חדשות -

עדכון לקוחות – קנס של למעלה ממיליארד אירו על Meta באירלנד בשל הפרת חוק הגנת הפרטיות האירופי – למה ומה המשמעות?

ב-22 במאי 2023 פרסמה הרשות להגנת המידע באירלנד (DPC – Irish Data Protection Commissioner) החלטה לפיה יושת קנס בסך 1.2 מיליארד אירו על Meta Platforms Ireland Limited (Meta Ireland), חברת האם של פייסבוק אירלנד, בגין העברת מידע אישי של אירופאים שלא כדין לארה"ב.

מדובר בקנס הגבוה ביותר שהושת בגין הפרת חוק הגנת הפרטיות האירופי (GDPR).

ננסה להבין מדוע הושת קנס כל כך גבוה ומה חברות ישראליות יכולות ללמוד מכך.

  • קצת היסטוריה: ההחלטה שפורסמה מהווה שיאו של תהליך בן 10 שנים שהונע על ידי הפעיל האוסטרי Max Schrems. ארה"ב אינה בעלת מעמד נאותות מהאיחוד האירופי (עליו נפרט בהמשך), ולכן יש צורך בהסדרים מיוחדים לשם העברת מידע אישי במסגרת הסכמים מסחריים בין האזור הכלכלי האירופי (EEA, כלומר האיחוד האירופי, איסלנד, נורווגיה וליכטנשטיין) לארה"ב, בניסיון להבטיח שמירה נאותה על המידע האישי המועבר, כנדרש ב-GDPR.
  • הסדרים קודמים בנושא אינם רלוונטיים עוד. בפסק הדין "Schrems II" שניתן ב-2020 על ידי בית הדין לצדק של האיחוד האירופי (CJEU) נפסל הסדר ה-Privacy Shield להעברת מידע אישי לארה"ב ועוד קודם לכן, בפסק הדין "Schrems I", נפסל מעמד ה-Safe Harbor של ארה"ב. הטענה העיקרית של Schrems אשר התקבלה על ידי בית הדין היתה כי המידע האישי בארה"ב אינו מוגן לגמרי מפני גופים ביטחוניים דוגמת הסוכנות לביטחון לאומי (NSA).
  • בעקבות החלטת בית הדין מ-2020, ניסתה Meta Ireland להסדיר העברת מידע אישי לארה"ב באמצעות שימוש בכלים חוזיים אשר שולבו בהסכמיה – Standard Contractual Clauses (SCCs) ואמצעי הגנת מידע ארגוניים, טכניים ומשפטיים נוספים – אך כעת הכריעה הרשות האירית כי העברת המידע האישי לארה"ב באופן זה אינה מספקת לשם הגנה על המידע האישי כנדרש;
  • ב-13 באפריל 2023 פרסמה המועצה האירופית להגנת מידע אישי (EDPB) החלטה לאחר בירור שביצעה, וקבעה, בין היתר, כי ההפרות ה-GDPR שמבצעת Meta Ireland בהעברות מידע אישי לארה"ב חמורות במיוחד, בפרט משום שהן שיטתיות, חוזרות ומתמשכות ולאור מספר המשתמשים הגדול באירופה. ה-EDPB הנחה את ה-DPC לקנוס את Meta Ireland. מכוח סעיף 65 ל-GDPR נדרש ה-DPC לאמץ זאת והטיל, כאמור, על Meta Ireland את הקנס הגדול ביותר עד כה בגין הפרת ה-GDPR.
  • בהחלטה הנוכחית של ה-DPC נקבע, בין היתר, כי Meta Ireland הפרה את הוראות סעיף 46(1) ל-GDPR – שכן ה-SCCs ואמצעי הגנת המידע הנוספים בהם Meta Ireland השתמשה להעברת מידע אישי לארה"ב לא הספיקו ליצירת רמת הגנה מספקת המקבילה להגנה המוקנית מכוח ה-GDPR, ואינם מספקים לשם כיסוי הפערים בין ה-GDPR לדין האמריקני בעניין.
  • במסגרת סעיף 49(1) ל-GDPR ניתן לאפשר העברת מידע אישי לארה"ב תחת כללים מסוימים (למשל קבלת הסכמה מפורשת מנושאי המידע האירופיים לאחר שקיבלו את כל המידע בנושא או לשם קיום חוזה לטובת נושאי המידע האירופיים) – אולם נקבע כי גם על סעיף זה לא תוכל Meta Ireland להישען. ה-DPC הדגיש כי גם החרגה לצורך ביצוע חוזה עם נושא המידע (contractual necessity derogation) אינה יכולה להצדיק את העברות המידע האישי השיטתיות, החוזרות והמתמשכות לארה"ב.
  • החל מ-12 באוקטובר 2023 תצטרך Meta Ireland להפסיק את העברת המידע לארה"ב, ועד ל-12 בנובמבר 2023 תצטרך למחוק או להחזיר לאיחוד האירופי את המידע האישי שהועבר שלא כדין.
  • Meta Ireland כבר הודיעה שתערער על ההחלטה.

 

המצב בישראל

  • ישראל זכתה למעמד נאותות (Adequacy Status) מהאיחוד האירופי ב-2011, בהתאם לסעיף 45 ל-GDPR. משמעות המעמד היא כי המידע האישי של אירופאים המועבר לישראל זוכה לרמת הגנה מספקת המקבילה להגנה המוקנית מכוח ה-GDPR. כאמור, לארה"ב אין מעמד נאותות.
  • לאחרונה, לקראת חידוש ההכרה במעמד הנאותות, ולאחר שהובעו ספקות לגבי רמת ההגנה על המידע האישי המועבר לישראל, תוקנו תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023, במאמץ לשפר את רמת ההגנה על המידע האישי של אירופאים המועבר לישראל. הגם שהתקנות החדשות זכו לביקורת, למשל משום שהן יוצרות "מעמדות" בין מידע אישי של אירופאים לבין מידע אישי של ישראלים, מדובר בשיפור המצב הקיים אשר יכול לסייע לשימור מעמד הנאותות.

 

המשמעות לגופים ישראליים

  • הרגולטורים האירופיים קפדנים ומוכיחים פעם אחר פעם שיש להם "שיניים" בהטלת קנסות.
  • גם גופים קטנים יותר מפייסבוק המקבלים או מעבדים מידע אישי של אירופאים עלולים למצוא עצמם נתונים לביקורת. התחולה של ה-GDPR רחבה, אקס-טריטוריאלית ולא תמיד אינטואיטיבית: למשל, גם חברה ישראלית שרק מציעה שירותים או מוצרים לאירופאים באתר האינטרנט שלה יכולה למצוא עצמה כפופה במישרין ל-GDPR. לכן, יהיה נכון לחברה כזו לבצע ניתוח של תחולת ה-GDPR ודינים זרים אחרים על פעילותה.
  • יש לשים לב שהמידע האישי של אירופאים המועבר לגופים ישראליים מטופל כראוי. נכון הוא שמעמד הנאותות מקנה לחברות ישראליות יתרון ביחס לארה"ב ונכון לעכשיו אין צורך לשלב הסדרים חוזיים כמו ה-SCCs לשם העברת מידע אישי לישראל – אך יש לשים לב שניתן מענה מספק למידע האישי שהועבר, למשל באמצעות ביצוע הערכה על מידת ההגנה שמספקת החברה הישראלית.
  • יצוין כי על פי רוב קל יותר לחברות ישראלית בעלות תקן ISO 27001 או SOC 2 להראות הגנה נאותה על המידע האישי, או שנדרשת מהן, באופן יחסי, פחות עבודה לשם כך.
  • משרדנו מלווה גופים ישראליים ובינלאומיים בכל שלב בהתמודדות עם ה-GDPR ומציע ייעוץ פרגמטי ומקיף.

 

פרסומים בנושא

 


הכותבות עורכות הדין רותם פרלמן-פרחי, שותפה וראש מחלקת הטכנולוגיה, הקניין הרוחני והגנת הפרטיות ועינת גולדשטיין ממחלקתה.


מחלקת הטכנולוגיה, הקניין הרוחני והגנת הפרטיות במשרדנו מייעצת לשלל לקוחות המשרד בתחום הגנת הפרטיות בהתאם לדין הישראלי ולדין האירופאי ונשמח לעמוד לשירותך בכל עניין.


למען הסר ספק, האמור לעיל משמש מידע כללי בלבד ואינו מהווה ייעוץ משפטי או תחליף לייעוץ משפטי. כל המסתמך על האמור לעיל, בכל דרך שהיא, עושה זאת על אחריותו בלבד והאחריות לכל תוצאה ישירה או עקיפה, בשל הסתמכות על האמור, תחול על המשתמש בלבד.

Download as PDF
Share:

מדיה