© כל הזכויות שמורות לברנע ג'פה לנדה משרד עורכי דין

Together is powerful

פרטיות: באירופה מקשיחים עמדות ובישראל מקדמים תיקון לחוק

החלטה אירופאית שהתקבלה לאחרונה קובעת: לא ניתן יותר לסמוך על ההסדר מגן הפרטיות בין האיחוד האירופי לארה"ב לצורך העברת  מידע אישי מאירופה לארה"ב. זאת לאור העובדה שארה"ב לא מכבדת את פרטיות אזרחיה, בהתאם לסטנדרטים האירופאים. בישראל בינתיים פרסם משרד המשפטים תזכיר חוק שיהווה צעד ראשון בהתאמת החוק הקיים לעידן הדיגיטלי.

שתי התפתחויות בתחום הגנת הפרטיות שלובות זו בזו ומחייבות תשומת לב והערכות מצד החברות הפועלות בישראל.

 

הקשחה באירופה – ניתוק מארה"ב

 

ההחלטה המפתיעה של בית הדין לצדק של האיחוד האירופי עשויה להיות בעלת השפעות מרחיקות לכת על היכולת של חברות ישראליות לאסוף מידע על תושבי האיחוד האירופי.

 

זה כבר כמה שנים שהאיחוד האירופי מערים קשיים על העברת מידע על תושבי האיחוד לארה"ב. חברות שאינן מתוך האיחוד האירופאי, לרבות חברות אמריקאיות אשר מעוניינות לספק שירותים, המערבים מידע על תושבי האיחוד (לדוגמא, שירותי ענן), נדרשות לאמץ מנגנונים המוכרים על ידי האיחוד ככאלה המסוגלים לספק למידע הגנה בסטנדרטים המחמירים של אירופה.

 

המנגנון המקורי להעברת מידע בין האיחוד לבין ארה"ב נקרא "נמל המבטחים" (Safe-Harbor Framework). הוא בוטל בהחלטת בית הדין האירופאי ב-2015. מנגנון זה הוחלף במנגנון "מגן פרטיות" (Privacy Shield). לפי מנגנון זה, ספקית השירותים האמריקנית מקבלת על עצמה באופן וולונטרי עקרונות שמירה על מידע התואמות את אלה של האיחוד על מנת להיות רשאית לקבל את המידע.

 

החלטת בית המשפט של האיחוד האירופי מחודש יולי 2020 ביטלה את הסדר "מגן פרטיות". תוך הוא קבע כי המנגנון אינו מעניק הגנה מספקת למידע האישי של אזרחי האיחוד.

 

ביטול הסדר מגן הפרטיות מותיר רק את מנגנון "תניות חוזיות מקובלות" כמנגנון יחיד המאפשר העברת מידע אישי על תושבי האיחוד לארה"ב. מדובר בסט תניות חוזיות שאומצו על ידי האיחוד במסגרת ה-GDPR, אשר הן החברה האמריקנית מקבלת המידע והן מעבירת המידע מקבלות על עצמן. עמידה בהן נתפסה כמאפשרת הגנה ראויה על מידע והעברתו מחוץ לתחומי האיחוד. אם לא די בכך, בית המשפט של האיחוד אף הקשיח את השימוש בתניות החוזיות המקובלות לצורך העברת מידע אישי לארה"ב. זאת בכך שהוא מטיל על הצדדים את החובה לוודא שאכן יש במנגנון זה כדי להבטיח בנסיבות הספציפיות של העברה, כי המידע יישמר מוגן על אף העברתו לארה"ב.

 

רגולטורים שונים באיחוד האירופאי כבר החלו להגיב לפסיקה זו ולקבוע את עמדתם ביחס העברת המידע לארה"ב. הדבר עשוי להקשות על חברות שונות מקום בו לא תהיה עמדה רגולטורית אחידה ברחבי האיחוד האירופאי.

 

במילים פשוטות, כל מי שנעזר בשירותים של חברות אמריקניות על מנת לעבד מידע אישי על תושבי האיחוד יצטרך לוודא שקיים הסדר חוקי תקף להמשך השימוש בשירותים הללו. האמור תקף כמובן גם ביחס לחברות ישראליות אשר נעזרות בספקי שירות אמריקניים כחלק מהפעילות שלהן באיחוד. ככל הנראה יהיה צורך בעדכון הסכמי עיבוד מידע מול אותם ספקי שירותים. ייתכן כי אף קיימת כדאיות במעבר לעיבוד המידע באיחוד.

 

זאת ועוד, התקנות הישראליות, המטפלות בהעברת מידע על ישראלים מחוץ לישראלי, קובעות מספר מנגנונים להעברת המידע. חלקם מפנים לאותם המנגנונים שנקבעו באיחוד האירופאי. בהתאם, משעה שמנגנון מגן הפרטיות מבוטל לעניין העברת מידע על אזרחי אירופה, הדבר חל גם במישרין על העברות מידע על תושבי ישראל לארה"ב.

 

על כן, חברות ישראליות המעבירות מידע לארה"ב, בין היתר תוך שימוש בשירותי ענן של החברות בינלאומיות, או בהיותן חברות בנות של חברות אמריקאיות, צריכות לבחון את עמידתן בהוראות הרגולציה המתפתחת.

 

חקיקה חדשה בישראל – עדכון חוק הגנת הפרטיות

 

לצד התפתחות זו באירופה שצפויה להשפיע גם על חברות רבות בישראל, רשות הגנת הפרטיות פרסמה תזכיר חוק חדש. התזכיר נועד לתקן את חוק הגנת הפרטיות, ובכלל זה לצמצם את היקף חובת הרישום על מאגרי המידע. זאת, על מנת למקד את הפעילות הרגולטורית במאגרים המציבים איומים משמעותיים לפרטיות ובפעולות פיקוח ואכיפה. בכך, להקל את הנטל הרגולטורי הנוגע לרישום מאגרי מידע.

 

במקביל, התיקון יביא להתאמת ההגדרות הקבועות בחוק הנוגעות להגנה על מידע אישי ממוחשב להתפתחויות הטכנולוגיות, החברתיות והמשקיות שהתרחשו מאז נחקק. ההתאמה תוביל גם להסדרים מודרניים עם מדינות מובילות בעולם ובמישור הבינלאומי, ובראשם רגולציית הגנת המידע האירופית. השלמת הליך החקיקה גם תקדם התאמה והאחדה של נוסח חוק הגנת הפרטיות עם תקנות אבטחת המידע שפורסמו בשנת 2017. בנוסף, הפרשנות שניתנה על-ידי בתי המשפט למונחים מרכזיים כמו "בעל מאגר מידע", "מחזיק מאגר" והאבחנה בין "מחזיק מאגר" לבין "מורשה גישה", תועגן בחוק.

 

לפי התזכיר, המדינה תקדם את תיקון 13 לחוק הגנת הפרטיות העוסק בסמכויות האכיפה הפלילית והמינהלית בקשר עם הפרת הזכות לפרטיות. כמו כן, בכוונת משרד המשפטים לפרסם תזכיר חוק נוסף. התזכיר ישלים את מהלך התיקון המהותי הנדרש לחוק הגנת הפרטיות ויטפל בסוגיות מהותיות. לדוגמה, הרחבה של הבסיסים המשפטיים המותרים לעיבוד מידע, הרחבה ועדכון של רשימת הזכויות המוקנות לנושאי המידע והסדרים המשקפים אחריותיות של בעל מאגר ומחזיק.

 

הצורך בתיקון המקיף של חוק הגנת הפרטיות מתחדד לאור ההחלטה של האיחוד בנוגע למגן הפרטיות. כמו כן, לאור הסוגיות הקשורות להגנת הפרטיות שהתעוררו והתחדדו בתקופת הקורונה, כמו השימוש באיכון סלולרי של השב"כ לצורך בלימת הקורונה.

 

בעניין זה, נזכיר עוד כי משנת 2011 נהנית ישראל מהכרה של האיחוד האירופאי כמדינה שמגינה על פרטיות. הכרה זו תורמת לקשרי המסחר של חברות ישראליות עם אירופה. בלעדיה, חברות ישראליות שמעוניינות לעשות עסקים עם אירופה יידרשו לבצע התאמות מסיביות בפעילות שלהן. השמירה על מעמד זה היא עוד כוח מניע לעדכוני חקיקה המקודמים לאחרונה בתחום הגנת הפרטיות. נזכיר, כי הם כמעט ולא השתנו מאז שנת 1981.

 

על חברות הפועלות בישראל ומקיימות קשר מסחר עם ארה"ב ואירופה לבחון את מידת העמידה שלהן בחוק בישראל ובהתאמות הנדרשות  באירופה. זאת עוד קודם להשלמת הליכי תיקון החקיקה בישראל.

 

תגיות: דיגיטל | פרטיות