הקנסות במסגרת תקנת הגנת המידע הכללית ממשיכים לעלות, ככל שהרגולטורים האירופיים מחמירים את תגובתם לאירועי מידע. על פי מעקב אחר אכיפת ה-GDPR, חברות ספגו למעלה מ-330 קנסות בשנת 2025. משרד עורכי הדין DLA Piper טוען כי סך הקנסות הסתכם ב-1.2 מיליארד אירו.
חברת המדיה החברתית טיקטוק ספגה את הקנס הגדול ביותר של GDPR בשנת 2025. הקנס, שהוטל באירלנד, בסך 530 מיליון אירו, נוגע לשיתוף נתוני משתמשים אירופיים עם עובדים שבסיסם בסין. בשנה שעברה גם הובילה לכך שרשות הפיקוח על נתונים של לוקסמבורג אישרה קנס של 746 מיליון אירו שהוטל על אמזון משנת 2021 במסגרת GDPR לאחר שאספה נתוני משתמשים למטרות פרסום ללא הסכמת המשתמשים. ערעור של אמזון נדחה, דבר המצביע על כך שגורמי הגנת המידע האירופיים מתייחסים ברצינות לאכיפת GDPR.
ניתן לייחס את המשך השכיחות של קנסות במסגרת ה-GDPR לעלייה שיא בהודעות על הפרות נתונים, אותן חברות חייבות להוציא תוך 72 שעות מאירוע נתונים. DLA Piper מצאה כי בשנת 2025, הודעות אלו הגיעו ל-400 ביום בפעם הראשונה מאז יישום ה-GDPR בשנת 2018. בין ינואר 2024 לינואר 2026, הן עלו על 443 - עלייה של 22% מ-363. DLA Piper מייחסת זאת לפריצות עקב חוסר יציבות גיאופוליטית עולמית, סיקור עיתונאי מוגבר של פשעי סייבר, והופעתם של חוקים וכללים בנוגע להפרות נתונים המחייבים דיווחים על אירועים.
ברור שרגולטורים להגנת מידע אינם מוכנים להתעלם מהפרות GDPR כעת, לאחר שהחוק בתוקף כבר שמונה שנים. עם זאת, כאשר נתונים הם עורק החיים של ארגונים מודרניים וקנסות GDPR לא רק מהווים סיכון פיננסי אלא גם נזק רחב יותר לעסקים, מה הם יכולים לעשות כדי לציית?
הרגולטורים מתמצקים
סיבה עיקרית לגל הקנסות האחרון במסגרת ה-GDPR היא שהרגולטורים מאמינים שלעסקים היה די והותר זמן להבין את החוק וליישם אותו בפועל, כך לדברי לוקאס פון שטוקהאוזן, מנהל בכיר להנדסת אבטחה בחברת אבטחת היישומים Black Duck.
הוא אומר ל-IO כי לרשויות הגנת המידע נמאס מהתירוצים שבהם משתמשים חברות שאינן מצייתות לתקנות וכעת הן מתמקדות באחריותן. התעלמות מכך עלולה להוביל ל"עונשים משמעותיים" על חברות, כאשר הרגולטורים יכולים לקנוס עד 20 מיליון אירו או 4% מההכנסה השנתית העולמית עבור ההפרות החמורות ביותר.
למרות שהרגולטורים ממשיכים להדביק את חוק ה-GDPR על ידי הנפקת קנסות, חברות רבות נותרות אדישות לכך. ג'ייק מור, יועץ אבטחת סייבר גלובלי ביצרנית תוכנות האנטי-וירוס ESET, אומר שהגנת מידע היא "תרגיל סימון" עבור ארגונים רבים - כשלמעשה, היא צריכה להיות מוטמעת בכל תחום של עסק מודרני.
הוא אומר שזה גורם ל"בקרות גישה חלשות" ולכישלון לזכירת מיקום של נתונים רגישים. כתוצאה מכך, נתונים יכולים בקלות ליפול לידי גורמים לא מורשים, ואם עסקים אינם בטוחים היכן אחסנו פיסת מידע מסוימת, הם יתקשו למלא בקשות למחיקת נתונים. בעיות אלו מציבות חברות בסיכון לקנסות במסגרת ה-GDPR.
אבל אי-ציות לתקנות ה-GDPR לא רק מעמיד עסקים בסיכון לקנסות יקרים - הוא יכול לפגוע בכל היבטי פעילות החברה. ג'ו בריאנטי, מומחית להגנת מידע, אומרת שמאמצי ניקיון עלולים לגרום ל"שיבוש תפעולי" כאשר מנהלים צריכים להקדיש לוחות זמנים מתוחים ממילא למאמצי ניקיון. מנהלים עלולים אפילו להיות אחראים לקנסות בעצמם אם ידעו על כשלים ב-GDPR ולא התערבו, היא מוסיפה.
היא אומרת שהזנחת ה-GDPR עלולה גם לפגוע במוניטין של חברות, לחשוף אותן לתביעות יקרות המוגשות על ידי לקוחות שנפגעו, להקשות על עסקים לפעול בשווקים שונים על ידי שיבוש "התחייבויות פלטפורמה וזרימת נתונים חוצת גבולות" ולהופיע בדוחות בדיקת נאותות, מה שמוביל לאובדן מכירות והזדמנויות עסקיות אחרות.
בינה מלאכותית משנה את מגרש המשחקים
האימוץ הגובר של טכנולוגיית בינה מלאכותית על ידי עסקים תורם גם הוא לעלייה בקנסות במסגרת ה-GDPR. מכיוון שבינה מלאכותית מאומנת על מערכי נתונים גדולים כדי לתפקד ולהשתפר עם הזמן, הסיכון לדליפות נתונים ולפעולות רגולטוריות בעקבותיה הוא משמעותי.
ומכיוון שחברות רבות משתמשות במערכות בינה מלאכותית שפותחו על ידי ספקי טכנולוגיה חיצוניים, לא תמיד יש להן שליטה על האופן שבו הנתונים שהן מזינות ליישומים אלה מאוחסנים ומוגנים. לדברי פון שטוקהאוזן מ-Black Duck, משמעות הדבר היא שקיים סיכון ממשי לחשיפה לא מכוונת של נתונים ולאכיפת GDPR לאחר מכן.
הוא אומר ל-IO: "רווחי היעילות יכולים להיות אדירים, אך מנקודת מבט של GDPR, הסיכון המרכזי ברור: ארגונים חייבים להיות מסוגלים להבטיח שתוצרי בינה מלאכותית לא יחשפו נתונים אישיים."
כשמדובר באבטחת מערכות בינה מלאכותית והנתונים עליהם הן מסתמכות, עסקים לא רק צריכים לפעול לפי הנחיות ה-GDPR. יש גם נוף חקיקה הולך וגדל המוקדש לבינה מלאכותית. קל לחברות להתייחס ל-GDPR ולציות ל-AI כישויות נפרדות, אך זה יכול להיות לא אינטואיטיבי.
מור מ-ESET מסביר שמכיוון שפרטיות נתונים וניהול בינה מלאכותית משתמשים במערכי נתונים זהים, עדיף לעסקים "להתייחס אליהם כאל דיסציפלינה אחת משולבת עם בעלות ברורה". פעולה זו יכולה להוביל לעומסי עבודה פשוטים יותר ולמניעת עבודה כפולה, מה שמפחית את הסיכוי שעובדים יזניחו נתונים. מור אומר שזה יכול להוביל לפחות קנסות לעסקים.
בריאנטי היא גם מאמינה גדולה בגישה משותפת לניהול נתונים ו-IT, ומסבירה כי רגולטורים כעת "מאחדים את ה-GDPR עם חבילה דיגיטלית רחבה יותר". היא משתמשת בחוק השירותים הדיגיטליים והשווקים הדיגיטליים של האיחוד האירופי, ובעדכונים לחוקים קיימים הקשורים לנתונים ובינה מלאכותית כדוגמאות.
לדברי בריאנטי, אי ציות לאחד מהחוקים הללו עלול לגרום ל"השפעות דומות על פני מסגרות רגולטוריות מרובות". היא אומרת ל-IO: "זה הופך את ה-GDPR ממגורה משפטית לסיכון אסטרטגי המשפיע על ממשל תאגידי, פרופילי סיכון של משקיעים, בדיקת נאותות של רכישות וניהול מוניטין."
ביצוע תאימות נכונה
בעוד הרגולטורים ממשיכים לאכוף את ה-GDPR, פון שטוקהאוזן מ-Black Duck אומר שהציפייה העיקרית שלהם היא שעסקים יישמו אסטרטגיית פרטיות נתונים "ברורה" המסבירה את הסיבות לאיסוף נתונים אישיים, האם הנתונים נחוצים בפועל, ואת שיטות אחסון והגנה על הנתונים שלהם.
"רגולטורים מחפשים חברות שמטפלות במידע אישי באופן מכוון, אחראי ועם הבנה ברורה של הסיכונים", הוא אומר. "אלה שלא עושים זאת מוצאות את עצמן תחת ביקורת גוברת".
אבל הוא אומר שהדרך החשובה ביותר להישאר תאימות לתקנת ה-GDPR היא להיות ערניים כל הזמן לגבי סיכוני פרטיות ואבטחת מידע. לשם כך, הוא אומר שעסקים חייבים לאכוף "אמצעי הגנה ניתנים להוכחה", לנטר כל העת את האיומים שמציבות טכנולוגיות חדשות ולהתאים את אסטרטגיות פרטיות הנתונים הקיימות בהתאם.
עבור עסקים שאינם בטוחים היכן להתחיל, בריאנטי ממליצה לשלב שיטות עבודה מומלצות המתוארות בתקנים ומסגרות מקצועיות בתהליכים יומיומיים כדי לעמוד בדרישות רגולטוריות כמו GDPR. היא אומרת ש-ISO 27001 מצוין לטיפול בנושאים הקשורים לאבטחת מידע ו-ISO 27701 לפרטיות. Cyber Essentials ו-NIST 800-53 הן עוד שתיים מהבחירות המובילות שלה.
המלצות נוספות של בריאנטי להבטחת תאימות לתקנות ה-GDPR כוללות: רישום מיקום הנתונים האישיים ואופן עיבודם במלאי; אימוץ עקרונות של פרטיות מכוח עיצוב כך שמוצרים תמיד יהיו מאובטחים; הגדרת תפקידים ואחריות הקשורים לפרטיות נתונים; חינוך הצוות לחשיבות פרטיות הנתונים; תיעוד כל ההחלטות שהתקבלו בנוגע לפרטיות נתונים; קביעת סיכוני נתונים באמצעות הערכת השפעה; שמירה על הערכות אלו וכל מה שקשור לנתונים בסביבה אחת; והבטחת יישור כל פעילויות התגובה לאירועים.
קל לחשוב על אי-ציות ל-GDPR כתשלום קנס והמשכתי הלאה. אבל זו רק משאלת לב. אכיפת GDPR יכולה להנחית מכה קשה על פעילות עסקית וצמיחה. לכן יש להתייחס אליה כאל עדיפות אסטרטגית, ולא כתרגיל סימון רק כדי לרצות את הביורוקרטים. וכאשר תאימות ל-GDPR מיושרת עם פעילויות ממשל אחרות הקשורות ל-IT, עסקים יכולים להיות סמוכים ובטוחים שהם ישמחו את הרגולטורים ויגנו על עצמם מפני נוף איומי סייבר המשתנה במהירות.
