So sánh tuân thủ GDPR và CCPA: Những điểm khác biệt chính

Luật bảo vệ dữ liệu cá nhân Quốc tế

Luật bảo vệ dữ liệu cá nhân quy định về các cách thức doanh nghiệp của bạn tiến hành thu thập cũng như xử lý thông tin người dùng. Với ví dụ, Quy định chung về bảo vệ dữ liệu (GDPR) đã thiết lập một tiêu chuẩn toàn cầu khi được ban hành vào năm 2018, và California tiếp theo đó với Đạo luật bảo vệ quyền riêng tư người tiêu dùng California (CCPA) vào năm 2020. Cả hai đạo luật đều có chung mục tiêu bảo vệ dữ liệu và quyền riêng tư của cá nhân, nhưng chúng có cách tiếp cận khác nhau.

Nếu bạn hoạt động ở nhiều khu vực hoặc phục vụ khách hàng quốc tế, bạn cần hiểu rõ sự khác biệt giữa các quy định này. Phạm vi, yêu cầu và hình phạt khác nhau đáng kể. Sai sót có thể dẫn đến phạt tiền từ cơ quan quản lý, mất lòng tin của khách hàng và gián đoạn hoạt động.

Tiêu chuẩn CCPA – Đạo luật Bảo vệ Quyền riêng tư Người tiêu dùng California được ban hành năm 2018, là một đạo luật quan trọng của tiểu bang được thiết kế để tăng cường bảo vệ quyền riêng tư dữ liệu và trao cho người tiêu dùng California quyền kiểm soát lớn hơn đối với thông tin cá nhân của họ. Với đạo luật này hiện có trao cho tất cả các cá nhân một số quyền như:

• Quyền được biết về thông tin cá nhân mà doanh nghiệp thu thập về họ, cách thức sử dụng và chia sẻ thông tin đó.
• Quyền xóa thông tin cá nhân được thu thập về họ (với một số ngoại lệ)
• Quyền từ chối việc bán thông tin cá nhân
• Quyền không bị phân biệt đối xử khi thực hiện các quyền theo CCPA của họ

Theo CCPA, thông tin cá nhân được định nghĩa rộng rãi là bất kỳ dữ liệu nào xác định, liên quan đến, hoặc có thể được liên kết một cách hợp lý với một cá nhân hoặc hộ gia đình ở California. Điều này bao gồm tên hoặc biệt danh, địa chỉ email, địa chỉ IP, lịch sử mua hàng và thông tin cá nhân nhạy cảm.

Đạo luật CCPA áp dụng cho tất cả các doanh nghiệp vì lợi nhuận hoạt động tại California, thu thập dữ liệu từ cư dân của tiểu bang này và đáp ứng ít nhất một trong các tiêu chí sau:

• Có tổng doanh thu hàng năm trên 26 triệu đô la.
• Mua, nhận hoặc bán thông tin cá nhân của 100.000 hoặc nhiều hơn cư dân, hộ gia đình hoặc thiết bị tại California.
• Thu được 50% hoặc hơn doanh thu hàng năm từ việc bán thông tin cá nhân của cư dân California.

Tuân thủ CCPA là bắt buộc đối với các doanh nghiệp thuộc phạm vi điều chỉnh. Vi phạm các yêu cầu của quy định có thể dẫn đến các hình phạt lên tới 2.663 đô la cho mỗi vi phạm không cố ý và 7.988 đô la cho mỗi vi phạm cố ý, cùng với khoản bồi thường dân sự từ 107 đến 799 đô la cho mỗi cá nhân bị ảnh hưởng.

Tiêu chuẩn GDPR là gì?

Bộ tiêu chuẩn GDPR là một trong những đạo luật khá toàn diện của EU ra đời năm 2018 nhằm bảo vệ các quyền và tự do cơ bản của cá nhân trong khối EU và EEA. Đạo luật này quy định các yêu cầu khá nghiêm ngặt về cách thức mà các tổ chức tiến hành thu thập, lưu trữ và xử lý thông tin cá nhân trong quá trình hoạt động của mình.

Tuân thủ GDPR là một trong những quy định bắt buộc đối với bất kỳ tổ chức nào có cung cấp hàng hóa hoặc dịch vụ cho, hoặc giám sát hành vi của, người dân trong EU/EEA. Bất kì những vi phạm nào đều có thể dẫn đến việc phải khắc phục và bị phạt về tài chính một cách khá nghiêm khắc có thể lên đến 10 triệu euro hoặc 2% doanh thu hàng năm toàn cầu của tổ chức đối với các vi phạm nhỏ, và lên đến 20 triệu euro hoặc 4% doanh thu hàng năm toàn cầu đối với các vi phạm nghiêm trọng hơn.

Ngoài những quyền này, GDPR cũng định nghĩa bảy nguyên tắc bảo vệ dữ liệu , là cơ sở cho nhiều yêu cầu quan trọng của quy định:

Cả hai bộ tiêu chuẩn CCPA và GDPR đều có chung mục đích là để bảo vệ quyền riêng tư về hệ thống dữ liệu và thông tin của người dân, chứ không phải chỉ riêng của các doanh nghiệp. CCPA chịu ảnh hưởng rất lớn từ GDPR, điều này giải thích sự trùng lặp đáng kể trong các nguyên tắc, cách tiếp cận và yêu cầu cơ bản của chúng.

“Cả GDPR và CCPA đều trao cho cá nhân quyền đối với dữ liệu cá nhân của họ và yêu cầu sự minh bạch về dữ liệu nào được thu thập và cách thức sử dụng. Chúng cũng bắt buộc các tổ chức phải duy trì các thỏa thuận chính thức với các nhà cung cấp dịch vụ và thực hiện các biện pháp bảo mật hợp lý.” Theo ông Connor Snyder Chuyên gia về GRC, Vanta nguồn: linkedin

Cả hai bộ tiêu chuẩn tiến hành quy định đều có những nhấn mạnh về trách nhiệm giải trình và quyền dữ liệu cá nhân. 2 bộ tiêu chuẩn này có trao cho cá nhân có quyền truy cập, xóa và biết dữ liệu cá nhân nào được thu thập về họ. Chúng cũng yêu cầu các tổ chức phải đáp ứng các yêu cầu của cá nhân liên quan đến các quyền này trong khung thời gian xác định.

Về tính minh bạch chính là một nguyên tắc cả 2 bộ tiêu chuẩn đều sẽ có. Theo cả hai bộ tiêu chuẩn này thì các tổ chức cần phải cung cấp một thông báo về quyền riêng tư rõ ràng , giải thích cách thức và lý do dữ liệu được thu thập cũng như mục đích sử dụng dữ liệu đó.

Cuối cùng, cả GDPR và CCPA đều có phạm vi áp dụng ngoài lãnh thổ. Nếu tổ chức của bạn thuộc phạm vi điều chỉnh của một trong hai quy định này, bạn phải tuân thủ bất kể vị trí địa lý của mình.

CCPA và GDPR có những điểm khác biệt nào?

Mặc dù CCPAvà GDPRđều có chung mục tiêu bảo vệ dữ liệu cá nhân, nhưng chúng khác nhau ở một số điểm quan trọng. Cụ thể bao gồm:

1. Phạm vi
2. Căn cứ pháp lý
3. Hình phạt do không tuân thủ
4. Chuyển khoản quốc tế

Bộ tiêu chuẩn GDPR có phạm vi rộng hơn CCPA về các tổ chức mà nó bao gồm. Theo GDPR, bất kỳ tổ chức nào xử lý dữ liệu cá nhân của các cá nhân trong EU đều phải tuân thủ các yêu cầu của luật này.

Ngược lại, CCPA chỉ áp dụng cho các doanh nghiệp vì lợi nhuận đáp ứng một trong các ngưỡng quy định của luật, chẳng hạn như doanh thu hàng năm tối thiểu hoặc khối lượng xử lý dữ liệu tối thiểu.

Một điểm về phạm vi khác chính là khi tiêu chuẩn GDPR chỉ bảo vệ các cá nhân đã được xác định hoặc có thể xác định được danh tính, tức là các cá nhân cụ thể, thì CCPA lại tập trung vào người tiêu dùng và hộ gia đình. Bộ luật này cũng liệt kê rõ ràng các định danh như ID thiết bị và địa chỉ IP là những ví dụ về thông tin cá nhân được bảo vệ.

2: Căn cứ pháp lý

Bộ tiêu chuẩn GDPR có đưa ra các yêu cầu về một tổ chức cấn phải được thiết lập một trong 6 cơ sở pháp lý hợp lệ, việc này chẳng hạn như sự đồng ý cũng như nghĩa vụ hợp đồng hoặc đưa ra các lợi ích một cách hợp pháp trước khi xử lý bất kỳ hệ thống dữ liệu cá nhân nào.

Khác với đó thì CCPA yêu cầu các doanh nghiệp phải xác định mục đích xử lý dữ liệu cá nhân của họ, đồng thời yêu cầu họ giới hạn việc xử lý dữ liệu ở mức cần thiết và tương xứng với các mục đích đó, nhưng không quy định rõ ràng việc gắn các mục đích đó với các cơ sở pháp lý cụ thể nào một cách tổng quát.

Tuân thủ GDPR và CCPA như đã biết ở trên thì đều bảo vệ dữ liệu cá nhân. Tuy nhiên thì với mỗi đạo luật riêng về quyền riêng tư cũng lại định nghĩa “dữ liệu cá nhân” theo hướng khác nhau.

• GDPR

Đạo luật GDPR có đưa ra những định nghĩa về hệ thống dữ liệu cá nhân là bất cứ thứ gì xác định danh tính của một người hoặc có thể xác định danh tính của người đó. Điều này bao gồm các định danh trực tiếp như tên và địa chỉ, cộng với các định danh trực tuyến như địa chỉ IP, ID cookie và dấu vân tay thiết bị.

Ngay cả dữ liệu đã được mã hóa, chẳng hạn như thay thế tên bằng ID ngẫu nhiên, vẫn được coi là dữ liệu cá nhân nếu về mặt lý thuyết, ai đó có thể liên kết nó trở lại với một cá nhân cụ thể.

Theo hệ thống GDPR, một số dữ liệu được bảo vệ bổ sung. Dữ liệu thuộc danh mục đặc biệt này bao gồm:

• Nguồn gốc chủng tộc hoặc dân tộc
• Quan điểm chính trị
• Niềm tin tôn giáo
• tư cách thành viên công đoàn
• Dữ liệu di truyền
• Dữ liệu sinh trắc học
• Thông tin sức khỏe

Các công ty cần có sự đồng ý rõ ràng hoặc cơ sở pháp lý khác để xử lý loại dữ liệu này.

• Đạo luật CCPA

Theo đó thì đạo luật CCPA có bảo vệ thông tin cá nhân xác định, liên quan đến, hoặc có thể liên kết với cư dân hoặc hộ gia đình ở California. Nó bao gồm các nội dung tương tự như GDPR, chẳng hạn như tên, địa chỉ, hoạt động trực tuyến, dữ liệu vị trí, thông tin nghề nghiệp và suy luận về đặc điểm hoặc sở thích của một người.

Ngoài ra, CPRA đã bổ sung một danh mục mới gọi là thông tin cá nhân nhạy cảm . Mặc dù nhiều mục trong số này đã được bảo vệ như thông tin cá nhân theo CCPA, CPRA đã tạo ra danh mục cụ thể này và trao cho người tiêu dùng quyền hạn chế việc sử dụng và tiết lộ thông tin đó.

Những nội dung này có bao gồm:

• Số An sinh Xã hội
• Giấy phép lái xe
• Thông tin tài chính
• Dữ liệu vị trí chính xác
• Nguồn gốc chủng tộc hoặc dân tộc
• Niềm tin tôn giáo
• vv…..

4: Hình phạt do không tuân thủ

Cả hai bộ tiêu chuẩn GDPR và CCPA này hiện nay đều quy định về các hình phạt đối với hành vi không tuân thủ, nhưng mức độ nghiêm trọng có sự khác biệt đáng kể. Cụ thể như sau:

• ‍Theo GDPR tiền phạt có thể lên đến hơn 20 triệu Euro hoặc 4% doanh thu hàng năm toàn cầu của các tổ chức và còn tùy thuộc vào mức nào cao hơn.
• Tiêu chuẩn CCPA có đưa ra những quy định về mức phạt có thể lên đến 7.988 đô la cho mỗi hành vi vi phạm cố ý, và thêm 107–799 đô la cho mỗi người tiêu dùng bị ảnh hưởng.

Trong bối cảnh các quy định bảo vệ dữ liệu ngày càng khắt khe như GDPR và CCPA, SQC Certification mang đến giải pháp tư vấn và chứng nhận toàn diện giúp doanh nghiệp tối ưu hóa quá trình tuân thủ một cách hiệu quả. Với đội ngũ chuyên gia giàu kinh nghiệm, SQC hỗ trợ doanh nghiệp xây dựng hệ thống quản lý dữ liệu, rà soát rủi ro và thiết lập quy trình kiểm soát phù hợp với từng mô hình hoạt động.

Dịch vụ của SQC Certification bao gồm đánh giá hiện trạng, xây dựng chính sách bảo mật, hỗ trợ chuẩn bị tài liệu và đồng hành trong suốt quá trình kiểm toán. Nhờ phương pháp tiếp cận bài bản và cập nhật liên tục theo các tiêu chuẩn quốc tế, doanh nghiệp không chỉ đáp ứng yêu cầu pháp lý mà còn nâng cao uy tín, tăng cường niềm tin từ khách hàng và đối tác.

Liên hệ SQC Certification ngay hôm nay để được tư vấn lộ trình tuân thủ GDPR và CCPA phù hợp với doanh nghiệp của bạn.

Thông tin liên hệ:

Hãy để SQC Certification Việt Nam giúp doanh nghiệp bạn chạm tới những tiêu chuẩn quốc tế một cách chuyên nghiệp và bền vững.

• Hotline: 0936396611
• Website: https://sqccert.com.vn/
• ĐĂNG KÝ NGAY: https://forms.gle/ydn9rzk5H7jrrf9g9