Ngày 3-7, Cơ quan bảo vệ quyền riêng tư (IMY) của Thụy Điển đã yêu cầu 4 công ty ngừng sử dụng Google Analytics, một công cụ đo lường và phân tích lưu lượng truy cập website nhưng gián tiếp chuyển thông tin cá nhân người dùng sang Mỹ.
Trước đó IMY đã tiến hành kiểm tra việc các công ty của Thụy Điển sử dụng Google Analytics, sau khi tổ chức bảo vệ dữ liệu NOYB của Áo gửi hàng chục đơn khiếu nại tới nhiều quốc gia châu Âu về vấn đề bảo mật của Google.
NOYB đã đánh giá rằng việc các công ty sử dụng Google Analytics để thống kê lượng truy cập đã dẫn tới hậu quả là các dữ liệu của châu Âu bị chuyển sang Mỹ, vi phạm Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh châu Âu (EU).
Sau khi kiểm tra, IMY kết luận rằng dữ liệu 4 công ty sử dụng công cụ kể trên (gồm chuỗi siêu thị Coop, tờ báo Dagens Industri, Tập đoàn viễn thông Tele2 và trang thương mại trực tuyến CDON) gửi tới máy chủ của Google Analytics ở Mỹ là dữ liệu cá nhân, và 4 công ty này đã “không thực hiện các biện pháp an ninh kỹ thuật cần thiết để bảo vệ người dùng đúng theo tiêu chuẩn trong EU”.
IMY tuyên phạt Tele2 và CDON lần lượt 12 triệu kronor (1,1 triệu USD) và 300.000 kronor, đồng thời cấm các công ty này sử dụng Google Analytics. Riêng Coop và báo Dagens Industri đã có các biện pháp bảo vệ dữ liệu được chuyển đi nên không bi phạt.
NOYB hoan nghênh phán quyết của IMY, khẳng định dù nhiều nước châu Âu khác như Áo, Pháp và Ý đã phát hiện công cụ này vi phạm luật GDPR, nhưng Thụy Điển là quốc gia đầu tiên phạt tài chính đối với hành vi sử dụng Google Analytics.
Vi phạm luật bảo vệ dữ liệu cá nhân, bị phạt tới 20 triệu euro
GDPR là luật bảo vệ dữ liệu cá nhân được EU ban hành năm 2018. Luật này chỉ cho phép các công ty chuyển dữ liệu cho bên thứ 3, sau khi Ủy ban châu Âu (EC) xác nhận quốc gia thứ 3 đó đảm bảo mức độ bảo vệ dữ liệu tương đương với EU.
Doanh nghiệp vi phạm có thể đối mặt với án phạt lên tới 20 triệu euro (21,8 triệu USD), hoặc 4% số doanh thu toàn cầu.
Năm 2020, Tòa án công lý của EU đã phán quyết rằng thỏa thuận chia sẻ dữ liệu giữa Mỹ – EU không đủ để đánh giá rằng Mỹ có mức độ bảo vệ dữ liệu tương đương với EU. Tháng 5 vừa qua, EC hy vọng sẽ đạt thỏa thuận về chia sẻ dữ liệu cá nhân với Mỹ vào cuối hè này, thể hiện cam kết chung trong việc hướng tới đảm bảo quyền riêng tư và bảo vệ dữ liệu.