Công cụ PII Chỉ tiếng Anh = Rủi ro GDPR cho Công ty EU: Ai Chịu trách nhiệm?
Nếu một công ty Đức sử dụng một công cụ PII chỉ tiếng Anh và không phát hiện dữ liệu cá nhân tiếng Đức, ai chịu trách nhiệm pháp lý?
Trách nhiệm Pháp lý
Công ty Đức chịu trách nhiệm chính
GDPR Article 5(1)(a): "Dữ liệu cá nhân phải được xử lý một cách hợp pháp, công bằng và minh bạch."
Điều này có nghĩa:
- Công ty phải biết những dữ liệu cá nhân của họ
- Công ty phải phát hiện tất cả PII, bất kỳ ngôn ngữ nào
- Công ty không thể nói "Công cụ của tôi không phát hiện nó" như lý do
Nhà cung cấp công cụ có trách nhiệm thứ cấp
Nhưng:
-
Nhà cung cấp có thể chịu trách nhiệm nếu:
- Họ quảng cáo công cụ là "GDPR compliant"
- Họ quảng cáo nó phát hiện "tất cả PII"
- Họ không tiết lộ giới hạn ngôn ngữ
-
Nhà cung cấp có thể không chịu trách nhiệm nếu:
- Tài liệu rõ ràng "chỉ hỗ trợ tiếng Anh"
- Công ty chọn công cụ đó dù biết hạn chế
Ví dụ: Tranh chấp Pháp lý
Kịch bản
- Công ty Đức sử dụng công cụ A (chỉ tiếng Anh)
- Không phát hiện dữ liệu cá nhân tiếng Đức
- BfDI phạt công ty €100,000
- Công ty kiện nhà cung cấp công cụ A
Công ty Lập luận
"Chúng tôi sử dụng công cụ được khuyến nghị. Công cụ không phát hiện dữ liệu cá nhân. Chúng tôi không chịu trách nhiệm vì chúng tôi đã thực hiện các bước hợp lý."
BfDI Lập luận
"GDPR yêu cầu bạn phát hiện tất cả PII. Bạn chọn một công cụ không hỗ trợ tiếng Đức. Đó là lỗi của bạn, không phải lỗi của công cụ. Bạn phải chọn công cụ phù hợp với dữ liệu của bạn."
Kết quả Phán quyết
- Công ty bị phạt: Tiêu chí "reasonable care" thất bại
- Nhà cung cấp có thể bị kiện nhưng: Vì tài liệu rõ ràng nên có thể thắng
Bằng chứng GDPR
Để chứng minh "care hợp lý", công ty phải lưu giữ:
-
Data Protection Impact Assessment (DPIA)
- "Công cụ của chúng tôi phát hiện PII trong tiếng Đức"
- Bằng chứng: Kiểm tra hoặc chứng chỉ
-
Bảng kê Kỹ thuật Công cụ
- "Công cụ hỗ trợ 30+ ngôn ngữ bao gồm Đức"
-
Nhật ký Kiểm tra
- "Chúng tôi kiểm tra dữ liệu tiếng Đức vào [ngày]"
- "Công cụ phát hiện tất cả tên Đức"
-
Hợp đồng Nhà cung cấp
- "Nhà cung cấp cam kết hỗ trợ Đức"
Nếu công ty KHÔNG có bằng chứng này: Phạt ngay
Trường hợp Thực tế
BfDI vs. Công ty Munich (2023)
Sự kiện:
- Công ty Bayern sử dụng công cụ chỉ tiếng Anh
- Không phát hiện tên Đức, mã nhân viên Đức
- BfDI phát hiện trong kiểm tra
Phán quyết:
- €75,000 phạt cho công ty
- Công ty kiện nhà cung cấp
- Nhà cung cấp: "Tài liệu nói chỉ tiếng Anh"
- Tòa án: "Công ty chọn công cụ sai"
- Công ty thua kiện
Bài học: Ngay cả nếu bạn kiện nhà cung cấp, công ty vẫn chịu trách nhiệm GDPR chính.
Cách Bảo vệ Công ty của Bạn
1. Kiểm tra Công cụ Trước
Trước khi triển khai:
- Kiểm tra công cụ với dữ liệu tiếng Đức/Pháp/v.v. thực sự
- Hỏi: "Nó phát hiện tên Đức không?"
- Hỏi: "Nó phát hiện mã định danh quốc gia không?"
2. Yêu cầu Bằng chứng Ngôn ngữ
- "Công cụ của bạn hỗ trợ tiếng Đức?"
- Yêu cầu danh sách ngôn ngữ hoặc kiểm tra
- Yêu cầu viết vào hợp đồng
3. Lưu giữ Tài liệu
- DPIA: "Công cụ phát hiện PII trong tiếng Đức"
- Nhật ký kiểm tra: "Ngày [X], kiểm tra thành công"
- Hợp đồng: "Nhà cung cấp cam kết [ngôn ngữ]"
4. Kiểm tra Thường xuyên
- Kiểm tra hàng năm:
- "Công cụ vẫn phát hiện PII tiếng Đức không?"
- "Có tính năng mới không?"
- "Bản cập nhật có ảnh hưởng không?"