Ủy ban Bảo vệ Thông tin Cá nhân Hàn Quốc (PIPC) ngày 29/4 cho biết đã tổ chức buổi làm việc tại Trụ sở Chính phủ ở Sejong với Bộ Nội vụ và An toàn, Bộ Y tế và Phúc lợi, Cơ quan Bảo hiểm Y tế Quốc gia cùng một số cơ quan công lớn để phổ biến các nội dung sửa đổi liên quan đến việc mở rộng quyền yêu cầu chuyển dữ liệu cá nhân.

Theo PIPC, cơ quan này đang chỉnh sửa tài liệu hướng dẫn để phổ biến tới người dân các nội dung trọng tâm và tiêu chí áp dụng trong nghị định hướng dẫn đã được sửa đổi.

Những thay đổi chính gồm mở rộng phạm vi yêu cầu chuyển dữ liệu, bao gồm đối tượng được áp dụng và loại dữ liệu đủ điều kiện chuyển, đồng thời bổ sung cơ chế tham vấn trước về phương thức chuyển dữ liệu.

PIPC cho biết khi xác định một tổ chức có thuộc diện phải chuyển dữ liệu trực tiếp cho chủ thể dữ liệu hay không, doanh thu bình quân sẽ được tính trên tổng doanh thu trong và ngoài nước. Số lượng chủ thể dữ liệu cũng được xác định trên cơ sở tổng số chủ thể dữ liệu mà toàn bộ các hệ thống của tổ chức đó xử lý.

Đối với đơn vị vận hành hệ thống công, tiêu chí áp dụng không chỉ được tính trên hệ thống công mà còn dựa trên toàn bộ các hệ thống do đơn vị này quản lý.

Tuy nhiên, tùy điều kiện của từng cơ quan, các đơn vị có thể ưu tiên xây dựng phương thức chuyển dữ liệu trước cho những hệ thống được dự báo có nhu cầu cao. Lộ trình mở rộng sang các hệ thống còn lại có thể được công bố trong chính sách xử lý thông tin cá nhân và triển khai theo tiến độ đã nêu.

Về phạm vi dữ liệu, thông tin có thể được yêu cầu chuyển là dữ liệu được thu thập trên cơ sở sự đồng ý của chủ thể dữ liệu hoặc theo hợp đồng với chủ thể dữ liệu. Ngoài ra, dữ liệu được thu thập theo quy định pháp luật cũng có thể thuộc phạm vi này nếu đã được PIPC thẩm định và thông qua.

Các dữ liệu này phải là thông tin cá nhân được xử lý bằng thiết bị xử lý thông tin và không phải là dữ liệu do đơn vị xử lý tự tạo ra một cách độc lập. Nghị định sửa đổi cũng loại trừ các thông tin có nguy cơ xâm phạm quyền hoặc lợi ích hợp pháp của người khác, cũng như dữ liệu thuộc bí mật kinh doanh, công nghệ công nghiệp và các nội dung tương tự.

PIPC cũng làm rõ rằng việc cung cấp chức năng để chủ thể dữ liệu có thể trực tiếp xem, tra cứu và tự tải xuống thông tin cá nhân của mình trên website cũng được công nhận là hình thức chuyển dữ liệu cho chính chủ thể. Khi phát sinh yêu cầu từ người dùng, các cơ quan có thể xem xét các phương án ứng phó, như từng bước mở rộng phạm vi dữ liệu được chuyển.

Ngoài ra, PIPC nêu cụ thể các nội dung cần tham vấn trước giữa bên chuyển dữ liệu cho chủ thể dữ liệu và bên đại diện trong trường hợp bên đại diện sử dụng công cụ tự động hóa (scraping) để thay mặt chủ thể dữ liệu thực hiện yêu cầu chuyển. Các nội dung tham vấn gồm phạm vi, mục đích và phương thức chuyển dữ liệu; xác minh thẩm quyền được ủy quyền của bên đại diện; biện pháp bảo vệ và quản lý an toàn của bên đại diện; cùng các trách nhiệm mà bên này phải thực hiện.

PIPC cho biết sẽ rà soát các ý kiến thu thập được tại buổi làm việc và, nếu cần, đưa vào dự thảo tài liệu hướng dẫn sửa đổi. Cơ quan này đặt mục tiêu công bố bản hướng dẫn hoàn chỉnh vào tháng 6 để hỗ trợ triển khai cơ chế mới một cách thông suốt.