FACEBOOK

גם פייסבוק וגם האדמין אחראים במשותף להגנת הפרטיות במידע על משתמשים בדף

יורם ליכטנשטיין עורך דין 05.06.2018 עודכן ב-16.08.2023

שתי הלכות חשובות בהגנת הפרטיות והגנת המידע האישי של אנשים:

האחת – חובתו ואחריותו של אדמין בדף פייסבוק להגנת הפרטיות ואבטחת מידע באשר לנתוני משתמשי העמוד.

השניה – כפיפותם של גופים כמו פייסבוק וגוגל לרשויות הגנת הפרטיות השונות באירופה.

פסק דין אירופי מ-2018 מתייחס ל-Facebook Insights. באינסייטס המידע נאסף באמצעות קוקיות/קוקיז הפעילות כשנתיים ומכילות קוד מזהה ספציפי. המידע הזה מתעדכן כאשר המשתמש מגיע וצופה בדף הרלוונטי, והמעקב אחר המשתמש מתבצע תחת אותו קוד, על מנת לאפשר משלוח פרסומות מחודש, סוג של Retargeting.

לא פייסבוק ולא האדמין של הדף הודיעו למשתמשים על הקוקיות הללו, ואחת מרשויות הגנת הפרטיות הגרמניות הורתה על סגירת הדף לאור יישום הדירקטיבה האירופית להגנת הפרטיות.

האדמין חלק על קביעה זו ופנה לבית המשפט המדינתי שם. הוא טען, שאין לייחס לו את עיבוד המידע ע"י פייסבוק והאחריות לכך היא של פייסבוק בלבד.

ביה"מ הגרמני פנה לבית הדין לצדק של האיחוד האירופי וביקש הנחיה.

היום (5.6.2018) ניתן פסק דין שקבע, כי פייסבוק (האמריקאית והאירית) נחשבת כ"קונטרולרית" של המידע (Data Controller) המתייחס למשתמשים המבקרים בדף, מכיוון שהיא זו שקובעת מה מטרות השימוש במידע וכיצד יעובד.

עם זאת, נפסק גם שהאדמין נחשב כ"קונטרולר משותף", מכיוון שגם הוא בעל יכולת קביעה אודות מטרות השימוש במידע ואמצעי ומטרות עיבוד המידע.

האדמיניסטראטור של דף (Fan Page) עושה שימוש בפלטפורמה של פייסבוק ביחס לעיבוד מידע אישי על משתמשים אירופיים במטרה להרוויח מהשימוש במידע ואינו יכול להתחמק מנטילת האחריות על השימוש שלו במידע.

בנוסף לכך עסקה ההחלטה גם בהכפפת פייסבוק אירלנד לרשות הגנת הפרטיות הגרמנית (ה-Unabhangiges Landeszentrum fur Datenschutz Schleswig-Holstein). בנסיבות: כשלקבוצת חברות בינלאומית שבסיסה מחוץ לגרמניה, אבל לה מוסדות במספר מדינות חברות באיחוד האירופי (ה-EU) רשאית הרשות המפקחת בכל אחת מאותן מדינות להפעיל את כוחותיה מכוח הדירקטיבה ביחס למוסד באותה מדינה של קבוצת החברות.

זאת – שימו לב פייסבוק וגוגל ישראל – גם אם התאגיד הספציפי באותה מדינה אחראי למכירת שטחי פרסום וכן פעולות שיווק בלבד. במיוחד כאשר אחריות פייסבוק אירלנד מתייחסת לכל תחום האיחוד האירופי, ורשויות הגנת הפרטיות הגרמניות רוכשות סמכות על כך.

פסק הדין נוגע במערך הכוחות ההדדי בין רשויות אכיפת הגנת הפרטיות ואבטחת המידע, והתוצאה היא חשובה ביותר גם לענייננו. כל רשות הגנת פרטיות מקומית שכזו יכולה לאכוף את הדירקטיבה (ואף את ה-GDPR) ביחס לתאגיד שחלקו ממוקם בשטחה, מבלי להזקק להפעלת הסמכות של רשות הגנת הפרטיות במדינות הנוספות.

 

חשוב לזכור שפסק הדין ניתן על בסיס הדירקטיבה הקודמת (95/46), ולא על בסיס ה-GDPR. מצד שני, דומה שהלכות אלו חלות במשנה תוקף תחת ה-GDPR.

להודעת הפרסום (Press Release) על פסק הדין, ראו – https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081en.pdf

 

לקרוא עוד על הגנת הפרטיות תוכלו בקישור הזה, ועל לשון הרע והוצאת דיבה בקישור הזה.

 

המאמר נכתב ונבדק ע"י עורך הדין יורם ליכטנשטיין.

המאמר אינו המלצה ואין להסתמך עליו אלא לפנות לייעוץ ספציפי.

עודכן לאחרונה ב-10.1.2023.

 

חשוב: שימו לב!
טקסט זה נכתב ביוני 2018 ונבדק לאחרונה באוגוסט 2023 בידי עורך הדין יורם ליכטנשטיין, אלא ככל שנאמר בו אחרת.
האמור במאמרים השונים באתר הינו הסבר כללי, אינו מהווה ייעוץ משפטי מחייב ואין להסתמך עליו בכל צורה שהיא.
בכל מקרה ספציפי יש להעזר בבעל מקצוע המתמצא בתחום והאמור באתר אינו יכול לספק פתרון לבעיה ספציפית.