לפני כשנה נכנסו לתוקף התקנות החדשות להגנת הפרטיות באירופה (ה-GDPR). זאת, לאחר תקופת היערכות במהלכה היינו עדים לחשש גדול מאוד בשוק, בעיקר בקרב חברות הטכנולוגיה, בנוגע לשאלת היקף האכיפה של תקנות אלו, שמאפשרות להטיל קנסות של עד 20 מיליון אירו או 4% מהמחזור השנתי העולמי של הארגון המפר, הגבוה מבין השניים.
היום, כשנה לאחר שהתקנות נכנסו לתוקף, נראה כי רשויות האכיפה באירופה נקטו פעולות אכיפה לא מעטות, אולם סך הקנסות שהוטלו עד כה עומד במצטבר על כ-56 מיליון אירו בלבד. בהתחשב במספר החברות הרב שמעבדות מידע אישי על אירופים וביחס לגובה הקנסות המקסימלי שנקבע ב-GDPR, נראה כי הרשויות הסתפקו בהטלת קנסות בהיקפים קטנים יחסית.
הדבר מתיישב עם גישתן של הרשויות באירופה, שבחרו לפעול בשנה הראשונה של התקנות בגישה בונה, שתכליתה אינה להעניש חברות אלא לעודד ציות ולאפשר זמן נוסף להטמיע את דרישות ה-GDPR.
כך למשל, באירוע אבטחת מידע במסגרתו נפרצו כתובות הדוא"ל והסיסמאות של 330 אלף משתמשים של הרשת החברתית הגרמנית "Knudels", הוטל קנס בסך 20 אלף אירו בלבד (שהיה גם הקנס הראשון שהוטל מכוח ה-GDPR). זאת, מאחר שהחברה הודיעה באופן יזום ומהיר על המקרה לרשויות וללקוחות שנפגעו ופעלה במהירות ליישם אמצעי אבטחה על מנת למנוע הישנות את המקרה.
לעומת זאת, בית חולים בפורטוגל נקנס בסכום של כ-400 אלף אירו על הפרות מרובות ובוטות של דרישות התקנות, ובין היתר אי-עמידה בדרישות בעניין תכנון לפרטיות, הרשאות גישה עודפות למידע אישי ואי-נקיטה באמצעים טכניים וארגוניים מספקים למניעת גישה בלתי חוקית למידע אישי.
אין חולק כי ההשפעות של ה-GDPR רבות ומשמעותיות. ראשית, גם קנסות בסדר גודל נמוך יחסית דוחפים יותר ויותר ארגונים לערוך בדק בית ולעמוד בדרישות ה-GDPR. הצפי הוא שכעת, כשמסתיימת "תקופת החסד" שבה הוטלו קנסות בסכום נמוך, האכיפה צפויה להיות אגרסיבית יותר ותכלול קנסות משמעותיים הרבה יותר.
בנוסף, נראה כי כיום חברות, גם אלו אשר אינן כפופות ל-GDPR, מודעות הרבה יותר לסוגיות של פרטיות והגנה על מידע אישי ונוקטות פעולות רבות על מנת להטמיע עקרונות של פרטיות ואבטחת מידע בארגון.
כמו-כן, משקיעים ורוכשים של חברות שמים דגש רב על עניין זה במסגרת עסקאות, דבר שמחייב את החברות לוודא עמידה בדרישות הדין בקשר לפרטיות.
לבסוף, לא ניתן להתעלם מהשפעתה הגלובלית של חקיקת ה-GDPR. הרגולציה בעולם בתחום זה התפתחה בקצב חסר תקדים בשנה האחרונה, כאשר רגולטורים ברחבי העולם חוקקו חוקים רבים להגנה על מידע אישי, אשר נוטלים השראה, במידה כזו או אחרת, מה-GDPR.
כך למשל, ניתן לציין את חוק הגנת הצרכן בקליפורניה (ה-CCPA) שצפוי להיכנס לתוקף בתחילת 2020, כמו גם מגוון הצעות חוק שעולות בארה"ב בעניין הגבלת איסופו של מידע אישי, וכן חוקים חדשים בתחום הגנת הפרטיות בברזיל, דרום קוריאה, יפן ואוסטרליה.
משכך, נראה כי כבר כיום מיקומו הפיזי של הארגון הוא בעל חשיבות משנית, וכי בעתיד הקרוב, לאור אפקט הדומינו הבינלאומי, רוב החברות בעולם יהיו כפופות לחוקים מחמירים, כאלו או אחרים, ביחס לעיבוד מידע אישי.
הכותבת היא שותפה ומנהלת את מחלקת קניין רוחני ופרטיות בפירמת GKH
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.