נייר העמדה של הרשות להגנת הפרטויות בעקבות פרשת שרמס 2

במשפט אחד - עדכון לקוחות

בעקבות פסק הדין של בית המשפט האירופי לצדק בפרשת שרמס 2 – גם הרשות להגנת הפרטיות בישראל מפנימה את השינוי בכללי המשחק (ואת השפעתו על חברות ישראליות).

לפני כחודשיים וחצי נפל דבר בעולם דיני הפרטיות: בית הדין לצדק של האיחוד האירופי (CJEU) פסל את הסדר מגן הפרטיות  (ה-"Privacy Shield") שבין הנציבות האירופית לבין ארה"ב, לאחר שמצא כי הבלמים והאיזונים הנהוגים כיום בארה"ב אינם מספקים הגנה ראויה כנגד כוחן של רשויות המדינה והביטחון בארה"ב לנטר ולעבד מידע אישי בתחומי המדינה[1]. פסיקה זו שמטה את הקרקע מתחת לאוטוסטרדת המידע האישי שהתבססה על הסדר זה (אם כי בפועל העברת המידע נמשכת, ברמה כזו או אחרת, על בסיס הסדרי אד הוק ותניות חוזיות) לעניין זה התייחסנו  כבר בהרחבה בעדכון לקוחות קודם מיולי 2020, לקריאה לחצו.

בשבוע שעבר פורסמה התייחסותה של הרשות להגנת הפרטיות בישראל ("הרשות") לפסיקה זו[2]. כצפוי (וכפי שציינו בעידכון הקודם), קבעה הרשות כי נוכח פסיקה זו אין ניתן עוד להסתמך על תקנה 2 (8) (2) לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001 ("התקנות"), המתירה העברת מידע אישי מישראל למדינה "המקבלת מידע ממדינות החברות בקהיליה האירופית, לפי אותם תנאי קבלה", כבסיס להעברת מידע אישי לארה"ב.

אמנם, כפי שמציינת הרשות, אין בכך כדי למנוע לחלוטין העברת מידע אישי מישראל לארה"ב, שכן נותרו בעינן הוראות התקנות המתירות העברת מידע זה, בין היתר בהסכמת נשואי המידע[3], במקרה של העברה לחברה-בת של בעל מאגר המידע המעביר[4], או במקרה בו "המידע מועבר למי שהתחייב בהסכם עם בעל מאגר המידע שממנו מועבר המידע, לקיים את התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל, בשינויים המחויבים;"[5]. עדיין – חריגים אלה מוגבלים בהיקפם, ולמצער מחייבים שיתוף פעולה עם "יבואני המידע" (שיזדקקו, מן הסתם ל"סדרת חינוך" באשר לדיני הגנת הפרטיות בישראל), או שינוי תנאי איסוף המידע על ידי חברות ישראליות (ושינוי תנאי ההתקשרות עם לקוחותיה).

המילה האחרונה טרם נאמרה, לא באשר להעברת מידע אישי מאירופה לארה"ב, לא באשר לייצוא מידע אישי מישראל לארה"ב, ויתרה מזו – כפי שציינו בעידכון הקודם – גם מעמדה של ישראל כמדינה המעניקה הגנה נאותה למידע אישי מצוי תחת עיון מחודש באירופה. לעת הזו אנו מציעים ללקוחותינו לבדוק היטב את מערכת ההתקשרויות שלהם עם נשואי המידע ועם הגורמים בארה"ב אליהם הם מבקשים להעביר מידע אישי – ובמידת הצורך לבצע את העדכונים הדרושים. אנו כמובן עומדים לרשותכם גם בנושא זה.


הכותב, עו"ד אמיר זולטי, הינו שותף במשרד ליפא מאיר ושות' וראש תחום הייטק.


*הבהרההאמור בחוזר זה הינו מידע כללי בלבד ואין בו כדי להוות ייעוץ משפטי המחייב בחינה מעמיקה וספציפית של כל נושא לגופו.


[1] ר' הפרסום לעיתונות מטעם בית הדין לצדק של האיחוד האירופי מיום 16 ליולי, 2020, לגבי פסק הדין בסימוכין C-311/18, בכותרת "The Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Data Protection Shield".את פסק הדין עצמו ניתן למצוא כאן: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en.pdf

[2] https://www.gov.il/BlobFolder/reports/privacy-info-transfer-usa/he/shrems2.pdf

[3]  תקנה 2 (1) לתקנות.

[4]  תקנה 2 (3) לתקנות.

[5]  תקנה 2 (4) לתקנות