ה-EDPB מבהיר: העברת מידע לרשויות אכיפה מחוץ לאירופה עשויה להיחשב להפרת ה-GDPR

ה-EDPB פרסם הנחיות סופיות ומחייבות: העברת מידע אישי לרשויות זרות תתאפשר רק על בסיס הסכם בינלאומי

המועצה האירופית להגנת המידע (EDPB) מפרסמת פרשנות מרחיבה לסעיף 48 לתקנות הגנת הפרטיות האירופיות (GDPR) ומציבה גבולות ברורים בפני שיתוף פעולה ישיר עם רשויות מדינות שלישיות. סעיף 48 מתייחס לבקשות מצד רשויות שלטוניות מחוץ לאיחוד האירופי לקבלת מידע אישי מגורמים פרטיים הפועלים בתחומי האיחוד. ההנחיות, שפורסמו לאחר היוועצות ציבורית מקיפה, מבססות מדיניות פרשנית תקיפה כלפי ניסיונות לאכוף חקיקה זרה על טריטוריית הפרטיות של האיחוד האירופי, ומחדדות את מגבלות העברת מידע אישי אל מדינות שאינן חלק מהאיחוד או האזור הכלכלי האירופי (EEA).

ליבת ההנחיה היא קביעה חד-משמעית ולפיה החלטות שיפוטיות או מנהליות של רשויות במדינות שלישיות אינן מוכרות ואינן ניתנות לאכיפה בתחום האיחוד, אלא אם הן מבוססות על הסכם בינלאומי בתוקף כגון הסכם סיוע משפטי הדדי (MLAT) שנחתם בין המדינה המבקשת לבין האיחוד האירופי או אחת ממדינותיו. לדברי המועצה, סעיף 48 מהווה ביטוי לעקרון הריבונות המשפטית של האיחוד, ומטרתו להגן על המידע האישי האירופי מפני תחולה חוץ-טריטוריאלית של משפט זר, העלולה לסתור את דרישות ה-GDPR ולפגוע בזכויות נושאי המידע.

עוד מבהירים ב-EDPB כי עצם ההתייחסות לבקשה מצד רשות זרה גם אם זו מוצגת כ"צו" או "פסק דין" נחשבת ל"העברה בינלאומית" של מידע אישי, ולכן מחייבת עמידה בשני נדבכים משפטיים מצטברים: האחד, בסיס משפטי לעיבוד המידע לפי סעיף 6 ל-GDPR (למשל חובה משפטית, אינטרס ציבורי, או אינטרס חיוני); והשני, עילה חוקית נפרדת להעברה בינלאומית לפי פרק V לתקנות – לרבות קיומו של הסכם המבטיח אמצעי הגנה מתאימים או תחולה של אחד החריגים המוגבלים הקבועים בסעיף 49 ל-GDPR.

בהנחיה הושם דגש על כך שסעיף 48 אינו מהווה "עילת העברה" כשלעצמה, אלא כלל פרשני, ולכן לא ניתן להסתמך עליו לצורך מענה לבקשות מצד מדינות שלישיות. ארגונים הכפופים ל-GDPR נדרשים במקרים אלו לפנות לרשות הלאומית במדינתם, ולפעול בהתאם למנגנוני הסיוע הבינלאומי הפורמליים – כאשר היעדר שיתוף פעולה כזה צריך להוביל לדחיית הבקשה מצד הרשות הזרה.

בהמשך להערות שעלו במהלך ההיוועצות הציבורית, ההנחיה כוללת גם התייחסות למצבים בהם הגורם אליו מופנית הבקשה הוא מעבד מידע (processor) ולא בעל מאגר, וכן למצבים בהם הדרישה מועברת לחברת אם במדינה שלישית, אשר מבקשת את המידע מחברה בת באיחוד. גם במקרים אלה, הועמדה הדרישה לעמידה דו-שלבית בכללי עיבוד והעברה, תוך בחינה של קיומם של הסדרים חוקיים הולמים.

ה-EDPB ציין כי לצורך קיום תקין של שיתופי פעולה בין-מדינתיים, יש לעודד כריתת הסכמים הכוללים אמצעי הגנה משמעותיים: זכות גישה ותיקון לנושא המידע, איסור על העברה נוספת של המידע, אמצעים מיוחדים להגנה על מידע רגיש, מנגנוני בקרה עצמאיים וסעדים אפקטיביים.

לבסוף, המועצה קובעת כי גם אם קיימת עילה חוקית לעיבוד המידע לפי סעיף 6, אך ההסכם הבינלאומי אינו כולל את ההגנות הנדרשות לפי סעיף 46(2)(a), לא ניתן לבצע את ההעברה, ויש לשקול קיומן של חריגות צרות בלבד, למשל לצורך הגנה משפטית או אינטרס ציבורי חיוני – וגם זאת רק כאשר מדובר במצבים נקודתיים ולא חוזרים.

כך לדוגמה, חברה ישראלית המספקת שירותים דיגיטליים ללקוחות באירופה ונמצאת כפופה ל-GDPR מכוח תחולת התקנות על פעילותה (לפי סעיף 3(2)), עלולה לקבל דרישה מרשות חקירה מקומית בישראל להעברת מידע אישי של משתמשים אירופיים – למשל במסגרת חקירה פלילית או כלכלית. לפי ההנחיות החדשות של ה-EDPB, גם אם מדובר בצו חקירה כדין לפי הדין הישראלי, החברה הישראלית שפועלת באירופה לא רשאית למסור את המידע האישי אלא אם קיים הסכם בינלאומי תקף בין ישראל לאיחוד האירופי (כגון MLAT) שבמסגרתו ניתן לבצע העברה כזו. בהיעדר הסכם כזה, על החברה לסרב לבקשה ולהפנות את הרשות הישראלית הדורשת את המידע לרשויות האכיפה באירופה, על מנת שאלה יטפלו בה באמצעות המסלולים המשפטיים הקבועים בדין הבינלאומי. העברת המידע ללא עמידה בדרישות ההנחיה עלולה להיחשב כהפרה של ה-GDPR ולחשוף את החברה לסנקציות רגולטוריות משמעותיות.

ההנחיות החדשות מעלות מספר שאלות עקרוניות וטעונות: האם ראוי שחברה ישראלית, הפועלת בישראל ונמצאת תחת סמכות שיפוט ישראלית, תידרש לסרב לבקשת מידע מצד רשות חקירה ישראלית רק משום שחל עליה גם הדין האירופי? גישת ה-EDPB, אשר מעניקה בכורה מוחלטת לריבונות המשפטית של האיחוד האירופי גם מחוץ לגבולותיו, מדגישה את המתחים הגלומים באכיפה חוץ-טריטוריאלית של רגולציה. בעוד האיחוד מצדיק את עמדתו בהגנה על זכויות אדם ובשלטון החוק, עולה שאלה נוספת, האם עיקרון זה היה מתקבל בהבנה דומה אם היה נאכף באותה נחרצות על ידי שחקן גיאופוליטי אחר – למשל ארצות הברית או סין? כאשר האיחוד האירופי עושה שימוש בכוחו הכלכלי על מנת "לייצא" את ערכיו המשפטיים, מתחדדת השאלה היכן עובר הגבול בין הגנה על עקרונות לבין כפייה רגולטורית כלפי מדינות ריבוניות אחרות, ומה יקרה ביום שבו המדיניות הזאת תשמש כתקדים עבור משטרים שאינם ליברליים באופיים.