© כל הזכויות שמורות לברנע ג'פה לנדה משרד עורכי דין

Together is powerful

כשכלבי השמירה של הפרטיות חושפים שיניים

חודש יולי 2019 מסמן עליית מדרגה באכיפה של הפרות פרטיות אצל חברות בעולם. המגמה החלה בידיעה שפורסמה ביום 8 ביולי 2019 על קנס בגובה כ-183 מיליון ליש"ט (כ-230 מיליון דולר), שה-ICO, רגולטור הגנת הפרטיות הבריטי, מתכנן להטיל על חברת התעופה הבריטית, בריטיש איירווייז. ביום למחרת, פורסם כי אותו רגולטור מתכנן להטיל קנס בגובה כ-99 מיליון ליש"ט (כ-123 מיליון דולר) על רשת המלונות הבינלאומית Marriot. שני ההליכים הללו החלו לאחר שהחברות דיווחו לרגולטור על תקיפות שבוצעו על המערכות שלהן כנדרש לפי תקנות הגנת המידע האירופאיות החדשות, ה-GDPR.

 

מן העבר השני של הים, ה-Federal Trade Commission האמריקני אישר הסדר פשרה עם פייסבוק לפיו פייסבוק תישא בקנס בסך כ-5 מיליארד דולר בגין הפרות פרטיות שהתגלו במסגרת חקירת פרשת קיימברידג' אנליטיקה.

 

אירועים אלו מחדדים את המגמה שהחלה עם כניסת ה-GDPR לתוקף וצריכים להוביל כל גוף עסקי שבא במגע עם מידע אישי (וכנראה שאין אחד שלא) למספר מסקנות:

 

רגולטורים בתחום הפרטיות בעולם מאוד תקיפים באכיפת הפרות של פרטיות. הכלים שניתנו להם במסגרת ה-GDPR לא נועדו להישאר בארגז הכלים. באירופה, הקנסות שהוטלו על ידי ה-ICO הבריטי ישברו את השיא המרשים שקבעה ה-CNIL, רשות הגנת הפרטיות הצרפתית, בקנס שהיא הטילה בחודש ינואר 2019 על גוגל בגובה 50 מיליון אירו. בארה"ב, הקנס שצפוי להיות מוטל על פייסבוק יהיה הקנס הגבוה ביותר שהוטל על ידי ה-FTC בגין הפרות פרטיות אי פעם, כאשר השיא הנוכחי עומד על 22.5 מיליון דולר, הוא הקנס שהוטל על גוגל בשנת 2012.

 

חברות גלובליות אינן צריכות לחשוש רק מהחשיפה הרגולטורית שצפויה להם באירופה, שכן גם ארה"ב, שעד כה לא נתפסה כמעצמת הגנת פרטיות גדולה, לא מהססת להפעיל כוחה כנגד פורעי חוקי הפרטיות. בהקשר זה חשוב להזכיר את החוק הגנת הפרטיות הקליפורני – (California Consumer Privacy Act) CCPA, שעומד להיכנס לתוקף ב-1 בינואר 2020. מדינות נוספות בארה"ב פועלות להגברת חקיקת הגנת הפרטיות בהן.

 

היות ואירועי סייבר הינם מחוץ לשליטתן של החברות מותקפות, חשוב להיערך אליהם מראש. אירועים אלו גוררים חקירה של רשות הגנת פרטיות במהלכה תיבדק התנהלותה של החברה הנחקרת טרם האירוע. מכאן שבכל רגע נתון, חברות צריכות להיות מסוגלות להראות שהן נוקטות באמצעים ראויים לשמירה על הפרטיות של האנשים שהן שומרות מידע עליהם.

 

למרות שתקנות ה-GDPR נתפסות כמוכוונות לענקיות האינטרנט, הפרסום והביג דאטה הגדולות, גם החברות המסחריות נמצאות תחת הרדאר של רשויות הגנת הפרטיות בעולם.

 

חברות שמדווחות על אירועי סייבר, אינן נתפסות עוד כ"קורבנות" של תקיפות הסייבר, כי אם כחשודות המידיות ביצירת התנאים שאפשרו את התקיפה ואת הנזק שנגרם בעטיין.

 

לחברות הפועלות בישראל נזכיר גם את תהלכי פיקוח הרוחב בהם נוקטת רשות הגנת הפרטיות שנועדו לאתר חברות שאינן עומדות בתקנות אבטחת המידע שנכנסו לתוקף במאי 2018. תהליכי ביקורת יזומים אלה מכבידים על גופים עסקיים, ככל שאלה לא ערוכים להם מראש ועשויים גם להוביל לסנקציות בגין הפרות.

 

כל אלה מחייבים גופים עסקיים לשים דגש על נושא הפרטיות ואבטחת המידע בפעילותם העסקית.

תגים: GDPR | פרטיות