Vi phạm nghĩa vụ xóa dữ liệu cá nhân
Vi phạm về bảo mật dữ liệu hoặc Quy định Chung về Bảo vệ Dữ liệu (GDPR) có thể bị phạt tiền cao. Thanh tra Bảo mật Dữ liệu và Tự do Thông tin Hamburg (HmbBfDI) đã áp đặt mức phạt 900.000 Euro đối với một công ty trong lĩnh vực quản lý nợ vì không xóa dữ liệu cá nhân đúng hạn.
Với sự ra đời của Quy định Chung về Bảo vệ Dữ liệu (GDPR), các yêu cầu về bảo mật dữ liệu đối với các doanh nghiệp đã tăng lên đáng kể. Doanh nghiệp phải có các biện pháp thích hợp để bảo vệ dữ liệu khi xử lý dữ liệu cá nhân. Ngoài ra, người liên quan có quyền xóa dữ liệu đúng hạn. Nếu vi phạm quyền bảo mật dữ liệu hoặc GDPR, doanh nghiệp có thể đối mặt với khoản phạt kinh tế đáng kể, theo công ty luật kinh tế MTR Legal Rechtsanwälte chuyên tư vấn về luật CNTT.
Kiểm tra doanh nghiệp trong quản lý nợ
Việc lưu trữ dữ liệu cá nhân của họ có thể là gánh nặng lớn đối với các con nợ không trả đúng hạn. Dữ liệu của họ cũng thường xuyên được chuyển cho các công ty thông tin tín dụng. Điều này có thể khiến cho việc ký kết hợp đồng trở nên rất khó khăn. Vì vậy, việc xóa dữ liệu sau khi hết hạn là rất quan trọng đối với con nợ.
Hamburg là một địa điểm quan trọng trong lĩnh vực quản lý nợ. Vì vậy, Thanh tra Bảo mật Dữ liệu và Tự do Thông tin Hamburg (HmbBfDI) đã tiến hành kiểm tra trọng điểm đối với các công ty mạnh trong lĩnh vực quản lý nợ.
Kết luận tổng thể tích cực
Trong quá trình kiểm tra, người ta đã kiểm tra cơ bản việc lưu trữ và xử lý dữ liệu cá nhân tại các công ty. Thanh tra bảo mật dữ liệu cùng với đội ngũ đã tìm đến một số công ty tại trụ sở của họ. Kết quả các chuyên gia bảo mật dữ liệu đã rút ra kết luận tổng thể tích cực. Đặc biệt tính minh bạch của các công ty đối với người liên quan đã được cải thiện, như thông báo trong thông cáo báo chí ngày 12 tháng 11 năm 2024.
Dữ liệu được lưu quá lâu
Tuy nhiên, cũng có những ngoại lệ. Các kiểm tra viên phát hiện ra rằng một công ty vẫn lưu trữ dữ liệu mặc dù thời hạn xóa đã hết. Công ty này không có cơ sở pháp lý cho việc lưu trữ dữ liệu cá nhân lên đến hàng trăm nghìn bản ghi. Đây là vi phạm Điều 5, đoạn 1 lit. a, và Điều 6, đoạn 1 GDPR. Mặc dù dữ liệu không được chuyển cho bên thứ ba, nhưng chúng vẫn được lưu trữ trong hệ thống dữ liệu đến 5 năm sau khi hết hạn lưu trữ hợp pháp mà không được xóa, theo như Thanh tra bảo mật dữ liệu Hamburg tiếp tục thông báo.
Vì vi phạm này, Thanh tra bảo mật dữ liệu đã áp dụng mức phạt 900.000 Euro đối với công ty. Công ty đã chấp nhận mức phạt. Việc họ hợp tác với cơ quan giám sát khi giải quyết vi phạm bảo mật dữ liệu đã được xem xét trong mức phạt. Các vi phạm tương tự cũng được phát hiện ở một công ty khác, nhưng việc điều tra vẫn chưa kết thúc.
Khi một mối quan hệ khách hàng kết thúc, cần xóa dữ liệu lưu trữ ngay lập tức hoặc sau khi hết hạn lưu trữ. Vi phạm nghĩa vụ xóa có thể tổn tốn chi phí, như trường hợp của công ty Hamburg đã cho thấy. Để tránh vi phạm, các công ty nên tích hợp một chính sách tuân thủ bảo mật dữ liệu hiệu quả.
Xóa dữ liệu đúng hạn
Để xử lý dữ liệu cá nhân nhạy cảm hợp pháp, nên phát triển một quy trình xóa hệ thống để dữ liệu không bị lưu trữ bất hợp pháp dẫn đến vi phạm GDPR. Ngay từ khi thu thập dữ liệu, cần rõ ràng rằng dữ liệu có được phép lưu trữ và xử lý tiếp không và trong bao lâu. Như vậy có thể tránh phạt tiền vì vi phạm bảo mật dữ liệu và củng cố lòng tin của khách hàng.
Lưu ý rằng bảo mật dữ liệu không chỉ quan trọng trong mối quan hệ bên ngoài với khách hàng mà còn có vai trò quan trọng bên trong đối với nhân viên. Nhân viên cũng có quyền yêu cầu thông tin từ nhà tuyển dụng về việc sử dụng dữ liệu cá nhân của họ theo GDPR.
MTR Legal Rechtsanwälte tư vấn trong luật bảo mật dữ liệu và trong các vấn đề khác của luật CNTT.
Hãy liên hệ với chúng tôi!
