ביום חמישי האחרון (16.7.2020) התבשרנו כי בית הדין לצדק של האיחוד האירופי (CJEU) פסל את הסדר מגן הפרטיות (ה"Privacy Shield") שבין הנציבות האירופית לבין ארה"ב, לאחר שמצא כי הבלמים והאיזונים הנהוגים כיום בארה"ב אינם מספקים הגנה ראויה כנגד כוחן של רשויות המדינה והביטחון בארה"ב לנטר ולעבד מידע אישי בתחומי המדינה[1]. פסיקה זו מכה הדים, בארה"ב, באירופה ובעולם כולו, נוכח השלכותיה על העברת מידע אישי מאירופה (ולגבי אזרחים ותושבים אירופאים) לארה"ב. בהתחשב בעובדה שמספר עצום של שחקנים (החל מחברת ענק כמו אמזון, גוגל ופייסבוק וכלה באחרון מפתחי האפליקציות) מבסס את פעילותו (ואת הכנסותיו) על עיבוד מידע אישי, שחלק ניכר ממנו מגיע מאירופה, ובכך שהמדובר בפעילות כספית בשווי של 7.1 טריליון דולר (!)[2], לא ניתן להגזים בהשפעת צעד זה.
מהו ה-Privacy Shield ?
ה-Privacy Shield, שאומץ בשנת 2016[3], נועד לאפשר זרימה חופשית של מידע פרטי של אזרחים אירופאים לחברות הפועלות בארה"ב. הסדר זה נועד להחליף את הסדר ה- Safe Harbor שראשיתו בשנת 2000, ואשר נפסל בפסק הדין קודם של ה – CJEU משנת 2015 (ראוי לציין כי אותו עותר שעל בסיס עתירתו נפסל הסדר ה- Safe Harbor הוא זה שעתירתו גרמה כעת לביטול ה – Privacy Shield !)[4].
הסדר ה-Privacy Shield קבע כללי מסגרת, אשר בשילוב עם מספר הסכמות פוליטיות – התחייבות בכתב של ארה"ב להגביל את הגישה של רשויות הביטחון הלאומי למידע אישי; סמכויות פיקוח-במשותף של הנציבות האירופית על אכיפת סטנדרט הגנת הפרטיות בארה"ב ועל תאימותה להסדר; סעדים וזכויות תביעה של אזרחים אירופאים על כל שימוש לרעה במידע האישי שלהם, גם בארה"ב – איפשרו לחברות אמריקניות לאחסן ו/או לעשות שימוש חוקי במידע פרטי של אזרחי האיחוד האירופי, ולתאגידים אירופאים, למסור מידע שכזה במסגרת עסקית ומסחרית.
מה הלאה
הדיו הדיגיטלית טרם יבשה מעל פסק הדין של ה- CJEU. אולם כבר עתה חלק ניכר מרשויות הגנת המידע של המדינות החברות באיחוד האירופי מיהרו להוציא הודעות באשר ליישומו של פסק הדין.
הפתרון המיידי והמובן מאליו הוא העתקת פעילות שמירת המידע האירופאי ועיבודו אל תוך אירופה. סביר מאד להניח כי ברגעים אלה ממש מתקיימת פעילות ענפה של העברה ו/או התקנה של חוות שרתים באירופה – על מנת לענות לביקוש העצום המסתמן.
במקביל, אין ספק כי הממשל האמריקאי, בעצה אחת עם הנציבות האירופית, ינסה לגבש את הדור השלישי של הסדרי העברת המידע, נוכח האינטרס המובהק של כל הצדדים בקיומו.
בנוסף, רבים מהשחקנים המשמעותיים מנסים למצוא, לפחות לעת עתה, פתרון ונחמה בביסוס העברת המידע מאירופה לארה"ב על ההסדר הוולונטרי/הסכמי מכח סעיף 28 ל – GDPR וה- Standard Contractual Clauses שקבעה הנציבות האירופאית מכוחו[5]. על פניו הסדר זה לא איבד מכוחו גם לאחר פסיקת ה- CJEU. עם זאת, הואיל והדיון משפטי והרגולטורי בהשלכות פסק הדין מצוי עדיין בתחילתו, אנו מציעים לעקוב אחר ההתפתחויות בתחום זה.
הזווית הישראלית
לכאורה, חברות ישראליות הפועלות בישראל אינן מושפעות ישירות מפסק דינו של ה – CJEU: ישראל נמנית, מאז 2011, עם רשימה קצרה של מדינות שהוכרו על ידי הנציבות האירופית כמדינות המעניקות adequate level of data protection[6] למידע אישי. אי לכך, אין מניעה להמשך העברת מידע הנוגע לאזרחים ותושבים אירופאים לישראל (בכפוף, כמובן, לעמידה בדרישות הדין הישראלי והוראות ה- GDPR). אולם חברות ישראליות רבות פועלות גם בארה"ב (באמצעות חברות-בנות, חברות-אם וכד') ומשתמשות בשירותי איחסון ועיבוד בארה"ב וייתכן שיהיה עליהן לשקול מחדש פרקטיקה זו, או להסדיר בסיס משפטי חלופי לקיומה. בנוסף, ובהסתמך על נסיון העבר, קיים גם חשש סביר, כי הרשות להגנת הפרטיות תאסור מעתה על העברת מידע ממאגרי מידע ישראלים לארה"ב, משום שההיתר לעשות כן, בהסתמך על תקנה 2(8)(2) לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס"א-2001, פקע, עקב פסיקת ה – CJEU (וראו החלטת הרשות להגנת הפרטיות בעקבות פסיקת ב – CJEU מ – 2015[7]).
זאת ועוד, וחמור מכך: קיים חשש, כי במסגרת העיון מחדש/בחינה תקופתית של מעמדה של ישראל כמדינה המעניקה adequate level of data protection למידע (בחינה שהחלה ב – 2018 וצפויה להסתיים עד סוף 2020) עלולה הנציבות האירופית לשקלל את רוח פסיקת ה – CJEU מחד גיסא, ואת "חקיקת הקורונה" מאידך גיסא[8], ולמצוא כי נוכח הסמכת השב"כ לנטר נתוני תקשורת (ומידע אישי) של אזרחים ותושבים, אין להכיר עוד בישראל כמדינה המעניקה הגנה נאותה.
לסיכום
כפי שכתבנו לעיל, לא ניתן להגזים בחשיבות פסיקת ה – CJEU בכל הנוגע ל"ייצוא" מידע אישי שמקורו באירופה. לפסיקה השלכות ישירות עצומות על פעילותן של חברות אמריקאיות וכן השלכות עקיפות בלתי מבוטלות על לקוחותיהן ושותפיהן של חברות אלה, ובכלל זה, כמובן, חברות ישראליות. לא זו בלבד, "הסערה המושלמת" שיצרו משבר הקורונה וחקיקת החרום בישראל מזה, ופסיקת ה – CJEU מזה, עלולים להשפיע במישרין גם על חברות ישראליות וניזונות ממידע אישי שמקורו באירופה. בשלב זה, כל שניתן הוא לעקוב מקרוב אחרי ההתפתחויות הגלובליות, הצעדים הננקטים על ידי הרגולטורים השונים והתגובות במשק האמריקאי. אנו נמשיך כמובן לעדכן, בהתאם להתפתחויות.
[1] ר' הפרסום לעיתונות מטעם בית הדין לצדק של האיחוד האירופי מיום 16 ליולי, 2020, לגבי פסק הדין בסימוכין C-311/18, בכותרת "The Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Data Protection Shield", כאן: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en.pdf
[2] ראו דברי ה- US Secretary of Commerce: https://www.commerce.gov/news/press-releases/2020/07/us-secretary-commerce-wilbur-ross-statement-schrems-ii-ruling-and
[3] https://ec.europa.eu/commission/presscorner/detail/en/IP_16_2461
[4] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62014CJ0362
[5] ר' "Microsoft Issues Statement in Response to EU Data Transfer Laws" מיום 17 ביולי, 2020: https://www.mediapost.com/publications/article/353780/microsoft-issues-statement-in-response-to-eu-data.html
[6] https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
[7] התקנה קובעת כי "רשאי בעל מאגר מידע להעביר מידע או לאפשר העברה של מידע ממאגר מידע שלו בישראל אל מחוץ לגבולותיה" אם, בין היתר, המידע מועבר למאגר מידע במדינה "המקבלת מידע ממדינות החברות בקהיליה האירופית, לפי אותם תנאי קבלה;"
[8] ראו לעניין זה את חוות דעת הרשות להגנת הפרטיות מיום 14 ביולי, 2020: "חוות דעת הרשות להגנת הפרטיות בהתאם לחוק הסמכת שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה החדש (הוראת שעה) התש"ף-2020", https://fs.knesset.gov.il/23/Committees/23_cs_bg_576532.pdf
הכותב, עו"ד אמיר זולטי, הינו שותף במשרד ליפא מאיר ושות' וראש תחום הייטק.
*הבהרה: האמור בחוזר זה הינו מידע כללי בלבד ואין בו כדי להוות ייעוץ משפטי המחייב בחינה מעמיקה וספציפית של כל נושא לגופו.