שיאניות הקנסות על הפרות פרטיות באירופה: לינקדאין, מטא ואובר
במהלך 2024 הרשויות באירופה הטילו קנסות בגובה של 1.2 מיליארד אירו בעיקר על חברות טק, אבל גם בסקטור פיננסים ואנרגיה - בעקבות הפרות בניהול מידע אישי. הסכום זהה לקנס בודד שקיבלה מטא ב-2023
אובר. צילום: Vitaliy Mitrofanenko, Pexles
אירופה קנסה חברות על הפרות פרטיות (GDPR) בסכום של 1.2 מיליארד אירו במהלך 2024. אמנם מדובר בירידה של 33% מ-2023 על פי חברת הייעוץ DLApiper שחיברה דוח בנושא, אבל הפער אינו תוצאה של אכיפה פחות מוגברת, אלא קנס השיא שקיבלה מטא ב-2023.
הרשויות באירלנד הטילו אז על מטא קנס בגובה 1.2 מיליארד אירו, בעקבות העברת נתוני המשתמשים האירופאים של החברה לארה"ב.
על פי התקנות של GDPR, חברות חייבות להגן על המידע הפרטי והנתונים האישיים של אזרחי האיחוד; וההעברה של המידע לשרתים אמריקאיים, על פי האיחוד, אינה מבטיחה את שלמותם ואבטחתם של הנתונים והמידע של אזרחי האיחוד.
חקירה מ-2018
במהלך 2024 נציבות הגנת המידע האירית הטילה, בין השאר, קנס של 310 מיליון אירו נגד LinkedIn בעקבות פרקטיקות שלה בעיבוד מידע האישי של משתמשי האתר למטרות ניתוח התנהגותי ופרסום ממוקד.
הרשות האירית הטילה גם קנס בסכום של 251 מיליון אירו על מטא, בעקבות פירצה שפורסמה עוד בספטמבר 2018 (ותוקנה זמן קצר לאחר מכן). אז דווח שהיא עלולה להשפיע על 50 מיליון משתמשים, אבל מהחקירה עלה שהיא השפיעה "רק" על 29 מיליון משתמשים, שלושה מיליון מתוכם הם מהאיחוד האירופי.
באוגוסט 2024, רשות הגנת המידע ההולנדית הטילה קנס של 290 מיליון אירו נגד אובר, בעקבות העברת מידע של נהגים לארה"ב בלי להפעיל אמצעי הגנה נדרשים. המידע כלל פרטי חשבון ורישיונות מונית, וגם נתוני מיקום, תמונות, פרטי תשלום, מסמכי זהות ובמקרים מסוימים אף מידע פלילי ורפואי של נהגים.
בעוד איסוף המידע עצמו ככל הנראה שירת את החברה מבחינת התפעול, אך העברה שלו למדינה אחרת מצריכה פרקטיקות ואמצעי הגנה מסוימים, שהרשות אומרת שאובר לא נקטה בהם. הרשות ההולנדית החלה את החקירה לאחר שיותר מ-170 נהגים צרפתים התלוננו לארגון זכויות האדם הצרפתי Ligue des droits de l'Homme, שהגיש בהמשך תלונה לרשות הגנת הפרטיות הצרפתית, שפעלה בשיתוף פעולה עם המקבילה שלה בהולנד.
גם בנקים וחברות אנרגיה
ב-2024, לפי הדו"ח, האכיפה התרחבה באופן ניכר לסקטורים אחרים שאינם אפליקציות ורשתות חברתיות, אלא גם שירותים פיננסיים ואנרגיה.
רשות הגנת המידע הספרדית, למשל, הטילה שני קנסות בסך כולל של 6.2 מיליון אירו נגד בנק גדול בגין אמצעי אבטחה לא מספקים, ורשות הגנת המידע האיטלקית קנסה ספק שירותי חשמל וגז ב-5 מיליון אירו על שימוש במידע לא עדכני של לקוחות כדי להפיק מהם חוזי אספקה, ללא ידיעת הלקוחות
אחריות אישית
בנוסף לקנסות על החברות, הרשויות באירופה בחנו אפשרות לפעול באופן אישי נגד מנהלים. בספטמבר 2024, רשות הפרטיות בהולנד הטילה קנס של 30.5 מיליון אירו על ספקית תוכנת זיהוי הפנים, Clearview AI, לאחר שהואשמה שאספה תמונות פנים ומידע מפרטים ציבוריים באינטרנט וברשתות חברתיות.
עם זאת, הרשות ציינה אז ש-Clearview AI לא הפסיקה את הפרות ה-GDPR לאחר סיום החקירה, ובמהלך חסר תקדים, הצהירה שהיא בודקת האם היא יכולה להטיל אחריות אישית על הנהלת החברה ולקנוס אותם על הכוונת ההפרות.
פרטיות עם בינה מלאכותית
בשנתיים האחרונות השימוש בבינה מלאכותית זינק, ואיתו סביר להניח שתעלה גם תשומת הלב של רשויות הפרטיות בארופה להפרות שקשורות לשימוש ב-AI כדי לנתח מידע אישי או לאמן מודלים על בסיס מידע אישי של תושבי אירופה.
במהלך 2024 רשות הפרטיות באירופה החלה בהליכים נגד X, בעקבות חששות שמודל הבינה המלאכותית Grok של החברה עושה שימוש בפוסטים פומביים של משתמשים ב-X, שחלקם פורסמו בה גם לפני עידן מאסק והבינה המלאכותית, כשהרשת עוד הייתה טוויטר.
עם זאת, ההליכים הופסקו בחודש ספטמבר האחרון, כאשר נציגי הרשות הודיעו לבית המשפט באירלנד ש-X הסכימה להשעות את עיבוד המידע האישי.
שבע שנות אכיפה
היעדים העיקריים של הקנסות הללו הם עדיין חברות הטק הגדולות, ואכן כמעט כל עשרת הקנסות הגדולים ביותר מאז 2018 הוטלו על הסקטור זה.
סך כל הקנסות שדווחו מאז החלת תקנות ה-GDPR ב-2018 עומד כעת על 5.88 מיליארד אירו, לפי הדו"ח. אירלנד נשארת המובילה באכיפה, עם הטלת קנסות בסך 3.5 מיליארד אירו בשבע השנים האחרונות, יותר מפי ארבעה מערך הקנסות שהוטלו על ידי רשות הגנת המידע של לוקסמבורג שבמקום השני, אשר הטילה קנסות בסך 746.38 מיליון אירו באותה תקופה.
