מדוע פסיקה משפטית חדשה יכולה להגביר את תאימות ה-GDPR

13 פבואר 2024

בדצמבר חל אחד השינויים הגדולים ביותר ברגולציה האירופית לפרטיות נתונים בזיכרון האחרון. לאחר בקשה מבתי משפט בגרמניה ובליטא, בית הדין האירופי לצדק (ECJ) הוציא פסק דין חדש כדי להבהיר מתי וכיצד רגולטורים יכולים לקנוס חברות על הפרת חוקי פרטיות המידע.

מומחי משפט ואבטחה טוענים כי הפסיקה תקל על הרגולטורים לאכוף את תקנות הגנת המידע, מה שעלול להוביל לקנסות גבוהים יותר של GDPR. כתוצאה מכך, יש לחץ מוגבר על צוותי ציות להבטיח שהחברות שלהם מאחסנות ומעבדות נתונים אישיים בצורה חוקית.

השפעה רגולטורית

בגרמניה, הרגולטורים קנסו את חברת הנדל"ן Deutsche Wohnen ב-14.4 מיליון אירו בגין אחסון נתוני לקוחות למשך זמן ארוך מהנדרש. בינתיים, בית המשפט הליטאי קנס את המרכז הלאומי לבריאות הציבור במדינה ב-12,000 אירו ואת ספק שירותי ה-IT שלו ב-3000 אירו בגין אפליקציית מעקב אחר אנשי קשר של Covid-19 שהפרה את ה-GDPR. שני הארגונים ערערו על הקנסות, מה שהוביל את בתי המשפט המקומיים לבקש הבהרות מבית המשפט העליון בעניין.

היא קבעה כי רגולטורים להגנת מידע יכולים להטיל קנסות GDPR רק על "התנהגות לא נכונה", לפיה חברה הפרה "בכוונה או ברשלנות" את ה-GDPR. וכאשר מקנסים ארגון, הרגולטורים חייבים לחשב קנסות כספיים על סמך המחזור השנתי של קבוצת האם שלו, אם רלוונטי.

מאז שבית המשפט האירופי קבע את פסיקת ה-GDPR החשובה שלו, היו ספקולציות רבות לגבי האופן שבו זה ישפיע על תקנות הנתונים ברחבי אירופה. בפירוט ההחלטה, מנכ"ל Ensurety, קית' באדן, מסביר שיש לה שני מימדים עיקריים.

ראשית, הוא אומר שרגולטורים יכולים להטיל קנסות GDPR גם אם הם לא יכולים לקבוע כיצד פעולות של אדם אחד גרמו לפרצת מידע. שנית, הוא מסביר שחברות עלולות לעמוד בפני פעולה רגולטורית אם אדם או ארגון המייצג אותן, כמו מעבד משנה או קבלן יחיד, מפרים את כללי הגנת המידע.

"יהיה קל יותר לרגולטורים להטיל קנס כספי על ארגון", הוא אומר ל-ISMS.online. "ורחבת האחריות גדלה, בכך שהיא פינתה את הדרך לקנסות של בקר נתונים, גם כאשר הפרת תקנות ה-GDPR מוגבלת לפעילותו של אחד ממעבדי הנתונים שלו, או למעשה אחד ממעבדי הנתונים שלהם. מעבדים."

קלי אינדה, אנליסטית אבטחה ב- Increditools, מאמינה שפסיקת בית הדין המשפטית בדצמבר תחזק "באופן משמעותי" את האופן שבו הרגולטורים אוכפים את כללי הגנת המידע.

"לפי הפסיקה, לרגולטורים יש יותר מרחב פעולה לגבות קנסות המהווים גורם מרתיע משמעותי, במקום להגביל לאחוז מסוים מהמחזור השנתי", היא אומרת ל-ISMS.online. "בנוסף, ההחלטה מייעלת את התהליכים הרגולטוריים כך שהרשויות יוכלו לפעול במהירות כאשר מתגלה אי ציות".

שותפו של ארווין מיטשל ומומחית הגנת מידע, ג'ואן בון, ספקנית יותר לגבי ההשפעה הכוללת של פסק הדין.

"למרות שזה עשוי להרחיב את האחריות בתחומי שיפוט שבהם רשויות הפיקוח היו צריכות להוכיח שההנהלה אשמה בקנסות של חברה או ארגון, פסיקה זו לא תפתיע בבריטניה", היא אומרת ל-ISMS.online.

"לדעתי, זה לא שינה באופן מהותי את הנוף ביחס לקנסות במסגרת ה-GDPR של האיחוד האירופי".

בון אומר שההחלטה האחרונה של בית הדין המשפטית לא תגרום לאחריות מחמירה יותר, כלומר הרשויות יכולות להטיל קנסות רק כשהן מוצאות עוולה כלשהי. היא מוסיפה: "עכשיו ברור שצריכה להיות התנהלות מכוונת או רשלנית מצד החברה או הארגון".

חשיבות הציות

עם זאת, הפסיקה עדיין עשויה להפעיל לחץ רב יותר על חברות כדי להבטיח שיש להן מדיניות ותהליכים נאותים להגנה על מידע. בפרט, חברות יצטרכו ליישם מגוון של מדיניות, נהלים ובקרות כדי לעזור לצוות שלהן לטפל בנתונים מבלי להפר את כללי הגנת המידע, טוען Bone.

"לא רק שיהיה צורך להפעיל נהלים אלא שהם יצטרכו להתגלגל, לדבוק בהם ולפקח עליהם על ידי ארגונים", היא מוסיפה.

Indah של Increditools מסבירה שאימוץ מערכת ניהול אבטחת מידע (ISMS) העוקבת אחר תקני אבטחת סייבר בינלאומיים כמו ISO 27001 יכולה להיות עזרה גדולה בהקשר זה.

"זה מספק דרך שיטתית וידידותית למבקר להבטיח שכל ההיבטים של תאימות להגנה על נתונים יטופלו באופן רציף באמצעות סקירה ושיפור", היא אומרת. "כאשר הרגולטורים ירדו קשה יותר, הפגנת מחויבות לניהול באמצעות הסמכה יכולה רק לעזור להפגין מאמצים בתום לב".

Indah סבור שזה כבר לא מספיק לארגונים להתייחס להגנה על נתונים כאל משימת תאימות. לדבריה, ארגונים חייבים לבצע ביקורת הגנה פנימית וחיצונית באופן קבוע, להכשיר עובדים לטיפול בנתונים באחריות ולהפגין מחויבות ברמת המנהיגות להבנת תקנות הגנת המידע העדכניות ביותר.

"במקום לחשוש מקנסות גבוהים יותר, טוב יעשו חברות אם לאמץ שיטות אבטחה חזקות כהזדמנות תחרותית ומאפשרת עסקית", מוסיף אינדה. "אחרי הכל, האלטרנטיבה מסתכנת בפגיעה במוניטין, בעונשים רגולטוריים ואובדן אמון הלקוחות - מה שבטווח הארוך עלול להשפיע בצורה חמורה הרבה יותר על השורה התחתונה".

Budden של Ensurety קורא לחברות לשמור תיעוד מעודכן של פעילות עיבוד הנתונים שלהן ולספק לצוות הכשרה להגנת מידע, על מנת לעמוד בדרישות הגנת הנתונים הרגולטוריות שלהן. משימות אחרות כוללות יישום כל מדיניות ונהלי הנתונים הנדרשים, השלמת הערכות השפעה עדכניות להגנה על נתונים, והבטחה שהם אימצו את כל האמצעים הטכניים והארגוניים שנקבעו על ידי הרגולטורים.

ואנס טראן, מייסד שותף של Pointer Clicker, מסכים ש-ISO 27001 מספק בסיס טוב לעמידה בתקנות הגנת מידע. אבל הוא אומר שארגונים יכולים להרחיב על זה על ידי אימוץ טכנולוגיות פרטיות, מודלים של DevSecOps ותרבות חברה מודעת לפרטיות.

הוא מוסיף: "אני רואה בפסיקה הזו הזדמנות. על ידי מתן עדיפות לפתרונות אתיים, ממוקדי משתמש מראש, מפתחים יכולים לא רק לעמוד בכללים משפטיים אלא גם לבנות אמון אמיתי של משתמשים. זו הזדמנות מרגשת לעזור ליצור מערכות המבוססות על פרטיות והסכמה מהיסוד".

בכלכלה המאוד דיגיטאלית של היום, עסקים מטפלים בכמות הולכת וגדלה של נתונים אישיים. בעוד שהנתונים הללו שימושיים להבנה טובה יותר ולמיקוד ללקוחות, הם מעמידים עסקים בסיכון של קנסות גבוהים אם הם לא מצייתים בקפדנות לכללי הגנת המידע.

מְחַבֵּר

ניקולס פירן

ניקולס פירן הוא עיתונאי עצמאי מהעמקים הוולשיים. הוא כתב עבור כלי תקשורת גדולים כמו הפייננשל טיימס, האינדיפנדנט, הטלגרף, Evening Standard, iNews, HuffPost ו-Insider, כמו גם פרסומי B2B כמו Computer Weekly, Computing ו-IT Pro. כשניק לא כותב על הגאדג'טים והטרנדים הטכנולוגיים האחרונים, הוא כנראה מקשיב לכל הדיסקוגרפיה של מריה קארי.

הצג את כל הפוסטים של ניקולס פירן