האם ישראל ״נאותה״: ההשפעה של החלטת בית הדין האירופי לצדק בפס״ד שרמס 2 על חברות בישראל

המכון הישראלי למדיניות טכנולוגיה, ערך  דיון בהשלכות של התפתחויות אלו בתחום הגנת הפרטיות על ארגונים ישראליים, ועל מעמדה של מדינת ישראל כנאותה בתחום הגנת הפרטיות.

בדיון השתתפו –

פרופ’ עומר טנא, שותף מייסד המכון הישראלי למדיניות טכנולוגיה וסמנכ״ל ניהול ידע ב – IAPP, שהתייחס לתגובות בארה״ב לפסה״ד והעריך שלא נראה הסדר איחוד אירופי-ארה״ב שלישי.

עו״ד יורם הכהן, מנכ״ל איגוד האינטרנט, לשעבר ראש הרשות למשפט, טכנולוגיה ומידע (כיום הרשות להגנת הפרטיות), שיזם והוביל את בקשת ישראל להכרת הנאותות מצד האיחוד האירופי במשטר הגנת הפרטיות שלה, ותיאר את החשיבות של ההכרה עבור ישראל, היסודות עליהם היא ניתנה והערכתו את סיכויי שימורה.

פרופ׳ מיכאל בירנהק, פרופ׳ מן המניין וסגן דיקן למחקר, הפקולטה למשפטים, אוניברסיטת תל אביב, שכתב את חוות הדעת עבור נציבות האיחוד האירופי בבחינת ההכרה בנאותות ישראל, שהתייחס להתחייבויות שנתנה ישראל לנציבות בעת הענקת ההכרה שלא קוימו, ומה נדרש עוד על מנת להגן על ההכרה כיום, לאחר ה – GDPR  והחלטת שרמס 2.

עו״ד דלית בן ישראל, מנהלת תחום IT ופרטיות ושותפה במשרד נשיץ ברנדס אמיר ושות’, המייעצת לחברות ישראליות וזרות שעובדות עם ובישראל ופירטה מה צריכה לעשות עכשיו חברה שהסתמכה על מגן הפרטיות או על התניות החוזיות בהעברות מידע על אירופאים לישראל ובהעברות מידע על ישראלים לארה״ב.

ד״ר אבישי קליין, קצין הגנת הפרטיות בחברת אמדוקס, מרצה לדיני סייבר ופרטיות, שתיאר את השפעת ההחלטה על חברת אמדוקס ושיתף בתהליך קבלת ההחלטות אצלם בנושא העברות מידע שקשורות לעובדים בארגון בינלאומי וללקוחות וספקים.

מר ניר ברנגה, מנהל מחלקת סחר בשירותים והשקעות, אגף מדיניות סחר והסכמים בינלאומיים, משרד הכלכלה, העוסק בשם ישראל במו״מ על הסכמי סחר דיגיטלי, והתייחס להחלטת האיחוד האירופי בהקשר הגיאופוליטי הרחב ולנושא לוקליזציה של מידע.

עו״ד הילה אקרמן, ראש אשכול משפט בין-לאומי כלכלי, המחלקה למשפט בין-לאומי, ייעוץ וחקיקה, משרד המשפטים, שעוסקת ביחסי ישראל והאיחוד האירופי ושותפה לניהול הליך הבדיקה של האיחוד האירופי את עמידתה של ישראל בדרישות, לצורך הכרה במשטר הגנת הפרטיות שלה כנאות, והתייחסה להחלטה בעניין שרמס 2 והשפעתה על תהליך הבחינה של ההכרה בנאותות ישראל.

עו״ד נעמה גורני-לר, ממונה (משפט וטכנולוגיה), הרשות להגנת הפרטיות, משרד המשפטים, שהתייחסה ליוזמות החקיקה לתיקון חוק הגנת הפרטיות והתאמתו לסטנדרט הבינלאומי ולפעילות הרשות על מנת לתמוך במאמצי שימור ההכרה בישראל.

עו״ד עמית אשכנזי, היועץ המשפטי, מערך הסייבר הלאומי, לשעבר היועץ המשפטי, הרשות למשפט טכנולוגיה ומידע (כיום הרשות להגנת הפרטיות) ששיתף בכמה נקודות מנסיונו כיועמ״ש של גוף ציבורי.

את הדיון ניהלה והנחתה מנהלת המכון, עו״ד לימור שמרלינג מגזניק.

רקע

ב-16 ביולי בית הדין לצדק של האיחוד האירופי (CJEU) פסל את ההסדר שאפשר העברות מידע אישי מאירופה לארה״ב, ״מגן הפרטיות״ (״Privacy Shield״), והטיל ספק בתוקפו של בסיס משפטי אחר, התניות החוזיות הסטנדרטיות – ״Standard Contractual Clauses (SCC)״, המשמש להעברות מידע מאירופה למדינות רבות בעולם (Data Protection Commissioner v.Facebook Ireland and Maximillian Schrems, ״ פס״ד שרמס 2״). הנימוק המרכזי: החשש מפני גישה לא מבוקרת של רשויות ביטחון אמריקאיות למידע אישי של תושבי האיחוד האירופי, שהועבר לארה״ב במסגרת פעילות מסחרית.

ישנן נקודות מבט מגוונות לדיון, העוסק בעקרון היסוד של הגנת הפרטיות במידע דיגיטלי, ונוגע גם לכלכלה הדיגיטלית, שזרימת מידע בין מדינות היא חלק בלתי נפרד ממנה. חשוב לבחון את החלטת בית הדין לצדק של האיחוד האירופי מכמה נקודות מבט: ערכית ומוסרית, משפטית, כלכלית ופוליטית.

מזה עשרות שנים שהדין של האיחוד האירופי אוסר על העברת מידע אישי אודות תושבי האיחוד למדינות אחרות, אלא באמצעות מנגנוני העברה שיבטיחו שהמידע ינוהל ברמת הגנה וכבוד לערך הפרטיות כמקובל בדין האיחוד.

מנגנוני העברה אלו כללו בין היתר: הסכם בין האיחוד לארה״ב (Safe Harbour ואחריו – Privacy Shield), לפיו חברות שיעמדו בתנאים הנדרשים לקיום עקרונות הגנת הפרטיות האירופיים, יצהירו על כך בפני רשות רגולציה אמריקאית ייעודית ויפוקחו על ידיה, יוכלו לקבל מידע על אירופאים מבלי שתהיה בכך הפרת חוק מצד מעבירי המידע. מסגרת נוספת היא הכרת נאותות למדינה שאינה חברת האיחוד, כנאותה ותואמת את מדיניות האיחוד בנושא הגנת הפרטיות (“Adequacy”), שבהינתנה ניתן להעביר אליה מידע. להכרה כזו זכתה ישראל לפני כ -10 שנים. זכו בה גם מדינות נוספות בעולם. עוד מנגנון הוא סעיפים חוזיים מוסכמים (״Standard Contractual Clauses (SCC)״), אשר בהינתן שהם כלולים בהסכם בין שני צדדים, כלומר הצד מקבל המידע מתחייב חוזית לנהל את המידע בהתאם לסטנדרט האיחוד האירופי, ניתן להעביר את המידע.

פסה״ד פסל את תקפות ההסדר הקיים, ״מגן הפרטיות״, להעברות מידע לארה״ב, באופן מיידי וללא תקופת היערכות, עצירה מיידית ומוחלטת, והדגיש שהרגולטורים האירופאיים מחוייבים לאכוף את האיסור להעביר מידע.

הסיבה: הבעייתיות בחקיקה האמריקאית בנושא מעקב על תקשורת דיגיטלית.

התוצאה המיידית של פסה״ד היא, כי יותר מ-5,300 חברות שהשתתפו בהסדר ״מגן הפרטיות״ נדרשות עתה למצוא פתרון אחר. אך להחלטה משמעויות מרחיקות לכת גם על הסדרים חוזיים להעברת מידע למדינות אחרות, וגם על ההחלטות שמכוחן הכיר האיחוד האירופי בעבר ב״נאותות״ ההגנה על הפרטיות במדינות נוספות (במסגרת מנגנון Adequacy), ובהן ישראל.

הנמקת בית הדין נעוצה בחקיקה האמריקאית בנושא מעקב על תקשורת דיגיטלית, המאפשרת גישתן של רשויות ביטחון למידע שעבר מאירופה לארה״ב לידי חברות פרטיות, ומייצרת מספר בעיות

• היעדר עיקרון חוקי המחייב את הממשלה האמריקאית לשימוש מידתי במידע אישי למטרות חיוניות ולהגנה על זכויות וחירויות של אנשים.
• היעדר בהסדרה בחקיקה הכוללת בקרות ופיקוח על שימושי הממשלה במידע אישי.
• היעדר בערוץ סעד לאנשים נושאי המידע. בעיה זו נכונה גם לאזרחי ארה״ב ולאזרחי מדינות לא אירופאיות.
• היעדר עצמאות של נציב תלונות הציבור.

ישראל זכתה להכרת הנאותות האירופית בשנת 2011. בשנת 2017, לאחר ההחלטה הראשונה של ביה״ד האירופי בעניין שרמס שביטלה הסכם דומה קודם עם ארה״ב (“Safe Harbour”), נציבות האיחוד האירופי הודיעה על פתיחה של בדיקה חוזרת של החלטת הנאותות של ישראל ושל כלל המדינות שהוכרו. מאז 2011, ישראל כמעט שלא תיקנה את דיני הגנת הפרטיות שלה, על מנת להתאימם למציאות הטכנולוגית-משפטית החדשה; גם לא לאחר שנכנסה לתוקף הרגולציה האירופית המקיפה – GDPR, ב-2018. לאחרונה אף התבהר, בהקשר של התמודדות המדינה  עם מגפת הקורונה, כי שירות הביטחון הכללי של ישראל אוסף מזה שנים מידע מקיף מחברות הסלולר המאפשר לו לאכן תנועות של כל אדם, גם ללא צו שיפוטי.

תמצית התייחסויות הדוברים:

פרופ’ עומר טנא:

אני לא צופה הסדר שלישי בקרוב, בוודאי לא לפני הבחירות בארה״ב. מההיבט הפוליטי עמדת ממשל טראמפ שאם האיחוד האירופי יצר לעצמו בעיה שיפתור אותה בעצמו. מההיבט המשפטי, כדי להתגבר על קביעות פסה״ד יידרשו תיקוני חקיקה בנושא בטחון לאומי ואולי גם תיקוני חוקה בהקשר של זכות העמידה של נפגע מול בית המשפט. לא סביר שזה יקרה. פרקטית, 5,300 חברות היו בהסדר שבוטל מיד ללא תקופת היערכות, אך אני לא צופה שהרגולטורים האירופאיים ימהרו לאכוף עליהן איסור מידע על אירופאים לארה״ב. יש לומר שהפגמים שבית הדין מצא חלים על מדינות כל העולם, לרבות מדינות אירופה עצמן. המשך העברת מידע לארה״ב עדיין אפשרי על בסיס התניות החוזיות (SCC) וסעיף 49 GDPR. בית הדין חידד את חובת מעביר המידע לבצע בדיקת נאותות על דיני המדינה הנעברת ולהוסיף הגנות נוספות על המידע, למניעת גישת רשויות בטחון. הבדיקה לא מעשית ולא מפורט איזו הגנה נוספת תספק. נקודה חשובה נוספת היא, שרואים פה טרנד של לוקליזציה של מידע שעשוי לחזק את התהליך של התפצלות המרחב הדיגיטלי לגושים: אמריקאי, סיני ואולי אירופי, וזו לא התפתחות חיובית.

עו״ד יורם הכהן:

הכרת הנאותות היתה ברכה למשק הישראלי. בזכות ההכרה חברות ישראליות יכלו להתמודד במכרזים באירופה למתן שירותים שכרוכים בשימוש במידע אישי. ההכרה גם עזרה מאד לקהילה האקדמית בהשתתפות ביוזמות של פרוייקט Horizon2020. מרכיבי הבדיקה כוללים את דיני הגנת הפרטיות במדינה הנבדקת וקיומה של רשות אכיפה עצמאית בעלת סמכויות. חוק הגנת הפרטיות הישראלי מבוסס על עקרונות אמנה 108 של מועצת אירופה והנחיות העברת המידע של OECD, כך שהיה קל להראות שלישראל בסיס חזק. בנוסף, חוסרים שהאירופאים בתפיסת המשפט הקונטיננטלי מצפים שיהיו כתובים בחוק בצורה מפורטת, הוכחנו שנוספו בזכות תקדימים שיפוטיים בשיטת המשפט המקובל שאצלנו. הדבר המשמעותי השני בבחינה היה להוכיח שרשות הגנת הפרטיות הישראלית שהוקמה אז היא עצמאית. מכיוון שהרשות, אז והיום, היא יחידה במשרד המשפטים הכפופה למנכ״ל משרד המשפטים, זה לא היה פשוט. כעת אני צופה כאן בעייה יותר גדולה, משום שכשמסתכלים על עצמאות רגולטורים היום, פרשות דיויד גילה ואורית פרקש, ואירועים שקרו סביב הרשות להגנת הפרטיות בשנה וחצי האחרונות, אלו יעיבו על היכולת לטעון לעצמאות הרשות בבחינה המחודשת.

פרופ׳ מיכאל בירנהק:

הבדיקה שערכתי עבור האיחוד האירופי כללה ניתוח משפטי ומחקר שטח. נשלחו שאלונים ל-100 גופים ציבוריים ופרטיים מתעשיות שונות בארץ. המודעות היתה מאד נמוכה, וכיום אני מעריך שחלה עלייה משמעותית בהכרה בחשיבות נושא הגנת הפרטיות בישראל. בשנים שחלפו נוספו עוד השלמות חשובות להגנת פרטיות במשפט הישראלי, למשל פס״ד איסקוב בבית הדין הארצי לעבודה בנושא פרטיות עובדים, פס״ד קאלנסווה בנושא מידע ביומטרי, פס״ד IDIבמחוזי ועוד. ממשלת ישראל הבטיחה תיקוני חקיקה לאיחוד האירופי בהתאם להמלצות ועדת שופמן מ-2007. בחלוף 10 לא קרה דבר. חסר בחוק הגנת הפרטיות דרישת מידתיות בשימוש במידע, מגבלת תכלית. כיום האיחוד האירופי מחויב לבדוק מחדש את כל החלטות האדקווסי (11), ובהן קנדה ניו זילנד ארגנטינה וישראל. נכון שכל עוד לא החליטו אחרת ההחלטה הקודמת נותרה בתוק, אך מי שמשווה את החוק הישראלי ל-GDPR ברור שישראל לא תואמת, גם בלי להיכנס לסוגיית מעקב איכוני השב״כ. אין בחוק הישראלי חזרה מפורשת מהסכמה, זכות להישכח, חובות תסקיר הגנת פרטיות, מינוי ממונה פרטיות, עיצוב לפרטיות. לישראל יש גם קושי פוליטי שנובע מיחסי האיחוד האירופי וישראל על רקע דברים אחרים. בעת הענקת ההכרה לישראל ברגע האחרון האירלנדים התנגדו מסיבות פוליטיות, מאחר שנטען שישראל עשתה שימוש בדרכונים אירים מזויפים. ההכרה האירופית בנאותות חשובה לנו קודם כל משום שהיא מעלה את רמת הגנת הפרטיות בישראל. היא גם חשובה לחברות, בעיקר בינוניות וקטנות, שאין להן משאבים להשקיע במנגנונים אחרים להסדרת העברת מידע. אני סבור שממשלת ישראל נכשלה במבחן התוצאה בקידום הנדרש על מנת להגן על ההכרה. הממשלה גם התנגדה לחשיפת המענה שהגישה עד כה לאיחוד האירופי ולשתף את הציבור והחברה האזרחית בתהליך הבחינה.

עו״ד דלית בן ישראל:

ההכרה בנאותות של ישראל לא נשללה בינתיים ולכן הסתמכות עליה בהעברה מאירופה לישראל, עדיין עומדת. הקושי עבור חברות ישראליות, בדומה לחברות אירופאיות רבות שמעבדות מידע אירופאי בישראל, אך משתמשות בתהליך גם בספקי שירותים מחוץ לישראל הוא בביטול מגן הפרטיות. פעמים רבות ההייטק הישראלי מכוון לארה״ב, וחברות ישראליות משתמשות בשירותי אירוח אמריקאים. נוכח ביטול מגן הפרטיות, הדבר מחייב לבחון את שרשרת האספקה על כל חוליותיה, לבדוק התקשרויות עם ספקי משנה שאינם מעבדים את המידע באופן מלא באירופֲה, לבחון האם יש העברות מידע לארה״ב ועל מה הן מבוססות.  צריך לעקוב ולראות כעת איך יתנהגו רשויות הרגולציה האירופאיות מבחינת אכיפה.

בנוסף, קיימת גם סוגיית ייצוא מידע על ישראלים מישראל. התקנות הישראליות על הוצאת מידע על ישראלים החוצה דומות לדין האירופי. חברות ישראליות שמעבדות מידע ישראלי בארה״ב, צריכות לבדוק את המנגנונים. אחת החלופות, שחברות רבות מסתמכות עליה, היתה העברת מידע למדינה שמקבלת מידע מהאיחוד האירופי על פי אותם תנאי קבלה. אם עד היום חברות הסתמכו על העברות לארה״ב על בסיס מגן הפרטיות (היה עם זה קושי, אני לא המלצתי על כך), הן צריכות לבחון עצמן מחדש. גם הסכמים ותניות חוזיות יחייבו כעת בחינה נוספת והגנות נוספות. יש גם לזכור שבישראל יש רגולציה נוספת פרטנית של רגולטורים סקטוריאליים, כמו הבנקים והביטוח, שמתייחסת ליצוא מידע בעיקר במחשוב ענן והן מחמירות יותר מהרגולציה האירופית, ויש לבחון גם אותן.

ד״ר אבישי קליין:

באמדוקס אנחנו עוסקים בשני סוגי העברות מידע אישי: 1) בתוך הארגון. אמדוקס חברה בינלאומית שעובדת ב -80 מדינות. העברות המידע בקבוצה כוללות בין המדינות גם מקומות בעייתיים כמו רוסיה והודו. 2) מידע של לקוחות וספקים. כשה-GDPR יצא, שקלנו אם להסתמך על מגן הפרטיות או להסתמך בכל ההעברות על התניות החוזיות. לשמחתי הסתמכנו על התניות החוזיות. הבעיה הגדולה יותר שפסה״ד יצר פתח לרגולטורים לקבוע לגבי כל העברת מידע על בסיס תניות חוזיות שהיא יכולה להיות לא תקפה. עשינו מיפוי מהיר לראות מי מהקשורים אלינו נסמך על המגן להעברות מידע אירופאי, מצאנו מעט ואנחנו מעבירים אותם לתניות חוזיות. אנחנו שוקלים קריטריונים איך לעשות Assessment לפי פסה״ד כדי להעריך אם התניות החוזיות יהיו מספקות. לא מספיק להבין מה החוק הספציפי אומר לגבי מעקבים. יש עוד קריטריונים שצריך לקחת בחשבון לרבות האם המידע הוא רגיש ועד כמה הוא עשוי לעניין רשויות בטחון. יכול להיות שמידע על עובדים לא מעניין במיוחד ולכן אפשר להעריך שאין סיכוי גבוה לגישה על ידי רשויות מדינה וניתן להעביר את המידע, לעומת זאת מידע בתחום הטלקום מאד מעניין. קריטריון נוסף שאנחנו שוקלים הוא האם אנחנו שומרים את במדינה כלשהי באחסון קבוע, או שמדובר במשהו זמני ונקודתי למשל לצורך תמיכה מרחוק שנפתחת ונסגרת מהר. אני מזכיר שהספקים הגדולים אמזון, מייקרוסופט, כשחתמו על הסכמי GDPR בהסכמים הסטנדרטיים שלהם חתמו על תניות חוזיות. גם הם ידעו שייתכן שהמגן לא חזק. מי שמסתמך על ספקי ענן כאלו כנראה די מוגן. הבעיה המשמעותית היא הלוקליזציה של המידע והביזור של ההחלטות לרגולטורים מדינתיים. יקשה עלינו מאד להתאים את עצמנו לצרכי הלקוחות בכל מדינה באופן שונה. התקווה שלי שהרשויות באירופה יתעשתו ויבינו שהן צריכות לעבוד יחד ולשמור על מנגנון One Stop Shop באיחוד.

מר ניר ברנגה:

מעל 65% מהייצוא הישראלי הוא למדינות שיש לנו איתן הסכמי סחר. אנחנו מנהלים את מערך הסכמי הסחר של ישראל ומייצגים את ישראל בארגון הסחר העולמי (WTO) וה – OECD בנושאים אלו. מסורתית, הסחר הדיגיטלי נכלל בהסכמי סחר שירותים משנות ה-90. כיום רואים כבר מגמה של עיבוי הסכמים אלו ויצירת הסכמים ייעודיים. למשל, לאחרונה ראינו הסכם סחר דיגיטלי בין ארה״ב ליפן ובין צ׳ילה, ניו זילנד וסינגפור. מטרת ההסכמים למנוע חסמים רגולטוריים ולייצר וודאות משפטית ארוכת טווח לארגונים שרוצים לפעול לאורך זמן בשווקים גלובליים. מתנהלת כבר 3 שנים יוזמה מעניינת ב – WTO שמובילות אוסטרליה, סינגפור ויפן, בניסיון ליצור כללי סחר דיגיטלי גלובליים מולטילטרליים. הסכמים אלו יהיו מחייבים ויש כיום 85 חברות ביוזמה מבין חברות WTO ובהן ישראל. כשאנחנו ניגשים למו״מ אנחנו משקפים את המצב הרגולטורי הקיים בישראל, כדי שלא נאלץ להתחייב לדברים שאנחנו לא יכולים לעמוד בהם. הסכמי סחר נועדו להפריד בין העולם הכלכלי מסחרי והעולם הפוליטי. פסה״ד משקף מגמה חדשה ומדאיגה של עירוב נושאים פוליטיים, תפיסות עולם וסוגיות סחר. בהסכמי סחר עקרון בסיסי הוא שמדינה חופשיה להסדיר את הרגולציה שלה עצמאית,  אך בנושא הגנת הפרטיות האיחוד האירופי אומר לנו ליצר רגולציה כמו שלהם. זה עשוי להיתפס כצעד של מלחמת סחר, באמצעות דרישות שיהיה קשה לעמוד בהן. בנוסף, כרגע יצוא שירותים קשורים למידע אישי מישראל לאירופה תלוי בעיקר בחקיקה הפנימית שלנו, אך אין לנו וודאות שהאיחוד האירופי לא ישנה את הכללים בעוד כמה שנים, ושוב נכנס לסחרור בדרישה להתאים את עצמנו. בנוסף, יש כאן תחושה של הכנסת חסמים במסווה של ערכים מוסריים ואידיאלים דמוקרטיים תוך השלכות כלכליות עצומות. העברת מידע ולוקליזציה תמיד הייתה אבן נגף בכל דיון מולטילטרלי וגם בילטרלי עם מדינות אחרות. כולם מבינים שלוקליזציה לא טובה לסחר חופשי ותפגע בגלובליזציה, אך הדרישות האירופיות המחמירות מייצרות דה פקטו חובת הקמת שרתים מקומית. במיוחד לחברות קטנות וסטארט אפים הדרישות האירופיות מחייבות אותם לקחת עלויות ועול. ישראל מדינה קטנה ומושפעת מאד ממה שקורה בין הגושים הגדולים. יש כאן הזדמנות לנצל את הכח של הזירה המולטילטרלית, לחבור למדינות דומות לנו ולגבש קואליציות, אולי עם מדינות שהכרת הנאותות בהן נבחנת כרגע. אנחנו מעוניינים לשמוע את צרכי התעשייה ועמדות החברה האזרחית בנושאים האלו ומזמינים את כולם לשוחח אתנו.

עו״ד הילה אקרמן:

ישראל הוכרה כנאותה כבר בשנת 2011 ועוד קודם התחלנו במשרד המשפטים לקדם את תחום הגנת המידע בישראל. כעת אנחנו בתהליך ה- review. זו פעם ראשונה שהנציבות מתמודדת עם תהליך כזה. הנציבות מגישה חוות דעת לפרלמנט, שם צפויה להתקיים הצבעה שאינה מחייבת את הנציבות. אך יש להניח שאם יהיו הערות, הדו”ח יחזור לנציבות להשלמות. ההחלטה הסופית מחייבת. עובדים על תהליך ה- review של ישראל צוות של ייעוץ וחקיקה בינלאומי, ייעוץ וחקיקה חוקתי, הרשות להגנת הפרטיות ומשרד החוץ. אנחנו בתהליך של הגשת מענים לאיחוד וקבלת שאלות נוספות. פסה״ד חשוב מאד, ואנחנו ומדינות אחרות לומדים אותו. הוא חשוב גם למדינות בעלות הכרה, וגם למדינות חדשות שיבקשו לקבל הכרה. צריך לזכור שפסה״ד לא מדבר על מדינות שכבר הוכרו, אלא על הסדרים קונקרטיים בין האיחוד לארה״ב, אך  ברור שההערות השזורות בפסה״ד עשויות להשפיע עלינו ועל יתר המדינות הנבחנות.

אתייחס ל-3 נושאים:

ראשית, הרחבת התחולה של GDPR לגופי בטחון של מדינה שלישית. ככלל, ה – GDPR אינו חל על העברות מידע לצרכי בטחון לאומי ואכיפת חוק, אך פסה״ד קובע חלות על העברה בין מדינות על ידי גופים מסחריים פרטיים, שלאחריהמתאפשרת גישה של רשויות בטחון במדינה המקבלת. ביה”ד קובע שיש לבדוק נאותות של המדינה הנעברת בעת שימוש במנגנון התניות החוזיות, ושיש לשים לב להוראות המצויות ב – GDPR לצרכי הכרת נאותות. כלומר, בית הדין רואה בהעברת מידע בנתיב הנאותות כבטוחה יותר מאשר לפי תניות חוזיות. שנית, רמת ההגנה הנדרשת. ביה”ד קובע, שהיות שסעיפי הנאותות ונושא העברת המידע לפי תניות חוזיות נמצאים באותו פרק, רמת ההגנה מכוחם צריכה להיות שווה במהותה. ביה״ד מחדש כאן חידוש משמעותי, בהגדרתו את הצ׳רטר האירופי לזכויות אדם כמקור. זוהי למעשה החלה של חקיקה פנים אירופית כסטנדרט, על מדינות שאינן באיחוד האירופי. שלישית, זכות הגישה לסעד שיפוטי. ביה”ד קובע, כי חקיקה שתעמוד בסטנדרט האיחוד תכלול אפשרות לסעד משפטי לאנשים שפרטיותם נפגעה מפעולת רשויות הבטחון, כך שחקיקה שלא מקיימת זאת, נעדרת את ליבת הזכות להגנה משפטית. יש לאבחן את ישראל מארה״ב בנושא הגישה לערכאות. בישראל, הזכות לפרטיות מוכרת בחוק יסוד: חוק האדם וחירותו ולפיכך, הגישה לערכאה שיפוטית הופכת קלה, כולל למול רשויות בטחון. ראינו לאחרונה בסוגיית שימוש באיכון השב״כ למאבק בקורונה, שבית המשפט העליון לא היסס לקבוע קביעות נחרצות, ולדרוש שהממשלה תסדיר את השימוש בחקיקה ראשית. גם כנגד הסדר זה הוגשה עתירה.

צריך לזכור, שבית הדין בעצם מבקר כאן את הנציבות של האיחוד האירופי ומבטל פעמיים תוך שנים ספורות הסכמים של הנציבות ושולח אותה לעשות עבודה נוספת. ייתכן שתעוצב כאן מדיניות חדשה באיחוד.

עו״ד נעמה גורני-לר:

תזכיר צמצום חובת הרישום אכן מהווה סנונית ראשונה. הוא מתייחס, גם לצמצום הנטל של הרישום וגם לעדכון של הגדרות קיימות בחוק, כשהרוח הכללית היא הניסיון להתאים לרפורמות בעולם ובראשן ה – GDPR, במטרה לקדם את ההגנה על הפרטיות בישראל. אנחנו מתכננים להביא את תיקון החקיקה על סמכויות האכיפה (תיקון 13) בקרוב לכנסת, יחד עם שותפינו בייעוץ וחקיקה במשרד המשפטים. תיקון זה מרחיב את סמכות הרשות להטיל עיצומים כספיים בסכומים נכבדים ומחזק את סמכויות האכיפה הפליליות והמנהליות. אנחנו מקווים שבקרוב יעלה על שולחן הכנסת. זהו מהלך משלים יחד עם עדכון ההגדרות וצמצום הנטל הבירוקרטי בתזכיר הראשון. אנחנו מבקשים ליצור וודאות למשק הישראלי ולהגביר את האכיפה בתואם עם GDPR. בהמשך נרצה להביא תיקונים נדרשים נוספים, וליצור בחקיקה של פרקים – פרקים קודקס שלם שייתן מענה על צרכי עידן עיבוד המידע הנוכחי וההגנה על הפרטיות בו. הרשות גם פרסמה לאחרונה הנחיות רבות, בנושא הקורונה ובנושאים אחרים. כמו-כן הגשנו לראשונה חוות דעת מקצועית לוועדת חוץ ובטחון בכנסת בהקשר של איכוני השב״כ, ועמדתנו המקצועית כי יש חלופה אחרת פוגעת פחות בפרטיות והיא המגן 2.

עו״ד עמית אשכנזי:

ראשית, יש חוק בספרים ויש חוק בשטח, ולישראל יש חוק בשטח. שרמס נכשל בתביעה ייצוגית גדולה באירופה כשניסה לממש את הצלחותיו, ונענה שאין בדין האירופי אפשרות לתביעה ייצוגית בנושא פרטיות. לעומת זאת, בישראל תביעות ייצוגיות בנושאי פרטיות מנוהלות ומשפיעות על רמת הציות במשק. ככלל, ניהול הסיכונים בתחום הפרטיות בישראל בסדרי גודל, יותר משמעותי היום משהיה פעם, והפקידות האירופית יודעת להעריך ולהוקיר את זה.

שנית, כיועמ״שׁ שעוסק בפרטיות, יש לזכור את החשיבות של עקרון האחריותיות. שרמס 2 שולח יועצים משפטיים שחותמים על תניות חוזיות לעשות ניהול סיכונים, ולא תמיד התוצאה תהיה זהה. פעמים רבות מדובר במידע תמים, והחשש שמא מדינה זרה תיגע במידע, חלש. שלישית, אני חושב שהנציבות תרצה יותר הסדרי נאותות כי הם מחזקים את המותג האירופי כלפי מדינות אחרות. למרות האתגרים הרבים, יש תועלות בשימור קהילת המדינות המעריכות פרטיות ומגנות עליה, כמו ישראל, בוודאי כשמדינה כישראל יש לה קהילת הייטק, סייבר ו – AI ויש לה ערכים משותפים עם האיחוד האירופי, הרבה יותר ממדינות אחרות שהוזכרו כאן היום.