هيكل غرامات اللائحة العامة لحماية البيانات وأكبر الغرامات المفروضة حتى الآن.

اللائحة العامة لحماية البيانات (GDPR) هي قانون أقرته الاتحاد الأوروبي في عام 2018 للتعامل مع حماية البيانات والخصوصية. تؤثر هذه اللائحة على جميع الشركات التي تعالج وتحتفظ بالبيانات الشخصية للأفراد المقيمين في الاتحاد الأوروبي، بغض النظر عن موقع الشركة. جانب حاسم من GDPR هو الغرامات الكبيرة التي يمكن فرضها إذا فشلت الشركات في الامتثال للوائحها. تحقق من هذه المدونة لتتعلم عن تأثير الذكاء الاصطناعي في الأمن السيبراني.

هيكل الغرامات بموجب اللائحة العامة لحماية البيانات

الحدود القصوى للغرامات

تحدد اللائحة العامة لحماية البيانات (GDPR) حدودًا قصوى للغرامات، وهي كبيرة جدًا. يعتمد الحد الأقصى على مستوى الانتهاك. بالنسبة للمستوى الأدنى، يمكن أن تصل الغرامة القصوى إلى 10 ملايين يورو أو 2% من إجمالي الإيرادات السنوية العالمية للشركة في السنة المالية السابقة، أيهما أعلى.

بالنسبة للفئة العليا، يمكن أن تصل الغرامة القصوى إلى 20 مليون يورو أو 4% من العائد السنوي العالمي للشركة للسنة المالية السابقة، أيهما أعلى. هذه المبالغ الكبيرة تؤكد على جدية الاتحاد الأوروبي في التعامل مع حماية البيانات والخصوصية.

من المهم الإشارة إلى أن هذه هي الحدود القصوى. ستعتمد الغرامة الفعلية على الظروف الخاصة بكل حالة. وبالتالي، ليس كل انتهاك سيؤدي إلى غرامات بملايين اليوروهات. ومع ذلك، فإن إمكانية فرض غرامات عالية تشير بوضوح إلى أهمية الامتثال لقانون حماية البيانات العامة (GDPR).

نظام الغرامات ذو المستويين

إليك كيف تعرف اللائحة العامة لحماية البيانات (GDPR) المستويين:

• الانتهاكات من الدرجة الأدنى تتعلق في الغالب بالجوانب الفنية للائحة العامة لحماية البيانات، مثل الفشل في توثيق أنشطة المعالجة بشكل كافٍ، وعدم إجراء تقييم الأثر المطلوب، وعدم تعيين مسؤول حماية البيانات عند الحاجة.
• الانتهاكات من الدرجة العليا تتعلق بانتهاكات المبادئ الأساسية للائحة العامة لحماية البيانات (GDPR)، مثل معالجة البيانات الشخصية بدون أساس قانوني كاف، وانتهاك حقوق الأفراد المعنيين، ونقل البيانات الشخصية إلى دولة ثالثة أو منظمة دولية بشكل مخالف للائحة.

يضمن النظام ذو المستويين أن تتناسب الغرامات مع شدة الانتهاك، مما يمنع الانتهاكات التقنية البسيطة من أن تؤدي إلى غرامات مفرطة.

المعايير المستخدمة لتحديد الغرامات والانتهاكات المتعلقة باللائحة العامة لحماية البيانات (GDPR)

1. طبيعة، جاذبية، ومدة الانتهاك

تلعب طبيعة الانتهاك ووزنه ومدته دورًا كبيرًا في تحديد الغرامات. على سبيل المثال، قد تؤدي الانتهاكات الطفيفة التي لم تؤدِ إلى أي ضرر كبير إلى غرامة أقل مقارنةً بانتهاك ضخم للبيانات كشف بيانات شخصية حساسة لآلاف المستخدمين. وبالمثل، فإن مدة الانتهاك لها أهمية أيضًا. قد يتم التعامل مع الانتهاك الذي يحدث مرة واحدة بشكل مختلف عن الانتهاك المتكرر أو المستمر.

بالإضافة إلى ذلك، يتم أخذ عدد الأشخاص المتأثرين بالانتهاك ومستوى الضرر الذي تعرضوا له في الاعتبار. إذا أدى الانتهاك إلى أضرار جسيمة مثل سرقة الهوية أو خسائر مالية، فإن الغرامات المفروضة بموجب قانون حماية البيانات العامة (GDPR) قد تكون كبيرة. على العكس، إذا نتج عن الانتهاك ضرر طفيف، فقد تكون الغرامات أقل شدة.

2. الطبيعة المتعمدة أو المهملة للانتهاك

جانب آخر مهم يؤخذ في الاعتبار عند تحديد الغرامات بموجب اللائحة العامة لحماية البيانات (GDPR) هو ما إذا كان الانتهاك متعمدًا أو نتيجة إهمال. إذا انتهك كيان ما قواعد GDPR عمدًا، فمن المحتمل أن يواجه غرامة أعلى. من ناحية أخرى، إذا حدث الانتهاك بسبب الإهمال، فقد تكون الغرامة أقل، خاصة إذا استطاع الكيان إثبات أنه اتخذ جميع التدابير المعقولة لمنع حدوث مثل هذا الانتهاك.

هذا الجانب من تنفيذ اللائحة العامة لحماية البيانات (GDPR) يبرز أن المنظمات يجب أن تكون على دراية كاملة بمسؤولياتها وأن تتخذ التدابير المناسبة لضمان حماية البيانات. إذا أدى الإهمال إلى خرق للبيانات، فقد تواجه المنظمة غرامة كبيرة.

3. الإجراءات التي اتخذها متحكم البيانات أو المعالج للحد من الأضرار

تؤخذ الإجراءات التي يتخذها المتحكم في البيانات أو المعالج للتخفيف من الأضرار الناجمة عن الانتهاك بعين الاعتبار أيضًا. إذا كانت الكيان قد اتخذت تدابير سريعة وفعالة للحد من الانتهاك، وإخطار الأفراد المتأثرين، وتقليل الأضرار، فقد يؤدي ذلك إلى تقليل مقدار الغرامة.

هذا العامل يبرز أهمية وجود خطة قوية للاستجابة لخرق البيانات. من خلال الاستجابة بسرعة وفعالية لخرق ما، يمكن للمنظمات أن تحد من الأضرار التي تلحق بالأفراد وأيضًا قد تقلل من العقوبات المالية التي قد تواجهها.

4. درجة مسؤولية المتحكم أو المعالج

درجة مسؤولية المتحكم أو المعالج للبيانات هي عامل حاسم آخر في تحديد الغرامات بموجب اللائحة العامة لحماية البيانات (GDPR). تُحمّل اللائحة المتحكمين والمعالجين المسؤولية عن ضمان حماية البيانات. إذا فشلوا في مسؤولياتهم وكان من الممكن إثبات أنهم كانوا مهملين عن عمد، فقد يواجهون غرامات كبيرة.

يتم تقييم درجة المسؤولية بناءً على عدة عوامل، بما في ذلك التدابير الفنية والتنظيمية التي نفذها الكيان لضمان حماية البيانات، وامتثال الكيان لالتزاماته بموجب اللائحة العامة لحماية البيانات (GDPR)، من بين أمور أخرى. إذا كان بإمكان الكيان إثبات أنه اتخذ جميع الخطوات اللازمة لحماية البيانات الشخصية والامتثال لقواعد GDPR، فقد يؤدي ذلك إلى تقليل مقدار الغرامة.

5. الانتهاكات السابقة ذات الصلة

تؤخذ الانتهاكات السابقة أيضًا في الاعتبار عند تحديد الغرامات بموجب اللائحة العامة لحماية البيانات (GDPR). إذا كان للكيان تاريخ من الانتهاكات، فقد يواجه غرامة أعلى. وذلك لأن الانتهاكات المتكررة تشير إلى عدم احترام قواعد حماية البيانات وغياب الالتزام بتصحيح الأخطاء السابقة.

ومع ذلك، ليس عدد الانتهاكات السابقة هو ما يهم فقط، بل أيضًا طبيعتها وشدتها. يمكن أن يُنظر إلى انتهاك شديد واحد بشكل أكثر جدية من عدة انتهاكات بسيطة. لذلك، يجب على المنظمات أن تسعى ليس فقط لمنع الانتهاكات، بل أيضًا اتخاذ إجراءات سريعة لتصحيح أي انتهاكات تحدث.

6. درجة التعاون مع السلطة الإشرافية

درجة التعاون مع السلطة الإشرافية هي عامل آخر يمكن أن يؤثر على الغرامات بموجب اللائحة العامة لحماية البيانات (GDPR). إذا تعاونت الجهة بشكل كامل مع السلطة الإشرافية، فقد يؤدي ذلك إلى تقليل مقدار الغرامة. يمكن أن يشمل التعاون الإبلاغ الفوري عن الانتهاك، وتقديم جميع المعلومات اللازمة للسلطة، والمساعدة في التحقيق، وغيرها.

بالمقابل، إذا حاول الكيان إخفاء الانتهاك أو عرقلة التحقيق، فقد يواجه غرامة أعلى. وبالتالي، من مصلحة المنظمات التعاون الكامل مع السلطة الإشرافية في حالة حدوث خرق للبيانات.

7. فئات البيانات الشخصية المتأثرة بالانتهاك

يمكن أن تؤثر فئات البيانات الشخصية المتأثرة بالانتهاك أيضًا على مقدار الغرامات بموجب اللائحة العامة لحماية البيانات (GDPR). إذا تم الكشف عن بيانات شخصية حساسة مثل المعلومات المالية أو السجلات الصحية أو بيانات الفئات الخاصة الأخرى في خرق للبيانات، فمن المحتمل أن يواجه الكيان غرامة أعلى.

هذا لأن كشف مثل هذه البيانات يمكن أن يؤدي إلى أضرار جسيمة للأفراد، بما في ذلك سرقة الهوية، والخسائر المالية، وتضرر السمعة، من بين أمور أخرى. لذلك، يجب على المنظمات أن تأخذ حذرًا إضافيًا لحماية البيانات الشخصية الحساسة لتجنب الغرامات الكبيرة.

8. الطريقة التي أصبح بها الانتهاك معروفًا للسلطة الإشرافية

يمكن أن تؤثر الطريقة التي أصبح بها الانتهاك معروفة للسلطة الإشرافية أيضًا على الغرامات بموجب اللائحة العامة لحماية البيانات (GDPR). إذا قامت الجهة بالإبلاغ عن الانتهاك بسرعة وبشكل طوعي، فقد يؤدي ذلك إلى تقليل مقدار الغرامة. وعلى العكس، إذا تم اكتشاف الانتهاك من خلال شكوى طرف ثالث أو تدقيق، فقد تواجه الجهة غرامة أعلى.

هذا العامل يبرز أهمية الشفافية والإبلاغ السريع في حالة حدوث خرق للبيانات. من خلال الإبلاغ عن الخرق بسرعة، يمكن للمنظمات أن تمتثل لالتزاماتها القانونية وأيضًا أن تخفف من العقوبات المالية التي قد تواجهها.

9. الالتزام بالإجراءات ضد المتحكم أو المعالج

الامتثال للتدابير التي تم فرضها على المتحكم أو المعالج هو عامل آخر يمكن أن يؤثر على الغرامات بموجب اللائحة العامة لحماية البيانات (GDPR). إذا امتثلت الكيان بسرعة وبشكل كامل للتدابير التي أمرت بها السلطة الإشرافية، فقد يؤدي ذلك إلى تقليل مقدار الغرامة. من ناحية أخرى، إذا فشل الكيان في الامتثال للتدابير، فقد يواجه غرامة أعلى.

تسلط هذه النقطة الضوء على أهمية الامتثال لجميع الالتزامات القانونية بموجب اللائحة العامة لحماية البيانات (GDPR). من خلال الامتثال للتدابير التي تأمر بها السلطة الإشرافية، يمكن للمنظمات ليس فقط تصحيح الانتهاك ولكن أيضًا تقليل العقوبات المالية التي قد تواجهها.

10. الالتزام بقوانين السلوك أو آليات الشهادات المعتمدة

أخيرًا، يمكن أن يؤثر الالتزام بقواعد السلوك أو آليات الشهادات المعتمدة أيضًا على الغرامات المفروضة بموجب اللائحة العامة لحماية البيانات (GDPR). إذا التزم الكيان بهذه القواعد أو الآليات، فقد يؤدي ذلك إلى تقليل قيمة الغرامة. وذلك لأن هذا الالتزام يُظهر التزام الكيان بحماية البيانات والامتثال لقواعد GDPR.

لذلك، يجب على المنظمات السعي للالتزام بقوانين السلوك أو آليات الشهادات ذات الصلة لإظهار التزامها بحماية البيانات وتقليل العقوبات المالية التي قد تواجهها.

أمثلة على أكبر الغرامات المفروضة بموجب اللائحة العامة لحماية البيانات حتى الآن.

ميتا

كانت تُعرف سابقًا بفيسبوك، وقد تعرضت ميتا لواحدة من أكبر الغرامات بموجب اللائحة العامة لحماية البيانات (GDPR) حتى الآن. في يوليو 2021، فرضت اللجنة الوطنية لحماية البيانات في لوكسمبورغ (CNPD) غرامة قدرها 746 مليون يورو على ميتا بسبب انتهاكها للائحة GDPR. وقد تم فرض الغرامة بسبب فشل الشركة في حماية بيانات المستخدمين بشكل مرضٍ وسوء استخدام البيانات الشخصية لأغراض إعلانية.

في عام 2023، تلقت ميتا غرامة أكبر بلغت 1.2 مليار يورو من قبل لجنة حماية البيانات الإيرلندية بسبب نقل البيانات الشخصية لمستخدمين أوروبيين إلى الولايات المتحدة دون وجود آليات كافية لحماية البيانات.

أمازون

في يوليو 2021، تلقت أمازون أعلى غرامة حتى الآن بموجب قانون حماية البيانات العامة (GDPR). فرضت اللجنة الوطنية لحماية البيانات في لوكسمبورغ (CNPD) غرامة قدرها 746 مليون يورو على عملاق التجارة الإلكترونية. تم إصدار الغرامة بسبب عدم امتثال أمازون للوائح GDPR في ممارساتها الإعلانية.

تيك توك

تعرضت منصة تيك توك، المملوكة للصين، لغرامة بموجب قانون حماية البيانات العامة (GDPR). في يوليو 2021، فرضت الهيئة الهولندية لحماية البيانات غرامة قدرها 750,000 يورو على تيك توك لانتهاكها لوائح GDPR. كان الانتهاك بسبب عدم تقديم تيك توك لبيان خصوصية باللغة الهولندية، مما ترك العديد من المستخدمين الشباب غير قادرين على فهم طرق معالجة البيانات الخاصة بالشركة. ثم، في عام 2023، تلقت تيك توك غرامة قدرها 12.7 مليون جنيه إسترليني لمعالجتها بشكل غير قانوني بيانات 1.4 مليون طفل دون سن 13 عامًا دون موافقة الوالدين.

واتساب

تم تغريم واتساب، خدمة الرسائل الشهيرة، بمبلغ 225 مليون يورو من قبل لجنة حماية البيانات في أيرلندا (DPC) في سبتمبر 2021. وقد تم فرض الغرامة بسبب عدم شفافية واتساب بشأن كيفية معالجة بيانات المستخدمين. تُظهر هذه القضية أن الشركات التي تقدم خدمات مجانية في الأساس يمكن أن تواجه غرامات كبيرة بموجب اللائحة العامة لحماية البيانات (GDPR) إذا فشلت في الامتثال لقوانين حماية البيانات.

جوجل ش.م.م

في مارس 2020، فرضت هيئة حماية البيانات السويدية غرامة قدرها 7 ملايين يورو على شركة جوجل لعدم امتثالها لحق الأفراد في أن يُنسوا وفقًا لقانون حماية البيانات العامة (GDPR). تم فرض الغرامة لأن جوجل لم تقم بإزالة قائمتين من نتائج البحث طلب الأفراد حذفهما، مما يبرز أهمية احترام طلبات المستخدمين لحذف بياناتهم.

كريتيو

في ديسمبر 2020، فرضت الهيئة الفرنسية لحماية البيانات (CNIL) غرامة قدرها 225,000 يورو على شركة CRITEO لانتهاكها قواعد اللائحة العامة لحماية البيانات (GDPR) المتعلقة بالموافقة على الكوكيز. وُجدت الشركة مذنبة لأنها استمرت في وضع الكوكيز الإعلانية على أجهزة المستخدمين بعد أن رفضوا منح الموافقة.

H&M

في واحدة من أكبر الغرامات المتعلقة بقانون حماية البيانات العامة (GDPR) المتعلقة ببيانات الموظفين، تم تغريم شركة H&M بمبلغ 35 مليون يورو من قبل مفوض حماية البيانات وحرية المعلومات في هامبورغ (HmbBfDI) في أكتوبر 2020. وقد تم فرض الغرامة بسبب المراقبة غير القانونية لعدة مئات من الموظفين في مركز الخدمة الخاص بها في نورمبرغ.

كليرفيو إيه آي

في قضية بارزة، تم تغريم شركة Clearview AI، وهي شركة متخصصة في التعرف على الوجه، بمبلغ 20 مليون يورو من قبل هيئة حماية البيانات الإيطالية (Garante) في يناير 2022. وقد وُجد أن الشركة انتهكت قانون حماية البيانات العامة (GDPR) من خلال جمع بيانات بيومترية دون موافقة المستخدمين. تُظهر هذه القضية أن العقوبات بموجب قانون حماية البيانات العامة يمكن أن تُفرض على الشركات التي تسيء استخدام البيانات البيومترية الحساسة.

هل الغرامات المتعلقة باللائحة العامة لحماية البيانات في تزايد؟

باختصار، نعم، لقد تم تسجيل تصاعد تدريجي في كل من تكرار وحجم الغرامات بموجب اللائحة العامة لحماية البيانات (GDPR).

في البداية، بعد تطبيقه في مايو 2018، كان التركيز في تنفيذ قانون حماية البيانات العامة (GDPR) أكثر على الوعي والامتثال. ومع ذلك، بحلول عامي 2019 و2020، كان هناك زيادة ملحوظة في إجراءات التنفيذ، تم تسليط الضوء عليها من خلال غرامات كبيرة مثل الغرامة التي بلغت 50 مليون يورو ضد جوجل من قبل الهيئة الوطنية لحماية البيانات في فرنسا (CNIL) بسبب سياسات عدم كفاية الموافقة على البيانات.

استمر هذا الاتجاه في التسارع في عام 2021، حيث تمثل ذلك في غرامة أمازون البالغة 746 مليون يورو لعدم الامتثال لمعايير معالجة البيانات، وفي عام 2022 مع فرض عدة غرامات كبيرة على ميتا، بما في ذلك غرامة قدرها 225 مليون يورو بسبب مشكلات سياسة الخصوصية في واتساب.

شهد عام 2023 نقطة تحول في تطبيق قانون حماية البيانات العامة (GDPR)، حيث تم تسجيل غرامات قياسية دفعت الإجمالي إلى أكثر من 1.6 مليار يورو. ومن الأمثلة البارزة الغرامة غير المسبوقة التي بلغت 1.2 مليار يورو التي فرضتها لجنة حماية البيانات الإيرلندية على شركة ميتا. هذه الزيادة الدراماتيكية في حجم وإجمالي الغرامات تؤكد على نهج أكثر عدوانية في تطبيق قانون حماية البيانات العامة، مما يشير إلى التزام الاتحاد الأوروبي القوي بحماية البيانات.

الامتثال لقانون حماية البيانات العامة مع Exabeam

بينما قد تبدو مهمة تحديث سياسات وممارسات حماية البيانات شاقة، فإن استخدام أدوات مصممة خصيصًا لتحسين اليقظة في النظام البيئي يساعد المنظمات بشكل كبير في تأمين الأصول والمعلومات الحساسة. من خلال تزويد ضباط حماية البيانات بالقدرة على مراقبة جميع أنشطة الوصول إلى البيانات والاستجابة لها بشكل أكثر فعالية، تساعد منصة عمليات الأمن من Exabeam المنظمات على تلبية المتطلبات التكنولوجية والتشغيلية للائحة العامة لحماية البيانات (GDPR).

• تقليل التهديدات الخارجية: تعمل Exabeam جنبًا إلى جنب مع حلول الأمان الموجودة، باستخدام التحليلات السلوكية المدفوعة بالذكاء الاصطناعي لتحديد الأنشطة غير العادية التي قد تشير إلى محاولة هاكر للعثور على البيانات والوصول إليها.
• تقليل التهديدات الداخلية: تعمل Exabeam جنبًا إلى جنب مع حلول إدارة الهوية والوصول لمنع الحوادث الأمنية الناتجة عن إساءة استخدام الأذونات المخصصة سواء عن طريق الخطأ أو بشكل خبيث. من خلال الإشارة إلى الأنشطة التي تقع خارج النطاق الطبيعي لمستخدم معين، تساعد Exabeam في اكتشاف سرقة البيانات المحتملة.
• الإشراف والإخطار في الوقت المناسب: بالإضافة إلى العمل كنقطة مركزية للمعلومات في نظام أمان العميل، توفر Exabeam الأدلة والتصور الدقيق للنشاط لتحسين تقارير الامتثال.

كجزء من التزام Exabeam بقانون حماية البيانات العامة (GDPR)، تتماشى تدابير الأمان الخاصة بـ Exabeam مع الشهادات المعتمدة تجارياً. المزيد من المعلومات حول الشهادات والامتثال لـ GDPR متاحة على صفحة مركز ثقة Exabeam.