Il 25 May 2018 web đã thay đổi một lần và mãi mãi. Ít nhất là ở châu Âu. Ngay cả khi nhiều người không nhận ra điều đó vào thời điểm đó, thì nó đã tồn tại kể từ ngày đó GDPR có hiệu lực, quy định mà Ủy ban Châu Âu mong muốn nhằm chuẩn hóa các quy tắc liên quan đến việc xử lý dữ liệu của công dân trên khắp Lục địa già (bao gồm cả Thụy Sĩ). Đặc biệt, GDPR chuyển đổi, "kết hợp" và thay thế tất cả các quy định quốc gia về xử lý dữ liệu cá nhân và bảo vệ quyền riêng tư.

Tuy nhiên, chính xác những gì đã thay đổi so với quá khứ và công ty cần làm gì để tránh vi phạm GDPR? VÀ Các hình phạt cho những người vi phạm GDPR là gì? Hãy hiểu mọi thứ bằng cách phân tích một trường hợp thực tế.

GDPR là gì

từ viết tắt của Quy định về bảo vệ dữ liệu chung, Quy định bảo vệ dữ liệu chung trong tiếng Ý, GDPR là bộ quy tắc và quy định mà tất cả các đối tượng xử lý dữ liệu người dùng web phải tuân thủ. Đặc biệt, GDPR liên quan đến xử lý dữ liệu cá nhân của người dùng bởi các công ty, sự bảo tồn của họ bởi công ty sau và khả năng, đối với chính người dùng, có thể quản lý chúng một cách đơn giản và ngay lập tức.

GDPR: những gì nó cung cấp

Các điểm chính mà toàn bộ cấu trúc của GDPR xoay quanh về cơ bản là hai:

• Đơn giản hóa khung pháp lý trong đó các công ty thấy mình di chuyển vào thị trường Liên minh Châu Âu (và các quốc gia khác có hiệp ước với EU);
• Cung cấp cho người dùng quyền kiểm soát tốt hơn đối với dữ liệu của họ, từ thời điểm công ty mua dữ liệu cho đến khi dữ liệu bị xóa.

Để điều này có thể thực hiện được, GDPR yêu cầu các công ty yêu cầu sự đồng ý phải rõ ràng hơn và người dùng "có thể đọc được"; các giới hạn đối với việc xử lý và sử dụng dữ liệu được thiết lập; áp dụng các biện pháp trừng phạt đối với các công ty vi phạm các quy định về quy định xử lý dữ liệu. Ngoài ra, trong trường hợp dữ liệu bị vi phạm (mất dữ liệu, thường là do hành vi trộm cắp do bọn tội phạm thực hiện), người kiểm soát dữ liệu (một chuyên gia trong công ty, được gọi là Cán bộ bảo vệ dữ liệu) được yêu cầu thông báo cho chính quyền và chủ sở hữu hợp pháp càng sớm càng tốt. Nếu điều này không xảy ra, các hình phạt được quy định bởi GDPR chúng sẽ trở nên mặn hơn.

Vào giữa năm 2020, một điều mới lạ đã xuất hiện liên quan đến Đồng ý xử lý dữ liệu mà các công ty thu thập thông qua các công cụ web. Trên thực tế, trong hai năm trước, người dùng chỉ cần cuộn một phần của trang web để xem xét sự đồng ý điều trị là đã đạt được. Phán quyết của Tòa án Công lý Châu Âu quy định rằng sự đồng ý phải có hiệu lực và rõ ràng. Điều này có nghĩa là người dùng, để chấp nhận cookie, phải nhấp vào biểu ngữ để yêu cầu sự đồng ý, chọn cho phép sử dụng các cookie kỹ thuật cần thiết hoặc tất cả các cookie. Ví dụ, vì lý do này, bạn tình cờ nhìn thấy biểu ngữ đồng ý ngày càng thường xuyên hơn, ngay cả khi đó là trang web mà bạn thường xuyên truy cập.

Những người vi phạm GDPR gặp rủi ro gì: các biện pháp trừng phạt

GDPR cũng cung cấp trừng phạt khá nặng trong trường hợp việc xử lý dữ liệu của một công ty không tuân thủ các quy định có trong đó hoặc không tuân thủ trên mặt trận truyền thông.

Các hình phạt có hai loại, tùy thuộc vào mức độ nghiêm trọng của hành vi vi phạm. Đối với các vi phạm nhỏ (chẳng hạn như thiếu đăng ký xử lý dữ liệu, không chỉ định người kiểm soát dữ liệu, không thông báo vi phạm dữ liệu) sẽ bị phạt lên tới 10 triệu euro hoặc 2% doanh thu trên toàn thế giới nếu cao hơn con số này. Đối với các vi phạm nghiêm trọng (chẳng hạn như không đồng ý điều trị, vi phạm quyền của bên quan tâm, thông tin bảo mật bị thiếu hoặc không phù hợp và vi phạm các quy định liên quan đến truyền dữ liệu), mức phạt lên tới 20 triệu euro hoặc 4% doanh thu trên toàn thế giới.

Ví dụ: Alphabet, công ty cổ phần kiểm soát Google và tất cả các công ty trong quỹ đạo của gã khổng lồ Mountain View, có doanh thu hàng năm là 46 tỷ đô la và trong trường hợp vi phạm nghiêm trọng, có thể bị buộc phải trả tới 1,9 tỷ đô la tiền phạt.

Lệnh trừng phạt GDPR: trường hợp H&M

Tuy nhiên, việc quản lý dữ liệu và bảo vệ chúng không chỉ liên quan đến khách hàng và người dùng trang web. Dữ liệu của nhân viên cũng phải được thu thập, xử lý và lưu trữ có tham chiếu đến các quy định của Quy định xử lý dữ liệu chung. Một ví dụ là H&M, bị phạt hơn 35 triệu euro vì bị phát hiện lập hồ sơ trái phép cho nhân viên. Trên thực tế, một vụ vi phạm dữ liệu đã phát hiện ra một trường hợp gián điệp nội bộ thực sự: ít nhất là kể từ năm 2014, H&M đã ghi lại dữ liệu, thông tin và cuộc trò chuyện của nhân viên, lưu trữ mọi thứ (không được phép) trên các máy chủ riêng.

Một hoạt động hồ sơ đặc biệt xâm lấn, điều này rõ ràng đã có tác động tiêu cực đến mối quan hệ làm việc giữa gã khổng lồ thời trang Thụy Điển và nhân viên của họ. Do đó, cơ quan bảo vệ dữ liệu Hamburg đã phạt H&M số tiền 35,3 triệu euro. Về phần mình, công ty đã xin lỗi các nhân viên liên quan đến vụ bê bối, tổ chức lại triệt để văn phòng.

Một lệnh trừng phạt cũng là lời cảnh báo cho tất cả các công ty khác: các cơ quan nhà nước (trong trường hợp này là của Đức, nhưng các lệnh trừng phạt giống nhau trên toàn lãnh thổ Liên minh Châu Âu và cũng liên quan đến các công ty có trụ sở bên ngoài biên giới EU) không cho phép vi phạm dữ liệu hoặc xử lý dữ liệu không tuân thủ các quy định của GDPR. Bất cứ ai bị bắt trong hành vi phạm tội sẽ phải trả giá đắt cho hành vi của họ.