ביום 16 ביולי 2020 הודיע בית הדין לצדק של האיחוד האירופי (Court of Justice of the European Union או ה-CJEU) בתיק הידוע כפרשת שרמס 2 (Scherms II), על פסילת הסדר ה-EU-U.S. Privacy Shield, אשר פעל כהסדר המוביל לייצוא מידע אישי מהאיחוד האירופי לארה"ב. הסיבה העיקרית לפסילה זו נעוצה במעקבים שמבצעות הרשויות הפדרליות בארה"ב לשם הגנה על בטחון המולדת. נקבע כי המעקבים המבוצעים על-ידי הממשל האמריקאי מפרים את זכויות הפרטיות של אזרחי האיחוד האירופי באופן שאינו הולם בקנה אחד את דרישות ה-GDPR.
Standard Contractual Clauses
על פי ה-GDPR האירופי, הוצאת מידע אישי מחוץ לאיחוד האירופי יכולה להיות רק למדינה המבטיחה רמת הגנת מידע נאותה. קביעה בדבר נאותות ההגנה, או Adequacy Decision, נעשית אך ורק על-ידי הגוף המוסמך לכך מטעם הנציבות האירופית. בהיעדר קביעה כאמור, העברת המידע מחוץ לאיחוד האירופי יכולה להתרחש רק אם היצואן סיפק אמצעי הגנה מתאימים. אמצעים אלו מתמצים בפועל בכניסה להסדר חוזי לפי הנוסח שאושר על-ידי הנציבות בעבר ונקרא Standard Contractual Clauses. מדובר בסט של הוראות חוזיות המתווספות להסכמי עיבוד מידע (data processing agreements או DPAs) שאנחנו בד"כ מוצאים במסגרת התקשרויות הכרוכות בהעברת דאטה, כמו למשל עם ספקים וכיו"ב. מסגרת השימוש ב- Standard Contractual Clauses כוללת גם התחייבויות כלפי נושאי המידע לשמירה על זכויותיהם וכן, יישום של תרופות חוזיות אפקטיביות (חלף אכיפה) כמפורט בסעיף 46 ל-GDPR.
EU-US Privacy Shield
הסדר ה-Privacy Shield אומץ על-ידי מחלקת הסחר האמריקאית ואושר על-ידי הנציבות האירופית כמסגרת המכשירה את ארה"ב כמדינה בעלת אמצעי הגנה נאותים (adequate) לצורך העברת מידע. חברות זכאיות המשתתפות בהסדר הזה, יכלו לייצא מידע מהאיחוד האירופי לארה"ב מבלי להידרש ל- Standard Contractual Clauses על תנאיו המחמירים. הזכאות מושגת באמצעות הסמכה עצמית, הכוללת בין היתר אימוץ של מדיניות פרטיות וקביעת מנגנונים פנימיים לשמירה על הגנת פרטיות נאותה בארגון. ישנן 5,300 חברות זכאיות בעלות הסמכה עצמית שכזו.
מיהו מקס שרמס?
מקס שרמס (Scherms), הוא אזרח אוסטרי ותובע פרטיות סדרתי נגד פייסבוק. שרמס טוען כי כמשתמש פייסבוק, המידע האישי שלו הועבר מפייסבוק המאוגדת באירלנד לשרתיה של Facebook Inc הממוקמים בארה"ב. שרמס טוען כי המידע האישי שלו שהועבר לארה"ב אינו מקבל שם הגנה נאותה. שרמס מבקש להשעות או לאסור את העברות המידע האישי שלו מפייסבוק אירלנד לפייסבוק ארה"ב.
מה פסק ה-CJEU?
תלונתו של שרמס הובאה בפני בית המשפט העליון של אירלנד. במסגרת הדיון הועברה אל ה-CJEU שאילתה, וזה הטיל ספק בתוקפו של הסדר ה-Privacy Shield. ביום 16 ביולי, 2020 קבע ה-CJEU כי החלטת הנציבות האירופית מחודש יולי 2016 שהכשירה את ה-Privacy Shield, בטלה. כלומר, עם ביטולו של הסדר Privacy Shield הוא אינו יכול עוד לשמש כמסגרת חוקית לעמידה בדרישות ההגנה הנאותה של ה–GDPR בעת העברת מידע אישי מהאיחוד האירופי לארה"ב.
מחלקת המסחר האמריקאית, US Department of Commerce הכריזו בתגובה כי הם "מאוכזבים, אך ימשיכו לנהל את הסדר ה-Privacy Shield" וכי החלטה זו אינה משחררת את החברות המשתתפות בהסדר מהתחייבויותיהם.
אז מה המשמעות של כל זה?
המשמעות היא די דרמטית. כל הגופים המייצאים מידע אישי מהאיחוד האירופי לארה"ב ייאלצו להחליף את המסגרת המשפטית הנוכחית בכל הנוגע להעברת מידע אישי בין מדינות ולהשתמש ב-Standard Contractual Clauses המיושן על מנת לעמוד בדרישות ה-GDPR. תניות אלה כוללות נטל כבד הן עבור מי שמייצא את המידע והן עבור מי שמקבל אותו. עקרונית, אם חברה לא מקיימת את התניות הללו, עליה לחדול מיידית מהעברת מידע מתוך אירופה לארה"ב.
זה יהיה נאיבי לחשוב שזרימת המידע משני צידי האוקיינוס האטלנטי תיעצר. לעומת זאת, אנו עשויים לראות רגולציה חדשה על-ידי מדינות האיחוד בדרך של קביעת הנחיות חדשות ואף הטלת אמצעי אכיפה חדשים על ידי רשויות הפיקוח המדינתיות.
להלן, כמה המלצות:
- בינתיים, חברות רלוונטיות צריכות לחיות תחת סיכון מחושב ועליהן לשקול לפתוח את הסכמי ההתקשרות שלהן על מנת לאמץ לתוכם את ה-Standard Contractual Clauses.
- לפיכך, מומלץ לבחון את הסכמי ההתקשרות עם ספקי דאטה למיניהם (כגון שירותי אירוח, SAAS וכד') או לקוחות ולוודא אם הם כפופים להסדר ה-Privacy Shield. ככל שכן, יש לייצר הסדר משפטי חלופי או פיתרון מעשי מתאים.
- מבחינה מעשית, ניתן לשקול לשמור מידע אישי של אירופאים בשרתים הממוקמים באירופה ולהגביל גישה למידע מארה"ב, ככל והדבר אפשרי כמובן הן מבחינה מסחרית והן טכנית.
- מומלץ לבחון גם מסמכי מדיניות ארגונית והסכמי עיבוד מידע שבשימוש ולהתאימם למצב החדש.
בהמשך, תידרש חשיבה מחודשת על מנת ליצור מסגרת ולידית חדשה. יש להניח כי הפסיקה התקדימית תיצור לחץ על מחוקקים ורשויות בארה"ב לאימוץ מסגרת חוקית להגנה מקיפה על מידע אישי שתעמוד גם בדרישות GDPR ותאפשר המשך זרימת המידע בצורה נאותה.
מה ההשלכות על ישראל?
ישראל, כמדינה בעלת הגנה נאותה מאז ה-adequacy decision שקיבלה הנציבות האירופית בשנת 2011 (ואחת מהראשונות ליהנות ממעמד זה), לא מושפעת מהחלטה זו באופן ישיר. עם זאת, יש לציין שניתן ללמוד על הבאות וייתכן שיש בגישה זו כדי להשפיע על הבחינה שמבצעת הנציבות האירופית על מעמדה של ישראל בימים אלה. ראשית משום שבדומה לארה"ב, גם ישראל מפעילה מדיניות של מעקבים אחר אזרחיה ואחרים הבאים בשעריה, במסגרת מעקבי השב"כ לצורך המאבק בקורונה. בנוסף, קיימות גם סיבות נוספות, כגון פערים בחקיקה הקיימת ואכיפה דלה.
המשמעות עשויה להיות בעייתית עבור חברות ישראליות בעלות אופרציה גלובלית, הכוללת גם העברות של מידע אישי מאירופה לארה"ב (למשל שיתוף מידע של עובדי החברה, רשימות תפוצה של מחלקות השיווק וכיו"ב). בשלב ראשון מומלץ לבחון הסכמי התקשרות, לעדכן מסמכי מדיניות והסכמי DPA בהתאם.
בנוסף, המסגרת הנורמטיבית הנוכחית (והארכאית), תקנות הגנת הפרטיות (העברת מידע אישי מחוץ לגבולות המדינה), התשס"א-2001, יוצרות תלות מסויימת בכשרות שניתנה לארה"ב על-ידי האיחוד האירופי. ואילו עתה, ניתן לפרש את לשון התקנות בנסיבות מסויימות כי ארה"ב איננה מדינה בעלת הגנת מידע נאותה, כך שהעברות מידע אישי מישראל לארה"ב עשויות להיות תחת סיכון תיאורטי מסוים בשלב זה. לפיכך צפוי כי גם רשות הגנת הפרטיות בישראל תיתן את הבהרותיה בקרוב.
בהינתן אי הבהירות הרגולטורית שנוצרה, על חברות לוודא שהן לוקחות את תוכניות הפרטיות שלהם ברצינות, וכי הן מנהלות את סיכוני הפרטיות שלהן בצורה ראויה ומתועדת.
*
הודעה לעיתונות של בית הדין לצדק של האיחוד האירופי - כאן
|
|
|
