קנסות מכוח ה-GDPR – התעוררות הרגולטורים:

ה-ICO, משרד המפקח על המידע (הגורם הרגולטורי האמון על הגנת המידע באנגליה), הודיע בתחילת חודש יולי על השתת קנסות משמעותיים ותקדימיים כתוצאה מהפרת הוראות תקנות הגנת המידע האירופאיות (ה-GDPR). הקנסות מגלמות קפיצת מדרגה עולמית בנוגע להיקף הקנסות המוטלים כתוצאה מהפרת הוראות התקנות.

לאחר תקופת ביניים במסגרתה הושתו קנסות נמוכים, צפוי ה-ICO להשית קנס של 183 מיליון ליש"ט על חברת British Airways, חברת התעופה הלאומית באנגליה, וכן קנס של כ-100 מיליון ליש"ט על רשת המלונות Marriott המוכרת.

הקנס כנגד British Airways צפוי להיות מוטל עקב פגם אבטחה באתר החברה שהגיע לידיעת ה-ICO בספטמבר 2018, שבעקבותיו משתמשים הופנו לאתר מזויף שהוביל לחשיפת מידע אישי של כחצי מיליון משתמשים.

הקנס כנגד Marriott צפוי להיות מוטל עקב פריצה למאגר רשת המלונות Starwood שנרכשה על ידי Marriott בשנת 2015. פריצה זו התגלתה על ידי רשת Marriott רק בסוף שנת 2018. ה-ICO ציינו, כי Marriott "כשלה בביצוע בדיקת נאותות מספקת ברכישת רשת Starwood והיה עליה לעשות יותר בכדי להגן על מערכותיה."

הקנסות הצפויים להיות מוטלים על שתי החברות (בכפוף לתגובותיהן) מהווים נורת אזהרה לחברות האוספות מידע אישי ומדגישות את החובה לעמוד בדרישות הרגלוציה. כמו כן, קנסות אלו מהווים דריכת רגל ראשונה במתווה פעולות אכיפה חדש, המתרחש גם בשלבי מיזוג ורכישה של חברות ובהליכי בדיקות הנאותות המבוצעים על ידן. מן העבר השני, גם חברות המטרה (החברות הנרכשות או הממוזגות) נדרשות להפנים שנושאי פרטיות והגנת המידע יתפסו כעת חלק משמעותי בהליכי בדיקות הנאותות ועליהן להיערך לכך מראש ובהתאם.

פייסבוק – הסדר התשלומים עם ה-FTC:

מפקח הסחר הפדרלי (FTC), הרגולטור האמון על הגנת הצרכן והתחרות בארה"ב, הצביע בתחילת חודש יולי על הסדר תשלומים במסגרת קנס על חברת פייסבוק על סך 5 מיליארד דולר. ככל שההסדר יאושר, יהיה זה הקנס הגבוה ביותר שהוטל מעולם על ידי ה-FTC (כשהקנס העוקב לו, להשוואה, עומד על סך 22.5 מיליון דולר, והוטל על חברת גוגל בשנת 2012). הסדר התשלומים נוגע לקנסות שהמפקח צפוי להטיל על פייסבוק במסגרת פרשת Cambridge Analytica וכן לאירועי אבטחה נוספים שבמסגרתם נחשף מידע של משתמשי הפלטפורמה.

על אף סכום הקנס שעל פניו נראה גבוה, מדיניות האכיפה של ה-FTC נתקלת בימים האחרונים בביקורת משמעותית, ובפרט בנוגע לגובה הקנס. הביקורת מתייחסת בעיקר להרתעת החסר כתוצאה מהקנס, אשר למרות גובהו המשמעותי ביחס לקנסות קודמים של ה-FTC, ספק אם פייסבוק (שהעמידה הכנסות של 15 מיליארד דולר ברבעון האחרון, ודיווחה על רווחים של 22 מיליארד דולר בשנה החולפת) תושפע באופן ממשי מהקנס שהוטל עליה. עם זאת, יש לראות בהיקף הקנס ביטוי להתחזקות המגמה העולמית לאכוף נורמות של אבטחת מידע והגנה על המידע האישי.

עוגיות מורעלות? על הצורך לקבל את הסכמת המשתמשים על שימוש ב-Cookies:

"עוגיות" ("קוקיז") הם קבצים קטנים היורדים (Downloaded) לסוגים שונים של ציוד קצה (לרוב מחשבים וטלפונים ניידים) המאפשרים את זיהוי המכשיר ושמירת מידע מסוים לגבי העדפות המשתמש או קניות שביצע בעבר. ה-ICO פרסם לאחרונה הנחיות מפורטות וחדשניות בנוגע לשימוש בקוקיז. הנחיות ה-ICO קובעות בין היתר, שיש צורך בהסכמה אקטיבית להשתלת Third Party Persistent Cookies (קבצי עוגיות הנשמרים על ציוד הקצה באופן קבוע אשר לא הושתלו על ידי האתר בו המשתמש מבקר). בנוסף ההנחיות מדגישות את החשיבות של מיפוי הקוקיז שהארגון משתמש בו, את הצורך במדיניות מותאמת בנוגע לקוקיז וכן בחינת ספקי ה-Third-Party Cookies (הגורמים המשתילים עוגיות צד ג'). על אף שההנחיות חלות בינתיים רק באנגליה, צפויים גורמי הפיקוח האחרים ליישר קו בעתיד הקרוב, לאור התפתחויות בדין האירופי בנוגע לעוגיות ואמצעי מעקב אחרים (ובפרט ב-ePrivacy Regulation).

ומה בישראל? – החמרת הדרישות במסגרת קבלת דיווח על אירוע אבטחה חמור ותוצאות אי הדיווח:

תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז- 2017 ("התקנות"), שנכנסנו לתוקף בחודש מאי 2018, קובעות את הנורמות הפרטניות הנוגעות לאבטחת מאגרי מידע. החשש הגדול של כל בעל מאגר כזה, במיוחד אם המאגר מכיל מידע רגיש במיוחד (כדוגמת מידע פיננסי, מידע רפואי וכד') הוא מסיטואציה שבה מתרחש אירוע אבטחה במאגר המידע שברשותו. במקרים מסוימים, בעל המאגר נדרש ליידע את הרשות להגנת הפרטיות בתוך 24 שעות מרגע גילויו של "אירוע אבטחה חמור" (כהגדרתו בתקנות) ולכל היותר 72 שעות מאותו מועד. החל מתחילת חודש יולי 2019, עלתה מדיניות האכיפה של הרשות שלב נוסף, וכעת היא מיושמת באופן מלא; זאת, לאחר שעד שלב זה, שלבי האכיפה כללו תקופת הטמעה ראשונית שנמשכה עד תום שנת 2018, ותקופת ביניים שכללה את המחצית הראשונה של שנת 2019. בימים אלו, מיושמות נורמות הדיווח של הרשות באופן מלא, והן צפויות להיאכף באופן אקטיבי וחמור יותר באשר להפרות של חובות הדיווח של בעלי, מנהלי ומחזיקי מאגרי מידע.

Print Friendly, PDF & Email
חדשות