האם אזרחי האיחוד האירופי צריכים לחשוש מהמידע המועבר לארה"ב?

בתקופה הדיגיטאלית בה אנו חיים, אין צורך להכביר מילים על חשיבות ההגנה על מידע אישי במאגרי מידע. כדי להגן על מידע זה, נחקקו חוקים הקובעים סטנדרטים מחייבים לשמירה ואבטחת המידע. אלא שבכפר הגלובאלי בו אנו חיים, מידע אישי עשוי, ואף צפוי, לנדוד לטריטוריות אחרות מחוץ ל"הישג היד" של מערכות החוק של המדינה ממנה יצא המידע המקורי.

לדוגמה, חברה צרפתית העושה במהלך פעילותה שימוש במידע אישי של אזרחים צרפתים, נדרשת לשמור ולאבטח את המידע בהתאם לחקיקה בצרפת ובאיחוד האירופי. אלא שבמקביל, אותה חברה יכולה לקבל שירותי מחשוב ענן מחברה אמריקאית, ולהעביר את המידע לשרתים בקליפורניה, שם חלים עליהם חוקי ארה"ב.

יש הבדלים משמעותיים בגישות בין האיחוד האירופי לארה"ב בנושא הגנת הפרטיות. ניתן לתמצת אותם בכך שבאיחוד האירופי רגישים מאוד לזכויות הפרט ושמירת המידע האישי, בעוד ארה"ב חיה עדיין תחת השלכות מתקפת 11/9 וחקיקת "הומלנד סקיוריטי", הפוגעת באופן משמעותי בזכויות הפרט.

בהמשך לפערים אלו קבע ביה"ד של האיחוד האירופי באוקטובר השנה, כי הסדר ה- Safe Harbor - הסדר שבהסתמך עליו אפשר היה להעביר מידע אישי לגבי אזרחים של מדינות האיחוד לגופים בארה"ב - הינו הסדר חסר כל תוקף. מכאן שהחקיקה האירופית הנוכחית אוסרת להעביר מידע אישי למדינה מחוץ לאיחוד, שאינה מבטיחה רמה נאותה של הגנה על המידע, המקבילה לזו המובטחת במדינות האיחוד. ביה"ד נימק החלטתו בכך שהרשויות בארה"ב אינן כפופות להסדר, והגופים האמריקאים שבהסדר עדיין מחויבים להיענות לדרישת הרשויות שם לחשיפת מידע, לשם שמירה על הביטחון הלאומי. מעבר לכך, הרשויות האמריקאיות יכולות לקבל גישה למידע, לעבד ולאגור אותו בצורה שאינה עולה בקנה אחד עם החקיקה האירופאית, בשעה שלאזרחים האירופים לא מוקנית זכות הגישה למידע והאפשרות לתקנו או למוחקו.

ביטול ההסדר האמור מהווה בעיה לתאגידים בינלאומיים רבים, שהעבירו לארה"ב מידע אישי לגבי אזרחים אירופאים, כמו גם לחברות אירופאיות שהעבירו מידע כזה לאחסון בארה"ב, בהסתמך על ההסדר. מעבר לכך, החלטה זו משפיעה גם על העברת מידע אישי מישראל לארה"ב, שכן כמו באיחוד האירופי, התקנות בישראל אוסרות על העברת מידע ממאגר מידע בישראל לחו"ל, אלא אם החוק במדינה אליה מועבר המידע מבטיח רמת הגנה שאינה פחותה מרמת ההגנה הקבועה בישראל.

בנסיון לפתור את המצב הבעייתי שנוצר, הרשויות בארה"ב ובאיחוד האירופי נמצאות כיום במגעים לגבי הסדר חדש, שיעמוד בדרישות בית הדין האירופי. בנאום של נציבת השוק המשותף למשפט בנובמבר האחרון, הביעה הנציבה ביטחון כי תתקבל הסכמה לגבי הסדר חדש בינואר 2016. בנאום שניתן ימים לאחר המתקפה של דאעש בפריז, ציינה הנציבה כי כאשר מדובר בהתערבות רשויות, במיוחד במטרה לאכוף את החוק ולשמור על הביטחון הלאומי, החשיפה למידע חייבת להיות כפופה לתנאים ולמגבלות ברורים.

עוד צינה הנציבה, כי לשם מלחמה בטרור, גישה ממוקדת למידע אכן יכולה להפוך לחיונית וקריטית, אך יש לוודא שקיימות מספיק הגנות ומגבלות על מנת למנוע חשיפה או שימוש במידע, על בסיס כוללני, ויש לוודא שקיימת ביקורת שיפוטית הולמת.

נותר להמתין ולראות כיצד יראה ההסדר המתגבש וכיצד יאזן בין הדרישה האירופית להגנה על מידע אישי מפני חשיפה, לבין ההבנה שיכולתם של גופי אכיפת החוק לקבל גישה למידע עשויה להיות קריטית לשם שמירה על הביטחון.

הכותב הינו שותף במשרד יעקב סלומון ליפשיץ ושות'