GDPR xử phạt tiền: Mức phạt và cách tránh bị phạt

Quy định bảo vệ dữ liệu chung của EU (GDPR) đã ban hành và chỉ trong một vài tháng, các doanh nghiệp vẫn đang tranh giành để chứng minh rằng họ tuân thủ. Và sự hoảng sợ lan rộng này là hợp lý, bởi vì nếu bạn không tuân thủ và không may bị Văn phòng Ủy viên Thông tin (ICO) phát hiện, bạn có thể bị phạt nặng, đặc biệt là với những công ty phát triển nhất.

Trong thực tế, đó sẽ là những khoản tiền phạt lớn nhất từng áp dụng cho doanh nghiệp - lên đến 20 triệu euro (khoảng 17,6 triệu bảng Anh) hoặc tương đương 4% doanh thu hàng năm toàn cầu (tùy theo mức nào cao hơn). Nhưng trước khi bạn lựa chọn việc đóng cửa công ty của mình trước khi nó bị kiểm tra về vấn đề không tuân thủ, điều quan trọng cần lưu ý là những khoản tiền phạt này thay đổi tùy theo mức độ nghiêm trọng của vi phạm.

Trước đây, các hình phạt đối với các công ty không tuân thủ Đạo luật bảo vệ dữ liệu của Vương quốc Anh năm 1998 sẽ bị tính tối đa 500.000 bảng nếu chúng bị rò rỉ dữ liệu hoặc không bảo vệ được dữ liệu mà họ nắm giữ trước các cuộc tấn công dữ liệu.

EU đã đưa ra quyết định tăng mức phạt tiềm năng tối đa bởi vì thế giới số đã thay đổi rất nhiều khi nói đến dữ liệu. Trong thực tế, dữ liệu có vai trò đặc biệt quan trọng trong chiến lược kinh doanh mà nó thường bị lạm dụng. EU muốn đảm bảo dữ liệu của mọi người được bảo vệ theo cùng một cách - có nghĩa là không có email tiếp thị ngẫu nhiên nào hoàn toàn không liên quan đến sở thích của khách hàng.

Những tin tức gần đây - chẳng hạn như vụ bê bối Cambridge Analytica chứng tỏ tại sao có nhu cầu giám sát chặt chẽ việc sử dụng, trao đổi và khai thác dữ liệu không được kiểm soát và không có gì ngăn cản các doanh nghiệp lạm dụng dữ liệu dù mức tiền phạt rất lớn.

Một cách tiếp cận theo cấp độ vi phạm để phạt tiền

Theo Điều 83, các nhà quản lý Luật bảo vệ dữ liệu mới sẽ áp dụng cách tiếp cận hai tầng để quản lý tiền phạt - với những vi phạm nghiêm trọng nhất dành cho mức phạt tối đa lên đến 20 triệu Euro, hoặc 4% doanh thu hàng năm toàn cầu, tùy theo mức nào cao hơn.

Khi áp dụng hình phạt tài chính, một cơ quan quản lý phải xem xét liệu hành vi phạm tội có phù hợp với mức hình phạt cấp thấp hơn hoặc cao hơn hay không. Phạt tiền tối đa 10 triệu euro hoặc 2% doanh thu hàng năm toàn cầu có hiệu lực đối với các tổ chức phạm tội tương đối nhỏ - trong khi cấp độ vi phạm cao hơn của sẽ chỉ được quản lý trong trường hợp nghiêm trọng.

Mặc dù GDPR đã có hiệu lực trong vài tháng, nhưng vẫn còn quá sớm để đánh giá cách tiếp cận nào sẽ áp dụng cho các tổ chức xử phạt theo hai cấp này - nhưng Điều 83 vạch ra những mức độ phạm tội khác nhau sẽ bị trừng phạt như thế nào.

Mức phạt bậc thấp hơn thường được dành cho các tổ chức không tích hợp bảo vệ dữ liệu “theo thiết kế và theo mặc định” vào dịch vụ, chính sách và sản phẩm của họ và những người không hợp tác với chính quyền để điều chỉnh theo yêu cầu. Những khoản phạt này cũng sẽ được áp dụng cho những công ty không chỉ định một nhân viên bảo vệ dữ liệu, hoặc ban hành các nhiệm vụ này, vì không thông báo cho đối tượng biết khi dữ liệu cá nhân của họ bị xâm phạm và không lưu giữ hồ sơ đầy đủ về xử lý dữ liệu.

Mặt khác, vi phạm cấp cao hơn thường chỉ áp dụng cho các vi phạm nghiêm trọng nhất của GDPR, bao gồm vi phạm dữ liệu của chủ thể và quyền riêng tư, không tuân thủ các nguyên tắc cơ bản về bảo vệ dữ liệu và từ chối tuân thủ các yêu cầu và yêu cầu từ dữ liệu điều chỉnh, chẳng hạn như từ chối tuân thủ cảnh báo trước đó hoặc các lệnh về xử lý dữ liệu. Cách tổ chức xử lý sự chấp thuận của người dùng cũng sẽ được xem xét.

Bạn sẽ luôn bị phạt tối đa?

Mặc dù những gì mà các nhà cung cấp quảng cáo về GDPR là phần mềm và dịch vụ thân thiện, nói rằng, mức tiền phạt gần như chắc chắn sẽ không áp dụng được cho toàn bộ quy mô của tất cả các tổ chức.

Các quy định tự làm rõ ràng tất cả các khoản tiền phạt được ban hành sẽ được thực hiện theo từng trường hợp, theo tinh thần “hiệu quả, phù hợp và cảnh cáo”.

Các nhà quản lý sẽ tính đến bản chất của hành vi xâm phạm, mức độ và thời gian, phạm vi và bản chất của việc xử lý dữ liệu của một tổ chức, cũng như số lượng đối tượng dữ liệu bị ảnh hưởng và mức độ thiệt hại mà họ phải chịu.

Pháp luật cũng nêu rõ ý định và phạm vi của sự cẩu thả sẽ được xem xét, cũng như bất kỳ nỗ lực nào được thực hiện để tuân thủ và mọi hành động được thực hiện để giảm thiểu thiệt hại cho các đối tượng dữ liệu bị ảnh hưởng. Điều này có nghĩa là các tổ chức phải ghi lại tất cả các quy trình và thể hiện công việc của mình để chứng minh cho người kiểm tra công tác bảo vệ dữ liệu rằng họ đang làm mọi thứ có thể để tuân thủ.

Các yếu tố khác sẽ bao gồm lịch sử của một tổ chức khi nói đến vi phạm, các loại dữ liệu cá nhân bị ảnh hưởng, mức độ vi phạm được báo cáo nhanh chóng và mức độ hợp tác với cơ quan quản lý và điều chỉnh dữ liệu. Đối với Anh, đó là ICO.

James Pressley, luật sư tại Kirwans, trích dẫn một trường hợp ICO đã ban hành một khoản phạt đối với Carphone Warehouse theo Đạo luật bảo vệ dữ liệu năm 1998 là 400.000 bảng Anh – tương đương 80% mức phạt tối đa, đồng thời trích dẫn việc mua bán dữ liệu của WhatsApp cho Facebook và thực hiện dịch vụ tin nhắn đã làm cho ICO không cho chuyển bất kỳ dữ liệu người dùng nào của WhatsApp UK tới Facebook.

“Khi giao dịch với các tổ chức có quy mô, bạn có thể dễ dàng tưởng tượng rằng tiền phạt theo quy định của GDPR mới có thể được coi là phù hợp”, ông cảnh báo.

ICO sẽ hoạt động như thế nào dựa trên GDPR?

ICO, hiện là cơ quan thực thi quy định dữ liệu ở Anh, đã đạt được danh tiếng là một nhà quản lý bảo thủ, nghiêng về hướng khoan hồng. Ví dụ, trong số 18.300 trường hợp bảo vệ dữ liệu được xử lý trong năm 2016 - 2017 thì nó chỉ thực hiện xử lý 16 khoản tiền phạt tổng cộng 1,6 triệu bảng Anh cho các vi phạm nghiêm trọng, theo báo cáo hàng năm cuối cùng của ICO.

Với quy mô và mức độ nghiêm trọng của mức tiền phạt được áp đặt theo GDPR - lớn hơn 40 lần so với mức tối đa hiện tại là 500.000 bảng Anh - cũng như danh tiếng của Ủy viên Thông tin, Elizabeth Denham, mọi con mắt đều hướng về ICO, về cách thức hoạt động của nó ngay bây giờ, khi GDPR có hiệu lực.

Trong cùng một bài phát biểu, bà đã trấn an các tổ chức rằng “những dự đoán về tiền phạt khổng lồ theo quy định GDPR là vô nghĩa, nó chỉ đơn giản là quy mô các hình phạt mà chúng tôi đã ban hành theo Đạo luật bảo vệ dữ liệu”, cho thấy ICO sẽ tiếp tục hoạt động theo nhiều cách tương tự như cách nó đã thực hiện từ trước đến nay, với tiền phạt là một phương sách cuối cùng.

Tuy nhiên, Denham cũng bác bỏ những dự đoán về một “thời kỳ gia hạn” cho sự tuân thủ trong đó ICO sẽ khoan dung trong vài tháng đầu tiên sau khi GDPR có hiệu lực, các doanh nghiệp đã có hai năm để chuẩn bị.

“Elizabeth Denham, Ủy viên Thông tin hiện tại, đã cung cấp cho ICO một hồ sơ cao hơn và làm cho nó chủ động hơn, với các hành động bao gồm các ví dụ về các cuộc tấn công gần đây trên các văn phòng của Cambridge Analytica,” Pressley tiếp tục.

“Nó sẽ hoàn toàn phù hợp với cách tiếp cận đó cho ICO để chứng minh các quyền hạn mới của mình bằng cách áp dụng các khoản tiền phạt đáng kể, mà sẽ phục vụ mục đích kép là đưa nhiều tổ chức tư nhân vào khuôn khổ tuân thủ.”

Bà cũng cho biết rằng các vi phạm trong bất kỳ lĩnh vực nào được đề cập trong Đạo luật bảo vệ dữ liệu trước đây năm 1998 sẽ bị xem là không đáng kể. Ngược lại, các tổ chức tự báo cáo các lĩnh vực không tuân thủ sẽ được xem xét một cách có lợi hơn.