GDPR: تزيد الغرامات بنسبة 40٪ العام الماضي وزيادة قادمة أكبر متوقعة
كشف تقرير جديد صادر عن فريق حماية البيانات في شركة المحاماة DLA Piper ، والذي تم إصداره بالتزامن مع يوم حماية البيانات لمجلس أوروبا ،
أن العام الماضي شهد إجمالي 193.4 مليون دولار صادر في الغرامات المتعلقة باللائحة العامة لحماية البيانات ،
وهو ما يقرب من زيادة بنسبة 40٪ مقارنة بالأشهر العشرين الماضية منذ دخول القوانين الجديدة حيز التنفيذ.
بلغ إجمالي الغرامات المبلغ عنها منذ بدء تطبيق اللائحة العامة لحماية البيانات (GDPR) 332 مليون دولار
منذ أن بدأ الاتحاد الأوروبي منذ عامين ونصف في تنفيذ اللائحة العامة لحماية البيانات (GDPR) ، وعلى الرغم من البداية الخجولة ،
فإن القوانين الجديدة تتسارع الآن – مع فرض غرامات أكبر فقط على الشركات غير المتوافقة.
وكما يتزايد عدد إخطارات الخرق ، حيث تم الإبلاغ عن 331 انتهاكًا للبيانات يوميًا في المتوسط على مدار الـ 12 شهرًا الماضية ،
مقارنة بـ 278 إخطارًا يوميًا في العام السابق. في المجموع ، كان هناك أكثر من 281000 إشعار بخرق البيانات منذ مايو 2018.
ويتسارع النشاط المرتبط باللائحة العامة لحماية البيانات (GDPR) بسرعة ، ولكن لا تزال هناك رياح معاكسة تهب ضد القواعد الأوروبية.
قال روس ماكين ، رئيس مجموعة حماية وأمن البيانات في المملكة المتحدة DLA Piper : “لا يزال القانون العام لحماية البيانات (GDPR) فتياً”.
وأضاف “إنها وثيقة لا تزال مليئة بالغموض والتناقضات التي تجعل فرضها صعبًا للغاية ، لذلك يسير المنظمون بحذر.”
من حيث المبدأ – وعلى الرغم من أن القواعد هي مجموعة موحدة يتم تطبيقها بالتساوي على جميع البلدان المنضمة ، إلا أن الواقع مختلف .
لأن لدى الدول المختلفة مناهج وطرق مختلفة لتنفيذ القوانين.
تناقضات في الأرقام
في حين أن ألمانيا مسؤولة عن 77747 إشعارًا بالخرق منذ إطلاق اللائحة العامة لحماية البيانات ، على سبيل المثال ، سجلت إيطاليا 3460 إخطارًا فقط في نفس الفترة – وهي إحصائية يمكن ربطها أيضًا بالاختلافات الثقافية. يقول ماكين: “إنه ليس مجرد قانون واحد للائحة العامة لحماية البيانات ، إنه لائحة GDPR التي يتم تفسيرها بشكل مختلف في جميع تلك البلدان”.
وبالنظر إلى الغرامات التي تتصدر العناوين الرئيسية التي تم إصدارها نتيجة اللائحة العامة لحماية البيانات ،
من الواضح أن أوجه عدم اليقين لا تزال تحيط بتطبيق القواعد الجديدة.
على سبيل المثال ، تحتل المملكة المتحدة المرتبة الرابعة والخامسة من أكبر الغرامات المفروضة لخرق متطلبات اللائحة العامة لحماية البيانات – ولكن في كلتا الحالتين ،
تم تخفيض المبلغ الأصلي بشكل كبير نتيجة للاستئنافات.
تغريم الخطوط الجوية البريطانية
تم تغريم الخطوط الجوية البريطانية 20 مليون جنيه إسترليني (27 مليون دولار) العام الماضي بعد سرقة التفاصيل الشخصية لمئات الآلاف من العملاء من قبل المتسللين ، وهو ما يمثل انخفاضًا بنسبة 90 ٪ عن المبلغ الأولي البالغ 183.4 مليون جنيه إسترليني الذي تم طرحه ، نتيجة لتأثير وباء كوفيد -19.
تغريم سلسلة فنادق ماريوت
وللأسباب نفسها ، تم تغريم سلسلة فنادق ماريوت 18.4 مليون جنيه إسترليني (25 مليون دولار) ، أو 20٪ من الغرامة الأصلية ، بعد أن تبين أن معلومات تخص 339 مليون نزيل قد سُرقت.
تغريم Google
أصدرت هيئة التنظيم الفرنسية CNIL أكبر غرامة فُرضت حتى الآن بموجب اللائحة العامة لحماية البيانات (GDPR) في عام 2019 ،
والتي فرضت غرامة قدرها 50 مليون يورو (61 مليون دولار أمريكي) ضد Google لخرقها قواعد الشفافية.
ويشير تقرير DLA Piper إلى أن العديد من حالات عدم اليقين القانونية المفتوحة في تفسير اللائحة العامة لحماية البيانات يمكن أن تفسر جزئيًا سبب كون الغرامات المفروضة حتى الآن في الحد الأدنى من المقياس.
هناك شيء واحد مؤكد: هذه الأمثلة على الطعون الناجحة تظهر أن المنظمين “لم يكن لديهم كل شيء بطريقتهم الخاصة” ، كما يقرأ التقرير ،
على الرغم من الزيادة الإجمالية في الغرامات وإخطارات الخرق.
ووفقًا لماكين ، فإن الأمر مجرد مسألة وقت قبل أن يبني المنظمون ثقة كافية لفرض قوانين الناتج المحلي الإجمالي بقوة أكبر.
يقول ماكين: “إذا نظرت إلى الحد الأقصى للمبالغ التي يمكن أن تصل إليها هذه الغرامات في بعض الشركات ، فستجد أنك بالمليارات”.
وأضاف “سوف يستغرق الأمر بعض الوقت قبل أن نصل إلى هناك. لا تزال الأيام الأولى ، لكن الغرامات متجهة في اتجاه واحد فقط ، وربما نكون على بعد بضع سنوات من بدء تنفيذ الغرامات الكبيرة .”
وعلى الرغم من أن المبالغ ، في الوقت الحالي ، ليست سوى نسبة مئوية مما يمكن أن تكون عليه ، كما يجادل ماكين ، إلا أنه لا ينبغي الاستهانة بالتأثير الرادع للائحة العامة لحماية البيانات.
يقول: “لدينا اهتمام كامل من شركات التكنولوجيا الكبيرة وأي شركة خاضعة للائحة العامة لحماية البيانات”. “الأدوية والخدمات المالية أيضًا – كل هذا يعتمد على الثقة. إذا تم تغريمك ، فهذا يوم سيئ في المكتب ، مع صداع كبير في السمعة للتعامل معه. لذلك ، على الرغم من أنه لم يتصدر عناوين الصحف حتى الآن ، فإن الناتج المحلي الإجمالي تؤخذ على محمل الجد “.
علاوة على ذلك: لدى المنظمين في الاتحاد الأوروبي عدد من الإجراءات العقابية التي يمكنهم استخدامها بالإضافة إلى الغرامات للتأكد من أن الشركات تغير عاداتها السيئة في معالجة البيانات. قال ماكين إن أحد الأسباب التي تثير قلقًا حقيقيًا للعديد من المنظمات ، وأحيانًا أكثر من الغرامات ، هو القدرة على تعليق عمليات نقل البيانات تمامًا عندما تعتبر غير قانونية.
في العام الماضي ، على سبيل المثال ، أبطلت محكمة العدل الأوروبية (ECJ) جسر البيانات الذي تم إنشاؤه للسماح بإرسال البيانات الشخصية لمواطني الاتحاد الأوروبي ومعالجتها في الولايات المتحدة ، وهو ما يسمى درع الخصوصية. تم الإعلان عن الحكم بعد أن تقرر أن قوانين المراقبة الحكومية عبر المحيط الأطلسي منعت المنظمات من حماية البيانات الشخصية بطريقة متوافقة مع الناتج المحلي الإجمالي.
من حيث المبدأ ، يجعل قرار محكمة العدل الأوروبية من غير القانوني تبادل البيانات الشخصية مع الولايات المتحدة ما لم تكن هناك آليات بديلة لنقل البيانات. لا تزال هناك أمثلة قليلة لتطبيق الحكم في الممارسة العملية ؛ لكن تداعيات العالم الحقيقي للحكم ستبدأ في الظهور هذا العام ، وفقًا لماكين.
في المشهد القانوني الذي لا يزال يتطور والذي يحيط باللائحة العامة لحماية البيانات ، هناك سبب آخر للبقاء على حذر الشركات وهو إمكانية ظهور قواعد جديدة وأكثر صرامة في المستقبل. هناك حالة واحدة جارية في المملكة المتحدة ، تسمى Lloyd vs Google ، من المرجح أن تتبعها العديد من المنظمات عن كثب. يقول ماكين: “كل الأنظار تتجه إلى لويد وجوجل لمعرفة ما إذا كانت هذه الفئة من الحركة لها أرجل”. “إذا حدث ذلك ، فإن الغرامات ستكون عرضًا جانبيًا ، لأنها ستتضاءل مقارنةً بمطالبات التعويضات التراكمية.”
بالنسبة إلى أي منظمة تقوم بمعالجة البيانات في البلدان المتوافقة مع اللائحة العامة لحماية البيانات ، فإن توخي الحذر هو إلى حد بعيد أفضل الممارسات. بدأت اللائحة العامة لحماية البيانات (GDPR) للتو ، وهي على وشك أن تصبح أكبر بكثير.
النظام الأوروبي العام لحماية البيانات – (GDPR) General Data Protection Regulation
هو نظام في قانون الاتحاد الأوروبي يختص بحماية البيانات والخصوصية لجميع الأفراد داخل الاتحاد الأوروبي. ويتعلق أيضا بتصدير البيانات الشخصية خارج الاتحاد الأوروبي.
المصدر: zdnet