Quy định chung về bảo vệ dữ liệu được thảo luận nhiều của Liên minh Châu Âu (GDPR) tròn hai tuổi vào cuối tháng này. Di sản của nó là gì và nhìn chung nó đã là một triển khai thành công để nâng cao quyền riêng tư kỹ thuật số hay nó đã thất bại nặng nề và khiến quyền riêng tư của công dân EU trở nên tồi tệ hơn? Chà, xem xét kỹ hơn ảnh hưởng của nó sẽ gợi ý điều sau!
Trọng tâm chính của khung Quy định chung về bảo vệ dữ liệu (GDPR) là tất cả vềbảo vệ quyền riêng tư của các cá nhân mà không ảnh hưởng đến dữ liệu của họ được lưu trữ bởi bất kỳ tổ chức, tiểu bang nào các tổ chức hoặc công ty tiện ích . Sau khi cân nhắc vài năm khi GDPR có hiệu lực, các cơ quan quản lý đã cho các tổ chức đủ thời gian (hai năm) để tuân thủ. Tuy nhiên, thực tế đã phức tạp hơn trong và sau cuộc chạy đua, chẳng hạn như khai thuế trễ, giấy tờ kỳ hạn, v.v.
Nếu bạn chưa quen với thuật ngữ này, thì đây là một số bài viết trước của chúng tôi mà bạn có thể xem qua để biết thêm về “Quy định chung về bảo vệ dữ liệu”.
- Mọi thứ bạn cần biết về GDPR
- Tác động của GDPR ở cấp độ toàn cầu
- GDPR là một thách thức thực sự đối với doanh nghiệp của bạn như thế nào?
Quy định GDPR có nguy cơ thất bại không? Chà, câu hỏi hóc búa này được đặt ra bởi trình duyệt dẫn đầu về quyền riêng tư- Brave .“Mọi thứ đang trở nên vô cùng tồi tệ, quy định không được thực hiện đúng cách và Ủy ban Châu Âu cần điều tra các quốc gia thành viên vì đã không trang bị cho Cơ quan giám sát dữ liệu các cá nhân, công cụ chuyên dụng và các tài nguyên khác.” báo cáo gần đây của Brave tuyên bố.
Với việc phát hành Sách trắng &Nộp đơn khiếu nại lên Ủy ban EU, Brave đã loại bỏ tất cả các lý do có thể dẫn đến sự thất bại của Quy định chung về bảo vệ dữ liệu. Tóm lại, “lý do duy nhất khiến GDPR giảm là do Chính phủ quốc gia ít nỗ lực hơn chứ không phải vì Cơ quan bảo vệ dữ liệu (DPAs). Các tổ chức chịu trách nhiệm không hướng đủ tiền và nguồn lực cho các cơ quan này, điều này dẫn đến thất bại lớn trong việc thực thi GDPR.” cho biết, Johnny Ryan, Giám đốc Chính sách &Quan hệ Công nghiệp, Brave.
Xem xét kỹ hơn nghiên cứu của họ, có vẻ như Chính phủ đang không tuân thủ các chính sách.
Dưới đây là những lý do chính dẫn đến Lỗi GDPR, như được xác định trong báo cáo do Brave thực hiện.
1. Theo Điều 52(4) của GDPR, Chính phủ các quốc gia được yêu cầu cung cấp cho các cơ quan quản lý đủ nguồn lực (cả nhân lực và tài chính) để thực hiện nhiệm vụ của họ. (Điều này hiện không xảy ra, theo nghiên cứu của Brave).
2. Mạnh mẽ, thực thi đối thủ là tinh túy. Quy định phải có khả năng điều tra thích hợp 'công nghệ lớn' &bắt bẻ mà không sợ bị kháng cáo bực tức. Tuy nhiên, các chính phủ quốc gia của các nước châu Âu đã không cung cấp đủ nguồn lực để làm như vậy.
3. Chính phủ các quốc gia thành viên EU đã thất bại trong việc phát triển năng lực thực thi công nghệ cần thiết để đáp ứng những yêu cầu của GDPR.
- Chỉ sáu DPA quốc gia (Cơ quan bảo vệ dữ liệu) có hơn mười điều tra viên, trong khi bảy cơ quan chỉ có hai chuyên gia công nghệ trở xuống.
- Mức tăng ngân sách DPA đạt đỉnh 24% vào năm 2019 cho việc triển khai GDPR. Tuy nhiên, hiện nay Chính phủ đã làm chậm quá trình phân bổ này xuống chỉ còn 15%
- ICO của Vương quốc Anh (Văn phòng Ủy viên Thông tin là DPA quan trọng nhất và tốn kém nhất, trong khi họ chỉ có 3% chuyên gia công nghệ trong đội ngũ nhân viên của mình.
- Ủy ban bảo vệ dữ liệu Ireland là cơ quan quản lý GDPR có thẩm quyền hàng đầu của Facebook và Google ở châu Âu. Tuy nhiên, số liệu thống kê cho thấy số lượng khiếu nại chỉ tăng lên so với ngân sách đã được phân bổ.
- Chính phủ Estonia đã phân bổ khoản ngân sách nhỏ thứ ba trị giá €750.331 để thực thi GDPR.
- Bồ Đào Nha đã giảm đáng kể ngân sách của Cơ quan bảo vệ dữ liệu xuống €203.000. (Bạn có thể tham khảo biểu đồ bên dưới để biết Ngân sách DPA đang hoạt động như thế nào ở các quốc gia khác?)
4 . Trên khắp châu Âu, chỉ có 305 chuyên gia công nghệ làm việc tận tâm cho các DPA. Một nửa số cơ quan bảo vệ dữ liệu của Châu Âu chỉ có ngân sách hàng năm dưới 5 triệu euro.
5 . Theo số liệu thống kê, vào tháng 6 năm 2018, các công ty đã tự báo cáo hơn 1.700 vụ vi phạm dữ liệu và con số này đã tăng đáng kể lên 36.000 vào năm 2019, con số này rất lớn so với tỷ lệ báo cáo hàng năm trước đó.
6. Theo một cuộc khảo sát do công ty luật DLA Piper công bố, trên khắp châu Âu, gần 60.000 vụ vi phạm đã được báo cáo, chỉ trong vòng 8 tháng kể từ khi triển khai GDPR.
7. Các trường hợp vi phạm Dữ liệu tồi tệ nhất, đã gây chú ý, là khi Ghostery gửi email thông báo cho cộng đồng của mình về những thay đổi trong chính sách quyền riêng tư của họ. Email dường như phù hợp với GDPR. Tuy nhiên, thay vì gửi email cho từng người dùng, Ghostery đã gửi hàng loạt thư và quên BCC cho những người nhận khác. Do đó, hàng nghìn id thư lẽ ra phải được bảo vệ đã bị lộ. Kết quả? Vi phạm chính sách quyền riêng tư của người dùng!
8 . Một vài tỷ lệ phần trăm các nhà điều tra công nghệ được phát hiện là tham gia tận tình vào việc khám phá các vấn đề GDPR của khu vực tư nhân. Các chuyên gia đã tuyên bố rằng sự suy giảm GDPR phải do Chính phủ Liên minh Châu Âu chứ không phải do các cơ quan bảo vệ dữ liệu.
9. Các tổ chức tuân thủ luật về quyền riêng tư nên duy trì hồ sơ về dấu vết dữ liệu cá nhân mà họ nắm giữ đối với người tiêu dùng và nhân viên. Nhưng chỉ 33% công ty tuân thủ GDPR và 25% công ty tuân thủ CCPA (Đạo luật về quyền riêng tư của người tiêu dùng California) hoàn toàn không theo dõi hoạt động chia sẻ dữ liệu.
10. Đức là quốc gia duy nhất làm tương đối tốt khi thực thi GDPR. Nó sử dụng hơn 29% trong số tất cả các chuyên gia công nghệ DPA của Châu Âu. Với 58,9 triệu euro được đầu tư hàng năm, vào DPA, Đức đang dẫn đầu, sau Vương quốc Anh với 61 euro.
Hơn 29% chuyên gia công nghệ của Liên minh Châu Âu đang làm việc cho các DPA khu vực và liên bang của Đức. Các quốc gia EU còn lại kém xa trong đóng góp của họ đối với việc bổ nhiệm các chuyên gia công nghệ.
11. Luật Bảo vệ Dữ liệu phải đối mặt với những rào cản nghiêm trọng trong thời đại kỹ thuật số và sự xuất hiện của Dữ liệu lớn là yếu tố tối quan trọng. Trong thời đại mà công chúng đang được hưởng nhiều ưu điểm mà công nghệ Internet đang mang lại. Đồng thời, họ cũng đang xử lý các vi phạm có thể xảy ra dẫn đến mất dữ liệu riêng tư và bí mật.
Ví dụ, Trung Quốc thiếu tuân thủ các quy tắc và quy định cụ thể về quản lý thông tin người dùng. Ngoài ra, họ thậm chí còn không có một hệ thống giám sát xuất sắc trong thời đại Dữ liệu lớn.
12. Rất nhiều điều đã được nói về cách công nghệ giúp chống lại các tác động của COVID-19. Tuy nhiên, Pháp, một trong những quốc gia chịu ảnh hưởng nặng nề nhất do đại dịch, đang làm chính xác những gì sẽ mở ra cánh cửa cho tin tặc và xâm phạm dữ liệu riêng tư của người dùng.
Ứng dụng được phát triển để theo dõi sự lây lan của vi-rút corona bằng cách sử dụng tính năng theo dõi liên hệ qua Bluetooth được thiết kế đồng thời bảo vệ dữ liệu người dùng, được bảo vệ bởi tính năng bảo mật của Apple. Tuy nhiên, thay vì điều chỉnh ứng dụng và đảm bảo quyền riêng tư, dựa trên báo cáo của Bloomberg, các nhà chức trách Pháp đã yêu cầu Apple tắt các tính năng bảo mật tại Pháp. Theo Bộ trưởng Kỹ thuật số Pháp, Cedric O, “Chúng tôi đang yêu cầu Apple dỡ bỏ rào cản kỹ thuật để cho phép chúng tôi phát triển một giải pháp y tế châu Âu có chủ quyền sẽ gắn liền với hệ thống y tế của chúng ta”. Đúng vậy!
13. DPA ở châu Âu đã ban hành khoản tiền phạt trị giá 400 triệu euro đối với các công ty vì vi phạm các quy tắc và quy định. Nhưng rõ ràng, không có cái nào có nguồn gốc từ Cộng hòa Ireland, mặc dù thực tế là vậy; nó từng là trung tâm của một số công ty công nghệ lớn nhất thế giới.
14. Các khoản tiền phạt lớn nhất cho đến nay theo GDPR đã được áp dụng ở Vương quốc Anh. Nó dự định phạt British Airways 183 triệu bảng và chuỗi khách sạn Marriott vì vi phạm bảo vệ dữ liệu 99 triệu bảng.
Chính phủ có thể cứu GDPR như thế nào?
Chà, theo Báo cáo của Brave, vẫn chưa quá muộn để thực hiện quy định và kiểm soát hoàn toàn quy định đó.
- Chính phủ quốc gia nên tập trung đầu tư nhiều hơn vào các nhà điều tra công nghệ của các chuyên gia và trả mức lương cạnh tranh để thu hút nhân tài tốt nhất.
- Chính phủ nên cung cấp đủ hỗ trợ tài chính cho các DPA để theo đuổi việc thi hành luật đối lập và bảo vệ các quyết định của họ trước các kháng cáo pháp lý của Big Tech.
- Ban Bảo vệ Dữ liệu của Liên minh Châu Âu nên thành lập Đơn vị Điều tra Công nghệ chuyên dụng để hỗ trợ các DPA.
- Ủy ban Châu Âu cũng nên tập trung vào việc đưa ra thủ tục vi phạm đối với các quốc gia thành viên không tuân thủ Điều 52(4) của GDPR.
GDPR chỉ đơn thuần là công khai thay vì quyền riêng tư sự bảo vệ. Quy định chỉ đưa ra những lời hứa suông cho các cá nhân mà Chính phủ của họ vẫn chưa thực hiện được. Trong khi chờ đợi, các quốc gia khác có thể phân tích tất cả những thành công và thất bại tiềm tàng của GDPR. Họ nên bắt đầu xem xét cách họ có thể điều chỉnh hầu hết các thông số hiệu quả của mình và tránh những thông số có vấn đề.