Một năm sau ... Tại sao việc không tuân thủ GDPR có thể khiến doanh nghiệp của bạn phải trả giá

Một năm sau ... Tại sao việc không tuân thủ GDPR có thể khiến doanh nghiệp của bạn phải trả giá

Vi phạm bảo vệ dữ liệu sau GDPR là mối đe dọa đối với bất kỳ doanh nghiệp nào, hãy đảm bảo bạn hiểu rõ hậu quả… Lễ kỷ niệm đầu tiên thực hiện Quy định chung về bảo vệ dữ liệu (GDPR) là vào ngày 25 tháng 5 năm 2019. Các tổ chức thuộc mọi quy mô xử lý dữ liệu cá nhân có nghĩa vụ tuân thủ GDPR, bao gồm cả việc cấm xử lý bất hợp pháp dữ liệu cá nhân. GDPR đặt ra các nghĩa vụ liên tục đối với các doanh nghiệp, những người phải luôn chủ động và chịu trách nhiệm về quá trình xử lý đó. [Để biết thêm thông tin về cách GDPR có thể ảnh hưởng đến doanh nghiệp của bạn, vui lòng xem các blog trước đây của chúng tôi. Tóm lại, dữ liệu cá nhân là thông tin có thể xác định một cá nhân đang sống, chẳng hạn như tên, chi tiết liên hệ như địa chỉ email, địa chỉ IP, thông tin sinh trắc học, dữ liệu về sức khỏe, tài chính, chủng tộc, dân tộc, v.v. Xử lý bao gồm thu thập, sử dụng, chia sẻ , lưu trữ và xóa dữ liệu. Xử lý dữ liệu cá nhân mà không có cơ sở hợp pháp là bất hợp pháp. Có sáu cơ sở hợp pháp, được quy định trong GDPR (bao gồm xử lý theo hợp đồng, với sự đồng ý hoặc khi có lợi ích hợp pháp). Bất chấp các chiến dịch công khai và nỗ lực tốt nhất của Văn phòng Ủy viên Thông tin (ICO) và các chuyên gia để thông báo cho các tổ chức về nghĩa vụ tuân thủ của họ, có những ước tính sơ bộ rằng khoảng một nửa số tổ chức không tuân thủ vào tháng 5 năm 2018.

Tiền phạt do không tuân thủ - doanh nghiệp của bạn có gặp rủi ro không?

ICO có quyền hạn rộng rãi để điều tra và phạt các tổ chức lên tới 17 triệu bảng Anh hoặc 4% doanh thu toàn cầu vì vi phạm GDPR (cũng như thực hiện các hoạt động thực thi khác). Kể từ tháng 5 năm 2018, tiền phạt đã được đưa ra đối với các tổ chức như Bounty (Anh) Limited (£ 400.000), Chiến dịch bỏ phiếu (£ 40.000) cũng như các cá nhân (vì chia sẻ / sử dụng dữ liệu bất hợp pháp, chẳng hạn như gửi chi tiết khách hàng đến địa chỉ email gia đình) trong số các hình phạt khác. Vì một số hành vi vi phạm này theo luật trước đây (Đạo luật bảo vệ dữ liệu 1998), các khoản tiền phạt được áp dụng thấp hơn mức có thể được áp dụng theo GDPR. ICO đã nói rằng mục đích của họ không phải là để bắt các tổ chức, mà là thực thi các mục tiêu của GDPR để bảo vệ thông tin cá nhân của các cá nhân.

Nghĩa vụ thanh toán Phí đăng ký ICO

GDPR cũng đặt ra nghĩa vụ đối với các tổ chức xử lý dữ liệu cá nhân phải trả một khoản phí cho ICO (dao động từ £ 35 đến £ 2,900 tùy thuộc vào quy mô của tổ chức và tính chất của việc xử lý). ICO đã bắt đầu phát hành tiền phạt đối với việc không thanh toán phí cho các tổ chức trong nhiều lĩnh vực bao gồm dịch vụ kinh doanh, xây dựng, tài chính, y tế và chăm sóc trẻ em. Từ tháng 9 đến tháng 11 năm 2018, ICO báo cáo đã đưa ra hơn 900 thông báo ý định với hơn 100 thông báo phạt đang được đưa ra trong vòng đầu tiên đó. Các tổ chức được nhắc nhở thanh toán các khoản phí còn nợ hoặc phải đối mặt với hành động cưỡng chế từ ICO!

Các tổ chức tuân thủ GDPR như thế nào?

Một tổ chức độc lập, Mạng thực thi quyền riêng tư toàn cầu (GPEN) thực hiện hoạt động thu thập thông tin tình báo hàng năm, nhằm xem xét các tổ chức đã triển khai các khái niệm cốt lõi về trách nhiệm giải trình vào các chương trình và chính sách bảo mật nội bộ của họ tốt như thế nào. Kết quả của nghiên cứu năm 2018 cho thấy 356 tổ chức ở 18 quốc gia đã trả lời nghiên cứu của họ theo các xu hướng sau:

Việc giám sát hiệu suất nội bộ của các tiêu chuẩn bảo vệ dữ liệu còn kém, với khoảng 25% số người được hỏi không có chương trình để thực hiện tự đánh giá và / hoặc đánh giá nội bộ.

Mặc dù có một tỷ lệ cao các tổ chức cung cấp đào tạo ban đầu cho nhân viên, nhưng thường không cung cấp đào tạo bồi dưỡng cho nhân viên hiện có.

Các tổ chức thực hiện thực hành tốt có các chương trình giám sát, bao gồm thực hiện đánh giá hoặc đánh giá hàng năm và / hoặc tự đánh giá thường xuyên.

Tuy nhiên, gần một nửa số tổ chức được hỏi không lưu giữ đầy đủ hồ sơ về tất cả các sự cố và vi phạm bảo mật dữ liệu, với một số báo cáo rằng họ không có quy trình nào để đối phó với các sự cố bảo mật dữ liệu.

ICO đã thực hiện cuộc khảo sát của riêng mình với 28 tổ chức trên nhiều lĩnh vực khác nhau ở Vương quốc Anh và đưa ra kết luận sau:

Chỉ 67% các tổ chức đưa ra câu trả lời cho biết họ thường xuyên tự đánh giá hoặc kiểm tra các tiêu chuẩn và thông lệ bảo vệ dữ liệu nội bộ và chỉ 67% cho biết rằng họ duy trì việc kiểm kê dữ liệu cá nhân được lưu giữ.

83% các tổ chức của Vương quốc Anh đã trả lời các truy vấn của ICO cho biết rằng họ đã thực hiện chính sách bảo mật dữ liệu nội bộ và đảm bảo rằng nhân viên được đào tạo về bảo vệ dữ liệu.

Làm thế nào các tổ chức có thể chứng minh rằng họ vẫn tuân thủ?

Cách quan trọng để duy trì sự tuân thủ là giữ bảo vệ dữ liệu cá nhân ở trọng tâm của bất kỳ hoạt động xử lý nào và để tổ chức luôn biết họ nắm giữ dữ liệu nào, cho mục đích gì và việc gì được thực hiện với dữ liệu đó. Nói một cách đơn giản, điều này có thể được thực hiện bằng cách:

Lấy việc tuân thủ GDPR làm trọng tâm của tổ chức và ban quản lý chịu trách nhiệm.

Hiểu các tổ chức có nghĩa vụ gì đối với việc xử lý dữ liệu cá nhân và điều đó ảnh hưởng như thế nào đến bản thân tổ chức.

Biết dữ liệu nào được lưu giữ, nó liên quan đến ai và cách nó được lưu giữ và chia sẻ (và kiểm tra điều này ít nhất hàng năm - và ghi lại những lần kiểm tra đó).

Chỉ xử lý dữ liệu theo cơ sở hợp pháp và GDPR (bao gồm cả khi giao dịch với bên thứ ba).

Duy trì sự minh bạch và thông báo cho các cá nhân về dữ liệu cá nhân được lưu giữ về họ, lý do và những gì được thực hiện với dữ liệu đó.

Có sẵn các hệ thống và chính sách (bao gồm các biện pháp kỹ thuật như bảo mật) để đối phó với cách thức và dữ liệu nào được xử lý (và lưu giữ dữ liệu này trong quá trình xem xét thường xuyên).

Ghi lại các quyết định được thực hiện về cách dữ liệu được xử lý.

Đào tạo thường xuyên (và đào tạo bồi dưỡng) và giám sát nhân viên để nhắc nhở và kiểm tra sự tuân thủ của họ.

Hành động nhanh chóng để bảo vệ quyền của cá nhân đối với thông tin cá nhân của họ (bao gồm cả việc xử lý các yêu cầu cung cấp thông tin và xử lý các vi phạm một cách chính xác).

Kiểm tra và đánh giá các biện pháp bảo vệ dữ liệu và sử dụng các kết quả và chỉ số đánh giá để chứng minh sự tuân thủ.