דו"ח תקופתי על ה-GDPR: מעל רבע מיליון תלונות ויותר מ-600 קנסות שהושתו

דו"ח שפרסם פאנל הרגולטורים האירופאים לפרטיות מרכז נתונים מ-30 רשויות פרטיות מדינתיות באירופה על התמודדותן עם יישום התקנות האירופאיות להגנת הפרטיות (GDPR) במהלך 18 החודשים הראשונים מאז נכנסו לתוקף בסוף מאי 2018. הדו"ח מגלה כי רשויות הגנת הפרטיות המשופעות ביותר במשאבים הן הרשויות בגרמניה ובאנגליה, שם מספר העובדים הצפוי השנה הוא 1002 ו-714 בהתאמה, עם תקציב שנתי של 81 מיליון אירו ו-61 מיליון אירו בהתאמה. להבדיל, רשויות הגנת הפרטיות הדלות ביותר בתקציב הן הרשות האסטונית והרשות המלטזית, שמתוקצבות השנה ברבע מיליון אירו וחצי מיליון אירו בהתאמה, עם כח אדם המונה 18 ו-15 עובדים בהתאמה. מרבית הרשויות באיחוד הלינו כי המשאבים שעומדים לרשותן אינם מספיקים לצורך מילוי המשימות המוטלות עליהן לפי חוק.

הרשויות דיווחו על היקף מצרפי של כ-275,000 תלונות שהוגשו להן על הפרות ה-GDPR מאז מאי 2018 ועד סוף נובמבר 2019. שלוש מדינות בלבד מתוך 30 שנסקרו - הולנד, גרמניה ואנגליה - משכו אליהן כ-60% מהתלונות. אלה גם המדינות שבהן מספר הדיווחים על אירועי אבטחת מידע בתקופה הנסקרת היה הגבוה ביותר: כ-104,000 במצטבר מתוך כ-160,000 דיווחים מכל רחבי האיחוד.

מספר התלונות המזערי ביותר הוגש באיסלנד ומלטה, עם כ-170 תלונות בלבד בכל אחת מהן. מספר הקנסות שהוטלו על הפרות ה-GDPR מאז שנכנס לתוקף ועד נובמבר 2019 עומד על כ-650. מרבית הקנסות עוסקים בהפרת עקרונות העל של ה-GDPR - העדר בסיס חוקי נאות לעיבוד מידע, מנגנונים לקויים לקבלת הסכמה, עיבוד לא חוקי של מידע רגיש, שקיפות לקויה לנושאי המידע והפרת זכויותיהם ואבטחה לקויה של מידע אישי.

הדו"ח גם מגלה כי בבואן לקבוע את גובה הקנסות, הרשויות להגנת הפרטיות באירופה מביאות בחשבון את שיתוף הפעולה לו הן זוכות מהארגון הנחקר, משך ההפרה, סוג המידע האישי המדובר והיקפו, האם ההפרה נעשתה בזדון, היסטוריית ההפרות של הארגון והאמצעים שנקט למזעור ההפרה ולמניעת הישנותה.