האיחוד האירופי נגד פייסבוק: 1.2 מיליארד יורו קנס על פגיעה בפרטיות

לאחר שבאפריל 2023 נקבע כי חברת Meta (לשעבר פייסבוק) הפרה באופן שיטתי את הוראות ה-GDPR, החברה נקנסה בסכום עצום של 1.2 מיליארד יורו.

הקנס הוטל על ידי הרשות להגנת הפרטיות באירלנד (DPC) לאחר שבחודש אפריל ה-European Data Protection Board) EDPB ) פרסם את החלטתו המחייבת בנושא העברת המידע מאירופה לארה"ב ולמעשה אילץ את הרשות האירית, בניגוד לעמדתה המקורית, להטיל קנס גבוה (מעל 20% מהמקסימום האפשרי) על החברה לאור חומרת ההפרות. במסגרת זו, קבע ה-EDPB כי יש להורות על הפסקת אחסון המידע בארה"ב של משתמשים אירופאים שהועברו תוך הפרה של חוקי הפרטיות.

מנגנון העברת מידע

העברת המידע לארה"ב התבססה על מנגנון הסכמי הידוע כ-Standard Contractual Clauses) SCC), הנועד להסדיר העברת מידע פרטי מאירופה למדינות שנמצאו כבעלות רמת הגנה שאינה נאותה מבחינת פרטיות. Meta אולצה להשתמש במנגנון זה החל מ-2020, או אז נקבע על ידי בית המשפט לצדק של האיחוד האירופי (CJEU) כי מנגנון ה-Privacy Shieled, שאפשר העברת מידע פרטי בין האיחוד האירופי לארה"ב, אינו בתוקף. קביעה זו הגיע כיוון שבית המשפט הביע חששלגבי רמת ההגנה על מידע פרטי בארה"ב, במיוחד בנוגע ליכולת גישה למידע זה על ידי סוכנויות ביון אמריקאיות. החלטה זו, הידועה כ-Schrems II, הדגישה גם את הצורך של חברות לבצע בדיקות ביחס למצב המשפטי במדינת היעד של העברת המידע, וכן את אמצעי ההגנה הנדרשים ביחס להעברת המידע, וקבעה כי התבססות על מנגנון ה-SCC כשלעצמו אינו עומד בהוראות הרגולציה.

בהחלטת הרשות להגנת הפרטיות באירלנד נקבע בין היתר כי Meta לא ביצעה פעולות מספקות אשר יבטיחו רמת הגנה נאותה על המידע שהעובר ואוחסן בארצות הברית ולא עשתה מספיק בכדי להגן על המידע של משתמשיה בניגוד למשתמע מ-Schrems II.

השלכות ההחלטה

הערכת סיכונים

חברות גלובליות עם פעילות באירופה צריכות להכיר בסיכון הקיים בהעברת מידע  פרטי לארצות הברית, לרבות דרך שימוש בספקי ענן. אם עד כה הדעה הרווחת הייתה כי נושא העברת המידע לארצות הברית ייפתר בהקדם וממילא אין סיבה לחשוב שרשויות האכיפה יטילו קנסות על העברת מידע לארצות הברית, הקנס הזה דורש לחשב מסלול מחדש.

מעמד ה-SCC

הסכמי ה-SCC לא מספיקים. חברות שלא לקחו ברצינות רבה את פסיקת SchremsII והמשיכו להסתמך רק על הסכמים אלה חושפות את עצמן לסיכונים משמעותיים. קיימת חשיבות לקיים הערכת סיכון פרטנית ביחס להעברת מידע למדינות מחוץ לאירופה ולהימנע ככל האפשר מהעברת מידע רגיש ללא בקרות מספקות.

מעמד ה-EDPB

הסיכון הרגולטורי מגיע לא רק רק מהרשות המדינתית אלא גם מה-EDPB. במקרה זה הרשות האירית סברה כי אין לנקוט בפעולת אכיפה בהתחשב בכך שהחברה עשתה שימוש ב-SCC  ואף ביקשה לצמצם את הקנס. ה-EDPB לא הסכים לעמדה הזו וקבע בהחלטתו כי Meta צריכה להיקנס באופן משמעותי. מדובר בחדשות משמעותיות עבור חברות גלובליות הפועלות באיחוד האירופי, מכיוון שגישת ה-EDPB ביחס להעברות מידע מחוץ לאירופה מחמירה מאד, יותר מהגישה של רוב הרשויות הרלוונטיות באירופה.

מה הלאה?

ככל הנראה, הקנס לא יעצור את השימוש של חברות בספקי ענן בארצות הברית, או יפסיק את העברות המידע מאירופה לארצות הברית, אבל הוא בוודאי יאיץ את התהליך להשלמת ההסדר החדש בין האיחוד האירופי לארה"ב.

כמו כן סביר להניח  (וכדאי) שהקנס יתמרץ חברות לבצע מספר הסדרים פנימיים חשובים:

1. מיפוי מסודר של העברות של מידע פרטי מאירופה למדינות שאינן נאותות, במיוחד לארצות הברית.
2. גיבוש מדיניות ניהול סיכונים בדבר העברות מידע אלה.
3. ביצוע הערכות סיכונים (DTIA) שכוללות התייחסות למצב המשפטי באותן מדינות, סוגי המידע המועבר, אמצעי האבטחה הקיימים, ועוד.
4. בחינה מדוקדקת של הטמעת אמצעים טכנולוגיים וארגוניים שבכוחם לצמצם את החשיפה המשפטית.  

***

מחלקת הפרטיות והסייבר בברנע ג'פה לנדה זמינה לכל שאלה או הבהרה בנושא ותשמח לסייע בביצוע הערכות הסיכונים.

דר' אבישי קליין הוא ראש מחלקת הפרטיות והסייבר בברנע ג'פה לנדה.

בן נורמן הוא עו"ד במחלקה.