סגור

בהובלת לוקסמבורג: הקנסות על חברות הטכנולוגיה זינקו פי 7

שיא של כל הזמנים בקנסות על הפרת תקנות הפרטיות נרשם ב־2021, לאחר שאירופה הגבירה את מאמצי האכיפה. אמזון ופייסבוק ספגו את העונשים הכבדים ביותר. הולנד וליכטנשטיין הובילו במספר התלונות על דליפת נתונים אישיים. כך עולה מדו"ח של פירמת DLA Piper

שלוש שנים אחרי שהאיחוד האירופי השיק את כללי הגנת הפרטיות הנרחבים ביותר בעולם ה-GDPR, או בשם המלא General Data Protection Regulation, רשויות הגנת המידע האירופיות מגבירות את מאמצי האכיפה שלהן.
את 2021 סיכמו ביבשת עם שיא של כל הזמנים בשווי הקנסות שהוטלו על חברות הטכנולוגיה - 1.1 מיליארד יורו.


את שני הקנסות הגדולים ביותר השיתו לוקסמבורג ואירלנד. לוקסמבורג קנסה את אמזון בקנס הגדול אי־פעם מתוקף GDPR - בגובה 746 מיליון יורו - אם כי ענקית הטכנולוגיה נמצאת עדיין בתהליכי ערעור. את הקנס השני בגודלו, 225 מיליון יורו, הטילה אירלנד על פייסבוק (כיום מטא), זאת בשל חוסר שקיפות בטיפול במידע על ידי ווטסאפ, החברה־הבת שלה.

2 צפייה בגלריה
אינפו אירופה הוכיחה שעדיף לכבד את חוקי הפרטיות
אינפו אירופה הוכיחה שעדיף לכבד את חוקי הפרטיות
אירופה הוכיחה שעדיף לכבד את חוקי הפרטיות

קנסות העתק הללו עקפו באופן בולט את צרפת, שהיתה אחראית עד כה לקנס הבודד הגבוה ביותר שהוטל על חברה - 50 מיליון יורו שהשיתה ב־2020 על גוגל. גם איטליה נותרה כעת הרחק מאחור, זאת לאחר שעד לשנה החולפת היא החזיקה בשיא הקנסות המצטברים - 79 מיליון יורו.
קנסות השיא מהווים נתח משמעותי מכלל קנסות ה־GDPR שהושתו בשנת 2021 - כך עולה מדו"ח של פירמת עורכי הדין DLA Piper שסקר את הקנסות והפרות ה־GDPR בקרב 27 מדינות האיחוד האירופי, זאת נוסף על בריטניה, נורבגיה, איסלנד וליכטנשטיין. בחישוב כולל, היקף הקנסות זינק פי שבעה לעומת 158.5 מיליון יורו ב־2020. עוד מצא המחקר, כי מספר הדיווחים על דליפת נתונים אישיים טיפס זו השנה השלישית ברצף. כ־130 אלף הפרות נתונים אישיות דווחו לרגולטורים, עם ממוצע של 356 דיווחים - עלייה של 8% ביחס ל־331 דיווחים יומיים ב־2020. לצד העלייה באכיפה, כך גברו גם המאמצים לערער על התקנות החדשות. כך' למשל, בגרמניה נפסלה הטלת קנס בגובה 14.5 מיליון יורו, שקשורה לאחסון מידע.
העלייה החדה בהיקף הקנסות מיוחסת בעיקר לתקנות המחמירות המכוונות על פי פסק דין Schrems II של בית הדין האירופי לצדק מיולי 2020. פסק דין זה פסל את מה שמכונה הסכם "מגן הפרטיות" בין ארה"ב לאיחוד האירופי. הסכם זה הסדיר את נושא העברת הנתונים בין היבשות, אך פסק הדין קבע כי הוא אינו מספק הגנה מספקת לאירופים מפני מעקב של חברות הטכנולוגיה. כך, הוצב למעשה רף גבוה יותר להעברת נתונים אישיים, כאשר בין השאר עלתה הדרישה לחייב ארגונים לבצע מיפוי מקיף של ההעברות והערכות הסיכונים המשפטיים והמעשיים הכרוכים בכך. מאז התקבל פסק הדין, גורמים המייצאים נתונים מהיבשת חשופים לקנסות ולתביעות פיצויים רבות.

2 צפייה בגלריה
מרכז לוגיסטי של אמזון ב ניו ג'רזי
מרכז לוגיסטי של אמזון ב ניו ג'רזי
מרכז לוגיסטי של אמזון בניו ג'רזי. ערערה על הקנס
(צילום: רויטרס)

כללי GDPR, שנכנסו לתוקף במאי 2018, מגדירים את האופן שבו אתרים - ללא קשר לבסיס הפעילות שלהם - אוספים ושומרים מידע אישי על הגולשים. הפרת כללי הפרטיות או השקיפות חשופה לקנסות של עד 4% מהמחזור השנתי של החברה שביצעה את העבירה. מלבד החובה להגן על פרטיות המשתמשים ולדווח על פריצות, חברות נדרשות לאפשר למשתמשים גישה לכל המידע האישי שלהם. דרישה זו כוללת גם את מה שמוגדר "הזכות להישכח", כלומר הזכות של יחידים לדרוש מהגורם שאסף עליהם את המידע, למחוק את כולו.
בישראל המצב בזירה הזו עגום למדי, בהינתן כי חוק הגנת הפרטיות לא עודכן משמעותית ב-40 השנים האחרונות. חוקי ה־GDPR אינם תקפים בישראל, ומותירים את תושביה חשופים אל מול מאמצי איסוף הנתונים של ענקיות הטכנולוגיה.
בישראל פועלת DLA Piper מאז 2012 באמצעות עוה"ד ג'רמי לוסטמן ונעמי מרילס.