Hơn 59.000 thông báo vi phạm dữ liệu GDPR, nhưng chỉ 91 quyết định phạt

Kể từ khi Quy định bảo vệ dữ liệu chung (GDPR) của Liên minh châu Âu (EU) có hiệu lực vào tháng 5/2018, các tổ chức EU đã báo cáo có gần 60.000 xâm phạm dữ liệu, nhưng cho đến nay, chưa đến 100 khoản phạt được các cơ quan quản lý ban hành.

Theo báo cáo mới của DLA Piper, số liệu thống kê chính thức của Ủy ban châu Âu cho biết có 41.502 thông báo vi phạm dữ liệu trong khoảng thời gian từ ngày 25/5/2018 -  28/1/2019 (Ngày bảo vệ dữ liệu). Tuy nhiên, điều này chỉ bao gồm 21 trong số 28 quốc gia thành viên EU và không bao gồm các quốc gia như Na Uy, Iceland và Lichtenstein, không phải là thành viên EU mà là một phần của Khu vực Kinh tế châu Âu (EEA) và phải tuân theo quy định tương tự.

Phân tích riêng của DLA Piper đã tính được có 59.430 vụ xâm phạm dữ liệu được tiết lộ trên khắp châu Âu trong cùng thời kỳ, trong đó Hà Lan, Đức và Vương quốc Anh dẫn đầu về số lượng các vụ xâm phạm. Cùng với đó, ba quốc gia này chịu trách nhiệm cho gần 2/3 thông báo vi phạm dữ liệu, với làn lượt 15.400, 12.600 và 10.600 các vụ lộ lọt.

GDPR yêu cầu các tổ chức báo cáo việc vi phạm dữ liệu cá nhân với các cơ quan quản lý bảo vệ dữ liệu quốc gia và cho các cá nhân bị ảnh hưởng trong vòng 72 giờ sau khi họ nhận thấy các xâm phạm dữ liệu. GDPR cũng buộc có các biện pháp bảo mật nghiêm ngặt để bảo vệ dữ liệu và ban hành các mức phạt đối với các xâm phạm có thể lên tới 10 triệu euro hoặc 2% doanh thu hàng năm trên toàn thế giới đối với một công ty đa quốc gia.

Các mức phạt GDPR

Theo báo cáo của DLA Piper, trong khoảng thời gian được phân tích, các cơ quan quản lý đã ban hành 91 quyết định phạt tiền đối với các vi phạm GDPR, nhưng không phải tất cả các vi phạm đều liên quan đến việc lộ lọt dữ liệu cá nhân. Ví dụ: Mức cao nhất là quyết định phạt 50 triệu euro gần đây do cơ quan bảo vệ dữ liệu của Pháp (CNIL) đưa ra đối với Google để xử lý dữ liệu cá nhân cho mục đích quảng cáo mà không xin phép theo GDPR.

Tại Đức, các cơ quan quản lý đã phạt 20.000 euro đối với một công ty vì không bảo vệ mật khẩu của nhân viên, trong khi ở Áo, khoản phạt 4.800 euro đã được ban hành vì vận hành một hệ thống camera quan sát (CCTV) trái phép giám sát một phần vỉa hè công cộng.

Sự ùn ứ của các vụ việc đã ảnh hưởng đến thực hiện GDPR

Số tiền phạt và giá trị của mức phạt, ngoại trừ số tiền phạt so với Google, cho đến nay vẫn còn thấp so với số vụ xâm phạm được tiết lộ, nhưng điều này có thể là do các cơ quan quản lý ở một số quốc gia vừa phải chịu trách nhiệm với vai trò vừa giám sát và điều phối các vụ việc ngày càng tăng.

Các nhà nghiên cứu DLA Piper cho biết trong báo cáo: "Các cơ quan quản lý phải căng mình ra và có một lượng lớn các tồn đọng liên quan đến các vụ việc xâm phạm được thông báo trong khối lượng công việc của mình. Chắc chắn các xâm phạm lớn hơn đã được ưu tiên khi phân bổ nguồn lực, vì vậy nhiều tổ chức vẫn đang chờ đợi các cơ quan quản lý xem liệu có bất kỳ hành động nào sẽ được thực hiện liên quan đến các vụ việc xâm phạm làm lộ lọt dữ liệu mà họ đã thông báo hay không".

Báo cáo cũng cho biết trước nguy cơ bị trừng phạt cao, nhiều công ty đã chuẩn bị sẵn sàng để tuân thủ các yêu cầu thông báo vi phạm của GDPR. Tuy nhiên, vẫn có thể thấy sự khác biệt đáng kể giữa các quốc gia và nền văn hóa khác nhautrong việc thực hiện GDPR

Ví dụ, tương quan số lượng thông báo xâm phạm dữ liệu theo quy mô dân số, Hà Lan, Ireland và Đan Mạch đứng ở ba vị trí hàng đầu, trong khi Đức và Anh ở vị trí thứ 10 và 11. Rumani, Italia và Hy Lạp có tỷ lệ thông báo vi phạm dữ liệu nhỏ nhất trên 100.000 người, với lần lượt tỷ lệ là 1,2; 0,9 và 0,6.

"Giấu diếm các vụ việc phạm dữ liệu đã trở thành một chiến lược rủi ro rất cao theo quy định GDPR", các nhà nghiên cứu DLA Piper kết luận.