vệ phù hợp cho các chủ thể dữ liệu. Hơn nữa, sự truyền tới một công ty của Mỹ đã có chứng thực theo Khung Bảo vệ Tính riêng tư giữa EU - Mỹ sẽ được xem là hợp pháp theo GDPR. Tới nay, điều này áp dụng cho các quốc gia sau: Andorra, Argentina, Canada (cho các tổ chức thương mại), Thụy Sỹ, Đảo Faroe, Guernsey, Israel, Đảo Man, Jersey, New Zealand và Uruguay.

Sử dụng các dịch vụ dựa vào đám mây quốc tế, như Dropbox, có thể có liên quan tới truyền dữ liệu cá nhân ngoài EEA. Thậm chí nếu dịch vụ theo yêu cầu đó đã ký Khung Bảo vệ Tính riêng tư, có thể là không thích hợp để sử dụng một dịch vụ như vậy, vì các điều khoản và điều kiện có xu hướng chỉ là một chiều, và không có khả năng là đủ để đáp ứng tất cả các bổn phận theo GDPR.

GDPR và Khoa học Mở

GDPR có mục đích kép, bảo vệ chủ thể dữ liệu và, cùng lúc, làm gia tăng dòng chảy dữ liệu tự do và hợp pháp. Bằng việc gắn vào các nguyên tắc GDPR, cộng đồng nghiên cứu có khả năng đảm bảo sự bảo vệ tối đa các dữ liệu cá nhân trong khi tối đa hóa tiềm năng của việc mở ra nghiên cứu cho thế giới.

On 25 May, 2018 the new General Data Protection Regulation (GDPR), EU regulation 2016/679, took effect and now governs the processing of personal data. The purpose of the GDPR is to harmonize data privacy laws across Europe, to protect and empower all EU citizens’ data privacy and to encourage the lawful free flow of data across Europe. In the same vein, the GDPR also impacts scientific research activities. The GDPR lays down general principles as well as provisions relating to specific data processing situations, such as scientific, historical, statistical, and health research.

Types of data affected by the GDPR

Personal data: Data relating to a natural person (data subject) who can be identified by reference to an identifier such as a name, an identification number, location data, an online identifier.

Sensitive personal data: Information relating to an individual’s racial or ethnic origin; political opinions; religious beliefs; trade union membership; health data; sexual life; genetic data; biometric data and criminal offences.

Pseudonymized data (these are still personal data): Personal data that can no longer be attributed to a specific data subject without the use of additional information; this additional information must be kept separately.

Anonymized data (these are not personal data anymore): Information that does not relate to an identified or identifiable individual or personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable.

General principles that govern the GDPR

1. Lawfulness, fairness, transparency

There are, in total, six bases that ensure lawful processing of personal data, excluding sensitive data. The most likely applicable to research purposes are: public interest; the data subject’s consent; and legitimate interests. In this context, consent must be freely given and it should be specific, informed, unambiguous and affirmative.

Sensitive personal data can be processed when one of the six non-special category personal data lawful bases applies, the essence of data protection rights is respected,  and suitable safeguards and protections are put in place. Many of these safeguards are already part of the research process, such as data minimization (only processing personal data that’s necessary), pseudonymization, anonymization, and data security.

The requirement of fairness and transparency begins with the data collection and is applicable throughout the data life-cycle. Fairness requires taking into account how the use of personal data affects the interests of the individuals (data subjects), while transparency refers to providing participants with the following information:

• the data controller’s identity and contact details;
• the personal information held about the data subject;
• how personal information is collected from the data subject;
• the purpose of the processing;
• the lawful basis/bases being used to justify the processing;
• with whom personal data will be shared;
• the duration for which the personal data will be retained;
• whether personal data will be transferred outside the EEA;
• the possibility of lodging a complaint with a supervisory authority.

The information provided to participants should be concise and in clear and plain language.

2. Purpose limitation

Personal data can only be collected and processed for specified purposes; it is not allowed to use the data for other purposes (i.e., ‘further processing’) incompatible with those original purposes.

3. Data minimization

This data protection principle is intended to prevent the collection of unnecessary personal data, but also applies to all aspects of processing. This means, ensuring that the data is suitable for your purposes, restricting access to personal data, and considering whether anonymised, aggregated or pseudonymised data is sufficient for your research purposes.

4. Accuracy

Every reasonable step should be taken to ensure that personal data is accurate (and inaccurate data is deleted or rectified) and where necessary kept up-to-date.

5. Storage limitation

The GDPR states that personal data should be kept identifiable only for as long as necessary to fulfill your research purposes. Participants must be informed about the retention period, or at least its basis and rationale (if not the precise detail).

6. Integrity and confidentiality

Throughout the data life cycle, you must take appropriate technical and organizational measures to protect personal data against unauthorised or unlawful processing of personal data and against accidental loss or destruction of, or damage to, personal data.

Security measures should ensure that (a) only authorized people can access, alter, disclose or destroy personal data; (b) those people only act within the scope of their authority; and (c) if personal data is accidentally lost or destroyed it can be recovered to prevent any damage or distress to the individuals concerned.

7. Accountability

You must be able to demonstrate compliance with the GDPR principles. Hence, it is essential that any policies or procedures you adopt in order to comply with data protection requirements are documented. Further, you are required to keep a record of your processing activities. More specifically, the record of processing activities should include:

• the categories of data subject from whom you collect the data;
• what types of data you collect; what other parties the data is shared with, and, if applicable, details of any transfers of personal data to a third country (i.e., outside the EU);
• the time limits for erasure;
• and a general description of security measures.

Transferring personal data under the GDPR

The GDPR prohibits the transfer of personal data to countries outside of the EU, unless specific safeguards are implemented, or if the data subject has provided explicit consent after being informed of the risks related to the transfer.

You may also transfer data to countries the European Commission considers to ensure an adequate level of protection for data subjects. In addition, a transfer to a US company that has been certified under the EU-US Privacy Shield Framework will be regarded as legal under the GDPR. To date, this applies to the following countries: Andorra, Argentina, Canada (for commercial organisations), Switzerland, Faroe Islands, Guernsey, Israel, Isle of Man, Jersey, New Zealand and Uruguay.

Using international cloud-based services, such as Dropbox, may involve a transfer of personal data outside the EEA. Even if the service in question has signed up to the EU-US Privacy Shield, it may not be appropriate to use such a service, since the terms and conditions tend to be one-sided, and are unlikely to be sufficient to meet all obligations under the GDPR.

GDPR and Open Science

GDPR has a dual objective, protecting the data subject and, at the same time, increasing the free and lawful flow of data. By adhering to the GDPR principles, the research community is able to ensure maximum protection of personal data while maximizing the potential of opening research to the world.

Lisa Matthias

More Posts

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com