בית המשפט לצדק של האיחוד האירופי (CJEU) פסל השבוע את החלטת הנציבות האירופית 2016/1250 העומדת בבסיס הסדר ׳מגן הפרטיות׳ המאפשר להעביר מידע אישי מאירופה לחברות בארה״ב. עם זאת אישר בית המשפט את תוקפם של מנגנון החוזים האחידים (SCC), אמצעי נוסף המאפשר להעביר מידע אישי אל מחוץ לאירופה, אך קבע כי על בעל המאגר לוודא כי החוק במדינת היעד מבטיח הגנת מידע שוות ערך לזו של תקנות הגנת המידע האירופיות (GDPR).
לפסק הדין עשויות להיות השלכות על הסדרה עתידית בינלאומית של העברת מידע אישי וככל הנראה גם על העברת מידע מאירופה אל ישראל ומישראל אל מאגרי מידע שמחוץ לגבולות המדינה. בין הסיבות שבגינן פסל בית המשפט את ההסדר היא שהחוק בארה״ב גובר על ההסדר ומאפשר לסוכנויות המודיעין גישה רחבה למידע אישי של אנשים מחוץ לארה״ב, ובכך מונע מהסדר מגן הפרטיות לספק הגנה נאותה.
בישראל, לא ניתן להעביר מידע ממאגרי מידע במדינה אל מחוץ לגבולותיה אלא בתנאים המפורטים בתקנות העברת מידע. תנאים אלו מתייחסים גם לשונות בין המדינות שמקבלות את המידע. תקנות אלו נועדו בין היתר להבטיח שישראל תעמוד בסטנדרטים אותם הציב האיחוד האירופי בדירקטיבה משנת 1998 הנוגעת להגנה על המידע. אי התאמת המצב המשפטי בישראל למצב הרצוי על פי הסטנדרטים האירופאים היה מבודד את ישראל ממידע שמקורו באירופה, שכן אף אם החוק הישראלי עומד בסטנדרטים האירופאים, כל עוד אין הוא חוסם אפשרות להעביר מידע למדינות שאינן עומדות בסטנדרטים אלה, אסרה הדירקטיבה האירופאית להעביר מידע למאגרים בישראל.
לנוכח זאת קבעה בעבר הרשות להגנת הפרטיות כי מרגע שבוטל ב-2015 ההסדר האמריקאי-אירופי הקודם (Safe Harbor) שהתיר את העברת המידע מאירופה לארה״ב, בטל גם ההיתר להעביר מידע מישראל לארה״ב הנובע מהתקנה בישראל התולה את ההיתר בדין האירופי. לאחר כניסתו לתוקף של הסדר מגן הפרטיות ב-2017 המליצה הרשות לעקוב אחר עדכוניה לגבי השלכות האירועים על הדין בישראל, אך עדכון כזה לא הגיע, בינתיים כאמור אף הסדר זה נפסל.
להחלטת בית המשפט של האיחוד אין השפעה ישירה בשלב זה על חברות אירופאיות המעוניינות להעביר מידע לישראל.
החוק באירופה מתיר להעביר מידע לישראל לאחר שהנציבות הכירה בה כמקיימת רמת הגנת מידע התואמת לדין באירופה. הנציבות האירופית עוסקת בימים אלו בבחינת הגדרת התאימות (Adequacy) שניתנה בשנת 2011 לישראל. אולם לאחר כניסתן לתוקף של תקנות הגנת המידע האירופיות (GDPR) שהחליפו את הדירקטיבה, כבר אין זה ברור כלל ועיקר שהחוק בישראל תואם לדין האירופי. יתרה מכך, בית המשפט בפסק הדין למעשה מחדד את הסטנדרטים הנדרשים במדינה אליה המידע עובר, מקטין את מרחב התמרון המאפשר לנציבות לקבוע תאימות, ומקשה על חברות לעקוף את תנאי הגנת המידע האירופיים. עם זאת, התנאים שלאורם הנציבות בוחנת את הגדרת התאימות נקבעו כבר בתקנות הגנת המידע האירופיות (GDPR) לפני למעלה משנתיים ובעניין זה החלטת בית המשפט אינה מוסיפה דבר.
חשוב להבהיר שישנם תנאים וכלים נוספים המאפשרים העברת מידע לארה״ב גם לאחר פסק הדין. בישראל ניתן לדוגמה להעביר מידע לארה״ב בהסכמה של נושא המידע או בהסכם בו מתחייב מקבל המידע בארה״ב לקיים את התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל. כך גם, התקנות באירופה מתירות להעביר מידע אל מחוץ לאיחוד אם המידע חיוני לקיום חוזה. לדוגמה, רשת מלונות אמריקאית הפונה לאירופיים יכולה לעבד מידע אישי שלהם בארה״ב במהלך התקשרות להזמנת חדר. במקרים רבים יהיה ניתן להמשיך לעשות שימוש במנגנון החוזים האחידים על מנת להעביר מידע מאירופה לארה״ב, זאת משום שחוק המעקב האמריקאי שבגינו נפסל מגן הפרטיות לא חל על חלק גדול מהארגונים בארה״ב ולכן איננו מתנגש עם הוראות מנגנון החוזה האחיד. בעל המאגר המעביר מידע יכול גם להבטיח באמצעות שימוש באמצעי הגנה שונים כמו הצפנת המידע כי לא תפגע הגנת המידע.
אין ספק שלפסק דין זה עשויות להיות השלכות רבות מעבר לשאלות בו הוא דן. יהיה מעניין לראות אם הוא ישפיע על החקיקה בישראל ומחוץ לה, מה תהיה עמדתם של הרגולטורים האירופיים וכיצד ינהגו ענקיות המידע שרובן כפופות לחוק המעקב בארה״ב.
Comments