ماذا حدث منذ إدخال اللائحة العامة لحماية البيانات؟

نشرت: 2019-03-21

يوم 25 مايو عام 2018، قبل نحو عشرة أشهر، وجاء تنظيم حماية البيانات الأوروبية عامة حيز النفاذ. بعد الضجة الهائلة التي سببتها المقدمة ، قد تتساءل عما إذا كان للائحة الجديدة أي تأثير على الإطلاق. في الواقع ، حدث الكثير ، وفُرضت غرامات وتحذيرات ورفعت العديد من الدعاوى القضائية.

لإعطائك لمحة عامة عن الأماكن التي يتم فيها انتهاك مشكلات حماية البيانات ، قمنا بجمع الغرامات والتحذيرات والدعاوى القضائية المعلقة بناءً على القانون العام لحماية البيانات (GDPR).

الغرامات المفروضة على أساس اللائحة العامة لحماية البيانات (GDPR)

الحالة 1: سرقة بيانات المستخدم - ألمانيا

تم اختراق منصة الدردشة "Knuddels" وسرقت كلمات المرور والأسماء المستعارة وعناوين البريد الإلكتروني حيث تم تخزين هذه المعلومات دون تشفير. التخزين غير المشفر للبيانات هو حماية غير كافية للبيانات الشخصية. هذا ينتهك مبدأ الخصوصية بشكل افتراضي والخصوصية حسب التصميم التي تتطلبها اللائحة العامة لحماية البيانات.

الغرامة المفروضة في هذه القضية تصل إلى 20000 يورو.
المصدر: سرقة بيانات المستخدم - ألمانيا (الألمانية)

الحالة 2: نشر البيانات الصحية - ألمانيا

ربما بسبب خطأ غير مقصود ، أصبحت البيانات الصحية الشخصية متاحة عبر الإنترنت. (لم يتم الكشف عن مزيد من التفاصيل حول هذه القضية). في هذه الحالة أيضًا ، تم انتهاك مبدأ الخصوصية افتراضيًا والخصوصية حسب التصميم بسبب اتخاذ تدابير وقائية غير كافية.

وبلغت الغرامة هنا 80000 يورو.
المصدر: نشر البيانات الصحية - الألمانية ( الألمانية )

الحالة 3: موافقة مستخدم Google مفقودة / خاطئة - فرنسا

تم فرض أعلى غرامة حتى الآن على Google. تم رفع هذه الدعوى في اليوم الذي دخلت فيه اللائحة العامة لحماية البيانات حيز التنفيذ. في هذه الحالة ، استندت الغرامة إلى انتهاك واجب توفير المعلومات والشفافية وعدم وجود أساس قانوني لاستخدام الإعلانات المخصصة.

في هذه الحالة ، تصل الغرامة المفروضة إلى 50،000،000 يورو.
Quelle: افتقار Google إلى موافقة المستخدم
الاتصال الرسمي لـ CNIL (هيئة حماية البيانات الفرنسية)

في المجموع ، تم فرض 41 غرامة بمبالغ تتراوح بين 15000 و 100000 يورو في ألمانيا منذ دخول اللائحة العامة لحماية البيانات حيز التنفيذ. تم تبرير الغرامات بعدد من العوامل:

  • تم اتخاذ تدابير تقنية وتنظيمية غير كافية من قبل فندق لا يمكن أن يستبعد احتمال الكشف عن بيانات بطاقة الائتمان أو بيانات العملاء الأخرى من نظام الحجز الخاص به في حالة حدوث هجوم قراصنة ابتزاز ،
  • نشر البيانات الصحية على الإنترنت بسبب عدم كفاية آليات الرقابة الداخلية ،
  • خطأ بشري: الكشف عن البيانات الصحية للمريض الخطأ من قبل المستشفى ،
  • تسجيل جميع المكالمات الصادرة والواردة لفرقة إطفاء ولاية بريمن ،
  • الكشف عن بيانات الحساب للأشخاص غير المصرح لهم باستخدام الخدمات المصرفية عبر الإنترنت ،
  • رسائل البريد الإلكتروني الإعلانية غير المقبولة ،
  • نسخة غير مصرح بها من بيانات العميل أثناء هجوم المتسللين على متجر ويب ،
  • استخدام Dashcam غير المصرح به ،
  • قائمة توزيع البريد الإلكتروني المفتوحة ،
  • مراقبة بالفيديو غير مصرح بها للعملاء والموظفين.

في أوروبا ، تم فرض ما مجموعه 91 غرامة منذ دخول اللائحة العامة لحماية البيانات حيز التنفيذ.

التنبيهات والأحكام منذ دخول اللائحة العامة لحماية البيانات حيز التنفيذ

الحالة 1: موقع الويب بدون تشفير

منعت محكمة مقاطعة Wurzburg المحامية من استخدام موقعها على الويب بدون تشفير وبدون تصريح حماية بيانات كافٍ تحت تهديد غرامة قدرها 250.000 يورو.
المصدر: موقع بدون تشفير (ألماني)

الحالة 2: استخدام جمهور Facebook المخصص

حظر مكتب ولاية بافاريا لحماية البيانات متجرًا عبر الإنترنت من استخدام "Facebook Custom Audience". تم تأكيد الحكم من قبل "Verwaltungsgericht" و "Verwaltungsgerichtshof". كان السبب المقدم هنا هو استخدام البيانات الشخصية دون موافقة الزوار.

المصدر: Use of Facebook Custom Audience (الألمانية)

الدعاوى القضائية المعلقة بسبب اللائحة العامة لحماية البيانات

  • Instagram (بلجيكا): السبب: عدم كفاية المعلومات والموافقة القسرية أو المفقودة أو غير الكافية.
  • WhatsApp (Hamburg): السبب: معلومات غير كافية وموافقة قسرية أو مفقودة أو غير كافية.
  • Facebook (النمسا): السبب: معلومات غير كافية وموافقة قسرية أو مفقودة أو غير كافية.
  • النمسا: يتقاضى البنك النمساوي 30 يورو مقابل استرداد بيانات العميل الشخصية المخزنة لهذا العميل. حكمت المحكمة لصالح المدعي ، وعندها استأنف البنك الحكم أمام محكمة أعلى ، المحكمة الإدارية الاتحادية. كان سبب قرار المحكمة هنا هو رفض منح الحق في الكشف المجاني عن البيانات الشخصية المخزنة.
  • محكمة العدل الأوروبية: إجراء ضد استخدام درع الخصوصية بين الولايات المتحدة والاتحاد الأوروبي (على سبيل المثال Facebook) ، حيث يمكن لوكالة الأمن القومي اعتراض عمليات النقل إلى الولايات المتحدة وفقًا لقانون الولايات المتحدة.
  • المملكة المتحدة وأيرلندا: تمت مقاضاة Google و IAB بسبب تقديم العطاءات في الوقت الفعلي (RTB) في الإعلانات. وفقًا للمدعي ، تشارك أنظمة RTB مئات المليارات من نقاط البيانات الشخصية يوميًا مع أنظمة أخرى دون موافقة المستخدم. حتى البيانات الحساسة مثل "سوء المعاملة أو سفاح القربى أو حالة فيروس نقص المناعة البشرية" يتم مشاركتها. وفقًا للمدعي ، كان IAB يعلم مسبقًا أن نظامه لا يتوافق مع اللائحة العامة لحماية البيانات (GDPR). من ناحية أخرى ، تحاول Google تمرير الالتزام إلى مواقع الويب التي تعرض الإعلانات للحصول على موافقة المستخدم.

مصادر:
https://noyb.eu/
https://mashable.com/article/gdpr-google-iab-complaint-evidence-update/؟europe=true

منذ أن دخلت اللائحة العامة لحماية البيانات حيز التنفيذ ، تم الإبلاغ عن أكثر من 59000 تسريب للبيانات إلى سلطات حماية البيانات الأوروبية. والبلدان التي سجلت أعلى عدد من تسريبات البيانات المبلغ عنها هي هولندا مع 15400 تسريب بيانات ، وألمانيا 12600 ، وبريطانيا العظمى مع 10600. قبرص بـ 35 تقريرًا ، وأيسلندا بـ 25 وليختنشتاين بـ 15 هي البلدان الأقل تسريبًا للبيانات.

قام مكتب ولاية بافاريا للإشراف على حماية البيانات (BayLDA) بفحص 40 موقعًا من مواقع الشركات عالية الوصول للتحقق مما إذا كانت متوافقة مع اللائحة العامة لحماية البيانات (GDPR) فيما يتعلق بموافقة المستخدم والوثائق . لم ينفذ أي من مواقع الشركة الأربعين بشكل صحيح عملية الحصول على موافقة المستخدم ومعلومات المستخدم الصحيحة. وهنا أيضًا يوجد تهديد بوقوع دعاوى قضائية وتحذيرات.

كما ترى فقد حدث الكثير في مجال حماية البيانات خلال الأشهر العشرة الماضية. توفر لائحة حماية البيانات الجديدة أساسًا قانونيًا مهمًا للمستخدمين لحماية بياناتهم الشخصية. لذلك ، يُطلب من الشركات الالتزام بمتطلبات حماية البيانات الجديدة ونصائحها جيدًا.

يرجى أن تضع في اعتبارك أن القانون العام لحماية البيانات والمتطلبات الجديدة تنطبق أيضًا على الشركات السويسرية التي تقدم خدماتها ومنتجاتها لمواطني الاتحاد الأوروبي.