מה המחיר שצוקרברג עלול לשלם על המחדל?

*** כתבה של יוסי לוי, פורסמה במקור באתר ערוץ 10 ***

הפריצה לפייסבוק: מה המחיר שצוקרברג עלול לשלם על המחדל?

האם אתם יכולים לתבוע את פייסבוק על רשלנות בשמירה על המידע שלו? כמה כח יש לאיחוד האירופי מול פייסבוק? ומה גובה הקנס שהחברה עלולה לחטוף? עשינו סדר בדברים

בסוף השבוע האחרון הכריזה פייסבוק כי האקרים הצליחו לפרוץ למערכות החברה, לקבל גישה לחשבונות של יותר מ-50 מיליון משתמשים ולסכן עוד 40 מיליון חשבונות נוספים. בחברה לא הודיעו עדיין מה עשו הפורצים ומי היו הקורבנות, ואפילו לא אישרו אם נגנב מידע כלשהו - וטענו כי החקירה עדיין נמשכת. אבל בעוד משתמשי החברה מצפים לתשובות ברורות מצוקרברג, ושות' יש עוד גוף שמצפה לתשובות הללו - ובניגוד למשתמשים של החברה, לגוף הזה פייסבוק חייבת לספק תשובות ובזמן קצר ומוגדר.

 כזכור, ב-25 למאי השנה נכנסו לתוקף תקנות ה-GDPR, חוקי הגנת הפרטיות של האיחוד האירופי. התקנות מאחדות 28 מדינות שונות באירופה תחת חוק ייחודי אחד, שחוקק במשותף על ידי כל החברות באיחוד כדי להבטיח שנתונים רגישים שנאספו בהסכמה מפורשת, והרלוונטיים לצרכים לשמם הם נאספו, אכן עומדים בדרישות החוק. ובקיצור - הפרטיות ברשת לא נחשבת כזכות יתר (פריווילגיה) בעבור תושבי האיחוד, כי אם כזכות.

סיפור הפריצה לפייסבוק נופל בדיוק תחת תקנות אלו ולמעשה מעמיד את הרשת החברתית תחת איום הקנס המקסימלי העומד על כ-4 אחוזים מההכנסות הכלליות של החברה שכשלה בהגנה על פרטיות משתמשיה, כשבמקרה של צוקרברג מדובר בלא פחות מ-1.63 מיליארד דולרים.

משרדי פייסבוק באירלנד עובדים בצמוד לגוף הפיקוח האירי, וזה כבר דיווח כי מספר הנפגעים תושבי האיחוד עומד על כ-5 מיליון משתמשי פייסבוק.

עו"ד עודד ישראלי הוא מומחה לחוקי הגנת המידע והפרטיות באירופה (GDPR), בעל תואר שני במשפט מסחרי מאוניברסיטת תל-אביב ותואר שני במינהל עסקים מבית הספר הבינלאומי אינסיאד שבצרפת. עו"ד ישראלי ששימש גם כמנהל בכיר בחברות טכנולוגיה ישראליות. התיישבנו איתו לשיחה בנסיון להבין את כוחן של התקנות והאם פייסבוק אכן תאלץ לתת דין וחשבון לאירופים, וגם - האם קיים סיכוי שאנחנו, האזרחים, נוכל לתבוע את החברה על חלקה בגניבת המידע האישי?

אם פייסבוק היא חברה אמריקאית, מדוע בכלל חוקי הפרטיות של האיחוד האירופי חלים עליה?

פייסבוק היא חברה בינלאומית הפועלת באמצעות חברות בת מקומיות בכל רחבי העולם, גם באירופה וגם בישראל. עם זאת, מיקום החברה כלל אינו משנה לעניין חוקים הגנת המידע באירופה. חוקי ה-GDPR החדשים חלים על כל חברה בעולם ששומרת מידע פרטי של אזרחי האיחוד האירופי. לכן, כמעט כל חברת טכנולוגיה בישראל כפופה לחוקי הגנת המידע באירופה. בין אם אתה חברת אינטרנט אמריקאית גדולה עם משתמשים באירופה, חברת תוכנה ישראלית עם מפיצים ולקוחות באירופה, או סטארטאפ קטנטן שפיתח אפליקציה שאוספת מידע אישי - אתה כפוף להוראות חוקי הגנת המידע והפרטיות של האיחוד האירופי.

מאז שהחוקים נכנסו לתוקף בחודש מאי האחרון, האם מוסדות האיחוד פסקו קנסות למי שעברו על חוקי ה-GDPR?
החוקים החדשים נכנסו לתוקפם בסוף חודש מאי האחרון, שנתיים לאחר פרסומם על ידי האיחוד, ומסמיכים את רשויות הגנת המידע במדינות האיחוד להטיל קנסות מנהליים גבוהים של עד 20 מיליון אירו או 4% מהכנסות החברה, הגבוה מבין השניים, על הפרת הוראות החוק. כבר בימים הראשונים מאז כניסת החוק לתוקף, הוגשו תביעות ענק נגד חברות האינטרנט הגדולות על ידי אקטיביסטים אירופיים, לרבות תביעה בסך 3.9 מיליארד דולר כנגד פייסבוק, והחברות וואטסאפ ואינסטגרם שבבעלותה.
כבר ניתנו מספר החלטות על ידי גופי הפיקוח, אך טרם פורסמו קנסות משמעותיים שהוטלו. הרשויות באירלנד למשל, שם ממוקמות המרכזים האירופאים של ענקיות הטכנולוגיה כמו פייסבוק, כבר הוציאו צווים כנגד גוגל ויאהו על אי עמידה בהוראות החוק, וביקשו מהן לתקן את מדיניות הפרטיות שלהן, התהליכים הארגוניים הפנימיים שלהן בהגנה על המידע ועוד, אך טרם הטילו קנסות.
עם זאת, אין ספק שזו רק שאלה של זמן. כידוע, טחנות הצדק טוחנות לאט, ורשויות האכיפה, לאחר תקופת הסתגלות לחוק החדש והתמודדות עם מבול הפניות, תחלנה ליישם את הכלים האכיפתיים העומדים לרשותן.

אז מה עכשיו קורה בעצם? מה ההליך שפייסבוק תצטרך לעבור?
פייסבוק דיווחה לרשות הגנת המידע באירלנד על פירצת האבטחה תוך 72 שעות, כפי שדורשות הוראות החוק. יש טענות לפיהן לא כללה את כל המידע שנדרש להודעה כזו, שכן לא ברור הנזק שנגרם בפועל כתוצאה מהפירצה - כמו המידע שנחשף והאם אכן נעשה בו שימוש לא חוקי - אך אין ספק שהחברה מקבלת אחריות על כשל האבטחה שהתגלה, ומנסה ליישם את הוראות ה-GDPR בעניין.
מרגע שניתנה הודעה, הרשות באירלנד תחקור את פירצת האבטחה הספציפית, כמו גם את כל פעילותה של פייסבוק להגנה על מידע אישי של אזרחי האיחוד, ותוכל להחליט על שורה של פעולות - כמו הוראות בדבר אבטחת מידע נוקשה יותר, בדיקות על ידי חברות חיצוניות של פירצות אבטחה אפשריות אחרות, הודעה למשתמשים שנפגעו, ויתכן אף קנסות. על אף שבמקרה של פייסבוק, הקנסות עלולים להגיע עד 1.36 מיליארד אירו בשל הכנסות החברה הגבוהות, אני לא סבור שאכן יוטל על החברה קנס כה גבוה בשל הפירצה הספציפית הזו.

מה חשיבות המקרה הזה בעבור האיחוד האירופי ועד כמה כח יש לגוף הזה מול תאגיד ענק כמו פייסבוק?
פייסבוק כפופה להוראות החוק של האיחוד האירופי כמו כל חברה, ושילמה כבר בעבר לאיחוד קנסות גבוהים - למשל למעלה מ-100 מיליון אירו בשנה שעברה בגין פרטים מטעים שפרסמה החברה בעת רכישת ווטסאפ ב-2014. גם בתחום הפרטיות והגנת המידע, יש חשיבות עצומה להתנהלות האיחוד האירופי מול פייסבוק, גוגל וענקיות טכנולוגיה אחרות. פייסבוק היא מעצמה של עיבוד מידע אישי - היא שומרת מידע אישי רגיש על כמעט כל אחד מאיתנו, כולל תמונות שלנו, מערכות יחסים, תחומי עניין, דעות פוליטיות ועוד - ועומדת לחקירה באירופה גם על שערוריית קמברידג' אנליטיקה שעשתה שימוש במידע הזה בידי פייסבוק, בין היתר במהלך קמפיין הבחירות של טראמפ.
פייסבוק מייצרת הרבה מאוד כסף משימוש במידע האישי שלנו כדי להתאים לנו פרסומות ברשת החברתית ובאינסטגרם, ויש האומרים שבקרוב גם בווטסאפ, ועם היתרונות העסקיים שבשמירת מידע אישי באה גם האחריות להגנה עליו. לפייסבוק יש כיסים עמוקים, היא חברה שנמצאת תמיד בכותרות, ולכל פעולה של רשויות הגנת המידע באירופה כלפיה תהיה משמעות הרתעתית והסברתית חשובה עבור כל החברות ברחבי העולם.

ומה בנוגע למשתמשים עצמם? האם משתמש יכול לתבוע את פייסבוק על רשלנות בשמירה על המידע שלו?
באופן עקרוני, משתמשים יכולים לא רק להתלונן לרשויות הגנת הפרטיות באירופה על הפרת חוקי ה-GDPR, אלא גם לתבוע את החברה המפרה בנזיקין. כמובן שיש צורך בהוכחת העובדות והנזק, וניהול תהליך משפטי ארוך ויקר מול סוללה של עורכי דין, ולא מדובר בהליך פשוט. תנאי השימוש והפרטיות של פייסבוק, שהמשתמשים כפופים להם בעת השימוש באתר ובאפליקציה, גם הם יגנו על החברה במידה מסוימת.
בדרך כלל קשה לאזרח הקטן להתמודד עם חברת ענק, גם אם הוא צודק. אבל זה לא בלתי אפשרי, ולא חסרים מקרים בהם דוד קטן הצליח לקבל פיצויי ענק מגוליית גדול. אבל עצה יותר טובה לכולנו כמשתמשים היא לשמור טוב על המידע שלכם. יותר קל לא לפרסם תמונה מביכה בפייסבוק או באינסטגרם, או לספר סוד כמוס רק פנים אל פנים, מאשר לתבוע חברה בינלאומית כשהתמונה כבר מופצת ברשתות או כשהסוד נעשה נחלת הרבים. כמו שסבתא שלי זכרונה לברכה היתה אומרת - לפעמים צריך לספור עד 10 לפני שאתה אומר משהו.