לאחרונה ניתן בבית המשפט העליון לצדק באירלנד פסק דין תקדימי בנושא הידוע כפרשת שרמס 2, אשר עשוי להשפיע על יכולתן של חברות להעביר מידע אישי מאירופה לארצות הברית. מדובר בהליך שהחל כתלונה נגד פייסבוק של מקס שרמס, סטודנט אוסטרי למשפטים, בפני רשות הגנת הפרטיות באירלנד. שרמס טען כי העברת המידע האישי שלו על ידי פייסבוק, מהאיחוד האירופאי לחברת האם שלה בארצות הברית, מנוגדת לדין האירופי ויש לאסור אותה.
הנימוק ביסוד טענתו היה כי הדין בארצות הברית אינו מקנה רמת הגנה ראויה לאזרחים אירופאיים על פי הרמה הנהוגה באירופה, וזאת על רקע פרשת סנואדן וסמכותן הרחבה של רשויות אמריקאיות לקבל לידיהן מידע אישי המוגן לפי דיני הגנת הפרטיות. בשנת 2016 פסקה רשות הפרטיות האירית לטובתו של שרמס, אולם הפנתה את העניין להחלטת בית המשפט העליון באירלנד. לאחרונה ניתן פסק הדין ובו נפסק כי אכן קיים חשש ביחס לשמירת המידע האישי המועבר לארצות הברית, וכי מאחר ומדובר בסוגיות הנוגעות לכלל תושבי האיחוד האירופי יש להפנותן לבית המשפט לצדק של האיחוד האירופי (CJEU).
השאלות בעניין טרם הועברו ל- CJEU שכן הוצע לצדדים להסכים על ניסוח השאלות המדויק שיופנו להכרעה, אולם השופטת הגדירה שלוש שאלות עיקריות:
- על מי מוטלת האחריות לבחון אם הדין האמריקאי ראוי להגנת מידע אישי אירופאי – על רשות הפרטיות או על בית המשפט?
- על מי מוטלת האחריות לבחון מהם הסעדים המוקנים לתושבי אירופה בארצות הברית כאשר הפרטיות שלהם נפגעת – על רשות הפרטיות או על בית המשפט?
- האם המגבלות על סעדים המוקנים לאירופאים בארצות הברית מידתיות למול ערכים כגון שמירת הפרטיות והחירות האישית?
פרשה זו היא המשך של הפרשה משנת 2015, במסגרתה פסק ה-CJEU כי העברת מידע אישי מהאיחוד האירופאי לארצות הברית באמצעות המנגנון המכונה Safe Harbor, אינה עומדת בדרישת הנאותות שבדין האירופאי. כתוצאה מכך בוטל ההסדר של ה-Safe Harbor ובמקביל עברה פייסבוק, כמו גם חברות אמריקאיות רבות נוספות, לשימוש במנגנון חוזי, אולם כעת גם השימוש במנגנון זה מוטל בספק. מדובר במנגנון המכונה SCC’s - Standard Contractual Clauses שעניינו נוסח של הסדרים חוזיים שהאיחוד האירופי קבע כי הם מגנים במידה מספקת על הפרטיות.
הפרשה עדיין לא הופנתה ל-CJEU וההליך בפניו צפוי להתמשך זמן רב, כפי הנראה אף מעבר לתאריך 25 במאי 2018, המועד בו ייכנסו לתוקף התקנות החדשות של האיחוד האירופי להגנת הפרטיות (ה-GDPR), אשר יסדירו דין פרטיות אירופאי אחיד בעל תחולה גלובלית. יודגש כי נאותות העברת המידע האישי מאירופה למדינות שונות אמורה להבחן שוב במוסדות האירופאים תחת עקרונות ה-GDPR המחמירים ויתכן כי במקביל להליך המשפטי תתקבל החלטה לגבי נאותות הדין האמריקאי. עוד יצוין כי כ- 88% מהעברות המידע האישי מהאיחוד האירופאי לארצות הברית מתבצעות כיום באמצעות המנגנון של SCC’s ועל כן רבים ממתינים להחלטת בית המשפט האירופאי לצדק בנושא זה.
החלטה זאת תשפיע גם על היכולת להעביר מידע מישראל לארצות הברית, שכן אם יקבע באיחוד האירופאי כי אין תוקף ל- SCC’s, המשמעות תהיה שמנגנון זה אינו עומד בדרישות תקנה 8(2) לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס"א–2001, באותו אופן בו קבעה רשות הפרטיות הישראלית בעבר, בעקבות ביטול ה-Safe Harbor, כי מנגנון זה אינו עומד עוד בדרישות הדין הישראלי.
קיים מנגנון נוסף המוכר על ידי האיחוד האירופי להעברת מידע על אירופאים לארצות הברית, הידוע בשם ה-Privacy Shield ויתכן כי חברות אירופאיות ואמריקאיות יעדיפו, בשלב זה, כל עוד המצב המשפטי אינו ברור, להשתמש בו להעברת מידע אישי מאירופה לארצות הברית. אמנם רשות הפרטיות הישראלית לא חיוותה דעתה ביחס לתוקפו של ה-Privacy Shield בדין הישראלי ככלי להכשיר העברת מידע על ישראלים לארצות הברית, אולם הדעה הרווחת היא כי אינו עומד בדרישות.
קישורים:
פסק הדין בהליך שרמס 1 – בבימ"ש הגבוה לצדק האירופאי
פסק הדין בהליך שרמס 2 – בבימ"ש העליון באירלנד
החלטת רשות הפרטיות בישראל לעניין ה-Safe Harbor
|
|
|
