עובדים עם לקוחות אירופאים? כדאי שתכירו את הגבלות העברת המידע החדשות
בעקבות החלטת ה-ECJ, קבעה הרשות למשפט וטכנולוגיה (רמו"ט), במשרד המשפטים, כי לא ניתן להעביר מידע מישראל לארה"ב לחברות הפועלות בחסות הסדר Safe Harbour
עו"ד אבגי אדמית
| 04/11/2015
bigstockphoto.com
החלטת בית המשפט העליון האירופאי, ה-ECJ, לבטל את הסדר Safe Harbour, המאפשר לחברות אירופאיות וישראליות להעביר מידע אישי מאירופה וישראל לארה"ב, מעמיד בסימן שאלה, את חוקיות העברת המידע האישי למדינות מחוץ לאיחוד האירופי וישראל.
משמעות הדבר היא, כי חברות אירופאיות וישראליות אשר מאחסנות או מעבירות מידע אישי למדינות זרות, מספקות שירותי ענן או עושות שימוש בשירותים כאלה וכד', שלא נערכות כראוי לשינוי זה, יכול ויהיו חשופות לאובדן לקוחות, עצירת פעילויות בינלאומיות, סיכון לסנקציות כספיות, העמדה לדין ועוד.
דירקטיבת הגנת המידע האירופאית משנת 1995 (Directive 95/46/EC), קובעת, כי העברת מידע אישי למדינה מחוץ לאיחוד האירופי אפשרית רק אם אותה מדינה מאפשרת הגנה ראויה לאותו מידע. זאת בשים לב לנסיבות העברת המידע והחזקתו, לסוג המידע, למטרת העברת המידע ושימושו, לחוקי אותה מדינה, לאבטחת המידע הנהוגה באותה מדינה ועוד. העברת מידע אישי למדינה שלא מאפשרת הגנה ראויה על פי הדירקטיבה אסורה.
יחד עם זאת, מאפשרת הדירקטיבה לנציבות האירופאית, לקבוע, האם מדינה עומדת בדרישות אבטחת המידע הראויות כשם שעולה מחוקי המדינה או מהסכמים בינלאומיים עמה. בתגובה לדירקטיבה, פיתחה לשכת המסחר האמריקאית עקרונות לאבטחת המידע העומדות בדרישות האירופאיות אשר כונו “The Safe Harbour Privacy Principles”.
בשנת 2000 אימצה הנציבות האירופאית עקרונות אלו ואפשרה למעשה את העברת המידע האישי בין אירופה לארה"ב תחת התנאים של מה שמכונה "הסדר Safe Harbour". חברות רבות וגדולות כגון פייסבוק וגוגל עושות שימוש בהסדר זה.
תכירו: מקס שרמס
בשנת 2013 הגיש מקס שרמס (Max Schrems), סטודנט אוסטרי, משתמש פייסבוק, לנציבות להגנת המידע באירלנד, תלונה כנגד פייסבוק אירלנד. שרמס טען, כי מידע אישי ופרטי שלו מהפייסבוק מועבר לשרתי החברה בארה"ב באופן בו אינו עומד בדרישות הגנת הפרטיות של האיחוד האירופי, זאת לאור מדיניות ארה"ב לרגל אחר אזרחיה ובעיקרה תוכנית ה NSA בשם "PRISM", לפיה מוענק לNSA גישה בלתי מוגבלת לכל המידע המאוכסן בשרתים שבבעלות או בשליטת חברות אמריקאיות כדוגמת פייסבוק ארה"ב, כשם שנחשף על ידי אדוארד סנואדן בשנת 2013.
הנציבות דחתה את טענתו של שרם מהטעם, כי לא הוכח שה-NSA חדרה למידע הפרטי האישי של שרם. בנוסף, גרסה הנציבות, כי העברת המידע לארה"ב נעשית בחסות הסדר Safe Harbour , על כן, חזקה היא שארה"ב נקטה באמצעי האבטחה הנדרשים לשמירת המידע שהועבר אליה מאירופה. הואיל ויש לבחון האם ארה"ב אכן נקטה באמצעים הנדרשים להגנת המידע כשם שנדרש תחת הסדר Safe Harbour, גרסה הנציבות כי שאלה זו כבר אינה בסמכותה על כן דחתה את התלונה.
שרמס ערער על החלטת הנציבות וזה הגיע לפיתחו של בית המשפט העליון באירלנד. העליון העביר את השאלה האם הסדר Safe Harbour אכן תואם את הוראות הדירקטיבה האירופאית ל-ECJ.
נקבע, כי לאור העובדה שהזכות לפרטיות והגנת מידע אישי הינם חוקי יסוד באיחוד האירופי, מדיניות ארה"ב לפיה מתן גישה לכל המידע האישי המאוכסן במדינה באופן בלתי מוגבל, ללא כל תנאים וללא נסיבות מצדיקות, זאת אף אם מדובר בצרכים ביטחוניים או מניעת פשע, נוגדת את הדירקטיבה האירופאית ולא עומדת בתנאים של הגנת המידע.
על כן, הואיל והסדר Safe Harbour נעדר הוראות המאפשרות לוודא שהתנאים להגנת המידע בו אכן מיושמים בפועל, נקבע, כי הסדר זה אינו חוקי עוד ולא ניתן לעביר מידע בין אירופה לארה"ב בחסותו. זאת ועוד, נקבע, כי לנציבות אף סמכות לחקור חברות וארגונים בארה"ב אשר להם הועבר המידע האישי, בכדי לוודא שהם אכן עומדים בתנאי העברת המידע הקבועים בדירקטיבה ובכך הורחבו סמכויות הנציבות אף אל מחוץ לגבולות האיחוד האירופי.
השלכות החלטה זו של ה-ECJ לא איחרו לבוא והן חלות עתה גם על חברות ויחידים ישראלים. בהתאם להחלטת ה-ECJ, הודיע נציבות הגנת המידע באירלנד כי תחל בחקירה כנגד פייסבוק כשם שנדרשה על ידי שרמס. פייסבוק הודיעה כי תשתף פעולה עם החקירה. בדומה, נציבויות הגנת המידע בגרמניה הודיעו על פתיחת חקירה כנגד פייסבוק וגוגל בגרמניה ולאחריהם חברות נוספות.
נציב הגנת המידע בהמבורג, יוהנס קספר, הכריז כי חקירת החברות לא תסתכם בבחינת העברת המידע בחסות הסדר Safe Haebour, אלא אף ייבחנו מודלים אחרים כגון מודל "הוראות חוזיות אחידות" "וכללים תאגידים מחייבים" אשר ככל הנראה אינם עומדים בהוראות הדירקטיבה. יתרה מכך, קספר אף הציע, כי חברות המבקשות להימנע מבעיות בעקבות הפסיקה של ה-ECJ, עליהן בעתיד לאחסן את המידע בתוך האיחוד האירופי. בכך למעשה מגביל קספר את האפשרויות העומדות לחברות בנושא אחסנת המידע ועיבודו.
בהקשר הישראלי, על מנת שמדינת ישראל תעמוד בסטנדרטים אותם הציב האיחוד האירופי בדירקטיבה להגנת המידע, חוקקו תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א – 2001. התקנות אוסרות על העברת מידע ממאגר מידע בישראל אל מחוץ לגבולותיה אלא אם הדין הפנימי של המדינה הנעברת מבטיחה רמת הגנה על המידע שאינה פחותה מהדין הישראלי או אם מתקיים אחד מהחריגים בתקנות. בהתאם, ניתן להעביר מידע מחוץ לישראל למדינה המקבלת מידע מהאיחוד האירופאי לפי אותם תנאי קבלה.
החלטת רמו"ט
בעקבות החלטת ה-ECJ, קבעה הרשות למשפט וטכנולוגיה (רמו"ט), במשרד המשפטים, כי לא ניתן להעביר מידע מישראל לארה"ב לחברות הפועלות בחסות הסדר Safe Harbour.
כשם שנלמד מהצהרת הרשויות בגרמניה, להחלטת ה-ECJ השפעה נרחבת על כל ההסדרים הקיימים כיום בנוגע להעברת המידע מאירופה וישראל לארה"ב או לכל מדינה אחרת אשר יכול ותימצא, בפועל, כי אינה מבטיחה רמת הגנה מספקת כנדרש על ידי הדירקטיבה. זאת, חרף העובדה כי בעבר נמצאה המדינה כמי שעומדת בתנאים.
מצב דברים זה מעמיד את החברות הישראליות והאירופאיות בחוסר ודאות וחושף אותן לאובדן לקוחות אירופאיים אשר יסרבו לעבוד עם חברה הנעדרת אמצעים המוודאים כי המידע המועבר אכן מוגן בפועל ברמת ההגנה הנדרשת בדירקטיבה במדינה הזרה. כמו גם, עצירת פעילויות בינלאומיות עקב איסור הרגולטור על העברת המידע ; סיכון לסנקציות כספיות; העמדה לדין ועוד.
אז מה ניתן לעשות? ראשית, רצוי לעשות בחינה מחודשת ולהבין על מה מסתמכת החברה כאשר היא מעבירה מידע אישי למדינה זרה - מדובר בכל סוג של העברת מידע, בין אם דרך שירותי ענן, אחסנת מידע של החברה בשרת במדינה זרה, העברת המידע לעיבוד לחברה אחרת ועוד.
שנית, רצוי לעשות שימוש בכלים אחרים המעוגנים בחוק הישראלי והאירופי אשר קיומם מאפשר את העברת המידע כגון: קבלת הסכמת בעלי המידע מראש על העברתו; קבלת התחייבות ממקבל המידע על קיום התנאים לאחזקת המידע ושימוש בו; העברת המידע נעשית למדינה שהיא צד לאמנה האירופאית להגנת הפרט בקשר לעיבוד אוטומטי של מידע רגיש (ארה"ב למשל אינה צד לאמנה); לוודא כי מקבל המידע מחיל על עצמו סטנדרטים אירופאיים להגנת המידע – רשימה של חברות כאלו ניתן למצוא למשל באתר לשכת המסחר האמריקאי; ועוד.
אפשרות שלישית, אולם פחות מומלצת, להמתין לפרסום ההסדר החדש המתגבש בימים אלו, בין ארה"ב לאיחוד האירופי אשר יעמוד בתנאי הדירקטיבה ויכשיר שוב את העברת המידע מישראל ואירופה לארה"ב.
עו"ד אבגי אדמית בעלת משרד עו"ד AI-LAW, מתמחה במשפט טכנולוגיה, סייבר ומידע, מייצגת ונותנת שירותים משפטיים כוללניים ליחידים, יזמים וחברות. עו"ד אדמית הינה חוקרת משפט הסייבר באוניברסיטאות תל אביב וחיפה ובעלת ניסיון טכנולוגי בתחום הסייבר בין היתר מתוקף עבודתה בחברת RSA כאנליסטית וחוקרת הונאות באינטרנט.
בעקבות החלטת ה-ECJ, קבעה הרשות למשפט וטכנולוגיה (רמו"ט), במשרד המשפטים, כי לא ניתן להעביר מידע מישראל לארה"ב לחברות הפועלות בחסות הסדר Safe Harbour
bigstockphoto.com
החלטת בית המשפט העליון האירופאי, ה-ECJ, לבטל את הסדר Safe Harbour, המאפשר לחברות אירופאיות וישראליות להעביר מידע אישי מאירופה וישראל לארה"ב, מעמיד בסימן שאלה, את חוקיות העברת המידע האישי למדינות מחוץ לאיחוד האירופי וישראל.
משמעות הדבר היא, כי חברות אירופאיות וישראליות אשר מאחסנות או מעבירות מידע אישי למדינות זרות, מספקות שירותי ענן או עושות שימוש בשירותים כאלה וכד', שלא נערכות כראוי לשינוי זה, יכול ויהיו חשופות לאובדן לקוחות, עצירת פעילויות בינלאומיות, סיכון לסנקציות כספיות, העמדה לדין ועוד.
דירקטיבת הגנת המידע האירופאית משנת 1995 (Directive 95/46/EC), קובעת, כי העברת מידע אישי למדינה מחוץ לאיחוד האירופי אפשרית רק אם אותה מדינה מאפשרת הגנה ראויה לאותו מידע. זאת בשים לב לנסיבות העברת המידע והחזקתו, לסוג המידע, למטרת העברת המידע ושימושו, לחוקי אותה מדינה, לאבטחת המידע הנהוגה באותה מדינה ועוד. העברת מידע אישי למדינה שלא מאפשרת הגנה ראויה על פי הדירקטיבה אסורה.
יחד עם זאת, מאפשרת הדירקטיבה לנציבות האירופאית, לקבוע, האם מדינה עומדת בדרישות אבטחת המידע הראויות כשם שעולה מחוקי המדינה או מהסכמים בינלאומיים עמה. בתגובה לדירקטיבה, פיתחה לשכת המסחר האמריקאית עקרונות לאבטחת המידע העומדות בדרישות האירופאיות אשר כונו “The Safe Harbour Privacy Principles”.
בשנת 2000 אימצה הנציבות האירופאית עקרונות אלו ואפשרה למעשה את העברת המידע האישי בין אירופה לארה"ב תחת התנאים של מה שמכונה "הסדר Safe Harbour". חברות רבות וגדולות כגון פייסבוק וגוגל עושות שימוש בהסדר זה.
תכירו: מקס שרמס
בשנת 2013 הגיש מקס שרמס (Max Schrems), סטודנט אוסטרי, משתמש פייסבוק, לנציבות להגנת המידע באירלנד, תלונה כנגד פייסבוק אירלנד. שרמס טען, כי מידע אישי ופרטי שלו מהפייסבוק מועבר לשרתי החברה בארה"ב באופן בו אינו עומד בדרישות הגנת הפרטיות של האיחוד האירופי, זאת לאור מדיניות ארה"ב לרגל אחר אזרחיה ובעיקרה תוכנית ה NSA בשם "PRISM", לפיה מוענק לNSA גישה בלתי מוגבלת לכל המידע המאוכסן בשרתים שבבעלות או בשליטת חברות אמריקאיות כדוגמת פייסבוק ארה"ב, כשם שנחשף על ידי אדוארד סנואדן בשנת 2013.
הנציבות דחתה את טענתו של שרם מהטעם, כי לא הוכח שה-NSA חדרה למידע הפרטי האישי של שרם. בנוסף, גרסה הנציבות, כי העברת המידע לארה"ב נעשית בחסות הסדר Safe Harbour , על כן, חזקה היא שארה"ב נקטה באמצעי האבטחה הנדרשים לשמירת המידע שהועבר אליה מאירופה. הואיל ויש לבחון האם ארה"ב אכן נקטה באמצעים הנדרשים להגנת המידע כשם שנדרש תחת הסדר Safe Harbour, גרסה הנציבות כי שאלה זו כבר אינה בסמכותה על כן דחתה את התלונה.
שרמס ערער על החלטת הנציבות וזה הגיע לפיתחו של בית המשפט העליון באירלנד. העליון העביר את השאלה האם הסדר Safe Harbour אכן תואם את הוראות הדירקטיבה האירופאית ל-ECJ.
נקבע, כי לאור העובדה שהזכות לפרטיות והגנת מידע אישי הינם חוקי יסוד באיחוד האירופי, מדיניות ארה"ב לפיה מתן גישה לכל המידע האישי המאוכסן במדינה באופן בלתי מוגבל, ללא כל תנאים וללא נסיבות מצדיקות, זאת אף אם מדובר בצרכים ביטחוניים או מניעת פשע, נוגדת את הדירקטיבה האירופאית ולא עומדת בתנאים של הגנת המידע.
על כן, הואיל והסדר Safe Harbour נעדר הוראות המאפשרות לוודא שהתנאים להגנת המידע בו אכן מיושמים בפועל, נקבע, כי הסדר זה אינו חוקי עוד ולא ניתן לעביר מידע בין אירופה לארה"ב בחסותו. זאת ועוד, נקבע, כי לנציבות אף סמכות לחקור חברות וארגונים בארה"ב אשר להם הועבר המידע האישי, בכדי לוודא שהם אכן עומדים בתנאי העברת המידע הקבועים בדירקטיבה ובכך הורחבו סמכויות הנציבות אף אל מחוץ לגבולות האיחוד האירופי.
השלכות החלטה זו של ה-ECJ לא איחרו לבוא והן חלות עתה גם על חברות ויחידים ישראלים. בהתאם להחלטת ה-ECJ, הודיע נציבות הגנת המידע באירלנד כי תחל בחקירה כנגד פייסבוק כשם שנדרשה על ידי שרמס. פייסבוק הודיעה כי תשתף פעולה עם החקירה. בדומה, נציבויות הגנת המידע בגרמניה הודיעו על פתיחת חקירה כנגד פייסבוק וגוגל בגרמניה ולאחריהם חברות נוספות.
נציב הגנת המידע בהמבורג, יוהנס קספר, הכריז כי חקירת החברות לא תסתכם בבחינת העברת המידע בחסות הסדר Safe Haebour, אלא אף ייבחנו מודלים אחרים כגון מודל "הוראות חוזיות אחידות" "וכללים תאגידים מחייבים" אשר ככל הנראה אינם עומדים בהוראות הדירקטיבה. יתרה מכך, קספר אף הציע, כי חברות המבקשות להימנע מבעיות בעקבות הפסיקה של ה-ECJ, עליהן בעתיד לאחסן את המידע בתוך האיחוד האירופי. בכך למעשה מגביל קספר את האפשרויות העומדות לחברות בנושא אחסנת המידע ועיבודו.
בהקשר הישראלי, על מנת שמדינת ישראל תעמוד בסטנדרטים אותם הציב האיחוד האירופי בדירקטיבה להגנת המידע, חוקקו תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א – 2001. התקנות אוסרות על העברת מידע ממאגר מידע בישראל אל מחוץ לגבולותיה אלא אם הדין הפנימי של המדינה הנעברת מבטיחה רמת הגנה על המידע שאינה פחותה מהדין הישראלי או אם מתקיים אחד מהחריגים בתקנות. בהתאם, ניתן להעביר מידע מחוץ לישראל למדינה המקבלת מידע מהאיחוד האירופאי לפי אותם תנאי קבלה.
החלטת רמו"ט
בעקבות החלטת ה-ECJ, קבעה הרשות למשפט וטכנולוגיה (רמו"ט), במשרד המשפטים, כי לא ניתן להעביר מידע מישראל לארה"ב לחברות הפועלות בחסות הסדר Safe Harbour.
כשם שנלמד מהצהרת הרשויות בגרמניה, להחלטת ה-ECJ השפעה נרחבת על כל ההסדרים הקיימים כיום בנוגע להעברת המידע מאירופה וישראל לארה"ב או לכל מדינה אחרת אשר יכול ותימצא, בפועל, כי אינה מבטיחה רמת הגנה מספקת כנדרש על ידי הדירקטיבה. זאת, חרף העובדה כי בעבר נמצאה המדינה כמי שעומדת בתנאים.
מצב דברים זה מעמיד את החברות הישראליות והאירופאיות בחוסר ודאות וחושף אותן לאובדן לקוחות אירופאיים אשר יסרבו לעבוד עם חברה הנעדרת אמצעים המוודאים כי המידע המועבר אכן מוגן בפועל ברמת ההגנה הנדרשת בדירקטיבה במדינה הזרה. כמו גם, עצירת פעילויות בינלאומיות עקב איסור הרגולטור על העברת המידע ; סיכון לסנקציות כספיות; העמדה לדין ועוד.
אז מה ניתן לעשות? ראשית, רצוי לעשות בחינה מחודשת ולהבין על מה מסתמכת החברה כאשר היא מעבירה מידע אישי למדינה זרה - מדובר בכל סוג של העברת מידע, בין אם דרך שירותי ענן, אחסנת מידע של החברה בשרת במדינה זרה, העברת המידע לעיבוד לחברה אחרת ועוד.
שנית, רצוי לעשות שימוש בכלים אחרים המעוגנים בחוק הישראלי והאירופי אשר קיומם מאפשר את העברת המידע כגון: קבלת הסכמת בעלי המידע מראש על העברתו; קבלת התחייבות ממקבל המידע על קיום התנאים לאחזקת המידע ושימוש בו; העברת המידע נעשית למדינה שהיא צד לאמנה האירופאית להגנת הפרט בקשר לעיבוד אוטומטי של מידע רגיש (ארה"ב למשל אינה צד לאמנה); לוודא כי מקבל המידע מחיל על עצמו סטנדרטים אירופאיים להגנת המידע – רשימה של חברות כאלו ניתן למצוא למשל באתר לשכת המסחר האמריקאי; ועוד.
אפשרות שלישית, אולם פחות מומלצת, להמתין לפרסום ההסדר החדש המתגבש בימים אלו, בין ארה"ב לאיחוד האירופי אשר יעמוד בתנאי הדירקטיבה ויכשיר שוב את העברת המידע מישראל ואירופה לארה"ב.
עו"ד אבגי אדמית בעלת משרד עו"ד AI-LAW, מתמחה במשפט טכנולוגיה, סייבר ומידע, מייצגת ונותנת שירותים משפטיים כוללניים ליחידים, יזמים וחברות. עו"ד אדמית הינה חוקרת משפט הסייבר באוניברסיטאות תל אביב וחיפה ובעלת ניסיון טכנולוגי בתחום הסייבר בין היתר מתוקף עבודתה בחברת RSA כאנליסטית וחוקרת הונאות באינטרנט.
