מאת עו"ד עדיאל קליין
מעצור בהעברת המידע מאירופה לארצות-הברית. בהחלטה דרמתית של ה-CJEU (בית המשפט האירופאי לצדק)- החלטה מספר C-311/18 מיום 16.7.2020, הוחלט כי הסדר הPrivacy Shield- המאפשר לחברות אמריקאיות לקבל מידע אישי שמקורו באירופה, אינו חוקי ודינו להיפסל.
ההחלטה ניתנה בהמשך לתלונה של מקס שרמס שהוגשה אי שם בשנת 2015 נגד פייסבוק הממוקמת באירלנד, על העברת המידע אל פייסבוק בארצות הברית. בהחלטה שניתנה ביחס לתלונה הקודמת, נפסל הסדר ה- Safe Harbor אשר אפשר לחברות משטחי האיחוד האירופי להעביר את המידע אל חברות אמריקאיות, אותו למעשה החליף הסדר ה- Privacy Shield.
הPrivacy Shield- הינו הסדר המהווה אישור והסמכה לחברות אמריקאיות, כי רמת ההגנה על המידע האישי של נושאי מידע המתקבל אצלן, עומד בדרישות המחמירות לפי רגולציית השמירה על המידע האישי באיחוד האירופי – ה-GDPR. עקרונית, ה-GDPR מאפשר העברת מידע מחוץ לגבולות האיחוד האירופי, בין היתר, בהתאם ל-adequacy decisions (לפי סעיף 45 להוראות הרגולציה) המפורסמות גם באתר הנציבות של האיחוד, והחלטה שכזו ניתנה ביחס ל- Privacy Shield (החלטה מספר 2016/1250). הבסיס מבחינת ה-GDPR להבטחת ההגנה על המידע האישי ולעמידה בהוראות ה-GDPR לצורך העברת המידע מחוץ לגבולות האיחוד האירופי, הינו מתן הגנה נאותה על המידע האישי המועבר, מימוש זכויות נושאי מידע ותרופות במידה ומתבצעת הפרה כלפי נושא מידע.
בית המשפט לצדק קבע, כי דין ההחלטה לגבי הPrivacy Shield- להיפסל, כך שחברות אמריקאיות לא יוכלו להסתמך על הסכמה זו. קביעה זו נתקבלה, בין היתר, מאחר וקיים קושי אינהרנטי בהגנה על המידע האישי כנדרש לפי ה-GDPR בארצות הברית, נוכח מתן הגישה הכמעט מוחלט למידע לרשויות האכיפה אמריקאיות וסוכנויות המודיעין לצורכי מעקב.
באותה החלטה, בית המשפט קבע כי להבדיל מהפסילה של הPrivacy Shield-, הרי שמנגנון החוזים האחידים (Standard Contractual Clauses (SCC)) תקף, וכעת רק דרכו ניתן יהיה להעביר מידע לחברות האמריקאיות. בקצרה, מדובר במנגנון הסכמי בין שני צדדים הקובע הוראות חוזיות אחידות לגבי השימוש וההגנה על המידע האישי.
ההחלטה הנ"ל של בית המשפט לצדק באירופה, מהווה פגיעה קשה לחברות אמריקאיות רבות, שכן כעת הן לא יוכלו לקבל מידע מהאיחוד האירופי, ללא קביעת מנגנון הסכמי על בסיס מנגנון החוזים האחידים.
בהיבט הישראלי – תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001, הקובעות את הכללים להעברת מידע מחוץ לגבולות המדינה, קובעות בסעיף 1 לתקנות, כי ניתן להעביר מידע אל מדינה המבטיחה רמת הגנה שאיננה פחותה מהדין הישראלי. אם עד עתה ניתן היה לטעון כי נוכח הPrivacy Shield- העברת מידע לחברה אמריקאית עומדת בהוראת תקנה זו, נדמה שעכשיו חברות ישראליות יצטרכו ללכת בכיוונים מעט שונים אותם מציעות התקנות.
