החובות לפי ה-GDPR חלות על מפעילי עמודים לא אישיים בפייסבוק

מי שמפעיל עמוד מעריצים (Fan Page) בפייסבוק, הוא בעל השליטה במידע במשותף עם פייסבוק (Joint Controller). כך קבע היום בית המשפט הגבוה באירופה (ה-Court of Justice of the European Union). המשמעות – כל החובות לפי ה-GDPR חלות על אותו בעל עמוד. ההחלטה אמנם מתייחסת לעמודי מעריצים (Fan Pages) אבל הגיונה חל על כל עמוד אחר שאיננו אישי ומבקרים בו יחידים מאירופה – לדוגמה, עמודי קבוצות.

ההחלטה ניתנה בתביעה שהגישה חברה גרמנית נגד החלטת רגולטור הפרטיות במחוז שלזוויג-הולשטיין בגרמניה. הרגולטור קבע כי חברה המנהלת עמוד פייסבוק, וכך אוספת מידע סטטיסטי על משתמשים ללא הודעה על כך, מפרה את הוראות דיני הגנת הפרטיות באירופה. החברה הגרמנית שהגישה את התביעה מעניקה שירותים בתחום החינוך באמצעות פייסבוק, ודרך שירות Facebook Insight אוספת מידע סטטיסטי אודות המבקרים בעמוד הפייסבוק שלה. המידע הסטטיסטי מקורו בקבצי 'עוגיות' (Cookies) המכילים מידע מזהה חד-חד ערכי המקושר לחשבון הפייסבוק של מבקרי העמוד. 

בתביעה טענה החברה כי פייסבוק היא זו שמבצעת את פעולות איסוף ועיבוד המידע ומאפשרת למנהלי עמודים גישה למידע באמצעות שירות Facebook Insight. לחברה מנגד אין כלל השפעה או שליטה על אופן איסוף המידע, ועל כן טענה החברה שהרגולטור טעה כאשר ייחס לחברה את פעולת איסוף המידע, ולא לפייסבוק עצמה. 

בית המשפט בחן את הסוגיה וקבע כי אין מחלוקת בשאלה אם פייסבוק היא 'בעלת המידע' (Controller). יחד עם זה, קבע בית המשפט כי מנהלי עמודים בפייסבוק לוקחים חלק בהגדרת קהל היעד, באופן קידום העמוד ובקביעת מטרותיו – ועל כן הם למעשה קובעים את מטרות ואופן עיבוד המידע. בית המשפט הוסיף כי מנהלי עמודים יכולים לקבל מפייסבוק מידע דמוגרפי (אנונימי), מידע גיאוגרפי ומידע אודות תחומי עניין, שעל בסיסו הם מבצעים קידום ממוקד של העמוד ושירותיו לפי גיל, מין, מיקום, עיסוק, תחומי עניין והרגלי צריכה.

משכך, בית המשפט הגיעה למסקנה כי עצם השימוש בפלטפורמה של צד שלישי אינה פוטרת את החברה מחובותיה כבעלים משותף (Joint Controller), להגן על מידע אישי. עוד קבע בית המשפט כי רגולטור הפרטיות בגרמניה מוסמך לאכוף את חוקי הגנת המידע באירופה הן כלפי החברה הגרמנית והן כלפי פייסבוק באירלנד.