להרשמה לניוזלטר
רגולטור הפרטיות האירי (DPC): Meta חייבת לבקש הסכמה מפורשת להשתמש במידע לצורכי פרסום – ולתת להם אפשרות לסרב ולהמשיך לקבל את השירות
ביום 4.1.2023 פורסה החלטה של רגולטור הפרטיות האירי (DPC) בעניין שימוש של חברת (Facebook, Instagram) Meta במידע שחוסה תחת ה-GDPR לצרכי פרסום מותאם אישית.
נציין כי ההחלטה שפורסמה בשבוע שעבר, שונה מהטיוטה של ה-DPC שפורסמה קודם לכן השנה, בה נקבע כי שימוש לצרכי פרסום מותאם אישית כאמור אינו מצריך קבלת הסכמה כבסיס חוקי לעיבוד (ועל פי ה GDPR – בהבדל מישראל – המשמעות היא הסכמה במעשה מפורש, מרצון חופשי, עם זכות חרטה), אלא ניתן להסתפק ביידוע בתנאי השימוש של השירות, תוך הסתמכות על בסיס חוקי של קיום חוזה (performing a contract).
בהחלטה הסופית, אולצה הרשות האירית לקבל את עמדתה של המועצה האירופית להגנת מידע (EDPB), לפיה השימוש של Meta במידע שחוסה תחת ה-GDPR לצרכי פרסום מותאם אישית צריך להיעשות על בסיס חוקי של הסכמה (consent), היינו עם אפשרות בחירה מפורשת של המשתמש (Yes/No). כמו כן, על Meta יהיה להעמיד לרשות המשתמשים את השירותים גם ללא הסכמה לפרסום (כלומר, לא להפלות משתמשים שלא יתנו את הסכמתם לשימוש במידע לצרכי פרסום). על Meta יהיה להראות תאימות להחלטה זו ול-GDPR תוך 3 חודשים. עוד נקנסה החברה בסכומים של 210 מיליון אירו (עבור פייסבוק) ו-180 מיליון אירו (עבור אינסטגרם).
עם זאת, נציין כי לא נבחן בהחלטה זו שימוש במידע על בסיס חוקי אחר שנהוג לעשות בו שימוש לצרכי פרסום מותאם אישית (legitimate interest), ולכן, לא ברור היקף ההשפעה של החלטה זו על גופים אחרים שמתבססים על בסיס חוקי זה לצרכי פרסום מותאם אישית כאמור.
אנו צופים עוד התפתחויות בתיק זה, לרבות ערעור של חברת Meta על ההחלטה. במקביל, בבית המשפט הגבוה לצדק של האיחוד האירופי מתקיימים עוד שני תיקים דומים כנגד Meta שאולי יתנו מענה לסוגיה. כאנקדוטה, המייצג בתיקים הוא מי אם לא – מקס שרמס.
אנו ממליצים להישאר קשובים להתפתחויות כאמור, שכן אלו עלולות, פוטנציאלית, להשפיע על היכולת להשתמש במידע שנאסף באירופה לצורכי פרסום. יש למה לצפות..
רגולטור הפרטיות הצרפתי (CNIL): ה GDPR לא חל על חברה ישראלית-אמריקאית שאוספת פרטי קשר עסקיים על אנשים בתחומי האיחוד האירופי
בסיום בדיקה שנפתחה ב 2018, קבע ה CNIL שהחברה האמריקאית-ישראלית Lusha, שמציעה תוסף לדפדפן שמציג פרטי קשר עסקיים (טלפון ודוא"ל) בעת צפיה בפרופילים ב LinkedIn ו Salesforce, לא כפופה ל GDPR, משום שלא מתקיימת אף אחת מחלופות התחולה של ה GDPR: החברה לא ממוקמת באיחוד האירופי; החברה לא הציעה באופן מכוון מוצרים או שירותים לנושאי מידע רלוונטיים (היינו, האנשים שמידע אודותם נאסף) באיחוד האירופי; ולבסוף, נקבע שהמידע עובד לצורכי אימות פרטי הקשר ולא כדי לנתח או לחזות התנהגות, העדפות אישיות, מיקום, תחומי עניין, מצב כלכלי או מצב בריאותי של נושאי המידע. במילים אחרות, המידע אודות נושאי המידע באירופה לא שימש לפרופיילינג שהיה מחיל את ה – GDPR.
אנו עומדים לרשותכם בכל שאלה,
אייל שגיא, אור רוטר הפילוני וצוות פרטיות בינלאומית במחלקת משפט וטכנולוגיה
האמור במסמך זה הוא מידע כללי בלבד ואינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין לעשות בו כל שימוש אחר.
