בית המשפט האירופי לצדק ביטל את הסדר ה-Privacy Shield
הבוקר פרסם בית המשפט האירופי לצדק את החלטתו בתביעה תקדימית, שהיא תולדה של תלונה שהגיש בשנת 2015 האקטיביסט האוסטרי מקס שרם (Max Schrems) והארגון NOYB (None of your Business) לרגולטור האירי, בעניין חוקיותם של המנגנונים הקבועים בדין האירופי להעברת מידע אישי אל מחוץ למדינות האיחוד.
בהחלטתו, ביטל בית המשפט האירופי לצדק את מנגנון ה-Privacy Shield, אשר אפשר ליותר מ-5,300 חברות אמריקאיות להעביר מידע אישי מאירופה לשטחי ארה"ב. כמו-כן, הנחה בית המשפט את הרשויות האירופאיות להגביל העברת מידע אישי אל מחוץ למדינות האיחוד בהסתמך על מנגנון ההסכמים האחידים שנקבעו על ידי האיחוד, הידועים כ-Standard Contractual Clauses, למדינות אשר מקנות הגנה מתאימה למידע אישי בלבד.
ככלל, החקיקה האירופית להגנה על מידע אישי, ה-GDPR, מאפשרת העברת מידע אישי אל מחוץ לגבולות האיחוד אך ורק למדינות אשר הוכרו על ידי האיחוד ככאלו המבטיחות מידה מספקת של הגנה על מידע אישי, לרבות ישראל. בהיעדר הכרה כאמור, קובע ה-GDPR כי ארגון המבקש להעביר מידע אישי לארה"ב, נדרש ליישם אחד מן המנגנונים הקבועים בחוק, אשר תכליתם להבטיח את ההגנה על המידע ועל זכויות נושאי המידע.
על אף יישומם של מנגנונים כאמור, חברות אמריקאיות מסוימות כמו פייסבוק וגוגל, אשר מבקשות להעביר מידע אישי מן האיחוד האירופי לארה"ב, כפופות גם לחוק האמריקני אשר מחייב אותן להעניק לשירותי הביון של ארה"ב גישה למידע שהן מחזיקות, וזאת מטעמי שמירה על הביטחון הלאומי. בשנת 2015, תלונה שהוגשה על-ידי אותו מקס שרם, הובילה כבר לביטולו של מנגנון ה-Safe Harbor אשר אפשר בזמנו העברת מידע אישי מאירופה לארה"ב בתנאים מסוימים, על בסיס כך שהחוק האמריקאי המחייב מתן גישה למידע אישי לרשויות המקומיות פוגע בזכויות נושאי המידע האירופאים. בעקבות החלטה זו ייסדו האיחוד האירופי וארה"ב את מנגנון ה-Privacy Shield שהציג דרישות ומגבלות חמורות יותר על העברת מידע כאמור, אולם היום ביטל בית המשפט גם את מנגנון זה, על בסיס נימוקים דומים.
השלכותיה המלאות של ההחלטה טרם התבררו במלואן, ועל פניו נראה כי ההחלטה אינה צפויה לפגוע בטווח המיידי בהעברות מידע מאירופה לארה"ב, אולם, חברות אמריקאיות שהסתמכו על מנגנון ה-Privacy Shield, יידרשו כעת ליישם מנגנון אלטרנטיבי על מנת לאפשר את העברתו כאמור. יודגש כי עומדים לרשות חברות אמריקאיות מנגנונים חלופיים להעברת המידע, כגון קבלת הסכמת נושא המידע, אולם ככלל הם אינם פשוטים ליישום, ומשכך צפוי כי המנגנון העיקרי להעברת מידע לארה"ב יהא מעתה ואילך הסכמי ה-Standard Contractual Clauses.
עם זאת, כעת חברות אמריקאיות, יהיו מחויבות להבטיח כי בעת השימוש ב-Standard Contractual Clauses, המדינות בהן שמור ומעובד מידע האישי הכפוף לדין האירופי מעניקות הגנה נאותה למידע, והרגולטורים האירופאים יידרשו להבטיח שזהו אכן המצב. משכך, רגולטורים בכל אחת ממדינות האיחוד עשויים לקבוע כי ארה"ב אינה בגדר יעד בטוח להעברת מידע אישי, מה שעלול להגביל את האפשרות להעביר מידע אישי לארה"ב באופן ניכר ולהוביל להחלטות שאינן עקביות בין מדינות האיחוד.
חברות ישראליות אשר הסתמכו בעבר על מנגנון ה-Privacy Shield להעברת מידע אישי מאירופה ארה"ב נדרשות לבחון מחדש עניין זה. אולם יובהר כי אין בהחלטת בית המשפט כדי להשפיע על העברות מידע מישראל לארה"ב או מאירופה לישראל.
אנו נמשיך ונעדכן בהתפתחויות בעניין זה, ובינתיים את ההודעה לעיתונות שהופצה ביחס להחלטה זו ניתן לקרוא בלינק זה.
לפרטים נוספים בעניין זה ובנושאי הגנה על פרטיות וניהול מאגרי מידע, הנכם מוזמנים לפנות לעו"ד אלה טבת, שותפה, ראש מחלקת קניין רוחני ופרטיות, בטלפון 03-6074588 או בדוא”ל ellat@gkh-law.com.
אנו לרשותכם בתקופה ייחודית זו, ממשיכים בעבודתנו וזמינים במייל, בטלפון, ואף בפגישות פנים אל פנים ככל שהדבר נדרש ומתאפשר.
בברכת בריאות איתנה
משרד גרוס, קלינהנדלר, חודק, הלוי, גרינברג, שנהב ושות' (GKH), הנו אחד ממשרדי עורכי הדין הגדולים בישראל, המונה למעלה מ-170 עורכי דין. למשרד התמחות ופעילות ענפה בתחומי המשפט המסחרי, ובין היתר בתחום מיזוגים ורכישות, שוק ההון, הייטק וטכנולוגיה, בנקאות, מימון, נדל"ן, ליטיגציה, הגבלים עסקיים, אנרגיה ותשתיות, איכות הסביבה, קניין רוחני, דיני עבודה ומיסים.
מידע בחוזר זה מיועד ללקוחות משרד גרוס, קלינהנדלר, חודק, הלוי, גרינברג, שנהב ושות' וידידיו. כל המידע הנכלל בחוזר זה הינו בבחינת מידע כללי ותמציתי בלבד, ואינו מהווה חוות דעת או ייעוץ משפטי. על המשתמש לקבל עצה מקצועית נפרדת לכל פעולה משפטית או אחרת בקשר לנושאים שנדונו בחוזר.