צרפת קנסה את אופטימוב הישראלית במיליון יורו בעקבות דליפת מידע של לקוחות Deezer
הסטארט-אפ הישראלי, שמפתח פלטפורמת שיווק מבוססת AI, שמר במערכותיו מידע של 46 מיליון לקוחות שירות המוזיקה בסטרימינג שנים לאחר סיום החוזה עם דיזר. הרגולטור הצרפתי מצא שהחברה השתמשה במידע ללא הרשאה כדי לשפר את השירותים שלה
רגולטור הפרטיות של צרפת (CNIL) הטיל קנס של מיליון יורו על הסטארט-אפ הישראלי אופטימוב (Optimove), בעקבות דליפת מידע של 46 מיליון לקוחות שירות המוזיקה בסטרימינג דיזר (Deezer) ממערכות החברה – כך לפי הודעה שפרסם הרגולטור ביום שישי.
אופטימוב, שהוקמה ב-2009 על ידי פיני יקואל, שמשמש כמנכ"ל, מפתחת פלטפורמה מבוססת AI שמאפשרת לחברות לייצר תובנות מנתוני לקוחותיהן, ולהשתמש בתובנות אלו על מנת ליצור קמפיינים שיווקיים בהתאמה אישית. ב-2021 גייסה החברה 75 מיליון דולר מקרן Summit Partners, לפי שווי של 500 מיליון דולר.
תחילת הפרשה שבגינה נקנסה החברה ב-2022, כששירות דיזר דיווח על דליפת מידע של כמה מיליונים מלקוחותיו, שנגנב ממערכות אופטימוב. החברה הישראלית סיפקה את שירותיה לדיזר עד 2020, ואולם שמרה במערכותיה מידע על 46 מיליון לקוחות שירות המוזיקה חרף התחייבות למחוק אותו עם סיום מערכת היחסים בין שני הגופים.
CNIL חקרה את הפרשה בין 2023 ל-2024, ובסיום פעולות החקירה ולאחר התכתבויות ממושכות עם אופטימוב, מצאה שהחברה כשלה, כמעבדת של מידע, לעמוד בכמה מההתחייבויות שמוטלות עליה במסגרת חוק הפרטיות של האיחוד האירופי, GDPR. אלו כללו חובה למחוק מידע בסיומה של מערכת יחסים חוזית וחובה לציית להוראות בעל השליטה במידע (דיזר, במקרה זה). כן מצא CNIL שאופטימוב לא עמדה בדרישת החוק לתעד את המידע שעיבדה ואת פעולות העיבוד שביצעה.
לטענת אופטימוב, המידע על לקוחות דיזר נשמר על ידי שלושה מעובדיה, במטרה לשפר את ביצועי השירותים שלה. לדבריה, נודע לה על קיומו של המידע רק לאחר שדיזר הודיעה לה על דליפתו. בעקבות ההודעה פתחה החברה בחקירה פנימית של סביבת הענן שלה שחשפה את קיומה של פרצה. אופטימוב טענה שלא פעלה ביודעין ושבסיום החוזה עם דיזר מחקה את כל המידע שהיתה מודעת לקיומו.
ואולם, הרגולטור מצא שאופטימוב אחראית לפעולות של עובדיה, מכיוון שהמידע אוחסן בסביבה פנימית לצד מידע של לקוחות אחרים. "אופטימוב השתמשה במידע של דיזר ללא הרשאה על מנת לשפר את הביצועים של שירותיה שלה", נמסר מ-CNIL. "החברה טענה שהעתקת מידע משתמשים יכולה להחשב לחלק מהפעילות החוזית, שכן המטרה היתה לשפר את השירותים שסיפקה לדיזר. ואולם, לא היה סעיף בחוזה שאישר לאופטימוב להשתמש במידע של דיזר למטרה שכזו ללא הוראה מפורשת. האחסון הלא חוקי של המידע יצר סיכון לאבטחת המידע של המשתמשים".
עו"ד ליאור אתגר, ראש תחום פרטיות וסייבר במשרד ארדינסט, בן נתן, טולידאנו EBN, אמר לכלכליסט: "המסר של הרגולטור הצרפתי ברור: חברות ישראליות שפועלות כמעבדות מידע חייבות לנקוט באמצעים תפעוליים מתאימים כדי לוודא שימוש בנתונים אך ורק בהתאם להרשאת הלקוח, לנהל מרשמים המחויבים הן בישראל והן באירופה ולהקפיד על מחיקת מידע בגמר ההתקשרות. אכיפת GDPR חלה גם מחוץ לאירופה, במיוחד כשמדובר בפרופיילינג או בשיווק מותאם אישית".
מאופטימוב נמסר בתגובה להחלטה: "אופטימוב מכירה בהחלטה של CNIL בנוגע לתקרית מידע היסטורית שכוללת מידע מלפני יותר משש שנים של לקוח לשעבר. אופטימוב שיתפה פעולה באופן מלא עם CNIL. הנושא נחקר והוסדר במלואו לפני כמה שנים. התקרית היא תוצאה של טעות שנבעה מטיפול ושמירת מידע, והחברה מכירה בכך ולוקחת על כך אחריות. מאז התקרית, אופטימוב ביצעה שינויים משמעותיים במבנה והיקף האבטחה שלה. כיום, הגנת מידע, בקרת גישה, ניטור וציות רגולטורי מוטמעים בכל שכבה של הפלטפורמה והארגון. אנחנו מחויבים לרמות הגבוהות ביותר של הגנת מידע ושימור האמון של הלקוחות שלנו והמשתמשים שלהם".
מדיזר נמסר: "בנובמבר 2022 נודע לנו על דליפת מידע מהמערכות של ספק שירות לשעבר שעבד עם דיזר עד 2020. כתוצאה, נחשף מידע לא-רגיש של משתמשים. המידע שנחשף כלל מידע בסיסי כמו שם פרטי ושם משפחה, תאריך לידה וכתובת אימייל. לא נחשפו סיסמאות או פרטי תשלום. הספק המדובר הפר כמה מההתחייבויות החוזיות שלו, במיוחד בכל הנוגע לשמירת מידע לאחר תום החוזה עם דיזר, למרות צעדי זהירות שנקטנו כדי כדי לוודא שהמידע נהרס. הכישלון של הספק למחוק את המידע של דיזר הוביל לפריצה ב-2022. המערכות של דיזר לא הושפעו ונותרו מאובטחות. דיזר לא הפרה רגולציות הגנת מידע וגם היא קורבן של הרשלנות הבוטה של הספק לשעבר, ושל האקרים זדוניים".
