קרדיט: יח"צ
סוף עידן ה-Privacy Shield – קריאת השכמה דחופה למחוקק הישראלי
בשבוע שעבר בית המשפט האירופי לצדק ביטל, בתביעה תקדימית בעלת השלכות מרחיקות לכת על חברות רבות, את ההכרה במנגנון "מגן הפרטיות" (Shield Privacy) אשר היווה מסגרת חוקית להעברת מידע אישי מאירופה לחברות אמריקאיות.
מוגש מטעם DUN'S 100
התקנות האירופאיות להגנה על מידע אישי, ה-GDPR, קובעות מנגנונים שונים המתירים להעביר מידע אישי אל מחוץ לגבולות האיחוד האירופי. אחד המנגנונים מאפשר להעביר מידע כאמור למדינות אשר הוכרו על ידי האיחוד ככאלו המבטיחות מידה מספקת של הגנה על מידע אישי. כך, בשנת 2011 ישראל הוכרה כמדינה אשר מעניקה הגנה מספקת למידע אישי, ומאז הותרה העברת מידע אישי מאירופה לישראל ללא מגבלות. מאחר ובארה"ב אין חקיקה פדרלית רחבה המגינה בצורה מספקת על מידע אישי, ארה"ב לא הוכרה על ידי האיחוד האירופי כמדינה המעניקה הגנה מספקת למידע אישי. משכך, ארגונים אשר ביקשו להעביר מידע אישי מאירופה לארה"ב נדרשו לעשות שימוש במנגנונים חלופיים שמציע הדין האירופי להעברת מידע אישי.
אחד מן ההסדרים הללו, אשר נעשה בו שימוש נרחב על ידי כ-5,400 חברות, לרבות על ידי פייסבוק, גוגל וטוויטר, הינו הסדר "מגן הפרטיות" (Shield Privacy) שהוקם תחת הסכם שנחתם בשנת 2016 בין אירופה לארה"ב, ואשר היווה מסגרת חוקית להעברת מידע אישי מאירופה לחברות אמריקאיות. הסדר זה אפשר לחברות אמריקאיות לקחת על עצמן באופן וולונטרי התחייבויות מסוימות לעניין השימוש במידע אישי אודות אירופאים או שמקורו באירופה, ובכך להבטיח את ההגנה על מידע זה ולאפשר העברתו לתחומי ארה"ב. אולם, בהחלטה שניתנה בשבוע שעבר, קבע בית המשפט האירופאי לצדק, בתביעה תקדימית בעלת השלכות מרחיקות לכת על חברות רבות, כי העברת מידע מאירופה לחברות אמריקאיות מסוימות אשר כפופות במקביל גם לחוק האמריקני אשר מחייב אותן להעניק גישה למידע שהן מחזיקות לסוכנויות המודיעין ורשויות האכיפה בארה"ב מטעמי שמירה על הביטחון הלאומי מאפשר לרשויות האמריקאיות לגשת למידע אודות אירופאים ולעקוב אחריהם ומשכך מהווה סיכון להגנה על זכויותיהם. לפיכך, בית המשפט קבע כי מנגנון ה- Shield Privacy אינו חוקי ולמעשה ביטל אותו.
בית המשפט הבהיר כי גם בעת שימוש בהסדרים האחרים שנותרו בתוקפן, למשל, הסדר תניות חוזיות אחידות של נציבות האיחוד האירופי, המכונה בשמו Standard Contractual Clauses, יש לבחון את חוקיות העברת המידע האישי על בסיס "כל מקרה לגופו". משכך, מעביר המידע אל מחוץ לאירופה נדרש כעת לבחון האם מקבל המידע כפוף לרגולציה המחייבת אותו לאפשר לרשויות במדינתו לגשת למידע אודות אירופאים לצרכי מעקב (כך למשל חוק הביון בארה"ב לא חל על כל חברה בארה"ב אלא רק על חברות מסקטורים מסוימים) ולנקוט במידת הצורך בצעדים נוספים על מנת להגן על המידע (למשל, באמצעות הוספת התחייבות מצד מקבל המידע לעשות שימוש בכל האמצעים המשפטיים העומדים לרשותו על מנת שלא לאפשר לרשויות לגשת למידע זה). דרישה זו תטיל נטל כבד מאוד וכמעט בלתי אפשרי על חברות, ונראה כי החלטת בית המשפט כאמור תיצור חוסר וודאות ביחס לחוקיות העברת מידע טרנס-אטלנטית שנעשה בה שימוש נרחב מאוד בעידן הטכנולוגי כיום.
מהזווית הישראלית, יודגש כי חברות ישראליות אשר מעבדות מידע אירופאי בארה"ב ואשר נסמכו על מנגנון ה-Privacy Shield, נדרשות כעת לבחון מחדש ובאופן מיידי את מנגנוני העברת המידע שיושמו על ידם. בכלל כך, יש לבחון האם ניתן לשמור את המידע האישי באירופה וככל שהדבר אינו אפשרי אזי יש לבצע תיעוד מקיף של סוגי המידע המועברים מאירופה לארה"ב וככל שההעברה בוצעה על בסיס מנגנון ה- Privacy Shieldיש לאמץ מנגנון חלופי המתיר העברה כאמור, וככל שניתן יש להצפין את המידע כאמור.
כמו-כן, בעקבות פסק הדין ונכון להיום, המנגנון המאפשר העברת מידע אישי למדינות אשר הוכרו על ידי הנציבות האירופית ככאלו אשר מעניקות רמת הגנה מספקת למידע אישי, הוא המנגנון הראוי והטוב ביותר להעברת מידע מחוץ לאירופה. משכך, החלטת בית המשפט שניתנה בשבוע שעבר צריכה להוות קריאת השכמה למחוקק הישראלי והרשות להגנת הפרטיות בישראל, לפיה המחוקקים ובתי המשפט באיחוד האירופי לא יהססו לבטל את ההכרה בישראל כמדינה המעניקה הגנה מספקת למידע אישי. לפיכך, על מנת לוודא שהנציבות האירופית לא תבטל את ההכרה בישראל כאמור, אין מנוס מתיקון חוק הגנת הפרטיות הישראלי המיושן על מנת שיעמוד בסטנדרטים אירופאים (לרבות ביחס לסמכויות של גופי מודיעין ואכיפה ישראלים לגשת למידע על אירופאים), וזאת ללא כל דיחוי, על מנת להבטיח כי חברות ישראליות ובפרט חברות בתחום ההייטק יוכלו להמשיך לקבל מידע אישי מאירופה.
נכתב על ידי עו"ד אלה טבת, שותפה ומנהלת את מחלקת קניין רוחני ופרטיות במשרד GKH ועו"ד רועי לאור, עו"ד במחלקה