רשות הגנת המידע בצרפת (CNIL) פרסמה הטילה קנס של מיליון אירו על חברת מוביוס פתרונות בע"מ, חברה ישראלית הפועלת בתחום טכנולוגיות פרסום ושיווק דיגיטלי.

תחילתו של המקרה בדלף מידע אישי של עשרות מיליוני משתמשי Deezer, פלטפורמה צרפתית לסטרימינג של מוזיקה. מוביוס, מקור הדלף, סיפקה ל Deezer שירותי ניתוח נתוני משתמשים ופרסונליזציה, כמעבדת מידע (processor).

CNIL קבעה כי השירות שמוביוס סיפקה ל Deezer עולה כדי ניטור התנהגותם של נושאי מידע באיחוד האירופי, שהוא אחת הפעילויות המקנות לרשויות הפיקוח האירופאיות סמכות אקסטרה-טריטוריאלית כלפי חברות שאין להן נוכחות באירופה. לאור עובדה זו, נקבע גם שיש סמכות פיקוח מקבילה בכל מדינה בה נמצאים נושאי מידע רלוונטיים. במקרה זה, כעשרה מיליון מנושאי המידע הם צרפתים, ולפיכך (גם) ל CNIL יש סמכות. הטענה כי מעמד ה adequacy של ישראל מחייב את ה CNIL בכללי הכיבוד הבינ"ל (comity) נדחתה, ואולם ה CNIL הדגישה כי אין לה כל טענה לגבי העברת המידע מצרפת לישראל.

הקנס הוטל כי מוביוס שמרה מידע של למעלה מ-46 מיליון משתמשים גם לאחר סיום ההתקשרות עם Deezer, בניגוד להסכם השירות. מוביוס טענה שהיא יצרה בזמנו עותק מהמידע כדי לשפר את השירותים שהיא מספקת ל Deezer ולאחרים, אך CNIL קבעה כי שימוש כזה מחייב הרשאה מפורשת בהסכם עם בעל השליטה במידע (controller), והרשאה כזו לא ניתנה. במאמר מוסגר נעיר כי כאשר מעבד משתמש במידע אישי לצרכיו הפנימיים, כמו למשל שיפור המוצר עבור כלל לקוחותיו, הוא עלול להפוך בפועל לבעל שליטה לגבי עיבוד זה, עם כל המשמעויות הנלוות לכך לפי ה GDPR, כמו החובה לקבוע בסיס חוקי לעיבוד, לפרסם מדיניות פרטיות, ולדווח לרשויות על אירועי אבטחה (חובה זו חלה בישראל גם על מחזיקים, אך לא באירופה). ה CNIL לא התייחסה לנקודה זו.

ה CNIL מצאה גם שמוביוס הפרה את החובה להכין Record of Processing Activity (המוכר בראשי התיבות ROPA). חובה זו חלה (בחריגים מועטים) גם על בעלי שליטה וגם על מעבדי מידע, ואין לה מקבילה בישראל (החובה להכין מסמך הגדרות מאגר, שחופף חלקית ל ROPA, חלה רק על בעלי שליטה).

לסיכום, חברות ישראליות המעבדות מידע אישי הנוגע לנושאי מידע הנמצאים באיחוד האירופי עלולות למצוא עצמן תחת סמכות השיפוט של הרשויות האירופאיות גם אם אין להן שום נוכחות באירופה, וגם אם מעמדן הוא של processor בלבד. תחום הפרסום ההתנהגותי חשוף במיוחד להחלה אקסטרה טריטוריאלית של ה GDPR.

גם בישראל מעבדי מידע ("מחזיקים") חייבים להקפיד למלא אחר הוראות ההסכם (עיבוד מידע ללא הרשאה הוא אף עבירה פלילית), אולם יש ב GDPR חובות נוספות שיש לקחת בחשבון, כולל החובה להכין ROPA.

ב – 28.1.26 נקיים אירוע בסימן יום הפרטיות הבינלאומי. לפרטים נוספים והרשמה

אנו עומדים לרשותכם בכל שאלה,

אייל שגיא וצוות מחלקת משפט וטכנולוגיה

האמור במסמך זה הוא מידע כללי בלבד ואינו מהווה חוות דעת משפטית או ייעוץ משפטי, ואין לעשות בו כל שימוש אחר.