https://blogs.dlapiper.com/privacymatters/dla-piper-gdpr-fines-and-data-breach-survey-january-2021/
Phản ứng trên thế giới khi ngày GDPR mới có hiệu lực được chia thành ba nhóm: nhóm 1 gồm những người tin rằng luật này không ảnh hưởng đến họ, nhóm 2 là những người lo sợ làn sóng khủng hoảng sẽ xảy ra và nhóm 3 là những người coi đó là cơ hội vàng, cánh cửa cho phép thương hiệu của họ mở ra một mối quan hệ mới với khách hàng trên nền tảng tin tưởng lẫn nhau.
Đã hai năm rưỡi kể từ khi Liên minh Châu Âu bắt đầu thực hiện GDPR, mặc dù có một khởi đầu khá chậm chạp, nhưng Luật GDPR hiện đang ngày càng được thắt chặt, các khoản tiền phạt dành cho các tổ chức/doanh nghiệp không tuân thủ các đạo luật ngày càng tăng.
Báo cáo sau cuộc khảo sát vi phạm dữ liệu và tiền phạt DLA Piper GDPR hàng năm được phát hành trùng với ngày bảo vệ dữ liệu của Hội đồng Châu Âu cho thấy, có sự khác biệt đáng kể trong thực tiễn tuân thủ và thực thi GDPR giữa các quốc gia được khảo sát. Mức phạt cá nhân được áp dụng, tổng giá trị tiền phạt cho mỗi quốc gia và số vụ vi phạm dữ liệu cá nhân được thông báo cho mỗi quốc gia đều rất khác nhau. Theo như bảng xếp hạng có trọng số về số lượng vi phạm dữ liệu cá nhân được thông báo trên 100.000 người đã cho thấy có sự khác biệt văn hóa trong cách tiếp cận thông báo vi phạm ở Pháp và Ý, cả hai đều có dân số vượt quá 60 triệu người, xếp hạng thấp.
193,4 triệu USD là tổng số tiền phạt phạt liên quan đến GDPR trong năm 2020, tăng gần 40% so với 20 tháng trước đó kể từ khi luật mới có hiệu lực vào ngày 25/5/2018.
Số lượng thông báo vi phạm cũng tăng cao, với trung bình 331 thông báo vi phạm dữ liệu cá nhân được báo cáo mỗi ngày trong 12 tháng qua, so với 278 thông báo mỗi ngày trong năm trước. Tổng cộng, đã có hơn 281.000 thông báo vi phạm dữ liệu kể từ tháng 5/2018.
Do đó, các hoạt động liên quan đến GDPR đang tăng nhanh, nhưng vẫn có những ý kiến phản đối với các quy tắc của châu Âu. Ross McKean, Chủ tịch Cơ quan Thực hành bảo vệ dữ liệu và an ninh mạng DLA Piper của Vương quốc Anh chia sẻ, “các khoản tiền phạt và thông báo vi phạm tiếp tục tăng trưởng hàng năm và các cơ quan quản lý châu Âu cũng đã thể hiện sự sẵn sàng sử dụng quyền lực thực thi của họ. Họ cũng đã áp dụng một số biện pháp nghiêm ngặt về GDPR, tạo bối cảnh cho các cuộc chiến pháp lý sẽ diễn ra gay gắt trong những năm tới. Tuy nhiên, các nhà quản lý cũng đã có những mức phạt khoan hồng do khó khăn tài chính trong khi đối phó với đại dịch Covid-19 đang diễn ra. Trong năm tới, chúng tôi dự đoán các hành động thực thi đầu tiên liên quan đến các hạn chế của GDPR đối với việc chuyển dữ liệu cá nhân sang Hoa Kỳ và các quốc gia khác khi dư chấn từ phán quyết của tòa án cao nhất châu Âu trong vụ Schrems II vẫn còn”.
Mặc dù về nguyên tắc, các quy tắc là một bộ thống nhất được áp dụng như nhau cho tất cả các quốc gia tuân thủ, nhưng thực tế lại khác. Được trang bị với các nguồn nhân lực, tài chính và kỹ thuật khác nhau, các quốc gia khác nhau có các cách tiếp cận khác nhau để thực hiện luật.
Sự khác biệt thể hiện ở các con số. Ví dụ, trong khi Đức chịu trách nhiệm về 77.747 thông báo vi phạm kể từ khi GDPR ra mắt, Ý chỉ ghi nhận 3.460 thông báo trong cùng thời kỳ. Điều đó cho thấy sự khác biệt rõ rệt về văn hóa. Ông McKean cho răng, “đây không chỉ là Luật GDPR, mà là một quy định GDPR nhưng được hiểu khác nhau ở các quốc gia”.
Nhìn vào các khoản tiền phạt gây xôn xao dư luận đã được công bố, rõ ràng là những bất ổn vẫn còn bao quanh việc áp dụng các quy tắc mới. Ví dụ, Vương quốc Anh phải chịu số tiền phạt lớn được áp dụng do vi phạm các yêu cầu GDPR, tuy nhiên, tổng số tiền ban đầu đã bị hạ xuống đáng kể do kháng cáo.
British Airways đã bị phạt 20 triệu bảng Anh (27 triệu USD) vào năm 2020, sau khi thông tin cá nhân của hàng trăm nghìn khách hàng bị tin tặc đánh cắp, giảm 90% so với mức 183,4 triệu bảng ban đầu được đưa ra, phần lớn do ảnh hưởng kinh tế bởi tác động của đại dịch Covid-19. Với lý do tương tự, chuỗi khách sạn Marriott đã bị phạt 18,4 triệu bảng Anh (25 triệu USD), chỉ tương đương 20% mức phạt ban đầu, sau khi có thông tin cho rằng thông tin của 339 triệu khách hàng đã bị đánh cắp.
Mức phạt lớn nhất tính đến thời điểm hiện tại do cơ quan quản lý CNIL của Pháp đưa ra vào năm 2019 là khoản tiền phạt 50 triệu euro (61 triệu USD) đối với Google vì vi phạm các quy tắc minh bạch.
Báo cáo của DLA Piper lưu ý rằng, còn tồn tại nhiều bất ổn pháp lý trong việc giải thích tại sao các khoản tiền phạt được áp dụng cho đến nay đều ở mức thấp hơn so với quy định trước đó. Có một điều chắc chắn, những ví dụ về kháng cáo thành công đó cho thấy rằng các cơ quan quản lý đã không làm theo cách riêng của họ, bất chấp sự gia tăng tổng thể tiền phạt và thông báo vi phạm.
Tuy nhiên, theo ông McKean, chỉ còn là vấn đề thời gian trước khi các cơ quan quản lý xây dựng đủ niềm tin để thực thi luật GDPR một cách mạnh mẽ hơn. Vẫn còn sớm, nhưng các khoản tiền phạt chỉ đi theo một hướng, có lẽ một vài năm nữa các khoản phạt lớn sẽ bắt đầu được thực hiện.
Và mặc dù hiện tại, tổng số tiền phạt thu được chỉ là phần trăm nhỏ của tổng giá trị tiền phạt thật, McKean lập luận, không nên đánh giá thấp tác động ngăn chặn của GDPR.
Ông nói: “Chúng tôi luôn chú ý để không chia rẽ giới công nghệ lớn và bất kỳ công ty nào tuân thủ theo luật của GDPR, kể cả dược phẩm và dịch vụ tài chính, tất cả đều dựa trên sự tin tưởng. Nếu bạn bị phạt, đó là một ngày tồi tệ ở văn phòng với vấn đề lớn về danh tiếng phải giải quyết. Vì vậy, mặc dù nó chưa tạo được đề mục lớn, nhưng GDPR sẽ được thực hiện cực kỳ nghiêm túc”.
Hơn nữa, các cơ quan quản lý của EU có một số biện pháp trừng phạt mà họ có thể sử dụng bên cạnh tiền phạt để đảm bảo rằng các công ty thay đổi thói quen xử lý dữ liệu xấu của họ. McKean cho biết, một trong những nguyên nhân là mối quan tâm thực sự đối với nhiều tổ chức, đôi khi còn hơn cả tiền phạt, đó là khả năng tạm dừng việc truyền dữ liệu hoàn toàn khi chúng bị coi là bất hợp pháp.
Năm 2020, Tòa án Công lý Châu Âu (ECJ) đã vô hiệu hóa cầu nối dữ liệu được tạo ra để cho phép dữ liệu cá nhân của công dân EU được gửi và xử lý ở Mỹ, được gọi là lá chắn bảo mật. Phán quyết được công bố sau khi quyết định luật giám sát của chính phủ trên khắp Đại Tây Dương đã ngăn cản các tổ chức bảo vệ dữ liệu cá nhân theo cách tuân thủ GDPR.
Về nguyên tắc, quyết định của ECJ khiến việc trao đổi dữ liệu cá nhân với Hoa Kỳ là bất hợp pháp trừ khi có các cơ chế chuyển dữ liệu thay thế. Không có nhiều ví dụ về việc thực thi phán quyết trong thực tế, nhưng sự phân nhánh thực sự sẽ bắt đầu hiển thị trong năm nay, theo McKean.
Trong bối cảnh luật pháp vẫn đang tiếp tục phát triển xung quanh GDPR, một lý do khác khiến các doanh nghiệp phải thận trọng là khả năng xuất hiện các quy định mới và chặt chẽ hơn trong tương lai. Một trường hợp đang diễn ra ở Anh, được gọi là Lloyd vs Google, có khả năng được nhiều tổ chức theo dõi chặt chẽ. McKean nói: “Mọi con mắt đều đổ dồn vào Lloyd và Google để xem liệu hành động đó có chân chính hay không. Nếu đúng như vậy, tiền phạt chỉ là phụ, bởi vì khi so sánh với bồi thường thiệt hại tích lũy thì nó không là gì”.
Do đó, bất kỳ tổ chức/doanh nghiệp nào xử lý dữ liệu ở các quốc gia tuân thủ GDPR đều phải thận trọng. GDPR chỉ mới bắt đầu, nó sẽ phát triển nhanh và lớn hơn rất nhiều.