האם עסקים עדיין מתייחסים ל-GDPR ברצינות?

מאת דן רייווד • 16 מאי 2023

בעוד אנו מציינים חמש שנים לכניסת ה-GDPR לתוקף, האם מחסור בקנסות משמעותיים גרם לחלק מהמנכ"לים שלא לקחת זאת ברצינות כל כך? דן רייווד בוחן האם GDPR לא הצליח לעמוד בהייפ.

לקראת מאי 2018, הציפייה מ-GDPR הייתה שזה יהיה מחליף משחק משמעותי באכיפת הציות. מהשיחות הראשונות סביב הרפורמה בהגנה על מידע, היה ברור שרמת האכיפה עומדת להיות משמעותית יותר מהעונש הכספי המקסימלי של 500,000 ליש"ט שמשרד נציב המידע (ICO) החל להנפיק ב-2011.

למעשה, GDPR קבע כי עבור "הפרות חמורות במיוחד, מסגרת הקנס יכולה להגיע עד 20 מיליון יורו, או במקרה של התחייבות, עד ארבעה אחוזים מסך המחזור העולמי של שנת הכספים הקודמת, לפי הגבוה מביניהם". אפילו עבור הפרות פחות חמורות, סעיף 83(4) קובע קנסות של עד 10 מיליון יורו, או, במקרה של התחייבות, עד שני אחוזים מכל המחזור העולמי של שנת הכספים הקודמת, לפי הגבוה מביניהם.

דברים די מפחידים, אה? אותם דמויות פוטנציאליות זכו לפרסום רב לקראת מאי 2018. א סקר ורוניס משנת 2017 מצאו ש-75% מ-500 מקבלי ההחלטות שנסקרו הסכימו שהקנסות שהוטלו עלולים לפגוע בארגונים מסוימים, ו-44% האמינו שחברות יכולות להעלות מחירים כדי לבודד את עצמן מפני קנסות.

קנסות GDPR - לא מה שהיה צפוי

עם זאת, הקנסות הגדולים ביותר של ICO הראה שמספרי מיליון פאונד הועלו רק כמה פעמים, כאשר 12.7 מיליון ליש"ט עבור TikTok מאפריל 2023 כעת בין הקנסות המובילים שהונפקו.

האם איכזבו אותנו אם ציפינו קנסות GDPR להיות כה חמור ועסקים לפחד מהם? אחרי הכל, הקנס הגדול ביותר הוצא לבריטיש איירווייז ב-2019, עם סך של £ 183 מיליון דולר נקבע מתי נגנבו הנתונים האישיים של 500,000 לקוחות מהאתר והאפליקציה לנייד שלהם. עם זאת, קצת יותר משנה לאחר מכן ולאחר ערעור, סכום זה הופחת ל-20 מיליון פאונד. לא סכום זניח, אבל כזה שהיה פוגע בנשיכה של ה-ICO כרגולטור.

האם עסקים מתייחסים ברצינות ל-GDPR, בהתחשב בכך שהקנסות הכבדים הצפויים לא התממשו וקנסות משמעותיים הופחתו? ג'ונתן ארמסטרונג, שותף ב-Cordery, מאמין שמנכ"לים אינם מתייחסים ברצינות ל-GDPR מסיבות אלו. "אני חושב שהבעיה הייתה שה-GDPR הוגבר ב-2018 עם יועצים לא מוסמכים רבים שאמרו לארגונים שהשערים ייפתחו ושהם יהיו כפופים לקנסות ענק", הוא אומר.

"כשזה לא קרה ב-2018, ההנהגה בארגונים רבים נרגעה, חשבה שהכל הייפ והפסיקה לשים לב לבעיות הגנת מידע. אני יודע שכמה ארגונים ביטל את מימון פרויקטי GDPR כתוצאה מכך."

ארמסטרונג אומר עם הצגת ה-GDPR; הוא האמין שסביר להניח שלא יהיו קנסות משמעותיים מלכתחילה, "חלקית מכיוון שחלק מרשויות הגנת המידע נתנו פרק זמן ממושך לחוק החדש להתיישב, וחלקית משום שלוקח זמן לחקירות גדולות עד להגיע למצב שבו ה-DPA יכול לגבות קנס".

מה באמת חושבים המומחים על יישום GDPR

כדי לקבל מושג על ההשפעה של GDPR, סקרנו את האיגוד הלאומי של קציני הגנת מידע (NADPO) חברים על מחשבותיהם על טענות אלו. כשנשאלו אם הם מרגישים ש-GDPR עמד בהייפ שלו לפני 2018, מתוך 58 התגובות שנאספו, 62 אחוז אמרו שלא.

NADPO יו"ר, ו-DPO במישקון דה רייה, ג'ון ביינס, מסכים שההייפ בהחלט העלה את פרופיל הגנת המידע, אך אמר שהוא גם הוביל לתגובת יתר באזורים מסוימים, עם "רתיעה מסוימת".

"כמה מנהלים בכירים וחברי דירקטוריון, באופן מובן, שאלו אם המאמצים שהושקעו כדי להשיג ציות נחוצים (או ממשיכים להיות)", הוא אומר. "התשובה הטובה ביותר לאתגר מהסוג הזה היא שציות טוב כמעט תמיד מותאם לפרקטיקה עסקית טובה - היא אמורה להביא ל-win-win ברוב המכריע של המקרים."

ביינס גם מעיר שלמרות שנציבים רצופים אמרו לנו שאכיפה היא לא רק קנסות, והנציב הנוכחי ג'ון אדוארדס הראה את עצמו נלהב במיוחד ל"נזיפות", שהן סוג של "אכיפה רכה", הוא מרגיש שיכול להיות שימוש רב יותר. עשויות מהודעות אכיפה - שהן הודעות משפטיות רשמיות המחייבות ארגונים לנקוט בצעדים מוגדרים (או להימנע מנקיטתם), ושאי עמידה בהם עלולה להיות עבירה פלילית.

"אני חושב ששימוש רב יותר בסמכויות אלו נוטה למשוך תשומת לב בחדר הישיבות תוך הימנעות מהצורך בקנסות עונשיים (או חסרי ערך).

במבט קדימה, שאלנו את חברי ה-NADPO מה ה-ICO צריך לעשות כדי להפוך את GDPR לפוטנציאל המפחיד שהיה פעם. חברי ה-NADPO השאירו מגוון הערות, ואמרו שה-ICO "צריך לתמוך ביישום שלו ולאכוף הפרות", להציע "הנחיות ברורות, עקביות וספציפיות למגזר", ו"להנחיל סנקציות לארגונים שתחת משאבים לתפקידי הגנת הנתונים שלו".

היו גם הערות שקראו ל-ICO להיות פעיל יותר באכיפה, שכן חינוך חברות הוא חיוני, "אבל כאשר לאכיפה תהיה השפעה גדולה יותר לטווח הארוך, כרגע אין להן אמינות". הערה נוספת קראה ל-ICO לטפל בתלונות על כל דבר "ולא רק להפרות ביג דאטה" ולאכוף שימוש בסמכויות (לאו דווקא קנסות, כמו עצירת חברות מלעבד נתונים בכלל.

כמו כן, יש כבר זמן רב שיקול לאן הולך הכסף כאשר משלמים קנס. אדם אחד קרא להכריז על כמה כסף היה עונש, אבל אז מתעקש שהארגון יצטרך להוציא את הכסף הזה בתיקון התקלות "כך שהארגון לא צפוי לבצע שיפורים תוך סבל מפחות משאבים, אלא האיום של מישהו ייכנס ו'יקח את הכסף שלך' (כדי שלא תוכל לבזבז אותו איך שאתה רוצה) נמצא שם."

תפקיד ה-ICO

ב הנאום האחרון ב- IAPP Data Protection Intensive UK, נציב המידע ג'ון אדוארדס אמר שחשוב לרגולטור להראות שאי ציות להגנה על נתונים אינה רווחית. "ניצול לרעה של המידע של הלקוחות שלך כדי להשיג יתרון מסחרי על פני אחרים תמיד ייחשב לרעה על ידי משרדי, ואנו ננסה להטיל קנסות בהתאם לרווחים שלא הושגו עקב אי ציות."

2021-22 דוח שנתי מה-ICO אמר שההתמקדות שלו היא בתמיכה בארגונים כדי לעמוד בדרישות החוקיות שלהם. "אנחנו מכוונים את הפעולה הרגולטורית שלנו לתחומים שבהם נוהלי הגנת מידע לקויים משפיעים בצורה המשמעותית ביותר על אנשים. אנו משתמשים בסמכויות האכיפה שלנו רק היכן שהדבר נדרש ותמיד בצורה מידתית".

פנינו ל-ICO לקבלת תגובה ישירה אך לא קיבלנו תשובה בזמן הפרסום.

מצפה ל-5 השנים הבאות של GDPR

ארמסטרונג אומר שהייתה עלייה משמעותית בקנסות ה-GDPR בשנה האחרונה, "כך שיש כעת יותר מ-2000 קנסות עם קנסות של יותר מ-2.6 מיליארד אירו". הוא גם אומר שאנחנו רואים ש-DPA משתמש בסמכויות שלהם בצורה יצירתית יותר - למשל, עם השעיית העיבוד של Replika AI ו-ChatGPT.

"אז, זה לא קשור רק לקנס, וגם ההשעיות האלה יכולות להיות קריטיות לעסקים - אתה תראה איך מנכ"ל OpenAI הפסיק הכל כדי לדבר עם ה-DPA האיטלקי לאחר ההשעיה. לכן, אני חושב שהקושי של ארגונים רבים הוא שהם מסתכלים על העבר ולא על ההווה".

השקת ה-GDPR הייתה ממושכת ואיפשרה לעסקים לסדר את הבית שלהם עבור תקנת הגנת מידע זו. אם מנכ"לים יתייחסו לזה ברצינות, אולי פחות כותרות סנסציוניות יהיו דבר טוב, וכך גם דגש רב יותר על תמיכה ואפשרות לאותן חברות שנכשלות.

דן רייווד

דן רייווד כתב על אבטחת IT מאז 2008, והוא אנליסט לשעבר ב-451 Research Practice. הוא דיבר בתערוכות כולל 44CON, SecuriTay, SteelCon, Irisscon ו-Infosecurity Europe, וכן כתב עבור מספר בלוגים של ספקים והציג בשידורי אינטרנט.