הרשות להגנת המידע בצרפת (CNIL) הטילה בדצמבר 2025 קנס בסך של מיליון אירו על חברת Mobius Solutions LTD, אשר שימשה כמעבד מידע (Processor) עבור חברת Deezer (בעלת השליטה; Controller), בעקבות אירוע אבטחת מידע במסגרתו דלפו נתוניהם של עשרות מיליוני משתמשים. הקנס הוטל לאחר בדיקה מקיפה שביצעה הרשות, ובסיומה נקבע כי החברה הפרה מספר חובות מהותיות החלות עליה כמעבד מידע מכוח תקנות ה-GDPR.
במסגרת ההחלטה נקבע כי Mobius (ה-Processor) החזיקה עותק של נתונים על יותר מ-46 מיליון משתמשי Deezer גם לאחר סיום ההתקשרות החוזית בין הצדדים, וזאת בניגוד להתחייבותה למחוק את המידע עם תום ההתקשרות. אף שהחברה טענה כי העתקת הנתונים בוצעה על ידי שלושה מעובדיה וללא ידיעתה, נקבע כי האחריות למעשי העובדים מוטלת על החברה, במיוחד לאור העובדה שהנתונים אוחסנו בסביבת פיתוח (non-production) של החברה לצד נתוני לקוחות אחרים. אחסון בלתי חוקי זה יצר סיכון אבטחה ממשי למידע האישי של המשתמשים, והיווה שיקול מרכזי בקביעת חומרת הקנס.
מעבר לסוגיית השמירה הבלתי חוקית, נמצא כי Mobius עשתה שימוש בנתוני המשתמשים ללא הוראה מפורשת מבעל השליטה בניגוד להסכם עיבוד הנתונים (DPA), במטרה לשפר את ביצועי פלטפורמת הפרסום העצמית שלה. הרשות דחתה את הפרשנות לפיה ניתן לראות בשיפור השירותים חלק אינטגרלי מהחוזה, והדגישה כי בהיעדר סעיף חוזי מפורש, כל עיבוד לצרכיו העצמיים של המעבד מהווה הפרה חמורה. לכך התווסף כשל מנהלי משמעותי, שכן נמצא כי החברה לא ניהלה פנקס של פעילויות עיבוד – כלי תיעוד המהווה חובה מפורשת גם עבור מעבדי מידע הפועלים מטעם צדדים שלישיים.
ייחודה המרכזי של ההחלטה טמון בדגש החריג והברור שניתן לאחריותו העצמאית והישירה של מעבד מידע (Processor) שמקום מושבו מחוץ לגבולות האיחוד האירופי, מכח תחולה אקסטריטוריאלית של הדין. הרשות הבהירה כי מעבד מידע אינו גורם טכני בלבד, אלא נושא באחריות משפטית מלאה לניהול המידע המצוי ברשותו ולשמירה על הוראות הדין, גם כאשר אינו בעל השליטה במידע ופועל עבור גורם אחר. בתוך כך, ביססה הרשות את סמכות האכיפה האקסטריטוריאלית נגד Mobius, אף שאינה פועלת מהאיחוד האירופי, בקביעה כי עיבוד הנתונים עבור Deezer עלה כדי 'ניטור התנהגות' של יחידים בתחומי האיחוד. משכך, ובהיעדר נוכחות קבועה של החברה באירופה אשר הייתה מפעילה את מנגנון ה-One Stop Shop בין הרשויות, נקבע כי ל-CNIL סמכות ישירה לאכוף את הדין האירופי על פעילות החברה.
החלטה זו מהווה תזכורת מהדהדת עבור ארגונים שאינם פועלים באופן ישיר בתחומי האיחוד, אך פועלים כמעבדי מידע, ומבהירה כי תם העידן שבו ניתן היה להסתתר מאחורי "גבו הרחב" של בעל השליטה. רשויות באירופה עשויות להגיע לכל חברה שעליה חלות תקנות ה-GDPR גם אם אינה מבוססת בגבולות האיחוד. בהתאם לכך, הסיכון למעבדי מידע אינו נובע רק מתניות חוזיות שבעלי שליטה עשויים להטיל עליהם, אלא גם מאכיפה ישירה מצד רשויות הפיקוח האירופיות האוכפות את תקנות ה-GDPR. למרות שחובות המעבד קבועות בדין מזה זמן, הפרקטיקה שבה המעבד נתפס כגורם משני בשרשרת האחריות עומדת כעת למבחן המציאות. ה-CNIL הציבה רף אכיפה נחרץ של אחריות מלאה וישירה, לפיו המעבד נושא בסיכון רגולטורי עצמאי שאינו תלוי עוד בסטטוס של בעל השליטה. המסר למשק ברור: רשלנות בניהול מחזור חיי המידע תגרור סנקציות כספיות משמעותיות שיוטלו ישירות על המעבד.
