בעקבות החלטת ה-ECJ, קבעה הרשות למשפט וטכנולוגיה (רמו"ט) במשרד המשפטים, כי לא ניתן להעביר מידע מישראל לארה"ב לחברות הפועלות בחסות הסדר Safe Harbor.
הסדר Safe Harbor איפשר לחברות אירופאיות וישראליות להעביר מידע אישי מאירופה וישראל לארה"ב. בית המשפט העליון האירופאי (ה-ECJ) החליט לבטל את הסדר Safe Harbor. החלטה זו מעמידה בסימן שאלה את חוקיות העברת המידע האישי למדינות מחוץ לאיחוד האירופי וישראל.
משמעות הדבר היא, כי חברות אירופאיות וישראליות אשר מאחסנות או מעבירות מידע אישי למדינות זרות, מספקות שירותי ענן או עושות שימוש בשירותים כאלה וכד', שלא נערכות כראוי לשינוי זה, עשויות להיות חשופות לאובדן לקוחות, עצירת פעילויות בינלאומיות, סיכון לסנקציות כספיות, העמדה לדין ועוד.
דירקטיבת הגנת המידע האירופאית משנת 1995 (Directive 95/46/EC), קובעת, כי העברת מידע אישי למדינה מחוץ לאיחוד האירופי אפשרית רק אם אותה מדינה מאפשרת הגנה ראויה לאותו מידע. זאת תוך תשומת לב לנסיבות העברת המידע והחזקתו, לסוג המידע, למטרת העברת המידע ושימושו, לחוקי אותה מדינה, לאבטחת המידע הנהוגה באותה מדינה ועוד. העברת מידע אישי למדינה שלא מאפשרת הגנה ראויה על פי הדירקטיבה אסורה.
יחד עם זאת, הדירקטיבה מאפשרת לנציבות האירופאית לקבוע האם מדינה עומדת בדרישות אבטחת המידע הראויות כשם שעולה מחוקי המדינה או מהסכמים בינלאומיים עמה. בתגובה לדירקטיבה, פיתחה לשכת המסחר האמריקאית עקרונות לאבטחת המידע העומדות בדרישות האירופאיות אשר כונו “The Safe Harbor Privacy Principles”.
בשנת 2000 אימצה הנציבות האירופאית עקרונות אלו ואפשרה למעשה את העברת המידע האישי בין אירופה לארה"ב תחת התנאים של מה שמכונה "הסדר Safe Harbor". חברות רבות וגדולות כגון פייסבוק וגוגל עשו שימוש בהסדר זה.
תכירו: מקס שרמס
בשנת 2013 מקס שרמס (Max Schrems), סטודנט אוסטרי אשר משתמש פייסבוק, הגיש לנציבות להגנת המידע באירלנד, תלונה כנגד פייסבוק אירלנד. שרמס טען, כי מידע אישי ופרטי שלו מהפייסבוק מועבר לשרתי החברה בארה"ב באופן אשר אינו עומד בדרישות הגנת הפרטיות של האיחוד האירופי, זאת לאור מדיניות ארה"ב לרגל אחר אזרחיה ובעיקרה תוכנית ה-NSA בשם "PRISM", לפיה מוענקת ל-NSA גישה בלתי מוגבלת לכל המידע המאוכסן בשרתים שבבעלות או בשליטת חברות אמריקאיות כדוגמת פייסבוק ארה"ב, כשם שנחשף על ידי אדוארד סנואדן בשנת 2013.
הנציבות דחתה את תלונתו של שרמס בטענה כי לא הוכח שה-NSA חדרה למידע הפרטי האישי של שרמס. בנוסף, גרסה הנציבות, העברת המידע לארה"ב נעשית בחסות הסדר Safe Harbor , על כן, ניתן להסיק כי ארה"ב נקטה באמצעי האבטחה הנדרשים לשמירת המידע שהועבר אליה מאירופה. לגבי השאלה האם ארה"ב אכן נקטה באמצעים הנדרשים להגנת המידע כשם שנדרש תחת הסדר Safe harbor, הנציבות אמרה כי שאלה זו כבר אינה תחת סמכותה ועל כן דחתה את התלונה.
שרמס ערער על החלטת הנציבות והערעור הגיע לפיתחו של בית המשפט העליון באירלנד. בית המשפט העליון דן בשאלה האם הסדר Safe Harbor אכן תואם את הוראות הדירקטיבה האירופאית ל-ECJ.
במהלך הדיון נקבע, כי לאור העובדה שהזכות לפרטיות והגנת מידע אישי הינם חוקי יסוד באיחוד האירופי, מדיניות ארה"ב לפיה מתן גישה לכל המידע האישי המאוכסן במדינה באופן בלתי מוגבל, ללא כל תנאים וללא נסיבות מצדיקות, זאת אף אם מדובר בצרכים ביטחוניים או מניעת פשע, נוגדת את הדירקטיבה האירופאית ולא עומדת בתנאים של הגנת המידע.
על כן, הואיל והסדר Safe Harbor נעדר הוראות המאפשרות וידוא כי התנאים להגנת המידע בו אכן מיושמים בפועל, נקבע כי הסדר זה אינו חוקי עוד ולא ניתן לעביר מידע בין אירופה לארה"ב בחסותו. זאת ועוד, נקבע כי לנציבות קיימת הסמכות לחקור חברות וארגונים בארה"ב אשר להם הועבר המידע האישי, בכדי לוודא שהם אכן עומדים בתנאי העברת המידע הקבועים בדירקטיבה ובכך הורחבו סמכויות הנציבות אל מחוץ לגבולות האיחוד האירופי.
השלכות החלטה זו של ה-ECJ לא איחרו לבוא והן חלות עתה גם על חברות ויחידים ישראלים. בהתאם להחלטת ה-ECJ, הודיעה נציבות הגנת המידע באירלנד כי תחל בחקירה כנגד פייסבוק כשם שנדרשה על ידי שרמס. פייסבוק הודיעה כי תשתף פעולה עם החקירה. בדומה, נציבויות הגנת המידע בגרמניה הודיעו על פתיחת חקירה כנגד פייסבוק וגוגל בגרמניה ולאחריהם חברות נוספות.
נציב הגנת המידע בהמבורג, יוהנס קספר, הכריז כי חקירת החברות לא תסתכם בבחינת העברת המידע בחסות הסדר Safe Harbor, אלא אף ייבחנו מודלים אחרים כגון מודל "הוראות חוזיות אחידות" ו"כללים תאגידים מחייבים" אשר ככל הנראה אינם עומדים בהוראות הדירקטיבה. יתרה מכך, קספר אף הציע, כי חברות המבקשות להימנע מבעיות בעקבות הפסיקה של ה-ECJ, עליהן בעתיד לאחסן את המידע בתוך האיחוד האירופי. בכך למעשה מגביל קספר את האפשרויות העומדות לחברות בנושא אחסנת המידע ועיבודו.
בהקשר הישראלי, על מנת שמדינת ישראל תעמוד בסטנדרטים אותם הציב האיחוד האירופי בדירקטיבה להגנת המידע, חוקקו בשנת 2001 (תשס"א) תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה). התקנות אוסרות על העברת מידע ממאגר מידע בישראל אל מחוץ לגבולותיה אלא אם הדין הפנימי של המדינה אליה מועבר המידע מבטיח רמת הגנה על המידע שאינה פחותה מהדין הישראלי או אם מתקיים אחד מהחריגים בתקנות. בהתאם, ניתן להעביר מידע מחוץ לישראל למדינה המקבלת מידע מהאיחוד האירופאי לפי אותם תנאי קבלה.
החלטת רמו"ט
בעקבות החלטת ה-ECJ, קבעה הרשות למשפט וטכנולוגיה (רמו"ט) במשרד המשפטים, כי לא ניתן להעביר מידע מישראל לארה"ב לחברות הפועלות בחסות הסדר Safe Harbor.
כשם שניתן ללמוד מהצהרת הרשויות בגרמניה, להחלטת ה-ECJ השפעה נרחבת על כל ההסדרים הקיימים כיום בנוגע להעברת המידע מאירופה וישראל לארה"ב או לכל מדינה אחרת אשר יתברר בפועל כי אינה מבטיחה רמת הגנה מספקת כנדרש על ידי הדירקטיבה, גם אם המדינה המדוברת נמצאה בעבר כמי שעומדת בתנאים.
מצב דברים זה מעמיד את החברות הישראליות והאירופאיות בחוסר ודאות וחושף אותן לאובדן לקוחות אירופאיים אשר יסרבו לעבוד עם חברה הנעדרת אמצעים המוודאים כי המידע המועבר אכן מוגן בפועל, ברמת ההגנה הנדרשת בדירקטיבה במדינה הזרה. כמו כן, יתכנו עצירת פעילויות בינלאומיות עקב איסור הרגולטור על העברת המידע; סיכון לסנקציות כספיות; העמדה לדין ועוד.
אז מה ניתן לעשות? ראשית, רצוי לעשות בחינה מחודשת ולהבין על מה מסתמכת החברה כאשר היא מעבירה מידע אישי למדינה זרה - מדובר בכל סוג של העברת מידע, בין אם דרך שירותי ענן, אחסנת מידע של החברה בשרת במדינה זרה, העברת המידע לעיבוד לחברה אחרת ועוד.
שנית, רצוי לעשות שימוש בכלים אחרים המעוגנים בחוק הישראלי והאירופי אשר קיומם מאפשר את העברת המידע, כגון: קבלת הסכמת בעלי המידע מראש על העברתו; קבלת התחייבות ממקבל המידע על קיום התנאים לאחזקת המידע ושימוש בו; בדיקה האם העברת המידע נעשית למדינה שהיא צד לאמנה האירופאית להגנת הפרט בקשר לעיבוד אוטומטי של מידע רגיש (ארה"ב למשל אינה צד לאמנה); בירוא האם מקבל המידע מחיל על עצמו סטנדרטים אירופאיים להגנת המידע – רשימה של חברות כאלו ניתן למצוא למשל באתר לשכת המסחר האמריקאי; ועוד.
אפשרות שלישית, אולם פחות מומלצת, להמתין לפרסום ההסדר החדש המתגבש בימים אלו בין ארה"ב לאיחוד האירופי, אשר יעמוד בתנאי הדירקטיבה ויכשיר שוב את העברת המידע מישראל ואירופה לארה"ב.