קנס עצום על מטא | צילום: רויטרס
הקנס שהוטל על מטא הוא אות אזהרה לחברות הישראליות
מטא נקנסה לאחר שבית המשפט פסל את ההסכם מ־2016 שאיפשר לחברות אמריקאיות להעביר מידע על תושבי האיחוד האירופי לארה"ב. אם ישראל לא תפעל בהקדם, חברות הייטק ישראליות יתמודדו עם מצב דומה והשלכות קשות יותר
הקנס העצום של 1.2 מיליארד יורו שחטפה אתמול מטא באיחוד האירופי, בעקבות העברת מידע של משתמשי פייסבוק מהאיחוד לארה"ב, הוא תקדימי בהיקפו בכל הנוגע להפרות של חוקי הפרטיות של האיחוד (GDPR), ושולח מסר ברור לה ולפלטפורמות טכנולוגיות נוספות עד כמה רחוק מוכן האיחוד ללכת בהגנה על המידע של אזרחיו. יותר מכך, הקנס שהוטל אתמול הוא גם איתות אזהרה ברור לישראל ולתעשיית ההייטק שלה שעלולה למצוא את עצמה במעמד מוקצה דומה לזה של מטא בהבדל מרכזי אחד: לחברות המקומיות יהיה הרבה יותר קשה לספוג קנסות עתק.
הקנס שהוטל על מטא הוכרז על ידי נציבות הגנת המידע של אירלנד, אך נקבע על ידי נציבות הגנת המידע האירופאית (EDPB) והוא מייצג פגיעה בפרטיות של כלל תושבי האיחוד. ברקע להטלת הקנס, עומדת החלטה מ־2020 של בית המשפט האירופי לצדק, הערכאה המשפטית הגבוהה ביותר באיחוד, ששוללת את ההסכם שנחתם ב־2016 שאיפשר לחברות אמריקאיות להעביר מידע מהאיחוד האירופי לארה"ב. הסכם נפסל בשל חוסר תאימות לחוקי הפרטיות של האיחוד, בין השאר מכיוון שלא מנע מסוכנויות ריגול אמריקאיות לגשת למידע.
חרף החלטה זו, פייסבוק המשיכה להעביר מידע לארה"ב וכתוצאה החליטה הנציבות באירלנד לקנוס את החברה. לצד הקנס הוטל על מטא איסור לעצור את העברת המידע שנאסף על משתמשי פייסבוק באיחוד האירופי לארה"ב. ההחלטה לא נוגעת לפלטפורמות האחרות של מטא — אינסטגרם, ווטסאפ ומסנג'ר.
למטא הוקצבו חמישה חודשים ליישם את ההחלטה, והחברה גם הודיע שהיא צפויה לערער עליה ועל הקנס מה שצפוי לדחות את מועד יישומה בחודשים אם לא בשנים. בנוסף, ארה"ב והאיחוד מנהלים מגעים על הסכם שיתוף מידע חדש, וכבר הגיעו לסיכומים ראשוניים בסוף שנה שעברה. חתימת הסכם שכזה יכולה להפוך את החלטת הנציבות ללא רלוונטית.
גם אם ההחלטה והקנס יבוטלו לאור הסכם העברת מידע חדש, עצם הטלתו לאור המצב הנוכחי הינה דוגמה לנחישות של האיחוד להגן על המידע של תושבים. "הקנס חסר התקדים והוא איתות חזק לארגונים שלהפרות רציניות יש משמעויות מרחיקות לכת", אמרה יו"רית ה־EDPB, אנדראה ג'לינק, בהודעה לעיתונות. .
בימים אלו, מנהלת ישראל מו"מ עם האיחוד האירופי על חידוש התאימות של ישראל לחקיקת הפרטיות של האיחוד. תאימות זו קובעת שחוקי הפרטיות בישראל נותנים הגנה מספקת, ומאפשרת להעביר מידע על תושבי האיחוד לישראל, לעבד אותו, לחלץ ממנו תובנות ועוד כמעט כאילו היתה ישראל אחת ממדינות האיחוד האירופי
אם לא יאושר חידוש התאימות, חברות ישראליות יהיו למעשה במצב זהה לזה של מטא, רק יסבלו מהשלכות חמורות יותר. ראשית, יהיו פחות חסמים מעשיים שימנעו מהאיחוד להטיל על חברות אלו קנסות ענק ולהפעיל נגדן סנקציות אחרות - אין להן את הכוח, המערך הלוביסטי או בסיס המשתמשים שהופך את מטא לגורם שלא מתעסקים אתו כלאחר יד.
בנוסף, לקנס על פעילות סטארט־אפים תהיה השפעה עמוקה יותר. הקנס אמנם יכול להגיע רק ל־10% מההכנסות העולמיות של החברה הנקנסת, אבל מטא היא חברה מבוססת שלרוב מייצרת רווחים משמעותיים. בעבור סטארט־אפ שנאבק על כל סנט של שנכנס, קנס של 10% יכול להיות מכת מוות.
"בלי היכולת להעביר מידע בין גבולות, יש סיכון שהאינטרנט יחולק למתחמים לאומיים ואזוריים, מה שיגביל את הכלכלה העולמית וישאיר אזרחים במדינות שונות בלי יכולת לגשת לרבים מהשירותים המשותפים שעליהם אנחנו מסתמכים", אמרו נשיא מטא לסוגיות גלובליות, ניק קלג, והיועצת המשפטית של מטא, ג'ניפר ניוסטיד, בהודעה משותפת. ההודעה התעלמה, בצורה נוחה מאוד שהאיחוד לא מתנגד להעברת מידע בין מדינות, אלא לכך שמידע על תושביו שמגיע לארה"ב הופך למזון בעבור ארגוני הביון במדינה.
הקנס הוא הגבוה ביותר שהוטל על חברה בעקבות הפרה של GDPR, אבל לא היחיד. ביולי 2021 נקנסה אמזון ב־746 מיליון יורו, לאור הליך לא תקין שבו קיבלה הסכמת משתמשים להציג להם פרסומות ממוקדות. מטא עצמה זכתה לארבעה קנסות קודמים בסכומים שבין 225 מיליון ל־405 מיליון יורו, בין השאר על פגיעה בפרטיות ילדים באינסטגרם ודליפת מידע מפייסבוק.
אם אפשר לזקוף את הקנס חסר התקדים לזכותו של אדם אחד, הקרדיט מגיע לפעיל הפרטיות האוסטרי מקס שרמס. ב־2020, היה זה שרמס שעתר לבית המשפט באיחוד האירופי נגד הסכם העברת מידע בין האיחוד לארה"ב. קבלת עתירה זו היא שהביאה למצוקה הנוכחית של מטא. עתה מעריך שרמס שרק שינויי עומק יאפשרו למטא להעביר מידע מהאיחוד לארה"ב.
"ישראל תיפגע ישירות מן ההחלטה ומן הקנס, הן בהקשר של הירידה בסיכוי לקבלת תאימות מול הדין האירופי, הן בקנסות מפחידים שעשויים להיות מושתים על חברות שיעבירו מידע לישראל, והן בגלל המגבלה על העברת מידע מישראל לארצות הברית שעשויה להיווצר בגלל הדרישה האירופית", אמרה ל"כלכליסט" ד"ר תהילה שוורץ אלטשולר מהמכון הישראלי לדמוקרטיה. "מדובר בקנס שנוגע לכך שרשויות הביטחון האמריקניות מחטטות במידע אישי על תושבי האיחוד האירופי המועבר לארה"ב, באופן שלא מאפשר להבטיח רמת הגנה המקבילה לזו של GDPR. בישראל, בחוק הגנת הפרטיות קיים פטור גורף לרשויות הביטחון וחריג נוסף קיים גם בחוק השב"כ. הפטורים האלה אינם עומדים בדרישות האיחוד האירופי. לכן, לכאורה, כבר לפי פסק הדין שניתן ב־2020 ושבגללו ניתן הקנס, ישראל לא עומדת בדרישות האיחוד האירופי והיא תאבד את מעמד התאימות של דיני הגנת המידע שלה מול האיחוד".
הבט נוסף שיכול להקשות על חידוש התאימות הוא המהפכה המשפטית, שעדיין נמצאת על הפרק גם אם באש קטנה מאוד. "הבסיס להחלטות על תאימות הוא גם עצמאות מערכת המשפט, והאופן שבו ממשלה יכולה לעשות שימוש במידע", אמר פרופ' ערן טוך, ראש התוכנית לתואר ראשון בהנדסת תעשייה וניהול בפקולטה להנדסה של אוניברסיטת תל אביב. "ההחלטה הקודמת על תאימות מ־2011 כוללת התייחסות לכך שלמרות שאין לישראל חוקה כתובה, יש חוקי יסוד ושימוש נרחב בתקדימים במערכת המשפט. הרפורמה מאיימת על הבסיס הזה, על היכולת של בית המשפט להשתמש בתקדימים ובמנגון כמו עילת הסבירות כדי לפקח על הממשלה בישראל. מדינות כמו רוסיה או טורקיה לא קיבלו תאימות בין השאר בגלל חוסר העצמאות של מערכת המשפט שלהן.
"אם אין תאימות, כל חברה שמקבלת מידע מחברה אירופאית צריכה להשקיע המון משאבים כדי לעמוד בדרישות הרגולציה. הרבה חברות לא יוכלו לשלם את העלויות האלו, והרבה חברות אירופאיות לא ירצו לעשות אתן עסקים. אמנון שעשוע דיבר על הסכנות שבאיבוד התאימות, ואמר שאם האיחוד יראה שיש פגיעה בדמוקרטיה, חברה כמו מובילאיי לא תוכל להחזיק בישראל מידע של משתמשים, דבר שיוביל למצב בו החברה תצא בהדרגה מישראל. המועצה להגנת הפרטיות במשרד המשפטים העלתה במכתב רשמי את הבעיות של נושא התאימות מול שר המשפטים יריב לוין, אך השר פשוט התעלם מהמכתב".