הפוסט נכתב על ידי דוד מירצ'ין, שותף, קבוצת קניין רוחני וטכנולוגיה ועשהאל רוזנברג.
הסדר "נמל המבטחים" התיר העברת מידע אישי של אזרחי האיחוד האירופי לארה"ב. ההסדר לא נועד רק לחברות אמריקאיות או מהאיחוד, אלא גם חברות ישראליות, אשר אוספות מידע אישי מלקוחות או עובדים בעלי אזרחות אירופית כדי להעביר את המידע לארה"ב, בין השאר, לאחסון המידע בענן אשר שרתיו ממוקמים בארה"ב.
בהחלטה מעניינת שניתנה על ידי בית הדין הגבוה לצדק של האיחוד האירופי ביום 06.10.2015, הוכרז כי השימוש בהסדר "נמל המבטחים" להעברת מידע בין אירופה לארה"ב אינו תקף. ננסה לעמוד כאן על הרקע של ההסדר, החלטת בית הדין האירופי, משמעות ההחלטה והשלכותיה על חברות ישראליות ואילו אלטרנטיבות עומדות בפניהם היום.
1. מהו הסדר "נמל המבטחים"?
הוראות הדירקטיבה האירופית להגנה על מידע אישי (95/46/EC) דורשות מחברות האוספות מידע אישי הנוגע לאזרחי האיחוד האירופי לא להוציא אותו מגבולותיה, אלא בהתקיים חריגים ספציפיים, ביניהם העברת מידע לטריטוריה שהוכרזה על ידי האיחוד האירופי כמספקת רמה הולמת (Adequate level) של הגנה למידע האישי. ניתן לבסס "רמה הולמת של הגנה על מידע" בכמה דרכים, אחד מהם היא הצהרת אישור של הנציבות האירופית כי הטריטוריה מבטיחה רמה הולמת של הגנה על מידע אישי.
בשנת 2011, ישראל הוכרזה על-ידי האיחוד האירופי כאחת מהטריטוריות המבטיחות רמה הולמת של הגנה על מידע אישי, ובעקבות אותה הכרזה ניתן להעביר מידע אישי בחופשיות ממדינות האיחוד לישראל.
לעומת זאת, רמת ההגנה על מידע בארה"ב והפרקטיקות הנהוגות בה להגנה על מידע אישי אינן עומדות בסטנדרט האירופי ככאלו המספקות רמה הולמת של הגנה. אולם, לאור חשיבותו של הסחר בין ארה"ב לאיחוד האירופי, נציגי הצדדים עמלו על פתרון הולם לסוגיה. וכך, בהחלטת נציבות האיחוד אירופי מיום 26.07.2000, נקבע שתאגידים אמריקאים הכלולים בהסדר "נמל המבטחים", מבטיחים רמה הולמת של הגנה על מידע אישי. לפי ההסדר, ארגון אמריקאי המעוניין להיכלל בהסדר, צריך להתחייב לקבל על עצמו עקרונות הגנת מידע אישי העונים לדרישות האיחוד האירופי. מאז, למעלה מ-4,500 חברות, הכוללות חברות בעלי משרדים ראשיים בישראל, אימצו את ההסדר בכדי לאפשר העברת מידע אישי לחברות בת אמריקאיות.
2. חשיפתו של סנודן כטריגר ההחלטה
בשנת 2013 התפרסמה חשיפתו של אדוארד סנודן על השימוש שעושים שירותי המודיעין האמריקאים במידע המועבר ו/או מאוחסן בארה"ב, ללא פיקוח שיפוטי כלשהו, וכלל בין היתר ניתוח מאסות של מידע אשר הועבר ממדינות האיחוד האירופי, וכלל בתוכו מידע אישי של אזרחי האיחוד האירופי.
לאור החשיפה, הגיש מקס שרם, סטודנט אוסטרי למשפטים, תביעה כנגד פייסבוק באירלנד על כך שהיא אינה נותנת הגנה מספקת לאזרחי האיחוד, למידע המועבר לשרתי חברת האם פייסבוק ארה"ב, אשר מעבדים את המידע. הרשות המקומית להגנה על מידע (DPA) באירלנד קבעה כי הם כבולים להסדר "נמל המבטחים". בעקבות כך, שרם תבע, ובית הדין הגבוה באירלנד הפנה את העניין לבית הדין הגבוה לצדק של האיחוד האירופי על מנת לקבוע האם ל-DPA ישנה סמכות לבחון את רמת ההגנה על מידע תחת הסדר "נמל המבטחים", או שמא הם כבולים להחלטת הנציבות משנת 2000. בשלהי ספטמבר 2015, פרקליט האיחוד ייבס בוט (Yves Bot) הגיע למסקנה בחוות דעת כי פרקטיקות האיסוף וגישה למידע אישי של אזרחי איחוד על ידי שירותי המודיעין האמריקאים אינו עולה בקנה אחד עם זכויותיהם הבסיסיות של אזרחי האיחוד לשמירה על פרטיות והגנה על מידע אישי כפי שנקבע בצ'רטר של האיחוד. הוא המשיך באומרו כי הערכת וקביעת הסטנדרט לרמה הולמת של הגנה על מידע אישי צריכה להיות תחת סמכותם של כל אחת מרשויות ה-DPA המקומיות באיחוד. לפיכך, לנציבות האירופית אין את היכולת להגביל את סמכותן של ה-DPA בשאלה האם ניתן למנוע העברת מידע מגבולות האיחוד, כאשר אותה רשות מקומית מאמינה כי לא נלקחו אמצעים מספקים להגנה על מידע אישי באזור שיפוט אליו מועבר המידע (ארה"ב למשל).
3. ממצאים מרכזיים בהחלטה
בעקבות חוות הדעת של פרקליט האיחוד בוט, יצא ביה"ד האירופי בהחלטה מיום 06.10.2015, תוך הטחת ביקורת בהחלטת המקורית של הנציבות משנת 2000 המאשרת את הסדר "נמל המבטחים". עיקרי הממצאים היו:
- לא ניתנה משקל לשאלה האם החוק בארה"ב מספק רמה הולמת של הגנה על מידע אישי;
- ההחרגה של גישה למידע משיקולי ביטחון לאומי, מניעת פשיעה וסיבות נוספות הינו רחב מדי ולא מידתי;
- החקיקה בארה"ב פוגעת באופן מהותי בזכות היסוד האירופית לפרטיות, ואין לאזרחי האיחוד סעד הולם בעקבותיה.
- לאור האמור לעיל, ביה"ד הכריע כי החלטת הנציבות האירופית בשאלת נאותות רמת ההגנה על המידע אישי, בטלה.
חברות אשר הסתמכו בצורה בלעדית על ההסדר "נמל המבטחים" כבסיס להעברת מידע אישי מהאיחוד האירופי לארה"ב, יצטרכו למצוא פתרון אחר, בשל ערעור מעמדו המשפטי של ההסדר. יתרה מכך, יתכן וחברות אלו יחשבו במקרים מסוימים כמפרות של הסכמי מסחר שונים המבטיחים עמידה בסטנדרטים של הגנה על מידע, ובמידה ואותה חברה המעבירה מידע אישי נחשבת לכזו "השולטת על המידע" (Data Controller), יתכן ותחשב כמפרה של חוקי הגנת המידע של האיחוד האירופי.
4. השלכות על חברות ישראליות
חוות דעתו של פרקליט האיחוד מעלה את האפשרות שהחלטות הנציבות בגין נאותות רמת ההגנה על מידע בטריטוריות מחוץ לאיחוד – למשל האם מידע אישי המועבר לישראל יכול להיחשב כמועבר בתוך מדינות האיחוד – יכול להיפתח מחדש בכל רשות מקומית נפרדת. ברם, ביה"ד לא אימץ עמדה זו, והגביל את ההחלטה למצב בארה"ב. לכן, מעמדה של ישראל כבעלת רמה הולמת של הגנה על מידע אישי נותר בעינה.
בכל אופן, הסדר "נמל המבטחים" שימש כהחרגה לגיטימית להעברת מידע אישי מישראל לחו"ל תחת תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001 (התקנות). הרשות למידע, טכנולוגיה ומשפט (רמו"ט) בישראל פרסמה הודעה רשמית, כי לאור החלטת ביה"ד, חברות ישראליות כבר לא יוכלו להסתמך על הסדר "נמל המבטחים", כדי להעביר מידע לארה"ב.
הדרך הפשוטה ביותר עבור חברות ישראליות לעמוד בתקנות הנ"ל תהיה ניסוח הסכם התחייבות בכתב עם החברה בחו"ל אליה מועבר המידע האישי.
5. פתרונות חלופיים
חברות אשר הסתמכו בצורה בלעדית על ההסדר בכדי לאפשר להם להעביר מידע אישי מהאיחוד האירופי לארה"ב יאלצו למצוא בהקדם הסדרים חלופיים בכדי לאפשר את המשך העברת המידע. סוגיה זו תחול גם על חברות ישראליות אשר אוספות מידע אישי מאזרחי האיחוד האירופי. יצוין כי הפתרונות החלופיים המוצעים כאן אינם חפים מפגמים, ולא ניתן לראות בהם פתרון מושלם. האפשרויות המרכזיות הן:
- קבלת הסכמה מנשוא המידע להעברת המידע. ברוב המקרים, ההסכמה צריכה להיות מפורשת, ספציפית ובגמירות דעת מלאה כדי שתוכר כתקפה. אנו ממליצים ללקוחות לקיים רשומות של ההסכמה בכתב, אשר הגישה אליהן מיידית, כדי להתמודד ביתר קלות עם טענות עתידיות של אי קבלת הסכמה. קבלת ההסכמה מנשואי מידע תתאפשר בעיקר כאשר מדובר בלקוחות החברה, ופחות בסוגיה של עובדים, מאחר והרגולטורים השונים נוטים לדעה שלעובד לא קיימת האפשרות לקבל החלטה משוחררת מעכבות כאשר מעסיקו "מבקש" אישור על העברה של מידע אישי.
- תניות חוזיות סטנדרטיות. הנציבות האירופית אימצה סטנדרט של סעיפים חוזיים בין מעביר המידע למקבל המידע, על מנת לוודא רמה הולמת של הגנה על מידע אישי. אפשרות זו אומנם מקילה על התהליך, אולם הצדדים צריכים להחליט באיזה סעיף להשתמש, לרבות, איזה צד "שולט על המידע" (Data Controller) לטובת מטרות הגנת המידע של האיחוד. מאחר ועיקר החבות במקרה של הפרה תהיה על הצד אשר יחשב כ-"Data Controller" הצדדים אינם רוצים להכריע בסוגיה הזו מראש. יתרה מכך, הסטנדרט משתנה ממדינה למדינה באיחוד האירופי, למשל בשאלה מהו התבנית החוזית אשר יש להגיש לרשויות המקומיות השונות, או האם נדרש אישור מהרשות.
- הסדרים מסחריים כובלים (BCR's). הסדרים אלו מאפשרים העברה של מידע בין חברות בת שונות. כל הסדר כזה דורש אישור של אחד מה-DCA המקומיות באיחוד. מדובר בתהליך ארוך ויקר (מעל 18 חודשים), ולכן, בעוד שלחלק מהחברות זה יכול להיות פתרון ארוך טווח, לרוב החברות מדובר באפשרות לא ריאלית.
6. מה צופן לנו העתיד?
כאמור, החלופות להסדר המוזכרות לעיל אינן חפות מפגמים, ולא תמיד ניתנים ליישום. ניתן לומר שקבלת הסכמה היא האפשרות הטובה ביותר מבין החלופות הקיימות, ואנו ממליצים ללקוחות לבחון את מדיניות הפרטיות שלהם ולוודא שהם נותנים מידע ספציפי ומפורט, כאשר מידע אישי של אזרחי האיחוד האירופי מועבר לגורמים מחוץ לאיחוד או ישראל, וטוב שישקלו קבלת הסכמה מגולשים בעזרת אופציית "check the box".
חשוב לציין שאופציות ההסדרים המסחריים והתניות החזיות הסטנדרטיות עדיין חשופות לפגיעה הפוטנציאליות בזכויות הפרטיות של אזרחי האיחוד, אשר הוזכרו בהחלטת ביה"ד: חברה אמריקאית אשר מקבלת מידע עלולה לקבל צו מאחת הרשויות בארה"ב לגלות מידע אישי של אזרחי האיחוד הרבות, ולכן קבלת הסכמה מנושא המידע תיחשב למועדפת ביותר. אף על פי כן, ועדת האיחוד העוסקת בנושא הוציאה לאחרונה הצהרה שתיכנס לתוקף בתקופה הקרובה.
הרשויות בארה"ב ובאיחוד האירופי נמצאים בדיונים נמרצים על מנת למצוא חלופה להסדר "נמל המבטחים", עם תאריך יעד לא רשמי של ינואר 2016. בינתיים, במקום להסתמך על מסגרת רגולטורית של "one-size fits most" בדמות הסדר "נמל המבטחים", חברות תצטרכנה לבחון אד-הוק סוגיות של העברת מידע, כל מקרה לגופו.
האמור לעיל אינו מהווה יעוץ או תחליף לייעוץ והוא בבחינת מידע כללי בלבד. כל המסתמך על האמור לעיל, מבלי לקבל חוות דעת על בסיס כל העובדות הרלוונטיות, עושה זאת על אחריותו בלבד.
קרדיט תמונה: eu flag via shutterstock
קרדיט תמונה: usa and eu flags via shutterstock