Mức phạt GDPR: cao tới đâu, và làm sao để tránh bị phạt?

Khi Quy định bảo vệ dữ liệu chung (GDPR) của EU có hiệu lực vào tháng 5/2018, một trong những lý do chính khiến các công ty vội vã tuân thủ là vì họ lo lắng rằng họ sẽ bị phạt một mức phạt rất cao nếu như không tuân thủ.
18:34 PM 30/03/2019 In bài viết này

GDPR logo held above a person's fingers as they are processing data

Mặc dù Liên minh Châu Âu (EU) cũng đã tuyên bố khá rõ ràng khi Quy định bảo vệ dữ liệu chung (GDPR) có hiệu lực, các nhà lập pháp sẽ không đưa ra mức phạt tối đa trong vài tháng đầu tiên. Quy định sẽ được áp dụng một cách từ từ và cẩn trọng. Tuy nhiên, tới nay, Quy định này đã có hiệu lực trong gần một năm, do đó cơ quan quản lý sẽ trở nên khó khăn hơn.

Mặc dù Vương quốc Anh sẽ rời khỏi EU trong vài tháng tới (thời điểm cụ thể vẫn chưa được xác định rõ), nhưng các doanh nghiệp lớn tại Anh vẫn tiếp tục tuân thủ Quy định bảo vệ dữ liệu chung vì hai lý do. Lý do thứ nhất là Quy định này được áp dụng cho các doanh nghiệp có bất kỳ giao dịch nào với công dân Châu Âu, vì vậy ngay cả khi bạn chỉ thực hiện một giao dịch thương mại nhỏ với các công ty khác ở EU, luật vẫn được áp dụng. Lý do thứ hai là, các quy tắc về dữ liệu riêng của Vương quốc Anh đã được điều chỉnh để lồng ghép với các quy định của EU. Vì vậy, nếu một công ty vi phạm luật EU, công ty đó cũng có thể vi phạm luật Vương quốc Anh.

GDPR bắt nguồn từ một chỉ thị của EU nhằm đảm bảo các thành viên của Liên minh EU phải tuân thủ các quy định tương tự và không có sự sai lệch giữa các quốc gia. Có thể nói, luật bảo vệ dữ liệu là một biểu hiện của cách tiếp cận toàn cầu đối với quyền riêng tư và dữ liệu trong Thế kỷ 21. Nhưng có lẽ bộ luật này gây ấn tượng nhiều nhất là do khung hình phạt tài chính khổng lồ sẽ được áp dụng cho công ty vi phạm các nguyên tắc dữ liệu theo quy định.

Ví dụ, theo Đạo luật Bảo vệ Dữ liệu 1998 của Vương quốc Anh, khung hình phạt tối đa mà Văn phòng Ủy viên Thông tin (ICO)  đưa ra chỉ là 500.000 bảng Anh đối với các công ty vi  phạm. Tuy nhiên, GDPR đã nâng mức phạt này lên 20 triệu euro (tương đương 17,6 triệu bảng) hoặc 4% doanh thu hàng năm trên toàn cầu.

Mặc dù quy định khung hình phạt “khủng”, nhưng trên thực tế, con số các công ty bị lĩnh mức phạt hàng triệu euro này không có nhiều. Đồng thời, các khoản tiền phạt được ban hành cũng sẽ thay đổi tùy theo mức độ nghiêm trọng của vụ vi phạm và tùy thuộc vào biện pháp mà các tổ chức đã thực hiện để ngăn ngừa việc mất dữ liệu.

Sự ra đời của internet và những tiến bộ công nghệ đã khiến cho nhiều đạo luật bảo vệ dữ liệu trở nên lạc hậu và vô giá trị. Cộng đồng nhanh chóng nhận ra rằng dữ liệu đóng một vai trò rất lớn trong cách các doanh nghiệp hoạt động trên web và do đó, nó thường bị sử dụng sai. EU đã thực hiện một chỉ thị cực kỳ có lợi cho các thành viên của mình, điều đó có nghĩa là các email tiếp thị tối nghĩa đã là quá khứ và giờ đây người sử dụng bắt buộc phải chọn và hủy bỏ những email gây phiền nhiễu thay vì unchecking hòm thư khi tạo tài khoản như trước kia.

Những scandal gần đây như vụ bê bối Cambridge Analytica khét tiếng đã chứng minh nhu cầu cần có quy định chặt chẽ hơn để bảo vệ dữ liệu và không có gì hiệu quả hơn là một khoản tiền phạt khổng lồ để buộc các doanh nghiệp ngừng khai thác dữ liệu của khách hàng.

Những khung hình phạt cụ thể

Theo Điều 83 của Luật bảo vệ dữ liệu mới, các cơ quan quản lý sẽ thực hiện khung hình phạt theo “cấu trúc hai tầng”. Những vụ vi phạm dữ liệu nghiêm trọng nhất sẽ rơi vào tầng cao hơn, với khả năng bị phạt tới 20 triệu euro, tương đương 4% doanh thu hàng năm trên toàn cầu, tùy vào mức độ vi phạm. Tầng dưới mang mức phạt tối đa 10 triệu euro, tương đương 2% doanh thu hàng năm toàn cầu và đây là khung hình phạt được dự kiến phần lớn các sự cố dữ liệu cấp thấp sẽ rơi vào.

Mặc dù GDPR chỉ mới có hiệu lực từ tháng 5/2018, vẫn còn quá sớm để nói các nhà quản lý dữ liệu trên toàn EU sẽ tuân thủ như thế nào, nhưng Điều 83 quy định các điều khoản để đánh giá mức độ nghiêm trọng của vi phạm và hình phạt thích đáng đã được công khai và nhận được phản hồi khá tích cực.

Khung hình phạt thấp hơn sẽ được áp dụng với các tổ chức đã không tích hợp các chính sách bảo vệ dữ liệu "theo thiết kế và theo mặc định" vào các dịch vụ mà họ cung cấp cho công chúng. Ngoài ra, bất kỳ công ty nào không hợp tác với cơ quan quản lý dữ liệu, bất kể tính chất vi phạm, cũng có khả năng rơi vào khung hình phạt này.

Ngoài ra, khung hình phạt cũng dành cho các công ty đã không chỉ định một nhân viên bảo vệ dữ liệu (khi rõ ràng là cần thiết), các công ty không thông báo cho chủ thể dữ liệu biết khi dữ liệu cá nhân của họ bị xâm phạm và những công ty không lưu giữ đủ hồ sơ dữ liệu họ đang xử lý.

Mặt khác, khung hình phạt cao hơn sẽ chỉ áp dụng cho các hành vi vi phạm GDPR nghiêm trọng nhất, bao gồm vi phạm quyền dữ liệu và quyền riêng tư của đối tác, không tuân theo các nguyên tắc cơ bản của bảo vệ dữ liệu, từ chối tuân thủ các yêu cầu về dữ liệu của cơ quan quản lý, chẳng hạn như từ chối tuân thủ cảnh báo trước đó hoặc yêu cầu xử lý dữ liệu.

Công ty vi phạm sẽ luôn bị áp khung hình phạt tối đa?

Theo các nhà phân tích, dù cho Liên minh Châu Âu EU có cố gắng tới đâu, mức tiền phạt gần như chắc chắn sẽ không đạt được quy mô được nêu trong GDPR cho đại đa số các tổ chức.

Bản thân các quy định làm rõ tất cả các khoản tiền phạt sẽ được áp dụng cho từng trường hợp cụ thể, trên tinh thần là "hiệu quả, cân xứng và không khuyến khích".

Các cơ quan quản lý sẽ tính đến bản chất của hành vi xâm phạm, mức độ và thời gian vi phạm, phạm vi và bản chất xử lý dữ liệu của tổ chức, cũng như số lượng đối tượng dữ liệu bị ảnh hưởng và mức độ thiệt hại mà họ phải chịu.

Luật pháp cũng quy định rõ rằng ý định và phạm vi của việc vi phạm cũng sẽ được tính đến, cũng như mọi nỗ lực tổ chức đã thực hiện và bất kỳ hành động nào được thực hiện để giảm thiểu thiệt hại cho các chủ thể dữ liệu bị ảnh hưởng. Điều này có nghĩa là các tổ chức nên ghi lại tất cả các quy trình và hoạt động của mình để chứng minh cho cơ quan quản lý bảo vệ dữ liệu rằng họ đang làm mọi thứ có thể để tuân thủ quy định.

Các yếu tố khác sẽ bao gồm lịch sử của tổ chức khi liên quan đến hành vi xâm phạm, các loại dữ liệu cá nhân bị ảnh hưởng, mức độ vi phạm được báo cáo nhanh chóng và mức độ hợp tác với cơ quan quản lý dữ liệu. Đối với Vương quốc Anh, cơ quan này là ICO.

Một trong những ví dụ mới nhất về mức phạt GDPR là cơ quan quản lý dữ liệu của Pháp, đã tuyên phạt Google mức phạt kỷ lục 50 triệu euro vì vi phạm. Đây là mức phạt nặng nhất cho đến nay và thậm chí đã vượt mốc 20 triệu euro, chiếm 0,0005% doanh thu hàng năm của công ty trong năm 2017.

Thực trạng tại Vương quốc Anh

Văn phòng Ủy viên Thông tin (ICO) – cơ quan lập pháp về quy định dữ liệu ở Vương quốc Anh, vốn nổi tiếng là một đơn vị quản lý bảo thủ và luôn thiên về khoan hồng. Ví dụ, trong số 18.300 trường hợp vi phạm luật bảo vệ dữ liệu mà họ đã xử lý trong năm 2016/2017 – Văn phòng chỉ đưa ra 16 khoản tiền phạt với tổng số tiền là 1,6 triệu bảng cho các vi phạm nghiêm trọng, theo báo cáo hàng năm mới nhất.

Với quy mô và mức độ nghiêm trọng của các khoản tiền phạt được áp dụng theo GDPR - lớn hơn 40 lần so với mức tối đa 500.000 bảng hiện tại - ICO đang gánh chịu áp lực lớn. Câu hỏi được đặt ra là, ICO sẽ tiếp tục vận hành như thế nào khi GDPR có hiệu lực.

Elizabeth Denham - Ủy viên thông tin trực thuộc ICO cho biết: "ICO sẽ hoàn toàn tuân thủ quy định GDPR và thể hiện sức mạnh mới của mình bằng cách áp dụng các khoản tiền phạt đáng kể, nhằm đưa nhiều tổ chức tư nhân phải tuân thủ quy định".

Phạm Thu Trang, Nguyễn Tất Hưng