ב-10.7.23 פרסמה נציבות האיחוד האירופי החלטה בעלת תוקף מידי, שמשמעותה שניתן יהיה להעביר מידע מאירופה לחברות בארה"ב, בתנאי שההעברה תהיה לארגונים אמריקאיים שיצטרפו להסדר במסגרתו הן מתחייבות להקפיד על רמת הגנה על המידע האישי ברמה אירופית. כהשלמה להתחייבות זו, גם הממשל האמריקאי התחייב, מצידו, לכבד מידע אישי שארצות הברית אוספת ברחבי העולם למטרות מודיעין. הוראות אלו מופיעות בצו נשיאותי שפורסם על ידי הנשיא ביידן (בחודש אוקטובר 2022) שמגביל את האיסוף והשימוש במידע אישי על לא-אמריקאים (מידע של אמריקאים מוגן מפני הממשל בתיקון הרביעי לחוקה) במסגרת פעילויות מודיעין של ארה"ב, וכן בשורת נהלים והנחיות ברמת רשויות הבטחון הפדרליות השונות, כולל ה NSA, CIA, FBI ורשויות מודיעין נוספות. כמו כן, הוקם מנגנון לביקורת שיפוטית על פעולות איסוף המודיעין כלפי לא-אמריקאים.
מדובר בחדשות מרעישות במיוחד עבור גופים באירופה הכפופים ל-GDPR, אשר מבקשים להעביר מידע לארה"ב. אלו כפופים למגבלות חמורות בכל הנוגע להעברת מידע לארה"ב, ונתונים לסיכון של קנסות כבדים ככל שלא יעמדו בהוראות אלו (ראו ערך הקנס העצום – בגובה 1.2 מיליארד אירו – שהוטל על פייסבוק בחודש מאי 2023, בעקבות העברת מידע אישי של משתמשי פייסבוק מהאיחוד האירופי לארה"ב).
הרקע להגבלות על העברת המידע לארה"ב נמצא בהוראות ה-GDPR (ועוד לפניה, דירקטיבה משנת 1995), אשר מטילה מגבלות על יצוא מידע למדינות שרמת ההגנה בהן על מידע אישי אינה עומדת ברף האירופי. היות שהדין הפדרלי בארה"ב לא מגן על מידע אישי שנמצא בידי חברות, ולא מגן על מידע אישי של זרים שנמצא בידי הממשל, נציבות האיחוד האירופי והממשל האמריקאי הגיעו בזמנו להסדרים שנועדו להבטיח רמת הגנה מספקת על המידע האישי, ובהתאם הוא היה אמור לאפשר העברת מידע מאירופה לארה"ב (ההסדר הראשון מסוג זה ידוע בשם safe harbor).
מצב זה השתנה בשנת 2015, כאשר בית המשפט האירופי לצדק קבע שהסדר ה-safe harbor חסר תוקף (החלטה הידועה בשם שרמס 1). גם ההסדר החלופי שגובש נפסל (בחודש יולי 2020, ידוע גם בשם שרמס 2). במוקד ההחלטות, שהגיעו אחרי התפוצצות פרשת ההדלפות של סנואדן, עמד הנימוק לפיו החוק האמריקאי מתיר לממשל לרבות סוכנויות הביון השונות לבצע ניטור ומעקב לא-מידתיים של מידע אישי אודות אזרחים זרים, בלי לתת להם זכות עמידה בקשר עם הפגיעה בזכויותיהם, כפי שדורשת אמנת זכויות האדם של האיחוד האירופי.
האם ההסדר החדש יעמוד במבחני בית המשפט האירופי לצדק? קשה לדעת, אך מקס שרמס כבר הודיע שהוא שוקד על הגשת הליך משפטי נגד ההסדר החדש. יש להניח שהליך כזה ייארך זמן מה (חודשים, אם לא שנים), אך בינתיים גופים אירופאיים יכולים להסתמך עליו בהעברת מידע לארה"ב.
כיצד ההחלטה משפיעה על ישראל (אם בכלל)?
גם הדין בישראל מגביל העברה של מידע אישי ממאגר מידע בישראל אל מחוץ לישראל, ומאפשר זאת בהתבסס מספר בסיסים חוקיים מצומצם המופיעים בתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001. תקנה 2(8)(2) לתקנות קובעת שניתן להעביר מידע ממאגר מידע בישראל אל מאגר במדינה "המקבלת מידע ממדינות החברות בקהיליה האירופית, לפי אותם תנאי קבלה".
רשות הגנת הפרטיות הודיעה פעמיים בעבר (לאחר שרמס 1 וגם לאחר שרמס 2) שבעקבות אותן ההחלטות, אי אפשר להעביר יותר מידע ממאגר בישראל לארה"ב על בסיס תקנה 2(8)(2).
בגילוי הדעת אודות ההחלטה בעניין שרמס 2 הסבירה הרשות ש"לאורך השנים פירשה הרשות להגנת הפרטיות סעיף זה כחריג המתיר העברת מידע למדינות שהוכרזו בידי האיחוד האירופי כבעלות הלימות (adequacy) בתחום הפרטיות והגנת המידע. בין השאר, שימש הסעיף במשך השנים כעוגן המשפטי עליו התבססו חברות ישראליות רבות לשם העברת מידע מישראל אל חברות אמריקניות שהיו כלולות בהסדר safe harbor…". מכאן נובע שהרשות להגנת הפרטיות סברה שבעבר, בזמן שהסדרים אלה היו בתוקף, תקנה 2(8)(2) היוותה בסיס חוקי להעברת מידע מישראל לארה"ב, למרות שהן מבחינת החוק האמריקאי והן מבחינת החוק האירופי, ההסדר לא חל על מידע שמועבר ממאגרים ישראליים (וזאת בהבדל ממדינות כמו שוויץ, שלגביהן נקבע במפורש שההסדר חל).
על פניו, דבר לא מונע מישראל לבקש להצטרף להסדר דומה לזה שהשיג האיחוד, כפי שמתכוונות לעשות בריטניה ושוויץ, שאינן באיחוד ואף לא באזור הכלכלי האירופי (EEA). אילו זאת ייעשה, הדבר יאפשר העברות מידע לארה"ב בצורה פשוטה. בנוסף, על פניו ובניגוד לחוק האירופי, תקנות העברת המידע מחוץ לישראל מסתפקות בהתחייבות חוזית של מקבל המידע בחו"ל לקיים רמה נאותה של פרטיות, ולא דורשות בנוסף שגם המשטר במדינה המקבלת יכבד את המידע.
בכל מקרה, עד שהרשות להגנת הפרטיות תביע עמדתה והתמונה ביחס לישראל תתבהר, אנו ממליצים שהעברות מידע ממאגרי בישראל לארה"ב יתבססו על נתיב העברה אחר שהתקנות מאפשרות. בנוסף, נזכיר: התקנות לא חלות על העברת מידע ישירה בידי נושאי מידע ישראלים לגופים שנמצאים בחו"ל, אלא רק על העברת מידע ממאגר מידע שנמצא בישראל.
אנחנו עומדים לרשותכם בכל שאלה,
אייל שגיא, יובל אחיטוב וצוות מחלקת משפט וטכנולוגיה.
מובהר כי אין באמור בכדי להוות התייחסות לנסיבות ועובדות ספציפיות ואין לראות בכך משום חוות דעת ו/או ייעוץ משפטי לעניין קונקרטי.