خصوصية البيانات: تكلفة الخطأ

نشرت: 2022-10-12

عندما أصبحت اللائحة العامة لحماية البيانات في أوروبا سارية المفعول في مايو 2018 ، أرست أساسًا لجيل جديد من قوانين خصوصية البيانات التي توفر حماية أكبر للمستهلكين. المبادئ الأساسية مثل الموافقة الواضحة ، وتقليل البيانات ، والحد من الغرض ، والحق في الاعتراض قد كتبت بشكل فعال أفضل ممارسات البيانات الراسخة في القانون.

منذ ذلك الحين ، تم اعتماد تشريعات الخصوصية على غرار القانون العام لحماية البيانات في جميع أنحاء العالم. وضعت CCPA في كاليفورنيا الكرة في الولايات المتحدة ، مع العديد من الولايات الأخرى التالية (كولورادو ، كونيتيكت ، يوتا ، وفيرجينيا) أو في عملية المتابعة (ميشيغان ، نيو جيرسي ، أوهايو ، وبنسلفانيا). في جميع أنحاء العالم ، شهدنا أيضًا إدخال LGPD في البرازيل و PIPL في الصين ، على سبيل المثال لا الحصر.

التحدي الذي يواجهه مراقبو البيانات ومعالجو البيانات هو الغموض. أي ، ما الذي تعنيه البنود الرئيسية في هذه التشريعات الجديدة في الواقع؟ في كثير من الأحيان ، يحتاجون إلى اختبار في المحاكم لتوضيح نيتهم ​​الحقيقية وإرساء سابقة قانونية. يحدث هذا الآن في أوروبا ، ويمكن للممارسين في أماكن أخرى التعلم من هذه الحالات وتطبيق النتائج قبل أن يتعارضوا معها في بلدانهم.

أوروبا تتخذ إجراءات صارمة ضد خصوصية البيانات

من المؤكد أن المنظمين الأوروبيين كانوا يكشفون عن أسنانهم في عام 2022.

تم تغريم Clearview AI ، وهي شركة للتعرف على الوجه ، 20 مليون يورو من قبل وكالة حماية البيانات الإيطالية و 9 مليون يورو أخرى من قبل مكتب مفوض المعلومات في المملكة المتحدة (ICO) بسبب المعالجة غير القانونية للبيانات الشخصية المتعلقة بالمقاييس الحيوية والموقع الجغرافي.

فرض المنظم الأيرلندي 17 مليون يورو على Meta (Facebook) لعدم وجود تدابير تقنية وتنظيمية مناسبة.

في إسبانيا ، تم تغريم Google 10 ملايين يورو لإجبار المستخدمين على قبول نقل طلبات إزالة المحتوى إلى طرف ثالث.

في الآونة الأخيرة ، نتيجة للفشل في حماية خصوصية الأطفال أثناء استخدام النظام الأساسي ، قد تواجه TikTok غرامة قدرها 27 مليون جنيه إسترليني بعد انتهاك محتمل لقوانين حماية البيانات في المملكة المتحدة.

يتمثل الموضوع المشترك الذي يتم تشغيله في هذه الحالات في المبادئ الأساسية لـ "الشرعية والإنصاف والشفافية" ، مما يعني أن الشركات يجب أن تكون واضحة مع الأفراد حول كيفية معالجة بياناتهم الشخصية ، وأنه تم وضع أساس قانوني مناسب للقيام بذلك.

في المملكة المتحدة ، ركزت إجراءات الإنفاذ في عام 2022 إلى حد كبير على الإرسال غير المصرح به لرسائل التسويق. تتطلب قوانين خصوصية البيانات الجديدة مثل القانون العام لحماية البيانات (GDPR) أساسًا قانونيًا - عادةً موافقة أو مصلحة مشروعة - لمعالجة البيانات الشخصية ، والتي تتضمن نشاطًا تسويقيًا.

الحالات الأخيرة * تُظهر أن هذا المطلب لا يزال غير مفهوم بوضوح (أو تم تجاهله عمدًا!):

  • Finance Giant Ltd ( 60.000 جنيه إسترليني ): حث على إرسال إجمالي مؤكد يبلغ 505759 رسالة تسويقية مباشرة غير مرغوب فيها.
  • Bizfella Limited ( 30 ألف جنيه إسترليني ): حث على إرسال 224،550 رسالة نصية قصيرة تسويقية مباشرة غير مرغوب فيها.
  • H&L Business Consulting Limited ( 80.000 جنيه إسترليني ): حثت على إرسال 451.705 رسائل SMS غير مرغوب فيها لأغراض التسويق المباشر.

* يمكن للقراء الحصول على النصوص الكاملة لجميع الأحكام من موقع ICO الإلكتروني ويمكنهم أيضًا الاشتراك لتلقي النشرة الإخبارية لـ "Enforcement Actions" على ICO.

يريد المستهلكون معرفة كيفية استخدام بياناتهم

أحد الموضوعات المهمة التي تتناول كل هذه القضايا (وغيرها) هو أنها تم إبرازها في الأصل من خلال شكاوى المستهلكين. أصبح لدى المستهلكين الآن فهم أكبر لحقوق خصوصية البيانات الخاصة بهم ومستعدون لممارسة هذه الحقوق إذا كانوا يعتقدون أن بياناتهم الشخصية يتم إساءة استخدامها.

عند التعامل مع بيانات المستهلك ، من المهم أن تتذكر:

  • تتطلب الموافقة الصالحة أن يتم منح الأفراد الاختيار والسيطرة الحقيقيين.
  • يجب إبلاغ الأفراد صراحة بأنهم سيتلقون رسائل تسويقية.
  • يجب فصل الموافقة عن سياسات الخصوصية و / أو الشروط والأحكام الأخرى للمرسلين.
  • قد تكون الموافقة غير المباشرة صالحة فقط عندما تكون واضحة ومحددة بما فيه الكفاية.
  • يجب أن يكون هناك وسيلة بسيطة للأفراد لرفض استخدام تفاصيل الاتصال الخاصة بهم.

وقعت بعض الشركات في مآزق أخرى تتعلق بالخصوصية

بعد الترحيل إلى نظام CRM جديد ، قامت شركة Reed Online بجدولة رسائل بريد إلكتروني تسويقية بدون قصد للعملاء الذين تم إلغاء اشتراكهم / منعهم من قبل.

تعرض Tuckers Solicitors لهجوم من برامج الفدية ، مما أدى إلى انتهاك البيانات الشخصية. قضت ICO بأن فشل الشركة في تنفيذ التدابير الفنية والتنظيمية المناسبة جعلها عرضة للهجوم.

كشف مكتب مجلس الوزراء التابع لحكومة المملكة المتحدة عن العناوين البريدية لمتلقي التكريم للعام الجديد 2020 عبر الإنترنت - وهو فشل في منع الكشف غير المصرح به عن معلومات الأشخاص.

لا تتصدر العديد من حوادث خصوصية البيانات عناوين الأخبار

في حين أن الانتهاكات البارزة تتصدر عناوين الأخبار ، فإن العديد من الحوادث أكثر دنيوية.

ينشر ICO تقريرًا ربع سنويًا عن أمان البيانات ، مع أحدث المشكلات "غير الإلكترونية" (أي التي تُلحقها بنفسك) بما في ذلك:

  • البيانات المرسلة بالبريد الإلكتروني إلى مستلم غير صحيح ( 22 بالمائة )
  • الوصول غير المصرح به ( 14 بالمائة )
  • تم إرسال البيانات أو إرسالها بالفاكس إلى مستلم غير صحيح ( 13 بالمائة )
  • فقدان / سرقة الأوراق أو البيانات التي تُترك في مكان غير آمن ( 8 بالمائة )
  • عدم التنقيح ( 6 بالمائة ).

تشير هذه الاتجاهات إلى حد كبير إلى الخطأ البشري و / أو التدريب غير الكافي ، وتقدم حجة مقنعة لصالح تنفيذ ممارسات "الخصوصية حسب التصميم" حيث تقلل العمليات القوية من فرص عدم الامتثال.

ما زلنا لا نرى بالفعل غرامات "أربعة بالمائة من الإيرادات العالمية" التي يمكن فرضها نظريًا ، على الرغم من أنه لا يعني أن هذا لن يحدث. اقتربت غرامة الخطوط الجوية البريطانية (BA) - كما هو مقترح - قبل أن يتم تخفيضها لمجموعة من العوامل المخففة ، بما في ذلك تأثير أزمة Covid-19 على الشؤون المالية لشركة الخطوط الجوية البريطانية. على الرغم من عدم رغبة أي شركة في التعامل مع انتهاك الخصوصية ، إلا أن هناك عوامل مخففة سيتم أخذها في الاعتبار إذا حدث ذلك ، بما في ذلك:

  • سواء كان ذلك انتهاكًا لأول مرة
  • جسامة الانتهاك
  • سواء كان متعمدا أو عرضيا
  • إخطار استباقي للسلطة الإشرافية
  • الإجراءات المتخذة لتقليل التأثير على موضوعات البيانات

سيكون المنظمون عمومًا أكثر تساهلاً مع الشركات التي تتسم بالشفافية بشأن الخطأ الذي حدث ، وتتعاون في المساعدة في التحقيق ، وتتحرك بسرعة لوضع التدابير التي من شأنها منع تكرار حدوثها.

هذه ليست سوى البداية…

هناك الكثير مما يمكن قوله حول هذا الموضوع. هل تريد معرفة المزيد عن تشريعات خصوصية البيانات حول العالم؟ تحقق من دليلنا لقوانين الخصوصية العالمية والامتثال .

قم بتنزيل الدليل