נורבגיה: קנס של 2.5 מיליון אירו על חברת AdTech אמריקנית בשל הפרת ה-GDPR

רשות הגנת המידע בנורבגיה הודיעה לחברת Disqus האמריקנית על כוונתה להטיל עליה קנס של 2.5 מיליון אירו בשל הפרת הוראות ה-GDPR באיסוף מידע התנהגותי על הרגלי הגלישה של משתמשי אינטרנט מנורבגיה לצורכי פרסום ממוקד.

טיוטת ההחלטה על הקנס מלמדת ש-Disqus מפעילה פלטפורמה לשיתוף תגוביות. הפלטפורמה מיועדת להשתלב באתרי תוכן, כדוגמת אתרי חדשות, באמצעות תוסף שמתקין מפעיל האתר. התוסף שולב במספר אתרי תוכן חדשותיים בנורבגיה. אגב פעילותו, התוסף מתקין קובצי cookies במחשב המשתמש. אלה משמשים למעקב אחר הרגלי הגלישה של המשתמש על פני אתרים נוספים בהם התוסף מותקן ואליהם המשתמש גולש. איסוף המידע משמש את החברה לפילוח תחומי עניין של גולשים והמידע נמסר לחברות אחרות לצורכי פרסום ממוקד.

רשות הגנת המידע בנורבגיה מאשימה את החברה כי איסוף מידע אישי ושימוש בו לצורכי פרסום ממוקד נעשה ללא בסיס חוקי הולם כנדרש לפי הוראות ה-GDPR, שבנסיבות הפעילות של החברה חייב להיות ההסכמה מפורשת של המשתמש. החברה העלתה שורה של טענות סף בדבר העדר סמכות מינהלית של הרשות כלפי החברה (בטענה שלחברה אין נוכחות פיזית בנורבגיה) והעדר תחולה של ה-GDPR על החברה (בטענה שהמידע שנאסף אינו מידע מזהה אישי והחברה היא חוץ-אירופאית). הרשות הנורבגית דחתה את הטענות.

לגופן של טענות ההפרה הסבירה החברה כי מדובר בטעות בתום-לב שנפלה בקביעה שגויה של הגדרות התוסף כך שלא יציג למשתמשים מנורבגיה הודעת פרטיות ויבקש את הסכמתם לפני עיבוד המידע. החברה טענה כי היא לא זיהתה כראוי את נורבגיה כמדינה בה חלות הוראות ה-GDPR משום שנורבגיה לא חברה באיחוד האירופי (law.co.il מעיר כי נורבגיה, לצד ליכטנשטיין ואיסלנד, לא חברות באיחוד אך אימצו את ה-GDPR מתוקף חברותן באמנת האזור הכלכלי האירופי - EEA).

החברה טענה עוד כי אף בהעדר הסכמה מפורשת מהמשתמשים, הבסיס החוקי לעיבוד המידע הוא ה"אינטרס הלגיטימי" בפרסום. הרשות דחתה את הטענה וקבעה כי הישענות על "אינטרס לגיטימי" כבסיס חוקי מחייבת עמידה בעיקרון המידתיות בעוד שעיבוד המידע בידי החברה פגע באופן בלתי מידתי בפרטיות המשתמשים.

בקביעת גובה הקנס שקלה הרשות את משך ההפרה (כשנה וחצי), היקף נושאי המידע בנורבגיה (מאות אלפים עד מיליונים), אופיה הרשלני של ההפרה, העדר היכולת לתקן את ההפרה משום שהמידע כבר הופץ בשרשרת תעשיית ה-AdTech, אופיו הרגיש של המידע בדבר הרגלי גלישה לתוכן חדשותי המסוגל להעיד על דעותיו ואמונותיו של אדם, הכללתם של קטינים (ילדים ונוער) כנושאי מידע, ואופיו של עיבוד המידע למטרת רווח.

law.co.il מעיר כי ככל הידוע זה אחד המקרים הראשונים בהם רגולטור לפרטיות באירופה שולח את ידו הארוכה אל מחוץ ליבשת בהטלת קנס משמעותי על חברה חוץ-אירופאית שאינה מקרב ענקיות האינטרנט ושאין לה נוכחות ממשית באירופה בדמות חברה-בת מקומית.