Ủy ban Bảo vệ Dữ liệu Châu Âu (EDPB), cơ quan hợp tác của các cơ quan quản lý quyền riêng tư Châu Âu, đã triển khai các quy tắc mới để tính tiền phạt đối với các công ty vi phạm Quy định chung về bảo vệ dữ liệu (GDPR). Trước đây, các cơ quan quản lý quyền riêng tư ở Liên minh Châu Âu (EU) mỗi nơi đều có những quy định riêng, nhưng với những quy định mới này, việc tính tiền phạt sẽ thống nhất trên toàn EU.
Chính sách xử phạt mới đối với hành vi vi phạm AVG bối cảnh bảo vệ dữ liệu đang thay đổi đáng kể. Các quy tắc mới khác với các quy tắc chính sách phạt trước đây của Cơ quan bảo vệ dữ liệu Hà Lan (AP) ở ba khía cạnh quan trọng:
1: Doanh thu của công ty là điểm khởi đầu của mức phạt GDPR
Doanh thu của một công ty có vai trò lớn hơn trong việc xác định số tiền GDPR phạt tiền. Theo quy định cũ, doanh thu của công ty chỉ được tính vào cuối phép tính, từ nay trở đi việc này sẽ được tính vào đầu. Doanh thu của công ty hiện được coi là điểm khởi đầu cho số tiền phạt. Doanh thu của công ty mẹ cũng được tính đến. Đối với các công ty có doanh thu hàng năm dưới hai triệu euro, cơ quan quản lý quyền riêng tư có thể xem xét thực hiện các phép tính dựa trên số tiền từ 0,2% Và 0,4% số tiền ban đầu được thiết lập. Đối với các công ty có doanh thu hàng năm từ hai đến mười triệu, tỷ lệ này nằm trong khoảng 0,3% Và 2%. Với doanh thu hàng năm từ 10 đến 50 triệu euro, đây là mức giữa 1,5% và 10%.
2: Các loại mức độ nghiêm trọng của vi phạm GDPR
Trong các quy tắc mới, có ba loại vi phạm GDPR được chia theo tỷ lệ: thấp, trung bình và cao. Nó xem xét mức độ nghiêm trọng của hành vi vi phạm, thời gian vi phạm, tính chất của dữ liệu cá nhân bị xâm phạm và hành vi của công ty sau hành vi vi phạm. Theo chính sách trước đó, Cơ quan Bảo vệ Dữ liệu Hà Lan cũng xem xét mức độ nghiêm trọng của hành vi vi phạm nhưng không phân loại hành vi đó. Với các quy định mới, mức phạt khác nhau sẽ được áp dụng cho mỗi danh mục.
3: Băng thông cho số tiền bắt đầu AVG
Các quy tắc cũ dựa trên băng thông trong đó xác định số tiền phạt. Tuy nhiên, trong các quy định mới, băng thông nhằm xác định mức phạt ban đầu. Số tiền đó có thể tăng hoặc giảm sau đó. Ví dụ, mức phạt có thể tăng lên nếu công ty trước đó đã vi phạm tương tự. Mức phạt có thể được giảm bớt nếu công ty đã nỗ lực hết sức để hạn chế hậu quả đối với nạn nhân của hành vi vi phạm.
Số tiền phạt có thể lên tới 20 triệu euro
Cũng giống như quy định cũ, mức phạt AVG có thể lên tới 20 triệu euro trở lên 4% doanh thu toàn cầu của tổ chức. Các quy định mới có hiệu lực ngay lập tức, không chỉ đối với các trường hợp mới mà còn đối với các trường hợp hiện tại. Lưu ý: Các quy định này hiện chỉ áp dụng cho doanh nghiệp chứ không áp dụng cho các tổ chức chính phủ.
Công ty của bạn có tuân thủ GDPR không?
Tất cả các tổ chức xử lý dữ liệu cá nhân phải chứng minh rằng họ đã thực hiện các biện pháp kỹ thuật và tổ chức phù hợp để tuân thủ GDPR. Bạn có cần lời khuyên hoặc hướng dẫn trong việc thực hiện nghĩa vụ của GDPR không? Sau đó hãy đến gặp luật sư chuyên trách của AVG. Người đó có thể giúp soạn thảo thỏa thuận xử lý, thực hiện Đánh giá tác động đến quyền riêng tư và đưa ra các tuyên bố về quyền riêng tư và cookie.
