הרגולטורים באירופה נוקטים מהלכים נמרצים לאכיפת ה-GDPR

שורה של רגולטורים לאומיים לפרטיות מרחבי האיחוד האירופי, בהם גרמניה, הולנד, נורבגיה ואיטליה, הכריזו בימים האחרונים על מהליכי אכיפה וקנסות בשל הפרות ה-GDPR. סך הקנסות בשבוע האחרון עולה על 20 מיליון אירו והם הוטלו במגוון תחומים הכוללים אי קבלת הסכמה נאותה לשימוש במידע לצורכי פרסום מקוון, שימוש פסול במצלמות אבטחה לרבות מצלמות זיהוי פנים ביומטרי, ואי מסירת הודעה לרגולטור ולנושאי מידע על אירוע אבטחת מידע:

  • רשות הגנת הפרטיות בנורבגיה פרסמה טיוטת החלטה נגד גריינדר המשיתה קנס של 10 מיליון אירו על הרשת החברתית להיכרויות מזדמנות בשל נוהגי הרשת לשתף מידע אישי על משתמשיה עם חברות פרסום מקוון ללא קבלת הסכמה מפורשת וספציפית מהמשתמשים. הרשות מאשימה את גריינדר כי היא משתפת מידע רגיש כדוגמת נתוני מיקום עם חברות כגון טוויטר, אד-קולוני וזאנדר (לשעבר אפ-נקסוס). בנוסף, המידע שגריינדר משתפת עם רשתות הפרסום כולל תיוג גנרי של כלל נושאי המידע כ-"gay, bi, trans and queer" - תיוג העולה כדי מידע בעל רגישות מיוחדת. בקביעת גובה הקנס הסתמכה הרשות הנורבגית על ראיון עיתונאי שנערך עם אחד מבכירי החברה, בה הצהיר הבכיר כי המחזור העסקי של החברה עולה על 100 מיליון דולר בשנה. הרשות החליטה על קנס בשיעור של כ-11% מהמחזור השנתי - שיעור שנמצא מתחת לרף העליון של 20 מיליון אירו שנקבע ב-GDPR. לצד הקנסות נגד גוגל ואמזון ועוד מספר מצומצם של חברות, זו אחת מהחלטות האכיפה הבודדות של רגולטורים אירופאים נגד חברות חוץ-אירופאיות. גריינדר רשאית לערער על טיוטת ההחלטה.
  • רגולטור הגנת הפרטיות באיטליה הורה לטיקטוק לחדול מעיבוד מידע על משתמשים שהרשת לא אימתה בוודאות כי גילם עולה על 13. הוראת רשות הגנת הפרטיות באיטליה מגיעה לאחר שילדה בת 10 מסיציליה נהרגה כאשר השתתפה באתגר טיקטוק. האיסור יעמוד בתוקף לפחות עד אמצע פברואר, אז צפויה הרשות האיטלקית להשלים את חקירתה.
  • רגולטור הגנת המידע במדינת סקסוניה התחתונה בגרמניה הטיל קנס של 10.4 מיליון אירו על רשת קמעונאית למכירת מחשבים בשל שימוש לא מידתי במצלמות אבטחה במחסנים, אולמות מכירה וחדרי עבודה במהלך השנתיים האחרונות. החברה נימקה את השימוש במצלמות בצורך במעקב אחר שינוע סחורות ובצורך בחקירת חשד לעבירות. רשות הגנת הפרטיות דחתה את נימוקי החברה וקבעה כי שימוש במלצמות למטרות אלה יכול להיעשות רק כמוצא אחרון, לאחר שיושמו קודם לכן אמצעים שפגיעתם בפרטיות פחותה. בנוסף, שימוש במצלמות אבטחה למטרות אלה לא יכול להיעשות באופן גורף ורוחבי, אלא רק באופן נקודתי לשם חקירה של חשדות נגד עובדים ספציפיים. זה הקנס הגבוה ביותר שהשית עד כה הרגולטור בסקסוניה התחתונה.
  • רשות הגנת המידע בהולנד פרסמה התראה נגד רשת סופרמרקטים בשל שימוש שעשתה הרשת במצלמות זיהוי פנים למניעת גניבות והגנה על הלקוחות. הרשת נהגה להתקין בפתח החנויות מצלמות זיהוי פנים שהיו מצלמות את הלקוחות הנכנסים לצורך השוואתם למאגר לקוחות שכניסתם לחנויות נאסרה. רשות הגנת הפרטיות קבעה כי שימוש במצלמות זיהוי פנים ביומטרי מחוץ למסגרת ביתית-פרטית אסור באופן כמעט גורף למעט בשני מצבים: א. כאשר נושא המידע נתן לכך את הסכמתו החופשית, המפורשת והספציפית למטרה פרטיקולרית; ב. כאשר השימוש בזיהוי פנים ביומטרי נעשה לצורך בטחוני בשל אינטרס ציבורי משמעותי, למשל, אבטחת תחנת כוח גרעינית.
  • רשות הגנת הפרטיות בפולין השיתה קנס של 5,850 אירו על אוניברסיטה מקומית בשל מחדל בדיווח אירוע אבטחת מידע לרגולטור ולנושאי המידע. אירוע האבטחה נסב על צילומי היוועדות חזותית של נבחנים שהשתתפו בלימודים מקוונים ביוני 2020. טעות אנוש גרמה לכך שצילומי מהלך הבחינה נותרו חשופים. הצילומים תיעדו לא רק את הסטודנטים הנבחנים אלא גם את פרטיהם האישיים בהם מספר תעודת זהות לאומית, שם, כתובת ועוד. האירוע נודע לרגולטור בשל תלונה שהוגשה ואז התברר שהאוניברסיטה נמנעה מלמסור הודעה על אירוע האבטחה לרגולטור בשל הערכתה כי הוא מגלם סיכון זניח לפרטיות. בנוסף, האוניברסיטה סירבה למסור לסטונדטים הודעה על אירוע האבטחה, גם לאחר שהרגולטור הורה לה לעשות כן.

מקור: מועצת הרגולטורים האירופאים להגנת מידע.