למה האיחוד האירופי מתקשה להבטיח ציות לרגולציית הפרטיות?

פורסם ע"יtheregulatorפורסם במבט לעולםתגים: , ,

בואו נגיד משהו מובן מאליו. רגולציה מיועדת לשנות התנהגות, כדי לצמצם התנהגויות מסוכנות או מזיקות.
ואם אמרנו את זה, אפשר גם להסכים שאחרי שקבענו כללים, אנחנו רוצים להבטיח ציות ויישום שלהם כדי שההתנהגות באמת תשתנה.

איך נעשה את זה? התשובה המקובלת היא פיקוח ואכיפה: כלים שמטרתם לעודד ולכפות ציות. למשל באמצעות הטלת קנסות. ואם נטיל קנסות מספיק גבוהים (כואבים ומרתיעים) – המפוקחים יצייתו.

בתיאוריה זה נשמע פשוט. אבל המציאות יותר מורכבת.

קחו את רגולציית הגנת הפרטיות של האיחוד האירופי, ה-GDPR.

במאמר שפורסם לאחרונה, מפוצצים את הבועה סביב הרגולציה הזו. המאמר מראה שהטלת קנסות גבוהים לא משיגה רמה גבוהה של ציות להוראות. גם אחרי שהוטלו קנסות בסכומים גבוהים וזה אפילו פורסם (ולכן אמור להרתיע) – עדיין יש רמה גבוהה של אי ציות.

נעים מאוד: ה-GDPR? 

ה-GDPR (קיצור של General Data Protection Regulation) היא רגולציית פרטיות מקיפה מאוד שנחקקה באיחוד האירופי בשנת 2016 ונכנסה לתוקף בשנת 2018. היא נחשבת למסגרת רגולטורית נוקשה ומחמירה. ה-GDPR כולל הוראות לעניין איסוף, אחסון, עיבוד והעברה של מידע. לצד הוראות מחמירות, החוק גם כולל מנגנון קנסות שמאפשר להטיל קנסות בגובה מאות מיליוני יורו – שכבר הוטלו בפועל.

מה לא עובד?

יכול להיות שהרגולטור מתקשה להשיג ציות להוראות בגלל שההוראות עצמן לא מספיק טובות: לא ברורות, סותרות, מכילות הרבה חורים, לא מתאימות למציאות וכו'. ברור לנו שכללים כאלו יכשלו.

כיוון אחר הוא לבחון את מערך הפיקוח והאכיפה. כתבתי על זה בעבר (על טירגוט ועל סיבת ההפרה). אנחנו נוטים להזניח את הפן של הפיקוח והאכיפה, ולמתמקדים לרוב בתוכן ההוראות ולא ביישום שלהן. 

במאמר שפורסם לאחרונה נטען שכדי להגביר ציות צריך לעשות שינויים משמעותיים במנגנון הקיים. למשל, לטפל בחוסר הבהירות והוודאות לגבי הטלת הקנסות. סנקציה מייצרת הרתעה רק אם המפוקחים חוששים שהיא תוטל עליהם. אבל מאחר שקיים חוסר וודאות לגבי המקרים בהם יוטלו קנסות וגם לגבי גובה הקנס – המפוקחים פחות מורתעים.
גם אם אנחנו רוצים להפתיע את המפוקחים, כדי שלא יוכלו להסתיר את ההפרות, חשוב שנוודא שהם מודעים לסנקציה, מאמינים שיתפסו אותם ויענישו אותם – וכך הם יורתעו.

רגולציה אחידה, אכיפה מבוזרת

כשל אחד נובע מהביזור: ההחלטה להטיל קנס ועל גובה הקנס מתקבלת אצל רגולטור הגנת הפרטיות של כל מדינה. לביזור הזה יש כמובן יתרונות, אבל בהקשר הזה (ובעוד הקשרים) הוא מייצר חוסר אחידות, כי כל רגולטור מדינתי מחליט בעצמו. כך יוצא שבאירלנד, ספרד וגרמניה – יתקבלו החלטות שונות.
קיים גוף של האיחוד האירופי שתפקידו לייצר תיאום, ה- EDPB (European Data Protection Board). אבל הגוף הזה רק מספק הנחיות לרגולטורים המדינתיים. הם לא כפופים אליו ניהולית או פוליטית. כל רגולטור ממשלתי מחליט באופן עצמאי האם לאכוף, מה יהיה גובה הקנס ועל מי להטיל קנסות.

שוני באכיפה מאפשר התחמקות

התוצאה היא שלכל מדינה יש מדיניות שונה לגבי מתי מטילים קנסות ולגבי הגובה שלהם. זה גם פוגע בוודאות וגם מאותת למפוקחים איפה לבצע את ההפרות (איפה שהסנקציה נמוכה).

המאמר מראה שהחברות מעבירות את בסיסי הפעילות שלהן למדינות בהן החקיקה והאכיפה רכים יותר. זה נקרא regulatory shopping  – המפוקח בוחר איזו רגולציה ואיזה רגולטור יחול עליו. אז לא שינינו את ההתנהגות, שינינו רק את המקום.

ויש מקרים שחברות הוציאו חלק מבסיסי הפעילות שלהן לבריטניה, שבעקבות הברקזיט כבר לא חברה באיחוד האירופי. אולי אתם מכירים אותן – קוראים להן גוגל ופייסבוק. אחת הדוגמאות היא שגוגל העבירה את המידע על המשתמשים הבריטים שלה לשרתים מחוץ לאירופה, כדי שהוראות ה-GDPR לא יחולו על המידע שלהם.

איך מחשבים את גובה הקנס?

המדינות באיחוד האירופי גם לא מסכימות על שיטת חישוב גובה הקנסות. למשל לפני שבוע, רגולטור הפרטיות של אירלנד הטיל על מטא (חברת האם של פייסבוק) קנס של 1.2 מיליארד אירו. אבל במדינות אחרות מטילים קנסות בסכומים שונים.

אפשר לקבוע קנסות קבועים לפי נושא. אפשר לקבוע שגובה הקנס משתנה בהתאם למאפיינים של ההפרה (היקף, משך, אוכלוסייה נפגעת). ואפשר לקבוע שגובה הקנס תלוי בהיקף הפעילות העסקית של החברה המפירה (כדי להרתיע אותה). וכמו שאפשר לצפות – יש מדינות עם נטייה להטיל קנסות כבדים יותר מאחרות. התוצאה היא מסר לא אחיד ולא ברור – מה ההפרה הכי בעייתית בעיננו? התשובה משתנה ממדינה למדינה.

להטיל קנס על הקורבן

ויש מקרים מוזרים. למשל, עירייה בנורבגיה חשפה בטעות מידע פרטי של התושבים שלה. הרגולטור הנורבגי הטיל על העירייה קנס בשל הפרת ה-GDPR. הקנס שולם מתקציב העייריה.

אבל מאיפה מגיע הכסף לתקציב העירייה? מהתושבים.
ומי נפגע כשלעירייה יש פחות תקציב? השירות לאזרחים.

אז בעצם הענשנו את הציבור, ובמידה רבה את הציבור שפגעו לו בפרטיות. נראה שאכיפה מבוססת קנסות גבוהים לא בהכרח מתאימה לכל המקרים. והרי ידוע שממשלות וגופים ציבוריים מחזיקים הרבה מידע פרטי ומידי פעם נכשלים בהגנה עליו. אז נראה שכדאי לייצר כלי ענישה שמתאים עבורם.

רוב הזמן אנחנו מדברים על תוכן ההוראות ולא על היישום של הרגולציה – הפיקוח, האכיפה, הענישה והשירות לציבור.

הדוגמה של ה-GDPR מאפשרת לראות איך כשלי אכיפה וענישה יכולים להחליש מאוד את הרגולציה, או לייצר תוצאות מעוותות. וזה קורה גם ברגולציה מפוארת ומושקעת.

ועדיין – מדובר ברגולציה מאוד חשובה ונחוצה, שמייצרת סדר והגנה על הזהב החדש – המידע שלנו.

2 תגובות בנושא “למה האיחוד האירופי מתקשה להבטיח ציות לרגולציית הפרטיות?

  1. אני לכאורה לא מסכים עם המסקנה שהעלת מהמקרה של העירייה הנורבגית.
    כל עוד מתקיימות בחירות האירוע הזה יכול להכתים את נבחר הציבור שתחת ניהולו זה קרה (גם אם נעשה על ידי עובד לא פוליטי) ולכן זה יכול להניע את העירייה והאופוזיציה לוודא שמקרים כאלה לא חוזרים.

    הבעיה היא כשיש תרבות הצבעה עיוורת ואז ממש קל להיענש בכספי ציבור.
    מה לגבי סנקציה אישית? או שזה עוד דרך להאשים את הש.ג?

    אהבתי

    להגיב

    1. הקנס יכול להחתים את נבחר הציבור. אבל לרוב אלו לא נבחרי הציבור שמתרשלים בהקמת מאגרי מידע לא מאובטחים או בדליפת מידע. את גורמי המקצוע בדרך כלל לא מחליפים בבחירות.
      וכשחושבים על זה – לא צריך קנס כדי להחליף מישהו בבחירות.

      הקנס מוטל על הקופה הציבורית ואז התושבים משלמים את מחיר ההפרה.

      אחריות אישית זה רעיון לא רע. כמובן שיש סיכון שהיא תוטל על הגורם הלא נכון.
      אפשרות נוספת היא הגבלת ונטילת סמכויות. גוף שנתפס בהפרה יאבד מסמכויותיו או שהן יועברו לגוף אחר. נניח מהעירייה למחוז.
      אף אחד לא אוהב לאבד כוח. ובמקרים כאלו יכולה להיות הצדקה חזקה להעברת סמכויות שקשורות לניהול מאגרי מידע, למשל, לגורם אחר.

      אהבתי

      להגיב

כתיבת תגובה