עו"ד עידן בן-יעקב, ממשרד עו"ד בן-יעקב קרדיט: תמר מצפי

GDPR : הפרטיות שלנו כבר לא מופקרת, לפחות לא לגמרי

בשנים האחרונות הפך נושא הגנת הפרטיות לחם במיוחד; כללי ה-GDPR של האיחוד האירופי מעניקים הגנה על מידע ונתונים אישיים; לאחרונה דווח שגם סין רוצה להסדיר את הנושא ופרסמה טיוטת חוק

עו”ד עידן בן יעקב 16/08/2021 15:49

א+א-

בשנים האחרונות הפך כל נושא הגנת הפרטיות לנושא חם במיוחד, אפילו בתקשורת הפופולרית. ככל שהחיים שלנו מתנקזים יותר לתוך המכשירים הסלולריים, המחשבים הניידים והשעונים החכמים ניכר כי יש מי שמנסה לייצר לעצמו רווח מכך, במקרה הטוב או לרכז בידיו כוח שישמש לשליטה על ציבורים גדולים, במקרה הרע. המשפט האלמותי – Knowledge is power מקבל משנה תוקף ומשמעות בעידן הנוכחי.

 

האם צפויה מגמת התחזקות בתחום אבטחת המידע האישי שלנו? ואולי בכלל צריך "לשחרר" ולהודות כי האמת היא שהמידע שלנו הפך לפרוץ לעיני כל?

 

לפני שלוש שנים נכנסו לתוקף כללי ה-GDPR. הכללים הללו הם בעצם סט של תקנות וחוקים שנקבעו על ידי האיחוד האירופי. מטרתם להניח קווים מנחים ואדומים לכל הסכם, לרבות בין המשתמש שיצר את המידע לחברה שמאחסנת אותו ועושה בו שימוש, אופן ויכולת העברתו בין מדינה למדינה, בתוך ומחוץ לאיחוד האירופאי, ולכל גורם שיש לו נגיעה לאותו המידע.

 

לאחרונה פורסם כי הקונגרס העממי הלאומי בסין פרסם טיוטה לחוק הגנת מידע אישי בהשראת ה-GDPR האירופי. מדובר בהסדרה של כמה טיוטות לחוקי הגנת פרטיות שכבר חלים במדינה, אך יצרו לא מעט אי-בהירות ובעיות למי שביקש ליישמן.

 

לא ברור אם זוהי רק "עילה" נוספת להגברת השליטה במידע הקיים בסין, וכתוצאה מכך – בכח הפוליטי והכלכלי הטמון בו, או הגנה אותנטית על אזרחי המדינה מפני גורמים זרים (כנראה שניהם). מה שכן ברור הוא שאפילו סין "נכנעה" או "תפסה טרמפ" על הטרנד שסוחף את אירופה והעולם: הגנה על המידע האישי.

 

בגלל יתרון הגודל של האיחוד האירופי, הוא חייב דה-פקטו את שאר העולם להתאים את עצמו אליו. כך גם ישראל התאימה עצמה לפרוטוקול ה-GDPR באמצעות רשת הסכמי גישור והתאמה. ההסכמים התייחסו לשלל נושאי פרטיות, תוך התאמה לשוק הישראלי ולדרישות הייחודיות לו.

 

מאז שנת 2018 הרשויות באיחוד האירופי הטילו יותר מ-661 קנסות. עד לאחרונה איטליה עמדה בראש טבלת המובילים עם הקנסות הגבוהים ביותר שהוטלו. אך ממש לאחרונה לוקסמבורג עקפה אותה בכך שהטילה על אמזון קנס אסטרונומי (אולי לא אסטרונומי מספיק, תלוי את מי שואלים) של 746 מיליון יורו בגלל שימוש לא תקין במידע והפרה של תקנות ה-GDPR.

 

במהלך 12 החודשים שבין יולי 2020 ליולי 2021 המספר המצטבר של הפרות GDPR עלה בהתמדה ב-113.5%. בשנה שעברה מספר הקנסות היה 332, ועלה ל-709 בשנת 2021. באותה תקופה, העונשים של הרגולטורים באיחוד האירופי בגין ההפרות עלו ב-124.92%. ביולי אשתקד עמדו הקנסות המצטברים על 130.69 מיליון אירו, וגדלו ל-290.96 מיליון אירו.

 

החברות המובילות בקבלת הקנסות הן חברות הטכנולוגיה הגדולות, בדגש על אמזון, שכאמור נקנסה ב-746 מיליון דולר, וכלה בגוגל שנקנסה בסכום של 60 מיליון יורו החל מ-18 ביולי2021 על ידי הרגולטור בצרפת. גוגל אירלנד מדורגת לאחר מכן עם קנסות של 40 מיליון יורו. הרגולטורים הצרפתיים גם הטילו קנסות נוספים על מרכז אמזון אירופה בסך של 35 מיליון יורו.

 

מספרים אלה אולי נשמעים מרשימים ויוצרים רושם שהחקיקה בתחום עובדת. אבל יש לא מעט בעיות שהרשויות עדיין לא מצליחות להתמודד איתן. עדויות מתוך חברות שהפרו את החוק מצביעות על כך שלוקח לפחות 3 חודשים עד שהרשויות מתחילות לבחון את ההפרות. אולי הן יטופלו בשלב כזה או אחר, אבל בינתיים הפגיעה בזכויות ובחירות הפרט מתקיימת. ככל הנראה, פשוט אין מספיק אנשים שיאכפו את החוקים המורכבים הללו.

 

יוהנס קספר, ראש הוועדה להגנת נתונים בהמבורג, התפטר לאחרונה מתפקידו והביע אכזבה רבה מה-GDPR שאותו כינה "שבור" ולא יעיל, בוודאי בהתייחס לחברות הטכנולוגיה הגדולות. הוא הסביר כי הוא מתוסכל מהמודל הקיים הדורש איסוף מידע והסכמה ממגן רשויות הגנת נתונים. חלק ניכר מהזעם הוא מפנה כלפי מרכזי אכיפת ה-GDPR באירלנד, שממלאים תפקיד מרכזי בהחלטות חוצות גבולות שבהם מעורבים חברות טכנולוגיה גדולות שפועלות במדינה.

 

אך הבעיה המרכזית שעליה מצביע קספר פשוטה: הקנסות לא "מדגדגים" את החברות הגדולות. הרשויות לא עומדות בקצב. למשל, 28 מקרים של הפרות נידונו נגד חברות טכנולוגיה גדולות שפועלות באירלנד, אולם הרשויות המקומיות הטילו את הקנס הראשון רק בסוף השנה שעברה, קנס של 547,000 דולר נגד טוויטר בגין חשיפה לא מקובלת של ציוצים פרטיים. גרמניה הייתה מהבולטות ביותר בין המדינות שהביעו חוסר שביעות רצון מסכום הקנס.

 

הצד השני של המטבע, כאמור, הוא שנושא הפרטיות לא יורד מהפרק ונצרב בתודעה. הציבור מודע יותר וחושש יותר. ולא מדובר רק בפעולות לא-חוקיות לכאורה שביצעו חברות פרטיות בהאזנה ומעקב אחרי פרטים, כפי שמואשמת בימים אלו חברת NSO על ידי התקשורת.

 

כיום ניכר יותר מתמיד שברירת המחדל הנדרשת מחברות היא לקיים בקרות ספציפיות בנושא אבטחת מידע, כדי להפחית את הסיכון לשימוש שלא כחוק במידע של ועל לקוחות, ולפקח באופן רציף על כללי הציות.

 

* הכותב הוא עו"ד עידן בן-יעקב, ממשרד עו"ד בן-יעקב, המתמחה בהייטק, משפט מסחרי, השקעות וניהול הון משפחתי

אין תגובות

בשליחת תגובה אני מסכים/ה לתנאי האתר

שלח תגובה