Nộp phạt Amadeus vì lập hồ sơ du khách bất hợp pháp
Cơ quan Bảo vệ Dữ liệu Tây Ban Nha (AEPD) đã có ảnh hưởng khá nặng nề trong lĩnh vực công nghệ toàn cầu khi áp dụng mức phạt cao nhất trong toàn bộ lịch sử tổ chức của mình đối với Tập đoàn CNTT Amadeus.
Cơ quan quản lý Iberia đã chính thức kết án gã khổng lồ hệ thống đặt chỗ với mức phạt tài chính 18 triệu euro vì khai thác trái phép dữ liệu cá nhân của hàng triệu du khách quốc tế như một phần của dự án thí điểm nội bộ được thực hiện mà không có cơ sở pháp lý hợp lệ và không thông báo cho những người liên quan bất cứ lúc nào.
Phán quyết của cơ quan giám sát đưa ra kết luận nghiêm túc rằng công ty đã vi phạm hai điều khoản chính của Quy định bảo vệ dữ liệu chung (GDPR) bằng cách sử dụng sai mục đích thông tin bí mật được lưu trữ trong hệ thống đặt chỗ trung tâm (GDS) để hỗ trợ một chương trình thử nghiệm bí mật nhằm phát triển các sản phẩm dự đoán mới cho các hãng hàng không, khách sạn và đại lý du lịch.
Mục tiêu kinh doanh cơ bản của Amadeus là xây dựng hồ sơ khách du lịch rất chi tiết bằng cách phân tích lịch sử chuyến bay, điểm đến ưa thích, tần suất di chuyển và thói quen chi tiêu cụ thể của họ.
Theo các tài liệu bí mật mà AEPD thu giữ trong quá trình điều tra, dự án công nghệ này nhằm mục đích cung cấp cho các bên liên quan về du lịch các chức năng tìm kiếm “có mục tiêu và siêu cá nhân hóa” nhờ vào “kiến thức chuyên sâu về khách hàng cuối”.
Khoản tiền phạt lịch sử 18 triệu euro này được chia thành hai hình phạt riêng biệt, mỗi hình thức trị giá 9 triệu euro: hình phạt đầu tiên trừng phạt nghiêm khắc việc thiếu hoàn toàn cơ sở pháp lý để hợp pháp hóa việc xử lý dữ liệu hàng loạt như vậy, trong khi hình phạt thứ hai là kết quả trực tiếp từ việc trắng trợn không thông báo cho người dùng, những người chưa bao giờ được cảnh báo rằng dữ liệu giao thông cá nhân của họ sẽ được sử dụng lại nhiều năm sau đó cho mục đích tiếp thị thuần túy và hoàn toàn khác với khoản đặt trước ban đầu.
Lịch sử của dự án thí điểm tiết lộ rằng nó bắt đầu vào năm 2021 với sự hợp tác chặt chẽ với hai chuỗi khách sạn lớn, những thương hiệu này được cố tình giấu trong nghị quyết chính thức; Trong các cuộc kiểm tra kỹ thuật này, Amadeus đã so sánh hồ sơ hành khách hàng không (PNR) giữa hồ sơ khách hàng của các khách sạn này để xây dựng lại lịch sử du lịch đầy đủ và mang tính dự đoán.
AEPD nghiêm túc nhấn mạnh rằng cơ sở dữ liệu lịch sử có niên đại từ năm 2019 đã bị rò rỉ trong dịp này, điều này đặc biệt có vấn đề đối với luật pháp Châu Âu vốn giới hạn nghiêm ngặt thời gian lưu giữ dữ liệu cá nhân và hạn chế quyền truy cập của họ vào các tình huống khẩn cấp rất cụ thể.
Cuộc điều tra quy định rộng lớn này đã được mở sau khi có đơn khiếu nại ẩn danh được đệ trình vào năm 2023, cảnh báo các cơ quan chức năng về phạm vi tiếp cận toàn cầu của hệ thống lập hồ sơ này và tác động tiềm tàng của nó đối với hàng tỷ hồ sơ hành khách, bao gồm cả hồ sơ của hàng triệu công dân Tây Ban Nha.
Mặc dù Amadeus cuối cùng đã đưa ra quyết định từ bỏ dự án sau khi xác định nội bộ các rủi ro nghiêm trọng đối với quyền riêng tư của khách hàng, cơ quan quản lý cho rằng thực tế đơn giản là việc phát triển và thử nghiệm một hệ thống như vậy đã cấu thành một hành vi phạm tội nghiêm trọng và có thể bị trừng phạt nặng nề về tài chính.
Theo cơ chế pháp lý của Tây Ban Nha, nếu quyết định được thông qua, công ty công nghệ sẽ có thể được hưởng lợi từ việc giảm 20% nhờ chương trình thanh toán tạm ứng, giảm hóa đơn xuống còn 14,4 triệu euro.
Tuy nhiên, Amadeus vẫn kiên quyết bác bỏ kết luận của AEPD và tuyên bố trong một thông cáo báo chí chính thức rằng họ phản đối ” một cách kính trọng » cách giải thích của cơ quan quản lý, thông báo ý định kháng cáo quyết định lên các tòa án liên quan, tuyên bố rằng chương trình thí điểm này chỉ là một sáng kiến thống kê kéo dài ba tháng nhằm tạo ra dữ liệu tổng hợp và ẩn danh thuần túy mà không chia sẻ bất kỳ dữ liệu nhận dạng cá nhân nào.
