מוקדם יותר החודש הטילה רשות הגנת המידע הצרפתית (CNIL) קנס בסך מיליון אירו על חברת ה-AdTech הישראלית מוביוס פתרונות, הפועלת תחת השם המסחרי Optimove.
חקירת הרשות בצרפת נפתחה בעקבות הודעה על אירוע אבטחת מידע שהגישה פלטפורמת הזרמת המוזיקה הצרפתית Deezer בנובמבר 2022. אז נחשף כי מידע אישי של כ-46 מיליון משתמשי Deezer נמכרו ברשת האפלה (Darknet) מתוכם כ-9.8 מיליון תושבי צרפת. מוביוס פתרונות סיפקה שירותי פרסום מקוון ל-Deezer, ופעלה בתור מעבדת מידע (Processor) שלה.
ועדת הסנקציות של הרשות להגנת מידע בצרפת קבעה כי החברה הפרה שלוש הוראות מרכזיות ב-GDPR:
- החברה לא מחקה מידע אישי עם סיום ההתקשרות עם Deezer כנדרש בהסכם עיבוד המידע.
- עובדי החברה העתיקו נתונים לא-אנונימיים מסביבת הייצור לסביבה אחרת באפריל 2019, ללא הרשאה מ-Deezer ותוך חריגה מההרשאה של Deezer לעיבוד המידע לפי הסכם עיבוד המידע. הנתונים נשמרו בידי החברה עד אוקטובר 2023.
- החברה לא ניהלה תיעוד של עיבוד המידע (Records of Processing Activities).
החברה התגוננה בטענה שהעתקת הנתונים נעשתה על ידי עובדים ללא ידיעת ההנהלה, במטרה לשפר את ביצועי השירות. אולם הרשות להגנת מידע בצרפת דחתה טענה זו וקבעה כי החברה נושאת באחריות לפעולות עובדיה. הרשות להגנת מידע בצרפת התחשבה בהיקף הפריצה החמור, במספר הנפגעים הרב, ובהכנסות החברה (30-40 מיליון דולר בשנה). היא קבעה כי מעשיה של החברה מהווים לכל הפחות רשלנות חמורה. מקור: החלטת הרשות להגנת מידע בצרפת (בצרפתית).