Tiền phạt GDPR bị đánh thuế cho đến nay: Những bài học mà các doanh nghiệp có thể học được

0
40

            Sau một năm thực thi GDPR, các doanh nghiệp có thể học được nhiều từ cách áp dụng các quy định của quy định và cách thức tổ chức bị phạt.
        

            
                                                                             
            
            

 Nến mừng sinh nhật Quy định bảo vệ dữ liệu chung (GDPR) "width =" 770 "/> </span><figcaption>
<p>
                                            Hình ảnh: SBphotos, Hình ảnh Getty / iStockphoto<br />
                                        </p>
</figcaption></figure>
<div class=

Thực thi Quy định bảo vệ dữ liệu chung (GDPR) có hiệu lực vào ngày 25 tháng 5 năm 201 Trong khoảng thời gian gần một năm kể từ ngày đó, các cơ quan bảo vệ dữ liệu châu Âu xác nhận rằng gần 90.000 thông báo vi phạm dữ liệu riêng biệt đã được nhận. Lưu ý, đó chỉ là thông báo nhận được từ việc tổ chức cố gắng tuân thủ GDPR. Các cơ quan bảo vệ dữ liệu tương tự báo cáo rằng trong cùng một năm, gần 145.000 khiếu nại và thắc mắc đã được báo cáo bởi các công dân liên quan.

Trong khi các cơ quan bảo vệ dữ liệu châu Âu ít ra mắt về việc thu tiền phạt theo GDPR, một số cuộc điều tra của bên thứ ba cho thấy ít nhất 100 tổ chức đã trả tiền phạt vì không tuân thủ đầy đủ quy định. Bằng cách phân tích các khoản tiền phạt cao hơn, các doanh nghiệp kinh doanh có thể thu thập thông tin quan trọng liên quan đến việc áp dụng GDPR trong tương lai cho các tổ chức của họ.

XEM: GDPR: Hướng dẫn cho các nhà lãnh đạo công nghệ và kinh doanh (PDF miễn phí) (TechRepublic)

từ tiền phạt GDPR tại lễ kỷ niệm một năm

Kể từ tháng 5 năm 2018, các cơ quan bảo vệ dữ liệu ở châu Âu đã áp dụng một số khoản tiền phạt cao và có mệnh giá cao đối với các công ty vì vi phạm các điều khoản của GDPR:

  • Vào tháng 12 năm 2018, một bệnh viện Bồ Đào Nha đã bị phạt 400.000 euro vì cho phép nhân viên của mình sử dụng tài khoản không có thật để truy cập hồ sơ bệnh nhân. Theo điều tra, bệnh viện có 985 hồ sơ bác sĩ đã đăng ký trong khi chỉ có 296 bác sĩ thực tế trong biên chế. Trong khi động cơ của hành vi vi phạm dường như là vấn đề thuận tiện và không có mục đích xấu, thì chính quyền vẫn phán quyết rằng hành vi vi phạm là cố ý và trắng trợn.

  • Vào tháng 3 năm 2019, một công ty taxi ở Đan Mạch đã bị phạt 1,2 triệu kroner vì lưu trữ hơn chín triệu hồ sơ thông tin liên hệ cá nhân trên các hệ thống công nghệ thông tin mà họ không còn cần thiết. Dữ liệu nên đã bị xóa sau khi không còn cần thiết cho các mục đích kinh doanh thông thường, như được mô tả bởi GDPR, nhưng công ty đã không tuân thủ.

Bài 1: Các cơ quan bảo vệ dữ liệu châu Âu không quan trọng việc vi phạm các quy định của GDPR có phải là lỗi vô ý xuất phát từ sự lơ là, lười biếng, chậm chạp, hoặc vô minh. Một hành vi vi phạm vì bất kỳ lý do nào đều bị trừng phạt và các doanh nghiệp nên nghiêm túc tuân thủ GDPR.

  • Vào tháng 1 năm 2019, Google đã bị chính quyền Pháp phạt 50 triệu euro vì đã thu thập dữ liệu cá nhân từ người dùng mà không cung cấp mức độ minh bạch về cách sử dụng dữ liệu đó để cá nhân hóa quảng cáo trên nền tảng. Theo quy định của GDPR, các tổ chức phải có được sự đồng ý hợp lệ để sử dụng dữ liệu cá nhân cho mỗi lần sử dụng cụ thể của dữ liệu đó. Không có sự đồng ý nào được cho phép. Google đang kháng cáo mức phạt.

  • Vào tháng 3 năm 2019, một công ty xử lý dữ liệu của Ba Lan đã bị phạt 220.000 euro vì đã lấy internet để lấy dữ liệu cá nhân công khai và sau đó sử dụng dữ liệu đó để liên lạc với hơn 90.000 cá nhân cho mục đích quảng cáo. Một sự vi phạm rõ ràng và trắng trợn về GDPR, khoảng 12.000 cá nhân được liên lạc đã phàn nàn về hoạt động này.

Bài 2: Vi phạm cố ý, cố ý và trắng trợn các quy định của GDPR sẽ nhận mức phạt nặng nhất từ ​​các cơ quan bảo vệ dữ liệu châu Âu. Các doanh nghiệp cố gắng kiểm tra quyết tâm của các cơ quan quản lý sẽ phải trả giá đắt cho sự kiêu ngạo của họ.

Bài 3: Các quy định của GDPR, đặc biệt là các công dân của EU, nổi tiếng và các cá nhân cảm thấy những điều khoản đó đã bị vi phạm sẽ sẵn sàng báo cáo hành vi vi phạm cho các cơ quan bảo vệ dữ liệu. Các doanh nghiệp vô đạo đức dựa vào sự thiếu hiểu biết hoặc thụ động của các cá nhân có khả năng phải trả giá đắt cho thái độ hoài nghi đó đối với bảo mật và bảo vệ dữ liệu cá nhân.

XEM: Chính sách Quy định bảo vệ dữ liệu chung (GDPR) của EU (Nghiên cứu về công nghệ)

hồ sơ phạt cho vay một bài học khác cho các doanh nghiệp:

  • Vào tháng 11 năm 2018, Knuddels, một công ty truyền thông xã hội Đức, đã báo cáo vi phạm dữ liệu. Cuộc điều tra sau đó của cơ quan bảo vệ dữ liệu địa phương xác định trang web đã lưu trữ mật khẩu người dùng trong bản rõ mà không cần băm. Knuddels đã bị phạt 20.000 euro vì không lưu trữ an toàn dữ liệu cá nhân của khách hàng. Mức phạt tương đối thấp vì Knuddels đã báo cáo vi phạm an ninh kịp thời và thực hiện các bước ngay lập tức để giảm thiểu vấn đề bảo mật.

Bài 4: Trong khi vi phạm nghiêm trọng các quy định của GDPR vẫn bị phạt tiền, báo cáo kịp thời các vi phạm an ninh cho cơ quan bảo vệ dữ liệu và hành động nhanh chóng để giảm thiểu nguy cơ lộ dữ liệu cá nhân do vi phạm các doanh nghiệp có thể giảm đáng kể tiền phạt. Tất cả các doanh nghiệp xử lý dữ liệu cá nhân nhạy cảm nên có chính sách bảo mật và tuân thủ phù hợp để giảm thiểu rủi ro từ các vi phạm GDPR.

XEM: Bộ tài nguyên GDPR: Công cụ để tuân thủ (Nghiên cứu Tech Pro)

Tiền phạt của các cơ quan bảo vệ dữ liệu châu Âu trong năm đầu tiên thực thi GDPR cho thấy một thực tế đơn giản: GDPR là có thật, có thể thi hành và áp dụng cho mọi doanh nghiệp thu thập, lưu trữ và xử lý dữ liệu cá nhân nhạy cảm. Tuân thủ không phải là tùy chọn. Các doanh nghiệp có nguy cơ đáng kể, và có thể sẽ kết thúc mối quan tâm, tiền phạt và tiền phạt cho việc không tuân thủ.

                                                                                

                                                

Cũng xem