העברת מידע לחברות בארה"ב: רשות הפרטיות מפרסמת הנחיות
ביטול הסכם Privacy Shield, הסכם העברת מידע בין ארה"ב לאירופה, משפיע ישירות גם על חברות ישראליות הפועלות מול השוק האמריקאי
עמי רוחקס דומבה
| 29/09/2020
bigstock
ביום 16.7.2020 פרסם בית הדין האירופי לצדק (ECJ) פסק דין בפרשה הידועה בשם שרמס 2, בו נקבע כי החקיקה האמריקאית אינה עומדת ברף ההגנה על מידע אישי הנדרש בדין האירופי, ובמיוחד בהוראות רגולציית האיחוד האירופי (GDPR) והאמנה האירופית לזכויות האדם.
המשמעותו המרכזית של פסק הדין היא ביטול הסדר ה -"Privacy Shield" - מנגנון הלימות (adequacy) מיוחד שגובש בין האיחוד האירופי לבין ארצות הברית, ואשר חל על חברות שהתחייבו לעמוד בדרישותיו אשר אפשר העברת מידע מאירופה לחברות אלה.
פסק הדין מפרש את הדין האירופי ואין לו רלבנטיות ישירה לחוק הישראלי ולפרשנותו. עם זאת, השלכות פסק הדין מגלמות שינוי עובדתי המשפיע גם על אופן היישום של הדין בישראל. סעיף 46 לרגולציית האיחוד האירופי (GDPR) אוסר על העברת מידע אישי של אירופאים מחוץ לגבולות האיחוד, אלא אם מתקיים אחד מהחריגים הנקובים בו.
פסק הדין דן באופן ישיר בשניים מהחריגים העיקריים: העברת מידע למדינה שהוכרה בידי האיחוד כמספקת רמה נאותה של הגנה (Adequate level of protection) למידע אישי של אירופאים; והסדרת העברת המידע אל מחוץ לשטחי האיחוד בהסתמך על חוזים לדוגמא (Standard Contractual Clauses - SCC) בנוסח שאושר בידי נציבות האיחוד האירופי.
גם בישראל קיים מנגנון המסדיר את נושא העברת מידע אישי אל מחוץ לגבולות המדינה אשר נקבע בתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א – 2001. סעיף 2 לתקנות העברת מידע כולל רשימה של חריגים המתירים העברת מידע אישי אל מחוץ לישראל, וביניהם תקנה 2(8)(2) לפיה "המידע מועבר למאגר מידע במדינה - המקבלת מידע ממדינות החברות בקהילייה האירופית לפי אותם תנאי קבלה".
לאורך השנים הפרשנות שהעניקה הרשות להגנת הפרטיות לסעיף זה היא כחריג המתיר העברת מידע למדינות שהוכרזו בידי האיחוד האירופי כבעלות הלימות (adequacy) בתחום הפרטיות והגנת המידע. בין השאר, שימש הסעיף במשך השנים כעוגן המשפטי עליו התבססו חברות ישראליות רבות לשם העברת מידע מישראל אל חברות אמריקניות שהיו כלולות בהסדר Safe Harbor, שנחתם בין האיחוד האירופי לבין ממשלת ארה"ב.
כבר עם ביטולו של הסדר Safe Harbour בשנת 2015, בפסק דינו של בית המשפט האירופי בעניין שרמס 1, הבהירה הרשות לציבור כי לא ניתן יהיה עוד להסתמך על תקנה 2(8)(2) לתקנות העברת מידע, כבסיס להעברת מידע לארה"ב. בתחילת שנת 2016 הסכימו האיחוד האירופי וארה"ב על הסדר Privacy Shield – הסדר משפטי ופוליטי חדש שנועד להחליף את Safe Harbor.
עתה, עם ביטולו גם של הסדר ה-Privacy Shield בידי הערכאה המשפטית העליונה של האיחוד האירופי, שבה הרשות ומבהירה כי לא ניתן להעביר מידע אישי מישראל אל ארה"ב בהסתמך על תקנה 2(8)(2) לתקנות העברת מידע. עם זאת, הרשות מבהירה כי אין מניעה להמשיך ולהעביר מידע מישראל לארה"ב, בהסתמך על שאר החריגים המנויים בסעיפי המשנה של תקנה 2 לתקנות העברת מידע במקרים בהם הם רלבנטיים.
עו"ד ניר גרסון, סגן היועץ המשפטי, הרשות להגנת הפרטיות: "השלכותיו של פסק הדין בעניין שרמס 2, הן דוגמא נוספת לצורך לעדכן את תקנות העברת המידע, עליו הצביעה זה מכבר הרשות, לאור השינויים הטכנולוגיים, הפוליטיים והמשקיים שהתרחשו מאז התקנתן לפני כמעט שני עשורים. בשיתוף עם הגורמים הרלבנטיים במשרד המשפטים, בוחנת הרשות רפורמה בתקנות שתענה לצורכי המשק הישראלי, בשים לב גם לרגולציה המובילה בעולם בנושא".
ביטול הסכם Privacy Shield, הסכם העברת מידע בין ארה"ב לאירופה, משפיע ישירות גם על חברות ישראליות הפועלות מול השוק האמריקאי
bigstock
ביום 16.7.2020 פרסם בית הדין האירופי לצדק (ECJ) פסק דין בפרשה הידועה בשם שרמס 2, בו נקבע כי החקיקה האמריקאית אינה עומדת ברף ההגנה על מידע אישי הנדרש בדין האירופי, ובמיוחד בהוראות רגולציית האיחוד האירופי (GDPR) והאמנה האירופית לזכויות האדם.
המשמעותו המרכזית של פסק הדין היא ביטול הסדר ה -"Privacy Shield" - מנגנון הלימות (adequacy) מיוחד שגובש בין האיחוד האירופי לבין ארצות הברית, ואשר חל על חברות שהתחייבו לעמוד בדרישותיו אשר אפשר העברת מידע מאירופה לחברות אלה.
פסק הדין מפרש את הדין האירופי ואין לו רלבנטיות ישירה לחוק הישראלי ולפרשנותו. עם זאת, השלכות פסק הדין מגלמות שינוי עובדתי המשפיע גם על אופן היישום של הדין בישראל. סעיף 46 לרגולציית האיחוד האירופי (GDPR) אוסר על העברת מידע אישי של אירופאים מחוץ לגבולות האיחוד, אלא אם מתקיים אחד מהחריגים הנקובים בו.
פסק הדין דן באופן ישיר בשניים מהחריגים העיקריים: העברת מידע למדינה שהוכרה בידי האיחוד כמספקת רמה נאותה של הגנה (Adequate level of protection) למידע אישי של אירופאים; והסדרת העברת המידע אל מחוץ לשטחי האיחוד בהסתמך על חוזים לדוגמא (Standard Contractual Clauses - SCC) בנוסח שאושר בידי נציבות האיחוד האירופי.
גם בישראל קיים מנגנון המסדיר את נושא העברת מידע אישי אל מחוץ לגבולות המדינה אשר נקבע בתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א – 2001. סעיף 2 לתקנות העברת מידע כולל רשימה של חריגים המתירים העברת מידע אישי אל מחוץ לישראל, וביניהם תקנה 2(8)(2) לפיה "המידע מועבר למאגר מידע במדינה - המקבלת מידע ממדינות החברות בקהילייה האירופית לפי אותם תנאי קבלה".
לאורך השנים הפרשנות שהעניקה הרשות להגנת הפרטיות לסעיף זה היא כחריג המתיר העברת מידע למדינות שהוכרזו בידי האיחוד האירופי כבעלות הלימות (adequacy) בתחום הפרטיות והגנת המידע. בין השאר, שימש הסעיף במשך השנים כעוגן המשפטי עליו התבססו חברות ישראליות רבות לשם העברת מידע מישראל אל חברות אמריקניות שהיו כלולות בהסדר Safe Harbor, שנחתם בין האיחוד האירופי לבין ממשלת ארה"ב.
כבר עם ביטולו של הסדר Safe Harbour בשנת 2015, בפסק דינו של בית המשפט האירופי בעניין שרמס 1, הבהירה הרשות לציבור כי לא ניתן יהיה עוד להסתמך על תקנה 2(8)(2) לתקנות העברת מידע, כבסיס להעברת מידע לארה"ב. בתחילת שנת 2016 הסכימו האיחוד האירופי וארה"ב על הסדר Privacy Shield – הסדר משפטי ופוליטי חדש שנועד להחליף את Safe Harbor.
עתה, עם ביטולו גם של הסדר ה-Privacy Shield בידי הערכאה המשפטית העליונה של האיחוד האירופי, שבה הרשות ומבהירה כי לא ניתן להעביר מידע אישי מישראל אל ארה"ב בהסתמך על תקנה 2(8)(2) לתקנות העברת מידע. עם זאת, הרשות מבהירה כי אין מניעה להמשיך ולהעביר מידע מישראל לארה"ב, בהסתמך על שאר החריגים המנויים בסעיפי המשנה של תקנה 2 לתקנות העברת מידע במקרים בהם הם רלבנטיים.
עו"ד ניר גרסון, סגן היועץ המשפטי, הרשות להגנת הפרטיות: "השלכותיו של פסק הדין בעניין שרמס 2, הן דוגמא נוספת לצורך לעדכן את תקנות העברת המידע, עליו הצביעה זה מכבר הרשות, לאור השינויים הטכנולוגיים, הפוליטיים והמשקיים שהתרחשו מאז התקנתן לפני כמעט שני עשורים. בשיתוף עם הגורמים הרלבנטיים במשרד המשפטים, בוחנת הרשות רפורמה בתקנות שתענה לצורכי המשק הישראלי, בשים לב גם לרגולציה המובילה בעולם בנושא".
