פסיקה דרמטית באירופה בהגנה על הפרטיות: ביטול הסדר ה-Safe Harbor ומניעת העברת מידע אישי לעיבוד בארה&


ביום ה-6.10.2015, החליט בית הדין לצדק של האיחוד האירופי כי לא להמשיך בהעברת המידע האישי על אזרחי האיחוד האירופי מאירופה לארה"ב משום שההסדר האירופי-אמריקאי הידוע כ-Safe Harbor המאפשר זאת, חסר תוקף (לעיון בהחלטה: http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117en.pdf).


החלטה זו דרמטית ובעלת השפעה עצומה על אלפי חברות היי-טק המבצעות עיבוד ושמירה של מידע בארה"ב לגבי מידע אישי על אזרחים אירופאים, על תעשיית ההי-טק והאונליין באירופה ואף מייצרת הזדמנות עסקית ותעסוקתית אדירה לחברות היי-טק ישראליות בפרט ולשוק התעסוקה הישראלי בכלל.


העברת מידע אישי מחוץ למדינות האיחוד האירופי


על פי הוראות הדירקטיבה האירופית בקשר עם עיבוד ושמירת מידע (Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (OJ 1995 L 281, p. 31).), העברת מידע אישי למדינות שאינן חברות באיחוד האירופי, תתבצע אך ורק אם מדינות אלה מבטיחות רמה נאותה של הגנה על המידע.


כמו כן, הדירקטיבה מאפשרת לנציב על הגנת המידע באיחוד האירופי (Data Protection Commissioner) לבחון את רמת הנאותות של מדינות בהתאם להוראות דין המקומי והתחייבויותיהן באמנות בינ"ל.


הסדר ה-Safe Harbor


ארה"ב ומדינות האיחוד האירופי פועלות להרחבת ההגנה על הפרטיות של אזרחיהן. יחד עם זאת הוראות הדין, פסיקות בתי המשפט, אמצעי האכיפה וכו' בארה"ב שונים מאלו הקיימים באיחוד האירופי.


על מנת לגשר על הפער האמור ובמטרה לספק מענה מתאים עבור חברות אמריקאיות הפועלות באירופה פיתחו משרד המסחר האמריקאי בשיתוף עם הנציב האירופי הסדר הקרוי "Safe Harbor" (להלן: "ההסדר"), לפיו החברות הנמנות בהסדר תפעלנה בהתאם ובכפוף להוראות הדין של הדירקטיבה האירופית.


ההסדר אושר בשנת 2000 על ידי הנציב להגנה על המידע באיחוד האירופי (Data Protection Commissioner), ולמעשה הכשיר את המשך פעילותן העסקית של חברות אמריקאיות המעבדות ושומרות על מידע אישי שנאסף על אזרחים אירופאים ואף ספק הגנה לחברות אלו מפני תביעות בגין פגיעה בפרטיות של אזרחי האיחוד האירופי, הן מצד המשתמשים והן מצד הגופים הרגולטוריים, בכל אחת מהמדינות החברות באיחוד. בין החברות הנמנות בהסדר ניתן למצוא את אפל (Apple Inc.), פייסבוק (Facebook Inc.), גוגל (Google Inc.), מיקרוסופט (Microsoft) ועוד.


העקרונות המרכזיים של הוראות הדירקטיבה בהקשר של הגנה על הפרטיות, הינם: יידוע המשתמשים בדבר איסוף ועיבוד המידע האישי שלהם; קבלת הסכמתו של משתמש בדבר איסוף, עיבוד ושמירת המידע האישי; הסכמת המשתמש על העברת המידע האישי לצד שלישי; מתן גישה למשתמשים למידע שנאסף עליו ולאפשר להם לבצע תיקונים ו/או מחיקות (ראה בהקשר זה את נושא ה"זכות להישכח" עליו כתבנו במאמרים קודמים); אבטחת מידע, מידת הרלבנטיות לאיסוף, עיבוד ושמירת המידע האישי ומחיקתו לאחר שאינו רלבנטי עוד ואכיפת הוראות הדין על גופים מפירים.


ההחלטה הדרמטית של בית הדין לצדק האירופי והשלכותיה


המתלונן, מקסימיליאן שרמס (Maximillian Schrems), הינו אזרח אוסטרי המשתמש ב-Facebook משנת 2008. בדומה למשתמשים אחרים באיחוד האירופי, חלק או כל המידע האישי שנאסף לגביו על ידי פייסבוק, מועבר דרך חברת הבת פייסבוק אירלנד, לשרתים הממוקמים בארה"ב לצורך עיבוד. בעקבות הגילויים שהופצו על ידי אדוארד סנודן, בשנת 2013, בקשר עם פעילותן של סוכנויות ביון האמריקאיות (בעיקר בקשר עם פעילותה של סוכנות הביון הלאומית (NSA)(, הגיש מר שרמס תלונה נגד הרשות לשמירה על המידע באירלנד (Data Protection Commissioner), לפיה הוראות הדין והנוהג בארה"ב אינם מהווים הגנה מספקת כנגד מעקבים המבוצעים על ידי רשויות ציבוריות בארה"ב בקשר עם ההגנה ושמירה על המידע המועבר לארה"ב.


הרשות האירית דחתה את התלונה בעיקר עקב קיומו של הסדר ה-Safe Harbor שהוזכר לעיל, בו התחייבה ארה"ב וחברות הפועלות מכוחו לקיים רמת נאותות של הגנה על המידע האישי המועבר. על כך הגיעה התלונה לבירור בפני בית הדין לצדק.


בית הדין לצדק החליט לבטל את הסדר ה-Safe Harbor. בהחלטה הוסבר שהנציב, אשר היה אמור לבחון האם ארה"ב מגנה, בפועל, על רמה נאותה של הגנה על הפרטיות בהתאם להוראות הדירקטיבה, בהתייחס לחוקיה ולאמנות הבינ"ל של ארה"ב, לא בחן זאת כלל, אלא רק את התאמת הוראות ההסדר להוראות הדירקטיבה.


לדעת שופטי בית הדין לצדק, על אף הוראות הדירקטיבה, אין מניעה אמיתית לרשויות בארה"ב להגיע ולהשתמש במידע האישי על אזרחים אירופאים שהועבר ממדינות האיחוד האירופי לארה"ב, לעבד אותו באופן שאינו תואם עם המטרה שבגינו נאסף המידע האישי, ולהשתמש בו מעבר לנדרש לצורך הגנה על הבטחון הלאומי. כמו כן, למשתמשים נשללה בעצם האפשרות לתקן או למחוק את המידע האישי, בהתאם לשימוש ב"זכות להישכח" שהוכרה באירופה. לאור כל האמור לעיל הוחלט לבטל את ההסדר.


משמעות הפסיקה הדרמטית הזו היא שלמעלה מ-4,500 חברות אמריקאיות, כגון: אפל (Apple Inc.), פייסבוק (Facebook Inc.) וגוגל (Google Inc.) ועוד לא יוכלו להעביר מידע אישי הנאסף על אזרחי האיחוד האירופי לשרתיהם בארה"ב לצורך עיבוד ו/או שמירה וכי חברות אלו יאלצו להקים מרכזי עיבוד מידע (חוות שרתים) באירופה לצורך המשך פעילותן בעיבוד מידע אישי זה.


לצעד זה יש משקל עסקי רב, ועלויות לא מבוטלות של הקמת מרכזי עיבוד ושמירה על מידע. חברות גדולות יוכלו להתמודד עם פסיקה זו, אך ככל הנראה שמי שייפגע ביתר שאת הן חברות השיווק האלקטרוני הקטנות יותר, שאין באפשרותן להקים מרכזים כאלו באירופה.


הזדמנות אדירה לחברות ההיי-טק הישראליות ולשוק התעסוקה בארץ


אמנם ההחלטה תשפיע על אלפי חברות אמריקאיות אשר יאלצו להקים מרכזי עיבוד מידע (חוות שרתים) באירופה לצורך המשך עיבוד ושמירה על המידע האישי, אולם להחלטה השפעה עצומה והזדמנות עסקית אדירה לחברות הטכנולוגיה והיי-טק בישראל.


בשנת 2010, נבחן מעמדה של מדינת ישראל ודיניה בקשר עם הגנה על פרטיות המידע האישי של אזרחיה (חוק הגנת הפרטיות התשמ"א-1981, ואמנות בינ"ל שונות עליהן חתמה מדינת ישראל), על ידי הנציב של האיחוד האירופי. לאחר בחינה זו, הוכרזה ישראל כמדינה בה רמת ההגנה ושמירה על הפרטיות הינה נאותה - "Adequate". הכרזה זו מאפשרת העברת מידע אישי מאירופה לעיבוד ולשמירה בישראל מבלי שהעברת המידע כאמור תהווה הפרה של הוראות הדירקטיבה.


לפיכך, חברות ישראליות אשר מספקות או תספקנה שירותי Cloud ו/או אחסון ו/או עיבוד ו/או שמירה של מידע אישי באמצעות שרתים הממוקמים בישראל, תוכלנה להוות מענה מהיר, מתקדם, מיידי וזול (יחסית לעלויות הקמה ושכר באירופה) לאותן חברות ענק אמריקאיות אשר כעת תאלצנה להקים חוות שרתים מחוץ לארה"ב (כל עוד ברצונן להשתמש באותו מידע אישי שנאסף למטרות פרסום, שיווק, מכירות וכד').


הקמת מרכזים לעיבוד ושמירה על מידע בישראל כאמור יגרמו להעסקת אלפי עובדים חדשים ולהזנקת הכלכלה הישראלית עוד צעד כ-Start-up nation ואולי אף כגוף מתווך (טכנולוגי) בין אירופה לארה"ב.


לקבלת יעוץ וליווי משפטי בנושא, ניתן ליצור קשר עם משרדנו בטלפון: 03-6508064 או בדוא"ל josephc@jclaw.co.il .