הסדר ה-Privacy Shield המאפשר להעביר מידע אישי מאירופה לעיבוד בארצות-הברית אינו חוקי ודינו להיפסל – כך פסק לפני ימים אחדים בית המשפט הגבוה באיחוד האירופי בעניין (C‑311/18 Data Protection Commissioner v. Facebook Ireland Ltd (16.7.2020 בה בעת, הכשיר פסק הדין מנגנון אחר להעברת מידע אישי ליעדים חוץ-אירופאים – ההוראות החוזיות האחידות (Standard Contract Clauses). זו פעם שניה שהאיחוד האירופי מבטל הסדרים להעברת מידע עם ארצות-הברית בשל דיני הביטחון הלאומי שם.
בנימוקי פסק הדין טמון גם פוטנציאל ממשי לביטול מעמדה המיוחד של ישראל כמדינה שהאיחוד האירופי מכיר בה מאז 2011 כיעד מורשה להעברת מידע אישי. זאת, שעה שמעמדה זה של ישראל עומד לבחינה מחודשת על-ידי האיחוד האירופי. ביטול המעמד המיוחד עלול לפגוע במישרין בכל חברה ישראלית המטפלת במידע אישי של נושאי מידע מהאיחוד האירופי.
אודות 'מגן הפרטיות'
התקנות הכלליות להגנת מידע באיחוד האירופי (General Data Protection Regulation – GDPR) קובעות כנקודת מוצא שאין להעביר מידע אישי מהאיחוד האירופי למדינה שדיני הפרטיות בה אינם מספקים הגנה דומה לאלה האירופאים. העברת מידע אישי למדינה שדיניה לא מעניקים רמה נאותה של הגנה מותרת אך ורק אם הגורם האירופי המעביר את המידע מיישם מנגנוני הגנה נאותים, למשל באמצעות החתמת מקבל המידע על הוראות חוזיות אחידות להגנת מידע בנוסח שקבעה נציבות האיחוד האירופי.
הגנת הפרטיות בארצות-הברית שונה מהותית מזו שבאיחוד האירופי ונחשבת פחותה בהיקפה וברמתה. ה-GDPR יצר אפוא מכשלה כבדה מאד על העברת מידע בין שתי היבשות. כדי להתגבר על הבעיה גיבשו ממשלת ארצות-הברית ונציבות האיחוד האירופי הסדר מיוחד בשנת 2000 – ולאחר שהסדר זה בוטל בפסיקת ה- CJEU ב-2015 – גיבשו הסדר חדש ב-2016.
ההסדר החדש, 'מגן הפרטיות', אפשר לחברות אמריקאיות להתחייב באופן וולונטרי לנוהגי פרטיות מחמירים יותר מאלו הנדרשים לפי הדין בארצות-הברית, ולקבל בכך את ההיתר הנדרש לפי דיני הגנת המידע האירופאים לצורך עיבוד מידע בארצות-הברית. מאז השקת ההסדר, אלפי חברות אמריקאיות הוסמכו לפעול במסגרתו ובהן חברות הטכנולוגיה הגדולות בעולם – אמאזון, גוגל, פייסבוק, מייקרוסופט ואפל.
פסילת 'מגן הפרטיות'
פסק הדין הפוסל את 'מגן הפרטיות' חוזר על כמה מהנימוקים שהביאו לפסילת ה-Safe Harbor ב-2015. בית המשפט התייחס לחקיקה בארצות-הברית המאפשרת לסוכנויות הביטחון והמודיעין האמריקאיות לאסוף ולנטר באופן גורף ונרחב מידע אישי על משתמשים ברשת. פסק הדין קבע שהחקיקה נעדרת בלמים ואיזונים שיבטיחו את מידתיות הפגיעה בפרטיות, באופן התואם לדינים האירופאים.
בית המשפט מצא גם כי מנגנון נציב התלונות על סוכנויות הביטחון והמודיעין האמריקאיות, שהוקם במסגרת 'מגן הפרטיות', לא מעניק לנושאי מידע אירופאים זכות תביעה בבית משפט ברמה התואמת לדין באירופה. אין בטוחות לעצמאות הנציב מהרשות המבצעת ולהכפפת סוכנויות הביטחון והמודיעין האמריקאיות להחלטותיו. מטעמים אלה, פסל בית המשפט את 'מגן הפרטיות'.
הכשרה מסויגת של ההוראות החוזיות האחידות
במרוצת השנים אישרה נציבות האיחוד האירופי הוראות חוזיות אחידות המיועדות לחתימה בין גורם אירופאי המעביר מידע אישי לבין הגורם החוץ-אירופאי שמקבל ממנו את המידע. בחתימתו על ההוראות החוזיות, מתחייב מקבל המידע בשורה של התחייבויות שנועדו להעניק למידע רמת הגנה התואמת לזו שבדיני האיחוד האירופי.
בהחלטתו מצא בית המשפט האירופי כי בעוד שאין סיבה לפסילה עקרונית של ההוראות החוזיות האחידות, חובתו של הגורם האירופי המעביר את המידע לבחון אם לנוכח מכלול הנסיבות שחלות על מקבל המידע הוא צפוי להיות מסוגל לעמוד באותן הוראות. בית המשפט הבהיר כי על הגורם האירופי המעביר את המידע לשקול עיבוי של ההוראות החוזיות האחידות בדרישות חוזיות נוספות שנועדו להגביר את רמת ההגנה שמוענקת למידע נוכח מכלול הנסיבות שחלות על מקבל המידע.
פסק הדין מדגיש עוד כי בהתאם לנסיבותיו של כל מקרה של העברת מידע מחוץ לאירופה המבוססת על ההוראות החוזיות האחידות, חובתן של רשויות הגנת המידע הלאומיות של מדינות האיחוד האירופי להורות על השעיית העברת המידע אם הן סבורות שמקבל המידע לא מסוגל לעמוד בהתחייבויותיו להגנה על המידע.
התוצאה היא שלמנגנון החלופי להעברת מידע מהאיחוד האירופי למדינות אחרות נוספו סייגים מכבידים המקשים על הוודאות שגלומה בו. סייגים אלה מאירים היטב את העובדה שדרך המלך באיחוד – הכרה בתאימותה של מדינה – היא העדיפה.
ההוראות החוזיות האחידות – השלכות אפשריות על חברות ישראליות
חברות ישראליות רבות מסתייעות בספקי שירותים אמריקאיים, לרבות ספקי שירותי ענן, לצורך עיבוד מידע אישי של נושאי מידע אירופאים. כדי להכשיר קבלת מידע מאירופה, ספקים אמריקאים רבים נעזרים בהסמכתם להסדר 'מגן הפרטיות' שנפסל כעת. אולם חלק מהספקים, כמו AWS, גוגל ומיקרוסופט, כבר הטמיעו לפני שנים גם את ההוראות החוזיות האחידות לתוך נספחי הגנת המידע שלהם ונערכו מראש לאפשרות של פסילת 'מגן הפרטיות'.
לנוכח ההבהרה בפסק הדין על הצורך לשקול עיבוי של ההוראות החוזיות האחידות בדרישות חוזיות נוספות להגברת רמת ההגנה למידע, יתכן שספקים אמריקאים יציעו בעתיד הקרוב לעבות את ההוראות החוזיות האחידות שלהם. אולם יש לזכור כי ההוראות החוזיות לא נועדו להכשרת העברת מידע אישי של נושאי מידע אירופאים מגורם לא-אירופי אחד (כגון חברות ישראליות הפועלות בשוק האירופאי ומעבדות מידע על יחידים שם והן כפופות אפוא ל-GDPR) לגורם לא-אירופי אחר (כגון ספקי שירותים אמריקאים כדוגמת אמאזון ואחרים). אין אפוא בטחון שההוראות החוזיות האחידות יכולות להכשיר העברה כזו לפי ה-GDPR.
פסילת מגן הפרטיות – השלכות אפשריות על ישראל וחברות ישראליות
ה-GDPR מחייב את נציבות האיחוד האירופי לבחון מחדש באופן תקופתי את ההכרה במדינות מסוימות כנאותות להעברה חופשית של מידע אישי אליהן. ב-2011 נציבות האיחוד האירופי הכירה בישראל כמדינה בעלת רמה נאותה של דיני הגנת פרטיות שרשאית לקבל מידע אישי על נושאי מידע באיחוד האירופי. מהכרה זו נהנה המשק הישראלי על שלל פעילויותיו.
במהלך 2019 נציבות האיחוד האירופי ערכה בחינה מחודשת של הכרת הנאותות של ישראל וממצאיה צפויים להתפרסם השנה. בה בעת, התפרצות מגפת הקורונה הביאה השנה לתודעה הציבורית בישראל כי שירות הבטחון הכללי (שב"כ) מחזיק במאגר מידע עצום הכולל נתוני תקשורת ונתוני מעקב אחרים על אודות כל אדם בישראל. מאגר המידע, שהיקפו היה נושא לתחקיר עיתונאי שפורסם השנה, הוקם ככל הנראה מכוח חוק השב"כ וחוק התקשורת (בזק ושידורים).
מתברר אפוא כי גם בישראל, כמו בארה"ב, קיימת חקיקה המאפשרת לסוכנויות הביטחון והמודיעין לאסוף ולנטר באופן גורף ונרחב מידע אישי על אודות כל אדם הנמצא בישראל. בנוסף, בעצם הימים האלה פועלת הכנסת כדי להרחיב את השימוש המותר במאגר השב"כ מעבר לתחומי הביטחון אל תחום בריאות הציבור והמאבק במגפת הקורונה. כאמור, בית המשפט האירופי קבע כבר פעמיים בחמש השנים האחרונות שחקיקה כזו – הנעדרת מידתיות, בלמים ואיזונים – מהווה עילה לפסילת הסדר העברת המידע לארה"ב. מכאן שישנה אפשרות סבירה כי הבחינה המחודשת של נציבות האיחוד האירופי של החלטת ההכרה בישראל תוביל לשלילת ההכרה מטעמים דומים.
אם ההכרה האירופית בישראל תישלל באופן זה, אלפי ארגונים ישראלים שכיום מעבדים מידע אישי של נושאי מידע מהאיחוד האירופי לא יוכלו לעשות זאת מבלי שיחתמו על ההוראות החוזיות האחידות עם הגורם האירופי שמעביר להם את המידע, ובשים לב לקשיים הכבדים שתיארנו קודם לכן. בין הארגונים הללו – מוסדות פיננסים, חברות רפואה המקיימות ניסויים קליניים באירופה, ספקי שירותים לאירופה בתחום כדוגמת איתור הונאות מקוון, ספקי תיירות הפונים למבקרים מהאיחוד האירופי, אוניברסיטאות ומוסדות מחקר המקיימים שיתוף פעולה עם מקביליהם באיחוד, ועוד.
מטעמים אלה, אנו ממליצים לארגונים ישראלים המעבדים מידע על נושאי מידע אירופאים להיערך לאפשרות שבמהלך השנה הקרובה תישלל ההכרה האירופית בנאותות דיני הגנת הפרטיות בישראל. לפרטים, פנו אלינו.