© כל הזכויות שמורות לברנע ג'פה לנדה משרד עורכי דין

Together is powerful

Together is powerful

פרטיות: באירופה מקשיחים עמדות ובישראל מקדמים תיקון לחוק

החלטה אירופאית שהתקבלה במהלך חודש יולי קבעה כי לאור העובדה שארה”ב לא מכבדת את פרטיות אזרחיה, בהתאם לסטנדרטים האירופאים, לא ניתן יותר לסמוך על ההסדר מגן הפרטיות בין האיחוד האירופי לארה”ב לצורך העברת  מידע אישי מאירופה לארה”ב. בישראל בינתיים פרסם משרד המשפטים תזכיר חוק שיהווה צעד ראשון בהתאמת החוק הקיים לעידן הדיגיטלי.

שתי התפתחויות בתחום הגנת הפרטיות שלובות זו בזו ומחייבות תשומת לב והערכות מצד החברות הפועלות בישראל.

 

הקשחה באירופה – ניתוק מארה”ב

 

ההחלטה המפתיעה שבית הדין לצדק של האיחוד האירופי בעניין Schrems II עשויה להיות בעלת השפעות מרחיקות לכת על היכולת של חברות ישראליות לאסוף מידע על תושבי האיחוד האירופי.

 

זה כבר כמה שנים שהאיחוד האירופי מערים קשיים על העברת מידע על תושבי האיחוד לארה”ב. חברות שאינן מתוך  האיחוד האירופאי, לרבות  חברות אמריקאיות אשר מעוניינות לספק שירותים, המערבים מידע על תושבי האיחוד (לדוגמא, שירותי ענן), נדרשות לאמץ מנגנונים המוכרים על ידי האיחוד ככאלה המסוגלים לספק למידע הגנה בסטנדרטים המחמירים של אירופה.

 

המנגנון המקורי להעברת מידע בין האיחוד לבין ארה”ב היה מנגנון “נמל המבטחים” (Safe-Harbor Framework), אשר בוטל בהחלטת בית הדין האירופאי ב-2015 (בעניין Schrems I). מנגנון זה הוחלף במנגנון “מגן פרטיות” (Privacy Shield) אשר לפיו ספקית השירותים האמריקנית מקבלת על עצמה באופן וולונטרי עקרונות שמירה על מידע התואמות את אלה של האיחוד על מנת להיות רשאית לקבל את המידע.

 

החלטת בית המשפט של האיחוד האירופי מחודש יולי 2020 ביטלה את הסדר “מגן פרטיות”. תוך הוא קבע כי המנגנון אינו מעניק הגנה מספקת למידע האישי של אזרחי האיחוד.

 

ביטול הסדר מגן הפרטיות מותירה רק את מנגנון “תניות חוזיות מקובלות” (Standard contractual clauses) כמנגנון יחיד המאפשר העברת מידע אישי על תושבי האיחוד לארה”ב. מדובר בסט של תניות חוזיות שאומצו על ידי האיחוד במסגרת יישום ה-GDPR, אשר הן החברה האמריקנית מקבלת המידע והן מעבירת המידע מקבלות על עצמן, ועמידה בהן נתפסה כמאפשרת הגנה ראויה על מידע והעברתו מחוץ לתחומי האיחוד. אם לא די בכך, בית המשפט של האיחוד אף הקשיח את השימוש בתניות החוזיות המקובלות לצורך העברת מידע אישי לארה”ב, בכך שהוא מטיל על הצדדים את החובה לוודא שאכן יש במנגנון זה כדי להבטיח בנסיבות הספציפיות של העברה, כי המידע יישמר מוגן על אף העברתו לארה”ב.

 

רגולטורים שונים באיחוד האירופאי כבר החלו להגיב לפסיקה זו ולקבוע את עמדתם ביחס העברת המידע לארה”ב. הדבר עשוי להקשות על חברות שונות מקום בו לא תהיה עמדה רגולטורית אחידה ברחבי האיחוד האירופאי.

 

במילים פשוטות, כל מי שנעזר בשירותים של חברות אמריקניות על מנת לעבד מידע אישי על תושבי האיחוד יצטרך לוודא שקיים הסדר חוקי תקף להמשך השימוש בשירותים הללו. האמור תקף כמובן גם ביחס לחברות ישראליות אשר נעזרות בספקי שירות אמריקניים כחלק מהפעילות שלהן באיחוד. ככל הנראה יהיה צורך בעדכון הסכמי עיבוד מידע מול אותם ספקי שירותים, וייתכן כי אף קיימת כדאיות במעבר לעיבוד המידע באיחוד.

 

זאת ועוד, תקנות הגנת הפרטיות הישראליות, המטפלות בהעברת מידע על ישראלים מחוץ לישראלי, קובעות מספר מנגנונים להעברת המידע, כאשר חלקם מפנים לאותם המנגנונים שנקבעו באיחוד האירופאי. בהתאם, משעה שמנגנון מגן הפרטיות מבוטל לעניין העברת מידע על אזרחי אירופה, הדבר חל גם במישרין על העברות מידע על תושבי ישראל לארה”ב.

 

על כן, חברות ישראליות המעבירות מידע לארה”ב, בין היתר תוך שימוש בשירותי ענן של החברות בינלאומיות, או בהיותן חברות בנות של חברות אמריקאיות, צריכות לבחון את עמידתן בהוראות הרגולציה המתפתחת.

 

חקיקה חדשה בישראל – עדכון חוק הגנת הפרטיות

 

לצד התפתחות זו באירופה שצפויה להשפיע גם על חברות רבות בישראל, רשות הגנת הפרטיות פרסמה תזכיר חוק שנועד לתקן את חוק הגנת הפרטיות, ובכלל זה לצמצם את היקף חובת הרישום על מאגרי המידע על מנת למקד את הפעילות הרגולטורית במאגרים המציבים איומים משמעותיים לפרטיות ובפעולות פיקוח ואכיפה ובכך, להקל את הנטל הרגולטורי הנוגע לרישום מאגרי מידע.

 

במקביל, התיקון יביא להתאמת ההגדרות הקבועות בחוק הנוגעות להגנה על מידע אישי ממוחשב להתפתחויות הטכנולוגיות, החברתיות והמשקיות שהתרחשו מאז נחקק, ולהסדרים מודרניים של הגנת מידע אישי במדינות מובילות בעולם ובמישור הבינלאומי, ובראשם רגולציית הגנת המידע של האיחוד האירופי. השלמת הליך החקיקה גם תקדם התאמה והאחדה של נוסח חוק הגנת הפרטיות עם תקנות אבטחת המידע שפורסמו בשנת 2017 ותעגן בחוק את הפרשנות שניתנה על-ידי בתי המשפט למונחים מרכזיים כמו “בעל מאגר מידע”, “מחזיק מאגר” והאבחנה בין “מחזיק מאגר” לבין “מורשה גישה”.

 

בתזכיר שפורסם מצוין עוד כי בכוונת המדינה לחזור ולקדם את תיקון 13 לחוק הגנת הפרטיות העוסק בסמכויות האכיפה הפלילית והמינהלית בקשר עם הפרת הזכות לפרטיות. כמו כן, מצוין כי בכוונת משרד המשפטים לפרסם תזכיר חוק נוסף שישלים את מהלך התיקון המהותי הנדרש לחוק הגנת הפרטיות ולטפל בסוגיות מהותיות כגון הרחבה של הבסיסים המשפטיים המותרים לעיבוד מידע, הרחבה ועדכון של רשימת הזכויות המוקנות לנושאי המידע והסדרים המשקפים אחריותיות של בעל מאגר ומחזיק.

 

הצורך בתיקון המקיף של חוק הגנת הפרטיות מתחדד לאור ההחלטה של האיחוד בנוגע למגן הפרטיות כמו גם לאור הסוגיות הקשורות להגנת הפרטיות שהתעוררו והתחדדו בתקופת הקורונה, כמו השימוש באיכון סלולרי של השב”כ לצורך בלימת הקורונה.

 

בעניין זה, נזכיר עוד כי מאז שנת 2011 ישראל נהנית מהכרה של האיחוד האירופאי כמדינה שמגינה על פרטיות (adequacy finding), דבר אשר מאוד תורם לקשרי המסחר של חברות ישראליות עם אירופה. ללא הכרה זאת, חברות ישראליות שמעוניינות לעשות עסקים עם אירופה יידרשו לבצע התאמות מסיביות בפעילות שלהן כדי לישר קו עם הסטנדרט המחמיר של אירופה בשמירה על פרטיות. השמירה על מעמד זה היא עוד כח מניע לעדכוני חקיקה המקודמים בתחום הגנת הפרטיות, אשר כמעט ולא השתנו מאז שנת 1981.

 

עוד קודם להשלמת הליכי תיקון החקיקה בישראל, על חברות הפועלות בישראל ומקיימות קשר מסחר עם ארה”ב ואירופה לבחון את מידת העמידה שלהן בחוק בישראל ובהתאמות הנדרשות לאור ההחלטה האחרונה באירופה.

 

תגים: דיגיטל | פרטיות