Xử lý các vi phạm về bảo vệ dữ liệu theo GDPR

08:39 | 07/02/2020

Thật khó để đánh giá hết những tác động của Quy định bảo vệ dữ liệu chung (GDPR) châu Âu tới khu vực và trên toàn thế giới kể từ ngày có hiệu lực ngày 25/5/2018. Trước đó, đã có những băn khoăn, lo lắng trong giới chuyên môn về sự không chắc chắn và khả năng kịp tuân thủ theo những quy định trong GDPR của các tổ chức, doanh nghiệp (TC/DN).

Thực tế cũng có nhiều hãng công nghệ nhìn được GDPR theo hướng tích cực. Hãng Kaspersky cho rằng, GDPR điều chỉnh trong nhiều lĩnh vực như là nhân sự, tiếp thị, pháp lý, bảo mật thông tin và công nghệ thông tin (CNTT). Các TC/DN tham gia vào xử lý, lưu giữ hoặc sử dụng dữ liệu cá nhân của các công dân EU thì nhất thiết phải thay đổi các hoạt động làm việc để đáp ứng các yêu cầu do GDPR đặt ra.

Mark Zuckerberg, người sáng lập và giám đốc điều hành của Facebook cho rằng, mạng xã hội là một phần quan trọng trong cuộc sống hiện tại. Tuy nhiên, mỗi ngày, trên không gian mạng luôn phải đối diện với nhiều thách thức, trong đó có quảng cáo mang màu sắc chính trị và các cuộc tấn công mạng tinh vi. Để giữ cho cộng đồng an toàn thì rất cần vai trò tích cực từ phía các chính phủ và cơ quan quản lý. Bằng cách cập nhật các quy tắc cho Internet, cộng đồng mạng có thể bảo vệ quyền tự do cho người dùng và bảo vệ xã hội khỏi những tác hại lớn hơn.

Một số vụ việc tiêu biểu

Trong năm qua, có rất nhiều các hãng công nghệ, các nhà cung cấp giải pháp công nghệ và thiết bị CNTT-VT bị xử lý vì vi phạm các quy định của GDPR. Một báo cáo gần đây của DLA Piper cho thấy, đã có gần 60.000 vụ vi phạm được báo cáo trong năm qua và hơn 90 khoản tiền phạt được áp dụng.

Chính quyền Bang Baden-Wurmern phạt khoản tiền theo GDPR

Ngày 21/11/2018, chính quyền của bang Baden-Wurmern, Đức (LfDI) đã phạt 20.000 Euro, với nhà cung cấp phương tiện truyền thông xã hội của bang này (công ty) vì vi phạm nghĩa vụ bảo mật dữ liệu. Vụ việc xảy ra dẫn đến việc truy cập và tiết lộ trái phép dữ liệu cá nhân của khoảng 330.000 người dùng, bao gồm mật khẩu và địa chỉ email.

Trong khi trình điều tra, LfDI đã phát hiện ra rằng, Công ty đã lưu trữ mật khẩu ở dạng văn bản đơn giản và ở định dạng không được mã hóa, tạo cơ hội cho kẻ tấn công. Điều này đã vi phạm nghĩa vụ mã hóa dữ liệu cá nhân theo điểm a, khoản 1, Điều 32 của GDPR. LfDI đã cân nhắc đến sự sẵn sàng hợp tác của Công ty và cải thiện kiến trúc bảo mật CNTT dựa trên các khuyến nghị của LfDI. Ngoài ra, LfDI đã xem xét cộng điểm khi Công ty đã ngay lập tức thông báo cho người dùng về cuộc tấn công.

Cuối cùng, LfDI thấy rằng mức phạt 20.000 Euro là phù hợp để áp dụng với trường hợp này. Mục đích của cơ quan bảo vệ dữ liệu không phải là đưa ra các khoản tiền phạt cao nhất, mà điều quan trọng là sự cải thiện mức độ bảo mật dữ liệu cho người dùng.

Google bị phạt vì vi phạm GDPR ở Pháp

Cơ quan quản lý bảo vệ dữ liệu của Pháp (CNIL) đã công bố phạt Google 56,8 triệu USD vì không tuân thủ các nghĩa vụ theo các quy định của GDPR. Đây là khoản tiền phạt lớn nhất mà cơ quan quản lý châu Âu đưa ra và cũng là lần đầu tiên một trong những hãng công nghệ khổng lồ bị phát hiện phạm lỗi theo các quy định của GDPR.

CNIL cho biết, Google bị phạt do không cung cấp đủ thông tin cho người dùng về chính sách đồng thuận dữ liệu của hãng và không cung cấp cho người dùng đủ quyền để kiểm soát việc sử dụng thông tin của họ. Theo cơ quan quản lý, những vi phạm này vẫn chưa được Google chỉnh sửa. Theo quy định của GDPR, các công ty xử lý dữ liệu phải được sự đồng ý của người dùng trước khi thu thập thông tin của họ.

Google thì cho biết rằng, công ty này đã cam kết đáp ứng các tiêu chuẩn cao về tính minh bạch và kiểm soát của hầu hết người dùng. Google cũng xem xét kỹ lưỡng quyết định xử phạt của CNIL để xác định các bước đi tiếp theo. Google cũng tuyên bố rằng họ đã lên kế hoạch kháng cáo khoản tiền phạt, họ cho rằng đó là vấn đề liên quan đến tác động của phán quyết này đối với các nhà xuất bản, người sáng tạo nội dung gốc và các công ty công nghệ khác ở châu Âu.

Cùng thời gian này, Google cũng bị người tiêu dùng trong 07 quốc gia thuộc khu vực châu Âu cáo buộc đã vi phạm quyền riêng tư theo quy định của GDPR về những gì mà Google tuyên bố là các hành vi lừa đảo trên mạng.

ICO của Vương quốc Anh phạt British Airways 183 triệu bảng

Ngày 08/7/2019, Ủy viên thông tin của Vương quốc Anh (ICO) tuyên bố rằng họ đã phạt British Airlines (BA) và Tập đoàn Hàng không Quốc tế (IAG) 183,39 triệu bảng (230 triệu đô la) liên quan đến vụ việc vi phạm dữ liệu, năm 2018 làm ảnh hưởng đến 500.000 khách hàng làm thủ tục và đặt vé trực tuyến. Trong một cuộc điều tra, ICO đã phát hiện ra rằng, nhiều thông tin bị xâm phạm bởi các thỏa thuận bảo mật kém tại BA, bao gồm đăng nhập, thẻ thanh toán và thông tin đặt chỗ du lịch cũng như thông tin về tên và địa chỉ.

Khoản tiền phạt - 1,5% tổng doanh thu của BA năm 2018 (kết thúc vào ngày 31/12/2018) là mức cao nhất từ trước đến nay mà ICO đưa ra cho một công ty do vi phạm dữ liệu. Lãnh đạo của IAG cho rằng họ không liên quan đến vụ trộm, song theo quan điểm của ICO, khi một tổ chức không bảo vệ tốt dữ liệu cá nhân để xảy ra mất mát, thất thoát hoặc bị trộm cắp thì phải chịu trách nhiệm. Cụ thể hơn, sự cố trên liên quan đến phần mềm độc hại trên BA.com đã chuyển hướng truy cập của người dùng đến một trang web lừa đảo, nơi các chi tiết của khách hàng sau đó đã bị thu thập.

BA đã thông báo cho ICO về vụ việc vào tháng 9/2018, nhưng vi phạm được cho là đã bắt đầu từ tháng 6/2018. Kể từ khi thông báo cho ICO, British Airways đã hợp tác với ICO để điều tra và đã cải thiện các điều kiện bảo mật cho hạ tầng CNTT của hãng. 

Morele.net bị phạt vì thiếu các biện pháp tổ chức và kỹ thuật bảo vệ dữ liệu cá nhân

Chủ tịch Văn phòng bảo vệ dữ liệu cá nhân đã phạt tiền số tiền hơn 2,8 triệu PLN (khoảng 645.000 Euro) cho trang Morele.net. Morele.net bị quy kết là thiếu các quy trình phản hồi thích hợp để đối phó với sự xuất hiện của lưu lượng truy cập mạng bất thường. Các biện pháp tổ chức (giám sát các rủi ra tiềm ẩn) và kỹ thuật của Morele.net để bảo vệ dữ liệu cá nhân không phù hợp, dẫn đến dữ liệu của khoảng 2,2 triệu người đã rơi vào tay kẻ xấu bị đánh cắp. Cơ quan giám sát đã kết luận rằng vi phạm xảy ra trong trường hợp này có tầm ảnh hưởng lớn và có tính chất nghiêm trọng, liên quan đến số lượng lớn người tham gia, các dữ liệu bị đánh cắp bao gồm: họ tên, số điện thoại, email, địa chỉ. Mức phạt trên đối với Morele.net đã cân nhắc đến các tình tiết giảm nhẹ, tương ứng lỗi không tuân thủ các phương tiện kỹ thuật bảo vệ dữ liệu cần thiết, đã vi phạm nguyên tắc bảo mật, như quy định tại mục f, khoản 1, Điều 5 của GDPR.

Thanh tra dữ liệu Nhà nước của Latvia phạt nhà bán lẻ trực tuyến

Ngày 26/8/2019, Giám đốc Thanh tra Nhà nước về Dữ liệu của Latvia (DSI) đã áp dụng hình phạt 7000 Euro đối với nhà bán lẻ trực tuyến, vì vi phạm GDPR không tuân thủ quyền của chủ thể dữ liệu (điều 17 GDPR-Bộ Kiểm soát phải xóa các dữ liệu cá nhân không chậm trễ theo yêu cầu của chủ thể dữ liệu) và không hợp tác với DSI (theo mục c, g, khoản 2 Điều 58 GDPR).

Điều tra vụ án, DSI xác định rằng năm 2018, chủ thể dữ liệu đã liên tục yêu cầu nhà bán lẻ xóa tất cả dữ liệu cá nhân của mình, bao gồm cả số điện thoại di động. Nhà bán lẻ đã không tuân thủ yêu cầu đó và tiếp tục xử lý dữ liệu cá nhân (bao gồm cả số điện thoại của người khiếu nại). Khi xác định mức phạt tiền, DSI đã tính đến tính chất, mức độ nghiêm trọng và thời gian vi phạm, mức độ hợp tác với cơ quan giám sát, số lượng đối tượng dữ liệu bị ảnh hưởng, tổng doanh thu hàng năm của năm tài chính trước đó của nhà bán lẻ (theo mục b và e, khoản 5, Điều 83 của GDPR).

Facebook trả 500.000 bảng cho vụ bê bối Cambridge Analytica

Sau khi rút kháng cáo về mức phạt do Cơ quan giám sát dữ liệu của Anh đưa ra, Facebook đã đồng ý trả khoản tiền phạt 500.000 bảng (mức cao nhất) về vụ bê bối Cambridge Analytica, chấm dứt hơn một năm kiện tụng giữa cơ quan quản lý và mạng xã hội Facebook.

ICO đã ra thông báo phạt chính thức vào tháng 10/2018. Facebook đã kháng cáo mức phạt vào tháng 6/2019, tòa mới chỉ ban hành quyết định tạm thời, cho rằng sự công bằng về thủ tục và các cáo buộc sai lệch một phần của ICO nên được coi là một phần của kháng cáo, và ICO được yêu cầu phải tiết lộ tài liệu liên quan đến quá trình ra quyết định.

Vụ việc Cambridge Analytica xảy ra vào năm 2015, trước khi quy định GDPR của EU có hiệu lực vào năm 2018, mức phạt tối đa có thể là 500.000 bảng. Nếu các hành vi vi phạm xảy ra sau tháng 5/2018, tiền phạt có thể đã cao hơn nhiều - lên tới 4% doanh thu hàng năm của Facebook.

Mối quan tâm chính của ICO là bảo đảm an toàn cho dữ liệu công dân Vương quốc Anh. Bảo vệ thông tin cá nhân và quyền riêng tư cá nhân có tầm quan trọng cơ bản, không chỉ đối với quyền của cá nhân, mà còn để bảo tồn một nền dân chủ mạnh mẽ. ICO cho biết, Facebook đã thực hiện và sẽ tiếp tục thực hiện các bước quan trọng để tuân thủ các nguyên tắc cơ bản của bảo vệ dữ liệu.

Facebook đã thực hiện các thay đổi lớn cho hạ tầng CNTT của mình sau vụ việc, hạn chế đáng kể thông tin mà các nhà phát triển ứng dụng có thể truy cập. Bảo vệ thông tin và quyền riêng tư của mọi người được ưu tiên hàng đầu, Facebook đang tiếp tục xây dựng các công cụ kiểm soát mới để giúp mọi người bảo vệ và quản lý thông tin của họ.

Kết luận

Các chuyên gia nhận định, sau hơn một năm có hiệu lực, GDPR đã thúc đẩy các TC/DN cải thiện các nỗ lực bảo mật dữ liệu và tăng cường các nguồn lực để giảm bớt rủi ro trong xử lý dữ liệu. GDPR cung cấp một khuôn khổ bảo mật và quy trình tuân thủ chặt chẽ, vì vậy, khi các TC/DN hiểu biết hơn về GDPR, thì các chương trình tuân thủ và bảo mật của họ sẽ trở nên hiệu quả hơn, giảm thiểu rủi ro cho hệ thống.

Thực thi GDPR cho thấy, thông tin, dữ liệu khi trở thành tài sản của tổ chức, cá nhân thì cần có pháp luật bảo vệ. Các TC/DN tham gia vào quá trình xử lý dữ liệu phải có các nguồn lực đảm bảo và phải có trách nhiệm, nghĩa vụ bảo đảm an toàn thông tin trong hoạt động, tác nghiệp. Mark Zuckerberg nhận định rằng, các quy tắc quản lý Internet cho phép một thế hệ doanh nhân xây dựng các dịch vụ thay đổi thế giới và tạo ra nhiều giá trị trong cuộc sống của mọi người.