על רקע מאבק בין רשויות הגנת המידע באירופה, קנס חדש למטא על הפרת פרטיות

אולי יעניין אותך גם

פייסבוק ואינסטגרם לא רשאיות לעבד מידע אישי לצורך פרסום ממוקד אלא אם התקבלה לכך הסכמה מדעת, חופשית, וניתנת לביטול של המשתמש; יש להטיל עליהן קנס מצטבר של 390 מיליון אירו. כך קבעה נציבות הגנת המידע באירלנד בהחלטה שכפתה עליה מועצת רשויות הגנת המידע של מדינות האיחוד האירופי (European Data Protection Board - EDPB).

תחילתו של המאבק באוקטובר 2021, אז קבעה טיוטת החלטה של נציבות הגנת המידע באירלנד כי פייסבוק רשאית באופן עקרוני להתבסס על הסכם תנאי השימוש בינה לבין המשתמש כהצדקה לעיבוד מידע אישי לצורך פרסום, והיא לא בהכרח מחויבת לבקש את הסכמתו המפורשת לעיבוד המידע שלו למטרה זו. לפי עמדת הנציבות אז, משתמשים מודעים לכך שליבת מערכת היחסים שלהם עם פייסבוק נסמכת על עיבוד מידע שלהם לצורכי פרסום. לכן, פייסבוק אינה מחויבת בהכרח לבקש ולקבל הסכמה מפורשת ומדעת של המשתמשת לעיבוד המידע שלה לצורכי פרסום ממוקד.

לצד זה, הנציבות באירלנד קבעה אז שפייסבוק הפרה את חובות ה-GDPR בדבר שקיפות ומסירת מידע נכון ושלם. מדיניות הפרטיות של פייסבוק לא תיארה באופן שקוף דיו איזה מידע אישי היא מעבדת, באיזה אופן היא מעבדת אותו ומהו הבסיס החוקי לאותו עיבוד. על הפרה זו הציעה הנציבות להשית על פייסבוק קנס בשיעור שבין 28 מיליון אירו ל-36 מיליון אירו.

רשויות הגנת מידע ברחבי האיחוד האירופי הגישו שורה של הסתייגויות על טיוטת ההחלטה של נציבות הגנת המידע באירלנד והרשויות נקטו הליך מיוחד לישוב המחלוקות ביניהן. בסיומו של ההליך, ה-EDPB הורה לנציבות באירלנד לדחות את טענת פייסבוק שלפיה ניתן לעבד מידע אישי לצורך הגשת פרסומות ממוקדות בהסתמך על הבסיס החוקי של ביצוע חוזה. לפי הוראות ה-EDPB, הבסיס החוקי היחיד המאפשר עיבוד מידע לצורך הגשת פרסומות ממוקדות הוא הסכמה חופשית, מדעת וניתנת לביטול של המשתמש. לפייסבוק ואינסטגרם הוקצבו שלושה חודשים להתאים את הפעילות שלהן לדרישות אלה. יתר על כן, לאור השינוי במסקנות המשפטיות על כשרות עיבוד המידע האישי לפרסום ממוקד, הנציבות באירלנד נדרשה גם להגדיל משמעותית את היקף הקנס שיוטל על פייסבוק ואינסטגרם.

ה-EDPB גם דרש מהנציבות באירלנד לפתוח בחקירה רחבה על כל נוהגי הפרטיות של פייסבוק ואינסטגרם ובכלל זה עיבוד מידע אישי רגיש. הנציבות באירלנד דחתה בתקיפות את הדרישה הזו בטענה כי אין למועצת הרגולטורים להגנת מידע של מדינות האיחוד האירופי סמכות להורות לנציבות באירלנד לבצע חקירה כזו. לדברי הנציבות באירלנד, מדובר בחקירה "ספקולטיבית" והיא הודיעה שתשקול לעתור לבית המשפט האירופי הגבוה נגד ה-EDPB. מקור: הודעת נציבות הגנת המידע באירלנד.