Tiền phạt ICO - Không chỉ các công ty lớn bị giám sát về GDPR
- Quản trị Web
- Feb 18, 2021
- 5 min read
Tiền phạt ICO - Không chỉ các công ty lớn bị giám sát về GDPR
Cơ quan giám sát tuân thủ GDPR, Văn phòng Ủy viên Thông tin (ICO), gần đây đã công bố quyết định phạt British Airways (BA) 20 triệu bảng Anh . Điều này kéo theo sự thất bại trong việc bảo vệ thông tin cá nhân và tài chính của hơn 400.000 khách hàng BA.
Dữ liệu cá nhân bị lộ bao gồm tên, địa chỉ và chi tiết thẻ thanh toán. Thông tin chi tiết về người dùng của nhân viên BA và một số tài khoản BA Executive Club cũng có thể được truy cập.
Khoản tiền phạt là mức phạt lớn nhất mà ICO áp dụng cho đến nay do vi phạm Quy định chung về bảo vệ dữ liệu (GDPR). Mức phạt tối đa do nhà chức trách đưa ra có thể lên đến 4% tổng doanh thu hàng năm trên toàn thế giới hoặc 20 triệu Euro, tùy theo mức nào lớn hơn.
Vụ vi phạm xảy ra do một cuộc tấn công mạng và ICO phát hiện ra rằng BA với tư cách là người kiểm soát dữ liệu, đã không xử lý được dữ liệu cá nhân theo cách đảm bảo an ninh bảo vệ dữ liệu phù hợp, theo yêu cầu tuân thủ GDPR. Cuộc điều tra của ICO xác nhận rằng hãng hàng không đang xử lý một lượng đáng kể dữ liệu cá nhân nhạy cảm mà không có các biện pháp bảo mật phù hợp, với những điểm yếu trong bảo mật CNTT của hãng có thể đã được khắc phục vào thời điểm đó để tránh vi phạm dữ liệu.
Các khoản phạt gần đây khác
ICO gần đây cũng đã thực hiện hành động thực thi gần đây với thông báo vi phạm chống lại Experian , yêu cầu nó thực hiện những thay đổi cơ bản về cách nó xử lý dữ liệu cá nhân trong các dịch vụ tiếp thị trực tiếp của mình.
Chỉ vài ngày trước, Ticketmaster đã bị phạt 1,5 triệu bảng Anh.
Nhưng nếu bạn tin rằng ICO chỉ có doanh nghiệp lớn trong tầm ngắm của nó liên quan đến một số hình thức vi phạm dữ liệu, bạn sẽ rất sai lầm. Nhiều công ty nhỏ hơn nhiều đang thấy mình phải chịu khoản phạt GDPR đắt đỏ do ICO ban hành.
Reliance Advisory hoạt động trong lĩnh vực dịch vụ quản lý khiếu nại, chẳng hạn như PPI bán sai, đã bị phạt 250 nghìn bảng Anh do không thành công trong hoạt động tiếp thị điện tử theo cách họ xử lý dữ liệu khách hàng.
Nhiều doanh nghiệp nhỏ khác cũng đã bị bắt bằng cách thực hiện các cuộc gọi tiếp thị trực tiếp không được yêu cầu - với khoản tiền phạt vượt quá 100 nghìn bảng Anh vì không đáp ứng một yêu cầu GDPR cụ thể.
Làm thế nào để đảm bảo tuân thủ
Cả bộ kiểm soát dữ liệu và bộ xử lý dữ liệu đều được yêu cầu thực hiện các biện pháp bảo mật thích hợp, bảo vệ dữ liệu cá nhân và tính đến chi phí thực hiện cũng như bản chất, phạm vi, bối cảnh và mục đích của việc xử lý.
Bộ điều khiển dữ liệu là gì?
ICO định nghĩa đây là 'thể nhân hoặc pháp nhân, cơ quan công quyền, cơ quan hoặc cơ quan khác, một mình hoặc cùng với những người khác, xác định mục đích và phương tiện xử lý dữ liệu cá nhân.'
Bộ xử lý dữ liệu là gì?
ICO định nghĩa đây là 'một thể nhân hoặc pháp nhân, cơ quan công quyền, cơ quan hoặc cơ quan khác xử lý dữ liệu cá nhân thay mặt cho người kiểm soát.'
Cần có Chính sách bảo mật CNTT cập nhật và các thủ tục để tuân thủ GDPR, bao gồm các biện pháp bảo mật thích hợp có thể bao gồm:
Giới hạn quyền truy cập vào các ứng dụng, dữ liệu và công cụ
Thực hiện kiểm tra nghiêm ngặt bằng cách mô phỏng một cuộc tấn công mạng
Bảo vệ nhân viên và tài khoản của bên thứ ba bằng xác thực đa yếu tố
Các biện pháp thích hợp khác bao gồm:
Bút danh và mã hóa dữ liệu cá nhân
Khả năng đảm bảo tính bảo mật liên tục, tính toàn vẹn, tính sẵn sàng và khả năng phục hồi của các hệ thống và dịch vụ xử lý
Một quy trình thường xuyên kiểm tra, đánh giá và đánh giá hiệu quả của các biện pháp kỹ thuật và tổ chức để đảm bảo an ninh của quá trình xử lý
Tuân thủ GDPR
Bảo mật dữ liệu cá nhân là một phần của GDPR / tuân thủ bảo vệ dữ liệu tổng thể. Điều quan trọng là phải thực hiện các bước cần thiết để cập nhật các tài liệu và thủ tục nội bộ và bên ngoài, thường bao gồm:
Chính sách hoặc tiêu chuẩn bảo vệ dữ liệu
Chính sách lưu giữ dữ liệu
Chính sách bảo mật CNTT
Hợp đồng với bất kỳ nhà cung cấp dịch vụ / bộ xử lý dữ liệu nào
Ngôn ngữ GDPR trong hợp đồng khách hàng của bạn
Yêu cầu tuân thủ GDPR liên quan đến nhân viên
Đánh giá hoạt động tiếp thị
Thông báo Bảo mật Dữ liệu, bao gồm cả cho trang web
Chính sách Cookie
Tài liệu xử lý dữ liệu cần thiết khác
Điều quan trọng nữa là đào tạo tất cả nhân viên và nhà thầu về các chính sách và quy trình tuân thủ GDPR liên quan hướng tới việc xử lý dữ liệu cá nhân, đảm bảo mức độ nhận thức phù hợp và giảm thiểu rủi ro được áp dụng.
GDPR và Brexit
Vương quốc Anh sẽ được coi là quốc gia nằm ngoài EEA (Khu vực kinh tế Châu Âu) từ tháng 1 năm 2021 (sau giai đoạn chuyển đổi hiện tại) trong khi có Đạo luật bảo vệ dữ liệu năm 2018 để đảm bảo rằng các quy định của GDPR vẫn được áp dụng.
Tất cả các doanh nghiệp có trụ sở tại Vương quốc Anh sẽ vẫn cần tuân thủ cả GDPR và luật bảo vệ dữ liệu có liên quan khác của Liên minh Châu Âu trong khi có trụ sở tại Vương quốc Anh, một quốc gia không thuộc EEA, không có quyết định chính thức đầy đủ về luật bảo vệ dữ liệu của mình.
Bạn có thể cần phải có một số điều khoản nhất định, chẳng hạn như chỉ định một đại diện và có các điều khoản hợp đồng đặc biệt nếu bạn cung cấp hàng hóa hoặc dịch vụ cho EEA hoặc xử lý dữ liệu cá nhân của các cá nhân có trụ sở tại EEA, cũng như đảm bảo rằng các thông báo về quyền riêng tư của bạn được cập nhật.
Liên hệ:
Comments