أظهرت دراسة جديدة، أن الغرامات المفروضة على انتهاكات قانون الخصوصية للاتحاد الأوروبي ارتفعت سبعة أضعاف تقريباً في العام الماضي.
قالت شركة المحاماة DLA Piper في تقرير نُشر، الثلاثاء إن سلطات حماية البيانات في الاتحاد الأوروبي فرضت غرامات إجمالية قدرها 1.25 مليار دولار على انتهاكات اللائحة العامة لحماية البيانات في الاتحاد منذ 28 يناير 2021. وهذا ارتفاع من حوالي 180 مليون دولار قبل عام.
وارتفعت إخطارات خروقات البيانات من الشركات إلى المنظمين بشكل أكثر تواضعاً، بنسبة 8% إلى 356 في اليوم في المتوسط.
دخلت اللائحة العامة لحماية البيانات حيز التنفيذ منذ عام 2018. وتهدف التغييرات الشاملة لقواعد بيانات الاتحاد الأوروبي إلى منح المستهلكين في أوروبا مزيداً من التحكم في معلوماتهم.
ويتعين على الشركات إثبات أساس قانوني واضح لجمع ومعالجة البيانات الشخصية للمستخدمين. ويجب على الشركات إخطار السلطات بأي خرق للبيانات في غضون 72 ساعة من علمها أولاً.
يمكن أن يؤدي عدم الامتثال إلى غرامات كبيرة محتملة - تصل إلى 4% من الإيرادات العالمية السنوية للشركة أو 20 مليون يورو (22.8 مليون دولار)، أيهما أكبر.
وقال روس ماكين، رئيس مجموعة حماية وأمن البيانات في المملكة المتحدة DLA Piper، لشبكة «سي إن بي سي»: «لقد كانت اللائحة العامة لحماية البيانات فعالة بالتأكيد في جعل الجميع يقفون ويستمعون إلى قانون حماية البيانات وإنفاذ حماية البيانات».
وأضاف: «قبل القانون العام لحماية البيانات (GDPR)، إذا تعرضت لغرامة وكنت أحد أكبر المعالجات، فقد كان ذلك خطأً في التقريب، وبالكاد ستدفع تكاليف حفلة عيد الميلاد. الآن، لديك غرامات تقترب من مليار يورو».
تسجيل الغرامات
شهد العام الماضي فرض المنظمين في الاتحاد الأوروبي غرامات قياسية بموجب اللائحة العامة لحماية البيانات، مع تحمل شركات التكنولوجيا الكبرى العبء الأكبر من العقوبات.
فرضت هيئة مراقبة الخصوصية في لوكسمبورج غرامة قدرها 746 مليون يورو (850 مليون دولار) على أمازون، بينما فرضت السلطات في أيرلندا غرامة قدرها 225 مليون يورو على «واتساب» («ميتا»). كلتا الشركتين بصدد الطعن في الغرامات الخاصة بهما.
وقال ماكين إن الجهات التنظيمية غالباً «تستغرق بعض الوقت» لفرض غرامات كبيرة بمجرد إدخالها في تشريع جديد. «هذا لأن التحقيقات تستغرق بعض الوقت. والقانون لا يزال مملوءاً بالكثير من الأسئلة القانونية المفتوحة».
من بين تلك الأسئلة المفتوحة قضية نقل البيانات عبر الحدود بين الاتحاد الأوروبي والولايات المتحدة.
في عام 2020، أصدرت محكمة العدل الأوروبية حكما زلزالياً يبطل استخدام إطار عمل Privacy Shield، وهو إطار قانوني لنقل البيانات عبر المحيط الأطلسي. أطلق على الحكم اسم «Schrems II» على اسم ناشط الخصوصية النمساوي Max Schrems، الذي أطلق القضية في الأصل.
بينما تم إبطال درع الخصوصية، حافظت محكمة العدل الأوروبية على صلاحية البنود التعاقدية القياسية، وهي آلية أخرى لضمان الاتحاد الأوروبي والولايات المتحدة، تدفقات البيانات سليمة من الناحية القانونية. ومع ذلك، لا تزال الشركات تسعى جاهدة لمعرفة الآثار المترتبة على الحكم.
الخلاف الرئيسي للحكم هو أن نظام حماية البيانات في الولايات المتحدة لا يعادل نظام الاتحاد الأوروبي.
عدم اليقين القانوني
يقول ماكين إن «الصداع» الرئيسي للمنظمات التي تمضي قدماً هو عدم اليقين القانوني المحيط بالاتحاد الأوروبي والولايات المتحدة. عمليات نقل البيانات.
قال ماكين إن البنود التعاقدية القياسية (SCCs)، وهي الطريقة الأكثر شيوعاً للمعالجة القانونية لعمليات النقل هذه، تتعلق ب «دعم الحياة»، حيث يقوم المسؤولون في الاتحاد الأوروبي والولايات المتحدة بتفكيك خطط لاتفاقية بيانات جديدة لتحل محل Privacy Shield.
وقعت شركة «ميتا» (فيسبوك) في نزاع حاد مع لجنة حماية البيانات الأيرلندية حول هذه المسألة. أمرت اللجنة «ميتا» بالتوقف عن استخدام SCC لإرسال معلومات المستخدم من أوروبا إلى الولايات المتحدة، حيث إنها تحقق في ممارسات نقل البيانات الخاصة بالشركة.
أمنت شركة «ميتا» تجميداً مؤقتاً للأمر، لكن المحكمة العليا في أيرلندا رفضته، ما سمح للهيئة الرقابية بالمضي قدماً في تحقيقها.
في حالة ملحوظة مؤخراً، قالت هيئة مراقبة حماية البيانات النمساوية إن استخدام جوجل أنالاتيكس ينتهك اللائحة العامة لحماية البيانات، لأنه من المحتمل أن يعرض بيانات المستخدمين لوكالات المخابرات الأمريكية. يستهدف القرار ناشر موقع ويب يستخدم خدمة تحليلات الويب من جوجل، بدلاً من جوجل نفسها.
مثل «ميتا» وشركات التكنولوجيا الأمريكية الكبيرة الأخرى، تعتمد «جوجل» على SCC لمعالجة بيانات الاتحاد الأوروبي والولايات المتحدة.
عمليات نقل البيانات
في ذلك الوقت، قالت «جوجل» إن الشركات التي تستخدم جوجل أنالاتيكس «تتحكم في البيانات التي يتم جمعها باستخدام هذه الأدوات، وكيفية استخدامها»، وأن الشركة توفر «مجموعة من الضمانات والضوابط والموارد للامتثال».
وقال ماكين: «كل منظمة - مع بعض الاستثناءات المحدودة - لديها سلسلة إمداد دولية وعمليات نقل بيانات دولية»، مضيفاً أن حكم Schrems II كان له تأثير «عميق» على الشركات من جميع الأشكال والأحجام.
بالإضافة إلى عدم اليقين القانوني المتزايد، يقول ماكين إنه يتوقع ظهور المزيد من طلبات الاستئناف بشأن غرامات اللائحة العامة لحماية البيانات في عام 2022. (وكالات)
