יורם ליכטנשטיין 5.06.2018
יורם ליכטנשטיין

גם פייסבוק וגם האדמין אחראים במשותף להגנת הפרטיות במידע על משתמשים בדף

פסק דין אירופי קובע שתי הלכות חשובות בהגנת הפרטיות והגנת המידע האישי של אנשים:

האחת – חובתו ואחריותו של אדמין בדף פייסבוק להגנת הפרטיות ואבטחת מידע באשר לנתוני משתמשי העמוד.

השניה – כפיפותם של גופים כמו פייסבוק וגוגל לרשויות הגנת הפרטיות השונות באירופה.

פסק הדין מתייחס ל-Facebook Insights. באינסייטס המידע נאסף באמצעות קוקיות/קוקיז הפעילות כשנתיים ומכילות קוד מזהה ספציפי. המידע הזה מתעדכן כאשר המשתמש מגיע וצופה בדף הרלוונטי, והמעקב אחר המשתמש מתבצע תחת אותו קוד, על מנת לאפשר משלוח פרסומות מחודש, סוג של Retargeting.

לא פייסבוק ולא האדמין של הדף הודיעו למשתמשים על הקוקיות הללו, ואחת מרשויות הגנת הפרטיות הגרמניות הורתה על סגירת הדף לאור יישום הדירקטיבה האירופית להגנת הפרטיות.

האדמין חלק על קביעה זו ופנה לבית המשפט המדינתי שם. הוא טען, שאין לייחס לו את עיבוד המידע ע"י פייסבוק והאחריות לכך היא של פייסבוק בלבד.

ביה"מ הגרמני פנה לבית הדין לצדק של האיחוד האירופי וביקש הנחיה.

היום (5.6.2018) ניתן פסק דין שקבע, כי פייסבוק (האמריקאית והאירית) נחשבת כ"קונטרולרית" של המידע (Data Controller) המתייחס למשתמשים המבקרים בדף, מכיוון שהיא זו שקובעת מה מטרות השימוש במידע וכיצד יעובד.

עם זאת, נפסק גם שהאדמין נחשב כ"קונטרולר משותף", מכיוון שגם הוא בעל יכולת קביעה אודות מטרות השימוש במידע ואמצעי ומטרות עיבוד המידע.

האדמיניסטראטור של דף (Fan Page) עושה שימוש בפלטפורמה של פייסבוק ביחס לעיבוד מידע אישי על משתמשים אירופיים במטרה להרוויח מהשימוש במידע ואינו יכול להתחמק מנטילת האחריות על השימוש שלו במידע.

בנוסף לכך עסקה ההחלטה גם בהכפפת פייסבוק אירלנד לרשות הגנת הפרטיות הגרמנית (ה-Unabhangiges Landeszentrum fur Datenschutz Schleswig-Holstein). בנסיבות: כשלקבוצת חברות בינלאומית שבסיסה מחוץ לגרמניה, אבל לה מוסדות במספר מדינות חברות באיחוד האירופי (ה-EU) רשאית הרשות המפקחת בכל אחת מאותן מדינות להפעיל את כוחותיה מכוח הדירקטיבה ביחס למוסד באותה מדינה של קבוצת החברות.

זאת – שימו לב פייסבוק וגוגל ישראל – גם אם התאגיד הספציפי באותה מדינה אחראי למכירת שטחי פרסום וכן פעולות שיווק בלבד. במיוחד כאשר אחריות פייסבוק אירלנד מתייחסת לכל תחום האיחוד האירופי, ורשויות הגנת הפרטיות הגרמניות רוכשות סמכות על כך.

פסק הדין נוגע במערך הכוחות ההדדי בין רשויות אכיפת הגנת הפרטיות ואבטחת המידע, והתוצאה היא חשובה ביותר גם לענייננו. כל רשות הגנת פרטיות מקומית שכזו יכולה לאכוף את הדירקטיבה (ואף את ה-GDPR) ביחס לתאגיד שחלקו ממוקם בשטחה, מבלי להזקק להפעלת הסמכות של רשות הגנת הפרטיות במדינות הנוספות.

 

חשוב לזכור שפסק הדין ניתן על בסיס הדירקטיבה הקודמת (95/46), ולא על בסיס ה-GDPR. מצד שני, דומה שהלכות אלו חלות במשנה תוקף תחת ה-GDPR.

להודעת הפרסום (Press Release) על פסק הדין, ראו – https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081en.pdf

 

Comments

comments

יורם ליכטנשטיין

לקבלת ייעוץ ראשונישלחו פרטים



ליצירת קשר ולייעוץ ראשוני –

03-6133333
This site was created with the help of Beetle (www.beetle.net.ua)