Giới chức Ireland đã xử phạt nền tảng WhatsApp của Meta 225 triệu euro. Ảnh: AFP

Thông tin trên được Công ty luật DLA Piper (Vương quốc Anh) công bố trong một báo cáo chuyên ngành vào ngày 18/1. Cụ thể, tổng số tiền mà EU xử phạt các vụ vi phạm Quy định bảo vệ dữ liệu chung (GRPR) trong 1 năm qua, tính từ ngày 28/1/2021, đã lên tới 1,25 tỷ USD, tăng gần 7 lần so với con số 180 triệu USD của 1 năm trước đó.

Trong năm qua, số lượt báo cáo vi phạm bảo mật dữ liệu được phản ánh đến các cơ quan chức năng EU tăng trung bình 8% lên 356 vụ/ngày.

Quy định GRPR là luật bảo vệ dữ liệu mới của EU. Quy định này chính thức có hiệu lực từ năm 2018 với những thay đổi sâu rộng về các nguyên tắc bảo mật dữ liệu nhằm hỗ trợ người dùng châu Âu kiểm soát tốt hơn thông tin cá nhân.

Theo quy định, các công ty phải chứng minh cơ sở pháp lý rõ ràng khi thu thập và xử lý dữ liệu cá nhân của người dùng. Đồng thời, họ phải thông báo đến cơ quan chức năng trong vòng 72 giờ kể từ khi xác định được bất kỳ vụ vi phạm dữ liệu nào.

Nếu không tuân thủ quy định GRPR, doanh nghiệp có thể bị phạt khoản tiền tương đương tới 4% doanh thu toàn cầu hàng năm của họ hoặc 20 triệu euro (22,8 triệu USD), tùy theo con số nào lớn hơn.

"Quy định GDPR chắc chắn đã phát huy hiệu quả trong việc yêu cầu mọi người phải tăng cường bảo vệ dữ liệu và đảm bảo thực thi bảo vệ dữ liệu", ông Ross McKean, Giám đốc phụ trách an ninh và bảo mật dữ liệu thị trường Anh tại Công ty luật DLA Piper, cho biết.

Trong tổng số tiền 1,25 tỷ USD mà EU tuyên phạt năm qua, các "ông lớn" công nghệ (Big Tech) Mỹ "đóng góp” nhiều nhất. Cụ thể, Cơ quan giám sát quyền riêng tư EU đã xử phạt Amazon 746 triệu euro (850 triệu USD), còn giới chức Ireland cũng xử phạt nền tảng WhatsApp của Meta 225 triệu euro. Cả hai công ty này đang trong quá trình kháng cáo các án phạt.

"Phải mất một thời gian nữa, cơ quan chức năng mới có thể áp dụng các mức tiền phạt lớn một khi chúng được đưa vào trong quy định mới", ông McKean nhận định. "Đó là bởi các cuộc điều tra sẽ mất một thời gian. Và các quy định mới vẫn còn để ngỏ rất nhiều câu hỏi pháp lý", ông McKean nói thêm. Trong đó, vấn đề chuyển dữ liệu xuyên biên giới giữa EU và Mỹ vẫn chưa được giải đáp.

Vào năm 2020, Tòa án công lý châu Âu đã đưa ra một phán quyết gây chấn động về việc vô hiệu hóa việc sử dụng khung pháp lý dịch chuyển dữ liệu qua Đại Tây Dương, gọi tắt là Privacy Shield. Dù tuyên vô hiệu hóa khung pháp lý Privacy Shield, nhưng Tòa án công lý châu Âu vẫn duy trì hiệu lực của một số điều khoản hợp đồng tiêu chuẩn, một cơ chế khác giúp hoạt động dịch chuyển dữ liệu giữ EU và Mỹ trở nên hợp pháp.

Ông McKean cho rằng các công ty, tổ chức sẽ vẫn tiếp tục "đau đầu" trước sự không chắc chắn xung quanh vấn đề pháp lý của việc dịch chuyển dữ liệu giữa EU và Mỹ. Theo chuyên gia này, các doanh nghiệp, tổ chức tham gia chuỗi cung ứng quốc tế đều cần truyền tải dữ liệu quốc tế, cho nên phán quyết vô hiệu hóa khung pháp lý Privacy Shield đã tác động "sâu sắc" đến họ dưới mọi góc độ và quy mô.

Ngoài sự không chắc chắn về pháp lý, ông McKean dự đoán năm 2022 sẽ chứng kiến thêm các vụ kháng cáo đối với mức phạt vi phạm quy định GDPR mà EU áp dụng.