גבולות נסגרים: גם לדאטה שלך
4.8.2020
בית הדין הגבוה של האיחוד האירופי פוסל את ההסדר הקיים (Privacy Shield) להעברת מידע אישי בין מדינות האיחוד האירופאי לארה״ב:
כל חברה ישראלית שמעוניינת להמשיך להתפתח ולצמוח במציאות הכלכלית החדשה והמאתגרת של זמננו - חייבת לשים לב לתפנית משמעותית בתחום הפרטיות של מידע אישי שהתרחשה ב- 16 ביולי בפס"ד המכונה "שרמס 2". מדובר בהחלטה של בית הדין של האיחוד, ה-CJEU שקובעת כי ההסדר בין האיחוד לארה"ב שמאפשר העברה חופשית של מידע אישי ביניהן מאז 2016 פסול ותוקפו מתבטל. המשמעות בפועל מתקיימת בשני מישורים. הראשון הוא הצורך לבחון מחדש של דרכי העברת מידע בין שתי כלכלות מובילות בעולם, שהסחר ביניהם מסתכם כיום בכ-7.1 טריליון דולר לשנה. המישור השני הוא הצורך של חברות פרטיות בכל העולם, כולל ישראל, שמקיימות קשרי סחר עם ארה"ב ומדינות האיחוד - לערוך בדק בית קפדני של דרכי העברת מידע אישי במסגרת העסקים השוטפים שלהן. סימנים ראשוניים של השינויים הנדרשים ניתנו כבר השבוע, למשל על ידי העדכון של חברת גוגל שכבר נערך לתנאיי הציות שלה ל-GDPR בכל מה שקשור להעברות בינלאומיות של מידע אישי.
מדוע ההחלטה של בית הדין האירופי בעניין "שרמס 2" רלוונטית לחברות ישראליות - ומה השפעתה בפועל על הפעילות שלהן מול ארה"ב וה-EU?
בשורה התחתונה, כל חברה ישראלית שפועלת מסחרית בשני אזורי הסחר האמורים, או שואפות לפעול בהן, צריכה להכיר מספר היבטים עיקריים של פס"ד שרמס 2, לעקוב אחרי ההתפתחויות בפועל במסגרת אכיפת פסק הדין, ולשקול צעדים עסקיים ספציפיים בהתאם להתפתחויות אלה. נפרט בהמשך לגבי כל אחד משלושת הנושאים האלה, אך קודם חשוב להבין את הרקע להחלטת בית הדין, בהקשר של ההתפתחויות הרגולטוריות שמתרחשות בעת הנוכחית בעניין ההגנה על מידע אישי. התפתחויות אלה מתקיימות כיום בעשרות מדינות בעולם, כולל בישראל. התפתחויות אלו הינן, במידה רבה, בהובלה של האיחוד האירופי ותפיסתו של הגנת מידע אישי של יחידים כזכות יסודית וחוקתית.
התפיסה האירופאית להגנה על מידע אישי
לפי תפיסה זאת, ה-EU קובע רף רגולטורי גבוה של ציות (compliance) עבור ארגונים שמציעים שירותים ותוצרים לתושבי האיחוד, בכל מה שנוגע להגנה על מידע אישי שלהם כנשואי המידע (data subjects). הוא עושה זאת, בין השאר, באמצעות ה-General Data Protection Regulation, רגולציה שנכנסה לתוקף באיחוד במאי 2016. ה-GDPR מהווה הסדר של הגנת מידע אישי שמגדיר זכויותיהם של נשואי מידע בצורה מפורשת, מטיל חובות על ארגונים פרטיים שמשתמשים במידע אישי, ומאפשר הטלת סנקציות כספיות על אי-ציות להוראותיו. הסדרים דומים ל-GDPR כבר אומצו על ידי עשרות מדינות, כולל ברזיל, יפן, ארגנטינה, דרום אפריקה, יפן, ומדינת קליפורניה בארה"ב. גם בישראל מתקיימת מערכת רגולטורית שמיועדת להגן על הפרטיות של מידע אישי, בפיקוח של רשות הגנת הפרטיות שבמשרד המשפטים; וקיים קשר רגולטורי מיוחד בין ישראל לבין ה-EU בהקשר זה, המכונה "adequacy decision". נפרט בהמשך לגביו והשלכותיו עבור חברות ישראליות לאור פס"ד שרמס 2.
מהו "מידע אישי", ומה מצדיק את ההתערבות של רגולטורים ממשלתיים בפעילות העסקית של חברות כדי להגן עליו ועל דרכי העברתו בין ארגונים פרטיים וממשלות?
על פי ה-GDPR, "מידע אישי" כולל כל נתון שמאפשר זיהוי וודאי של אדם יחיד (וחי), במישרין או בעקיפין. דוגמאות לכך הן: שם, מספר זהות, מספר רישוי של רכב פרטי, כתובת דוא"ל, נתוני איכון, מידע פיננסי, ומידע בריאותי או רפואי. ההגדרה של מידע אישי בדין הישראלי דומה להגדרת ה-GDPR, ובתקופה הנוכחית של מגיפת הקורונה אנו עדים לפרסום של הנחיות רבות ותכופות של הרשות להגנת הפרטיות הישראלית, הרגולטור הלאומי שממונה על הגנת פרטיות המידע האישי של תושבי המדינה. כך, למשל, פרסמה הרשות חוות דעת, הנחיות, והבהרות לגבי השימוש במידע האישי של ישראלים בהקשר של ניטור ואיכון של חולי קורונה על ידי השב"כ, שמירת נתונים אישיים בריאותיים בכניסה למקומות עבודה, ושמירת נתונים אישיים של תלמידים בכניסה לבתי ספר. דווקא בתקופה הנוכחית, בה גורמי ממשל אוספים נתונים אישיים רבים על אזרחיהם, כולל נתונים בריאותיים ורפואיים, על מנת להגן על בריאות הציבור, חשיבותו של איזון נכון בין צרכים ציבוריים לבין זכויות הפרט מקבלת משנה תוקף. במיוחד במדינות דמוקרטיות, שבהן העקרון של שלטון החוק מחייב שקיפות ציבורית של תהליכי האיזון, ההגנות על מידע אישי והשימוש בו על ידי גורמי ממשל וחברות פרטיות לצרכיהם המסחריים (במיוחד בעלי פלטפורמות של מדיה חברתית כגון פייסבוק, טוויטר, יוטיוב) תופסות תשומת לב ציבורית רבה.
הנימוק של איזון האינטרסים עמד במרכז ההתייחסות של הרגולטור של האיחוד גם בדירקטיבה שקדמה ל- GDPR, שהתפרסמה בשנת 1995. בשני דברי הרגולציה, התפיסה האירופית של הגנת מידע מעלה את זכויות הפרט בהקשר זה לרמה של זכויות חוקתיות בסיסיות, המוגנת גם בצ'רטר של זכויות היסוד של ה-EU. לפיכך, זכויות אלה ברות הגנה בכל מקום שבו נמצא האזרח האירופי, כחלק מזכויות היסוד שלו או שלה באינטראקציות בהן מועבר מידע אישי. זכויות אלה כוללות למשל: הזכות לדעת את הבסיס החוקי לאיסוף המידע האישי על ידי חברה מסחרית, שקיפות מצד החברה לגבי כל השימושים שתעשה עם המידע שלך, הצורך בהסכמת נשוא המידע לחלק מהשימושים, והזכות לדרוש תיקון המידע ואף מחיקת מידע אישי בנסיבות מסויימות - ה"זכות להישכח" המפורסמת. מכאן - מתוך העקרון הזה של "ייצוא" הגנת המידע האישי של תושבי ה-EU - אנחנו מגיעים לחדשנות של דיני הגנת המידע האירופאיים, שמשליכה באופן ישיר על חברות ישראליות. תושבי אירופה לא רק נושאים איתם את מעטפת ההגנות בכל מקום בעולם: כל חברה שעוסקת במידע אישי של אירופאים, גם אם היא אינה נמצאת בטריטוריה של ה-EU, חייבת לכבד זכויות אלה. כך נקבע גם בפסק דין "שרמס 1" מחודש אוקטובר 2015, שנפסק לפני הכניסה לתוקף של ה-GDPR. אותו ה"שרמס", מר מקס שרמס (שהיה אז סטודנט למשפטים) תבע את נציב הגנת המידע האירי על כך שהנציב אינו מחייב את חברת פייסבוק האמריקאית, שמחזיקה סניף באירלנד, להגן על המידע אישי שלו מפני ההסדרים הרגולטורים הפוגעניים של ארה"ב. הבעיה מתעוררת כאשר החברה האירית מעבירה מידע אישי אירופי לשרתי חברת פייסבוק שנמצאים בארה"ב. הדין האמריקאי, טען שרמס בהצלחה, אינו מעניק הגנות מספקות למידע אישי אירופי. באופן ספציפי, שרמס שכנע את השופטים שחברות אמריקאיות מחוייבות לתת עדיפות לדרישות דיני הבטחון הלאומי של ארה״ב על חשבון זכויותיו לפרטיות המידע האישי, באופן שאינו עומד ברף הרגולטורי האירופי. נזכיר שפרשת סנודן שאירע באביב 2013, בה נחשפו ידעיות מפורטות על יכולות הניטור של מידע אישי בידי רשויות הבטחון הלאומי של ארה"ב, מהווה רקע חשוב לטענות של שרמס. ואכן, פרשת "שרמס 1" הובילה לפסילת ההסדר שהיה קיים בין ארה"ב לאיחוד בזמנו. בכך, פרשת "שרמס 1" הובילה לאכיפת זכויותיהם של אירופאיים להגנת מידע אישי - גם מעבר לגבולות האיחוד האירופאי.
רגולציית ה-GDPR שנכנסה לתוקף שלוש שנים אחרי פרשת שרמס 1 המשיכה לקדם את התפיסה
ה-GDPR קבע מערכת שלמה של חובות על חברות מסחריות שפונות לציבור האירופי, בין אם חברות אלו נמצאות באירופה או מחוץ לגבולותיה. נבקעו תהליכי משילות ואמצעים לאבטחת מידע בתוך ארגונים שנועדו לשמור על רמה גבוהה של פרטיות המידע, המגובים בקנסות של עד 4% מההכנסות השנתיות של הארגון במקרה של הפרות. האכיפה הופקדה בידי רגולטורים לאומיים מיוחדים, שפועלים תחת רגולטור כלל-אירופי מתכלל, ה-European Data Protection Board. ואולי החשוב מכל, ה-GDPR בונה "שרשרת אספקה רגולטורית", בכך שכל חברה שכפופה לדרישותיו מחוייבת לדאוג לרמת ציות מינימלית של הספקים אליהם היא מעבירה מידע אישי, באמצעות הוראות ספציפיות בחוזה ביניהם. הוראות אלה כוללות גם "סעיפי חוזה סטנדרטיים" (standard contractual clauses או SCCs) שהם חלק מחוזים שמסדירים העברת מידע אישי בין חברות שנמצאות ב-EU לאלה שנמצאות במדינות אחרות. סעיפי חוזה אלה היו בליבת ההתלבטות של בית הדין בפרשת "שרמס 2" .
בתרשים ניתן לראות את שכיחות השימוש בכלים הרגולטורים השונים להעברת מידע אישי ממדינת ה-EU למדינות אחרות. המקור: Wall Street Journal, 15.7.2020.
היבטים עיקריים של פס"ד שרמס 2
מקס שרמס, כיום עורך דין, תבע שוב את נציב הגנת המידע האירי, גם הפעם על העברת המידע האישי שלו לשרתי חב' פייסבוק בארה"ב, באמצעות פייסבוק אירלנד. בסבב הנוכחי, שרמס טען נגד ההסדר המעודכן בין האיחוד לבין ארה"ב בעקבות פרשת שרמס 1, המכונה Privacy Shield, שנועד לתקן את העוולות של ההסדר הקודם. בשנית, שרמס שכנע את בית הדין כי החוק האמריקאי מאפשר פגיעה בזכויות היסוד שלו כאזרח אירופי. בית הדין, בפסילתו את הסדר Privacy Shield, קבע כי, אכן, "..."המגבלות של ההגנה שניתנת למידע אישי, הנובעים מהחוק הפנימי של ארצות הברית בנוגע לגישה ולשימוש במידע זה על ידי רשויות ציבוריות בארה"ב ... אינן מוגדרות באופן העומד בדרישות דומות במהותן שבחוק האיחוד האירופי". משמעות הדבר: חברות בארה"ב שהצהירו על עצמן כחברות שמקיימות את Privacy Shield - מספרן כ-5,300 כעת - אינו יכולות להישען על הסדר זה, וחייבות למצוא דרך אחרת להעברת מידע אישי בצורה שתעמוד בדרישות הדין האירופי. הפתרון הנוח ביותר, במבט ראשון, הוא הפתרון שה-GDPR מציע של "סעיפי החוזה הסטנדרטיים" (SCCs) שהוזכרו לעיל. זה בעצם אומר שחברות שהסתמכו עד כה על Privacy Shield וההצהרות העצמאיות של החברות בארה"ב אליהן המידע הועבר, יצטרכו לדאוג לחוזים פרטניים שכוללים את ההגנות המתאימות.
אך הבעיה הגדולה היא שחברה אמריקאית לא יכולה להתחייב חוזית שהיא לא תקיים את הדין האמריקאי שחל עליה, גם כשהוא מאתגר כל כך מבחינת הגנת המידע האישי של נשואי מידע אירופאיים. בית הדין התייחס גם לקושי הזה, וקבע כי השימוש ב-SCCs תקף רק אם החברה הלא-אירופית מסוגלת להתחייב שרמת ההגנות במדינתה עומדת באלו של ה-EU.
ובינתיים, נכון לשעת הכתיבה של מאמר זה, התגובה רשמית של ממשל ארה"ב לפסה"ד ניתנה דרך משרד הסחר (Department of Commerce), שהצהיר שפסה"ד והשלכותיו עדיין נבחנים, וכעת אין שינוי במדיניות Privacy Shield מצד ארה"ב. עם זאת, כבר נשמעת ביקורת קשה של שרמס 2 מצד מומחי פרטיות בארה"ב.
השורה התחתונה עבור חברות ישראליות: צעדים בהמשך לשרמס 2
כל חברה ישראלית שמציעה שירותיה או תוצריה לציבור בינלאומי באירופה או בארה"ב צריכה לבחון את התנהלותה לאור ההשלכות פס"ד שרמס 2. גם העברת מידע אישי של תושבי ה-EU למדינות נוספות חייבת לעמוד בדרישות ה-GDPR, כמו גם מדינות שלישיות שמעבירות מידע אישי אירופאי הלאה לארה"ב או למדינות אחרות. מצד אחד, חברות ישראליות נהנות מאז פברואר 2011 מהסדר מיוחד ויחסית נדיר מול מדינות ה-EU, המכונה adequacy decision, לפיו האיחוד מכיר פורמלית בכך שבישראל קיימת רמה מספקת של הגנות על מידע אישי. הסדר זה אומר שכל חברה ישראלית שמקפידה על עמידה בדיני הגנת המידע הישראליים תיחשב כחברה שניתן להעביר אליה מידע אישי באופן כללי, בכפוף לדרישות נוספות של משטר ה-GDPR. דברי החקיקה הישראליים העיקריים הם חוק הגנת הפרטיות, תשמ"א-1981 ותקנות הגנת הפרטיות (אבטחת מידע) - תשע"ז - 2017. יצוין שבימים אלה, פורסם תזכיר חוק לתיקון חוק הגנת הפרטיות שמקרב את הדין הישראלי לדין ה-EU באופן מתוכנן ומכוון (ראו תחת הכותרת "ב. מטרת החוק המוצע..."). בין השאר, ההגדרות של המושגים "מידע", "מידע בעל רגישות מיוחדת" ו-"עיבוד מידע" שונו כדי להתאים יותר למושגי ה-GDPR.
אם כן, חברה ישראלית שפונה עם תוצריה או שירותיה לשוק ה-EU או של כל אחת מ-27 המדינות החברות באיחוד, חייבת להפקיד על התהליכים והאמצעים הנדרשים ברגולציה האמורה וביניהם: מיפוי המידע האישי שבו הארגון משתמש, מיפוי תהליכי העיבוד שלו, מתן מענה מסודר לבקשות של נשואי מידע, עריכת סקרי סיכונים לגבי חשיפות שעלולות לסכן את המידע האישי, הטמעת אמצעי אבטחת מידע, הטמעת נהלים מתאימים, רישום מאגרי נתונים ברשות להגנת הפרטיות, ועוד.
מצד שני, חברה ישראלית שפועלת גם במדינות שאינן מדינות ה-EU נמצאת כיום במצב מאתגר, עם פוטנציאל לחשיפות רגולטוריות. אמנם כל חברה ישראלית חייבת לבחון את הצורך ליישם תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001 במקרים של העברת מידע אישי (ישראלי, אירופי או אחר) מחוץ לגבולות המדינה. אבל עם פסילת Privacy Shield, מתעורר הצורך לשקול מחדש על דרכי ההעברה של מידע אישי לארה"ב - במיוחד אם מדובר בהעברת מידע אישי אירופי ולא רק ישראלי. לדוגמה, חברה ישראלית שמספקת שירותי פרסום באינטרנט ופועלת באירופה, ארה"ב, אוסטרליה והמזרח הרחוק - גם אוספת מידע אישי מהמדינות הללו, משתמשת בו לצרכי פעילותה, ומפיצה אותה הלאה לחברות מקומיות לביצוע משימות שונות.
על כל חברה בעלת פעילות בינלאומית כאמור לנקוט ב-5 הצעדים הבאים:
-
למפות את תהליכי ההעברה של מידע אישי מארגונכם ליעדים מחוץ לישראל, כולל לקוחות, לקוחות פוטנציאליים ועובדים - ולבדוק את החשיפות הרגולטוריות האפשריות במסגרת פסילת Privacy Shield;
-
בתוך התהליכים שזהיתם, להגדיר את סוגי המידע שהארגון אוסף;
-
למפות גם העברת מידע לספקים, כולל ספקים של שירותי ענן, כדי לבחון חשיפות אפשרויות והאפשרות של שימוש ב-SCCs;
-
להיערך לשינויים אפשריים בחודשים הקרובים בניסוח ה- SCCs ובנושאים נוספים על ידי הרגולטורים במדינות ה-EU
-
ולבסוף, להיות קשובים להנחיות הרגולטורים שצפויות בהמשך של ה-EU, ארה"ב וישראל ולפעול בהתאם.
ללא ספק, ההשלכות של פסק דין שרמס 2 מורכבות. הן עשויות להשפיע על תהליכים רגולטוריים להעברת מידע אישי בכל העולם בשנים הקרובות. רשויות הגנת המידע של האיחוד האירופי, מצדם, כבר מתחילות לשקול אלטרנטיבות להסדר Privacy Shield, כמו SCCs מעודכנים, הכנסת מדינות נוספות להסדר ה-adequacy decision (דרום קוריאה נמצאת בתהליך), ופיתוח סטנדרטים ו-codes of conduct מגזריים. אבל השתיקה הרועמת שנשמעת בינתיים מהצד של ממשל ארה"ב מעידה על האתגר האסטרטגי העיקרי: כל עוד שלא יתקיים תהליך מהותי בין ארה"ב וה-EU בנושא הגנת מידע אישי וההכרה ההדדית ברמה מינימלית של הגנות, קשה לראות את הדרך קדימה. חברות ישראליות חייבות להשכיל ולהטמיע את השינויים הנדרשים: ללמוד את המפה הרגולטורית, להבין באופן יסודי את דרכי האיסוף והעיבוד של מידע אישי אצלן בבית; ולעקוב מקרוב אחר התפתחויות בתחום.
חברות ישראליות חייבות להשכיל ולהטמיע את השינויים הנדרשים: ללמוד את המפה הרגולטורית, להבין באופן יסודי את דרכי האיסוף והעיבוד של מידע אישי אצלן בבית; ולעקוב מקרוב אחר התפתחויות בתחום.