GDPR: הפרטיות שלנו כבר לא מופקרת, לפחות לא לגמרי
למעלה מ-3 שנים עברו מאז שנכנסו לתוקף כללי ה-GDPR של האיחוד האירופי, וכיום כבר אי אפשר להתעלם מהאפקט שהם יצרו בעולם: אבטחת פרטיות ומידע אישי הפכו לנושא חם. האכיפה עדיין רחוקה מלהיות מושלמת, אבל אנחנו בכיוון הנכון. מאת עו"ד עידן בן-יעקב
לאחרונה פורסם כי הקונגרס העממי הלאומי בסין פרסם טיוטה לחוק הגנת מידע אישי בהשראת ה-GDPR האירופי. מדובר בהסדרה של כמה טיוטות לחוקי הגנת פרטיות שכבר חלים במדינה, אך יצרו לא מעט אי-בהירות ובעיות למי שביקש ליישמן.
לא ברור אם זוהי רק "עילה" נוספת להגברת השליטה במידע הקיים בסין (וכתוצאה מכך – בכח הפוליטי והכלכלי הטמון בו) או הגנה אותנטית על אזרחי המדינה מפני גורמים זרים (כנראה שניהם). מה שכן ברור הוא שאפילו סין "נכנעה" או "תפסה טרמפ" על הטרנד שסוחף את אירופה והעולם: הגנה על המידע האישי.
בשנים האחרונות הפך כל נושא הגנת הפרטיות לנושא חם במיוחד, אפילו בתקשורת הפופולרית. ככל שהחיים שלנו מתנקזים יותר לתוך המכשירים הסלולריים, המחשבים הניידים והשעונים החכמים ניכר כי יש מי שמנסה לייצר לעצמו רווח מכך (במקרה הטוב) או לרכז בידיו כוח שישמש לשליטה על ציבורים גדולים (במקרה הרע) – המשפט האלמותי – Knowledge is power מקבל משנה תוקף ומשמעות בעידן הנוכחי.
האם צפויה מגמת התחזקות בתחום אבטחת המידע האישי שלנו? ואולי בכלל צריך "לשחרר" ולהודות כי האמת היא שהמידע שלנו הפך לפרוץ לעיני כל?
למעלה מ-1,000,000,000 אירו בקנסות
לפני שלוש שנים נכנסו לתוקף כללי ה-GDPR. הכללים הללו הם בעצם סט של תקנות וחוקים שנקבעו על ידי האיחוד האירופי. מטרתן להניח קווים מנחים ואדומים לכל הסכם, לרבות בין המשתמש שיצר את המידע לחברה שמאחסנת אותו ועושה בו שימוש, אופן ויכולת העברתו בין מדינה למדינה (בתוך ומחוץ לאיחוד האירופאי) ולכל גורם שיש לו נגיעה לאותו המידע.
בגלל יתרון הגודל של האיחוד האירופי, הוא חייב דה-פקטו את שאר העולם להתאים את עצמו אליו. כך גם ישראל התאימה עצמה לפרוטוקול ה-GDPR באמצעות רשת הסכמי גישור והתאמה. ההסכמים התייחסו לשלל נושאי פרטיות, תוך התאמה לשוק הישראלי ולדרישות הייחודיות לו.
מאז שנת 2018 הרשויות באיחוד האירופי הטילו יותר מ-661 קנסות. עד לאחרונה איטליה עמדה בראש טבלת המובילים עם הקנסות הגבוהים ביותר שהוטלו. אך ממש לאחרונה לוקסמבורג (CNPD) עקפה אותה בכך שהטילה על אמזון קנס אסטרונומי (אולי לא אסטרונומי מספיק, תלוי את מי שואלים) בסך של 746 מיליון יורו בגין שימוש לא תקין במידע והפרה של תקנות ה-GDPR.
במהלך 12 החודשים שבין יולי 2020 ליולי 2021 המספר המצטבר של הפרות GDPR עלה בהתמדה ב-113.5%. בשנה שעברה מספר הקנסות היה 332, ועלה ל-709 בשנת 2021. באותה תקופה, העונשים של הרגולטורים באיחוד האירופי בגין ההפרות עלו ב-124.92%. ביולי אשתקד עמדו הקנסות המצטברים על 130.69 מיליון אירו, וגדלו ל-290.96 מיליון אירו.
החברות המובילות בקבלת הקנסות הן חברות הטכנולוגיה הגדולות, בדגש על אמזון, שכאמור נקנסה ב-746 מיליון דולר, וכלה בגוגל שנקנסה בסכום של 60 מיליון יורו החל מ-18 ביולי2021 על ידי הרגולטור בצרפת. גוגל אירלנד מדורגת לאחר מכן עם קנסות של 40 מיליון יורו. הרגולטורים הצרפתיים גם הטילו קנסות נוספים על מרכז אמזון אירופה בסך של 35 מיליון יורו.
טיפה בים
מספרים אלה אולי נשמעים מרשימים ויוצרים רושם שהחקיקה בתחום עובדת. אבל יש לא מעט בעיות שהרשויות עדיין לא מצליחות להתמודד איתן. עדויות מתוך חברות שהפרו את החוק מצביעות על כך שלוקח לפחות 3 חודשים עד שהרשויות מתחילות לבחון את ההפרות. אולי הן יטופלו בשלב כזה או אחר, אבל בינתיים הפגיעה בזכויות ובחירות הפרט מתקיימת. ככל הנראה, פשוט אין מספיק אנשים שיאכפו את החוקים המורכבים הללו.
יוהנס קספר, ראש הוועדה להגנת נתונים בהמבורג, התפטר לאחרונה מתפקידו והביע אכזבה רבה מה-GDPR שאותו כינה "שבור" ולא יעיל, בוודאי בהתייחס לחברות הטכנולוגיה הגדולות. הוא הסביר כי הוא מתוסכל מהמודל הקיים הדורש איסוף מידע והסכמה ממגן רשויות הגנת נתונים. חלק ניכר מהזעם הוא מפנה כלפי מרכזי אכיפת ה-GDPR באירלנד, שממלאים תפקיד מרכזי בהחלטות חוצות גבולות שבהם מעורבים חברות טכנולוגיה גדולות שפועלות במדינה.
אך הבעיה המרכזית שעליה מצביע קספר פשוטה: הקנסות לא "מדגדגים" את החברות הגדולות. הרשויות לא עומדות בקצב.
למשל, 28 מקרים של הפרות נידונו נגד חברות טכנולוגיה גדולות שפועלות באירלנד, אולם הרשויות המקומיות הטילו את הקנס הראשון רק בסוף השנה שעברה, קנס של 547,000 דולר נגד טוויטר בגין חשיפה לא מקובלת של ציוצים פרטיים. גרמניה הייתה מהבולטות ביותר בין המדינות שהביעו חוסר שביעות רצון מסכום הקנס.
מודעים יותר, חוששים יותר
הצד השני של המטבע, כאמור, הוא שנושא הפרטיות לא יורד מהפרק ונצרב בתודעה. הציבור מודע יותר וחושש יותר. ולא מדובר רק בפעולות לא-חוקיות לכאורה שביצעו חברות פרטיות בהאזנה ומעקב אחרי פרטים, כפי שמואשמת בימים אלו חברת NSO על ידי התקשורת.
כיום ניכר יותר מתמיד שברירת המחדל הנדרשת מחברות היא לקיים בקרות ספציפיות בנושא אבטחת מידע, כדי להפחית את הסיכון לשימוש שלא כחוק במידע של ועל לקוחות, ולפקח באופן רציף על כללי הציות.
אני מאמין שמגמה זו רק תתפתח ותתחזק. לכן כבר היום צריכים כל ארגון וחברה להתאים עצמם בפעילות הקיימת בכל הקשור להגנת פרטיות, ולהיעזר באנשי המקצוע הנכונים. חובה להכין מראש את הקרקע לפעילות עתידית, לרבות יצירת מנגוני בקרה ופיקוח פנימיים. צריך לוודא תאימות ופעילות לחוקים המקומיים והבינלאומיים המשתנים בתחומי הגנת הפרטיות ואבטחת המידע.
—–
עו"ד עידן בן-יעקב, ממשרד בן-יעקב עורכי דין, עוסק בתחום הגנת הפרטיות, ייעוץ שוטף לחברות, חברות הזנק, חברות בשלות השקעות בארץ ובחו"ל, נדל"ן, ניהול הון משפחתי ועוד.