Buzz
Khi nó được ra mắt, Nghị định Bảo vệ Dữ liệu Chung châu Âu (GDPR) trở nên lớn hơn cả Beyoncé. Tuy nhiên, từ đó, một số sự hứng thú xung quanh luật lệ đã giảm bớt, nhưng vẫn có một điều khiến mọi người phấn khích: những khoản phạt.
Theo luật lệ, các cơ quan bảo vệ dữ liệu trên khắp châu Âu đã tăng cường quyền lực để trừng phạt các công ty và tổ chức vi phạm GDPR. Hậu quả nghiêm trọng nhất có thể là những khoản phạt lên đến 20 triệu euro (22,4 triệu đô la) hoặc 4% doanh số toàn cầu của một công ty, tùy thuộc vào con số nào lớn hơn. Đây là số tiền lớn hơn so với các khoản phạt 500.000 bảng Anh (650.000 đô la) mà cơ quan quản lý dữ liệu cũ của Anh, Văn phòng Ủy ban Thông tin, có thể áp đặt theo các quy tắc bảo vệ dữ liệu cũ.
Trước khi GDPR được áp dụng, có những dự đoán kỳ cục rằng doanh nghiệp sẽ bị đánh bại bằng những khoản phạt lớn vì vấn đề bảo vệ dữ liệu. Một số ước tính cho rằng khoản phạt GDPR sẽ cao hơn 79 lần so với quy tắc trước đó; một số khác nói rằng các ngân hàng sẽ bị phạt lên đến 4,7 tỷ euro (5,3 tỷ đô la) trong những năm sắp tới.
Không có gì ngạc nhiên khi không có một đợt phạt lớn vào hàng triệu hoặc tỷ euro, nhưng 28 cơ quan quản lý dữ liệu của Liên minh châu Âu dần dần bắt đầu thể hiện sức mạnh thi hành của họ—bao gồm cả đối với các công ty công nghệ lớn.
Sau năm đầu tiên của GDPR, Ban Bảo vệ Dữ liệu Châu Âu báo cáo (PDF) rằng các quốc gia đã xem xét 206.326 trường hợp dưới luật lệ này. Helen Dixon, cơ quan quản lý bảo vệ dữ liệu Ireland, có thẩm quyền đối với các công ty công nghệ Mỹ vì trụ sở châu Âu của họ ở Ireland, đang điều tra ít nhất 17 công ty đa quốc gia. Điều này bao gồm Facebook và các chi nhánh WhatsApp và Instagram của nó, cũng như Google và Twitter.
Các cơ quan quản lý đã tiến hành các biện pháp chống lại các công ty công nghệ lớn và những người khác đã không bảo vệ đúng dữ liệu người tiêu dùng. Dưới đây là những điều chúng ta biết về các khoản phạt GDPR đã được áp dụng ở châu Âu cho đến nay và tại sao chúng đã được cấp.
Ông Lớn Google và Những Hộp Được Tích Trước
Vào ngày GDPR có hiệu lực trên khắp châu Âu (25 tháng 5 năm 2018), cơ quan quản lý bảo vệ dữ liệu của Pháp nhận được khiếu nại về Google. Ba ngày sau đó, một khiếu nại khác đến cửa Cơ quan Bảo vệ Dữ liệu Quốc gia (CNIL), và đầu năm 2019, CNIL áp đặt một khoản phạt 50 triệu euro (56 triệu đô la) đối với Google.
CNIL cho biết khoản phạt là do "thiếu minh bạch, thông tin không đầy đủ và thiếu sự đồng thuận hợp lệ liên quan đến cá nhân hóa quảng cáo." Trong bản tóm lược quyết định của mình, CNIL phân chia khoản phạt thành hai lĩnh vực: không cung cấp đủ thông tin về cách Google sử dụng thông tin được cung cấp từ 20 dịch vụ khác nhau và không đạt được sự đồng thuận chính xác để xử lý dữ liệu người dùng.
Quyết định đầy đủ của cơ quan quản lý (PDF) nói rằng khi người dùng thiết lập tài khoản Google, chỉ có một lựa chọn là chấp nhận tất cả quá trình xử lý dữ liệu cá nhân, không phải là phân loại tất cả các loại thông tin sẽ được xử lý. Nó cũng thêm rằng có các ô được chọn trước trong các tùy chọn của Google, điều này không được phép theo GDPR.
CNIL nói: "Những vi phạm quan sát làm mất đi các bảo đảm quan trọng đối với người dùng liên quan đến các hoạt động xử lý có thể tiết lộ các phần quan trọng của cuộc sống riêng tư của họ vì chúng được xây dựng trên một lượng lớn dữ liệu, đa dạng rộng lớn các dịch vụ và hầu như không có giới hạn về các kết hợp có thể xảy ra."
Sự Cố Rò Rỉ Tài Khoản Ngân Hàng DSK ở Bulgaria
Nhóm tài chính Bulgaria DSK Bank đã bị phạt 1 triệu levs (570.000 đô la) bởi Cơ quan Bảo vệ Dữ liệu Cá nhân của đất nước vào cuối tháng 8 năm 2019, sau khi tên, địa chỉ, bản sao thẻ căn cước và số tài khoản ngân hàng của hơn 30.000 người được tiết lộ một cách tình cờ.
Thông tin về 23.000 khoản vay cũng được tiết lộ, với cơ quan quản lý bảo vệ dữ liệu của đất nước nói rằng có chi tiết về "một số không hạn chế của các bên thứ ba liên quan" trong việc tiết lộ. Ít chi tiết về cách xảy ra việc vi phạm dữ liệu đã được tiết lộ, nhưng một báo cáo từ Reuters nói rằng ngân hàng trước đây đã được liên hệ bởi một "người tử tù người Bulgaria" có cơ sở dữ liệu về dữ liệu khách hàng.
Cơ quan quản lý bảo vệ dữ liệu của quốc gia kết luận rằng ngân hàng không thực hiện "các biện pháp kỹ thuật và tổ chức phù hợp" để đảm bảo "tính bảo mật, an ninh, toàn vẹn, sẵn có và bền vững của các hệ thống và máy chủ" nơi thông tin cá nhân được lưu trữ.
Ứng Dụng Điều Tra Của La Liga
Trong trường hợp kỳ quặc nhất đến nay, cơ quan bảo vệ dữ liệu của Tây Ban Nha, AEPD, đã phạt đội bóng đỉnh của đất nước, La Liga, 250.000 euro (285.000 đô la) vì giám sát người đã tải xuống ứng dụng của nó. Những người tạo ra ứng dụng hứa rằng nó sẽ cung cấp cập nhật và điểm số trận đấu trực tuyến; hóa ra nó cũng đang sử dụng micro của thiết bị người dùng để nghe những gì đang diễn ra xung quanh họ.
Mục đích của việc giám sát? Ứng dụng đang thu thập dữ liệu vị trí và âm thanh để cố gắng xác định những địa điểm đang phát sóng hình ảnh trận đấu mà không có giấy phép đúng đắn. Ứng dụng đã được tải xuống hơn 10 triệu lần.
Liên đoàn bị phạt vì không thông báo đúng cách cho người dùng về dữ liệu đang được thu thập và tần suất làm điều đó (lên đến một lần mỗi phút trong các trận đấu). Tổ chức bóng đá Tây Ban Nha không đồng ý với khoản phạt và nói rằng khoản phạt là "không căn cứ và không cân đối."
Trang Web Bị Nạn của British Airways
Khi nào một khoản phạt GDPR không phải là một khoản phạt GDPR? Khi nó là một thông báo ý định. Cơ quan quản lý của Vương quốc Anh, Văn phòng Ủy ban Thông tin (ICO), có kế hoạch phạt British Airways 183 triệu bảng Anh (238 triệu đô la) vì một sự cố bảo mật trong ứng dụng và trang web của hãng vào tháng 6 năm 2018. Khoản phạt vẫn chưa được ban hành và số tiền sẽ được xác định sau khi hãng hàng không phản hồi vào các kết luận của ICO.
Điều chắc chắn là việc vi phạm dữ liệu của BA. Mã giả mạo được chèn vào hệ thống của hãng hàng không đã đưa khách hàng đến một trang web giả mạo nơi chi tiết của 500.000 người đã bị rò rỉ. Nguyên tắc bảo mật của GDPR nói rằng cần thực hiện các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu người dùng.
Tên người dùng và mật khẩu, chi tiết thẻ tín dụng và thông tin quan trọng cần thiết cho việc đi lại bằng máy bay, bao gồm tên và địa chỉ, đều bị lấy trong cuộc tấn công dữ liệu. Tin đồn cho rằng vụ hack này được gây ra bởi 22 dòng mã được chèn bởi nhóm hack Magecart.
Thiếu Sự Cẩn Trọng Của Marriott
Một ngày sau thông báo của British Airways, ICO lại phát đi một thông báo ý định khác. Lần này là đối với các khách sạn của Marriott. Số tiền đề xuất? 99,2 triệu bảng Anh (129 triệu đô la).
Trong trường hợp của Marriott, 339 triệu bản ghi khách hàng từ khắp nơi trên thế giới đã bị tiết lộ. "Nó được cho là lỗ hổng bắt đầu khi hệ thống của nhóm khách sạn Starwood bị xâm phạm vào năm 2014," ICO nói khi phát đi thông báo ý định của mình. Marriott mua lại Starwood vào năm 2016, nhưng rò rỉ dữ liệu không được phát hiện cho đến năm 2018. ICO nói rằng Marriott đã không thực hiện đủ sự cẩn trọng khi mua lại Starwood và nên đã làm nhiều hơn để bảo vệ hệ thống của mình. Như trong trường hợp của British Airways, số tiền phạt cuối cùng vẫn đang chờ xử lý.
Câu chuyện này ban đầu xuất hiện trên Mytour UK.
Những Bài Viết Tuyệt Vời Khác Từ Mytour
- Internet là cho mọi người, phải không? Không với người đọc màn hình
- Cố gắng trồng một nghìn tỷ cây cũng không giải quyết vấn đề gì cả
- Pompeo đang đi lên—cho đến khi vụ rối ở Ukraine bùng nổ
- Có lẽ đó không phải là thuật toán của YouTube khiến người ta trở nên cực đoan
- Câu chuyện chưa kể về Olympic Destroyer, cuộc tấn công lừa dối nhất trong lịch sử
- 👁 Chuẩn bị cho kỷ nguyên video giả mạo sâu; ngoài ra, hãy kiểm tra tin tức mới nhất về trí tuệ nhân tạo
- 🏃🏽♀️ Muốn có những công cụ tốt nhất để duy trì sức khỏe? Hãy kiểm tra lựa chọn của đội Gear của chúng tôi cho những bộ theo dõi sức khỏe tốt nhất, đồ chạy bộ (bao gồm giày và tất chạy), và tai nghe tốt nhất.
