ב- 15 באוקטובר 2015, הודיעה הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים, כי העברת מידע לארה”ב ממאגרי מידע בישראל לא תותר יותר מכוח תקנה 2(8)(2) לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס”א-2001, זאת לנוכח ביטול הסדר Safe Harbor בידי בית הדין האירופאי לצדק ב- 6 לאוקטובר 2015. בהמשך, לנוכח משא ומתן אינטנסיבי שהחל מתנהל בין האיחוד האירופאי לארה”ב בדבר גיבוש הסכמות חדשות שיאפשרו העברת מידע, הודיעה הרשות באופן רשמי על כך שלא תיזום פעולות אכיפה בעניין בשלב זה (אולם פניות ותלונות פרטניות ייבדקו לגופן). ב- 2 בפברואר 2016 הודיעה נציבות האיחוד האירופאי על כך שהושג הסכם מסגרת ל EU-US Privacy Shield הצפוי להיכנס לתוקף באפריל 2016, לאחר שהצדדים ישלימו את הפרטים החסרים בו, ארה”ב תיערך ליישומו והוא יאושר בידי הנציבות האירופאית. לפיכך, נראה כי העברת מידע לארה”ב בהתאם לתקנה הנ”ל תוסיף ותתאפשר, בכפוף לתנאי הסדר “מגן הפרטיות” החדש לכשיאושר.

מרבית השירותים הטכנולוגיים הניתנים כיום ליחידים כרוכים באיסוף מידע אישי אודותיהם, החל בשירותים אינטרנטיים שמגישות לנו חברות מסחריות שונות וכלה באפליקציות מובייל בהן אנו עושים שימושים מגוונים. בנוסף, כמעט כל החברות והארגונים עמם אנו מקיימים ממשקים, בכל היבטי החיים, שומרים תיעוד ממוחשב נרחב עלינו, המכיל כמובן מידע אישי רב. המחוקק הסדיר את החובות החלות על כל מי שמנהל מאגרי מידע כאלו בפרק ב’ לחוק הגנת הפרטיות, התשמ”א-1981. בין היתר, נועדו הוראות החוק להבטיח שימוש במידע האישי שלנו למטרות לשמן מסרנו אותו בלבד, הגנה נאותה על המידע האישי שלנו מפני חדירות לא מורשות, לעגן את הזכויות שלנו לעיין במידע שנאגר אודותינו ולדרוש תיקונו ועוד.

מאגרי מידע אלו לעיתים קרובות נשמרים מחוץ לישראל, בשרתיהן של חברות בינלאומיות המציעות שירותי “אחסון ענן” או שהם מועברים לחברות שותפות של החברות שמחזיקות במאגר לצורך עיבוד המידע לטובת אספקת השירות, או חלקים ממנו, או למטרות עסקיות אחרות. בכל המקרים הללו, ההעברה צריכה להיעשות בהתאם להוראות שנקבעו בתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס”א-2001 (“תקנות העברת מידע לחו”ל“).

הכלל שנקבע בתקנה 1 לתקנות העברת מידע לחו”ל קובע שניתן להעביר מאגר מידע לגורם במדינה שרמת ההגנה שהיא מספקת לנושא הפרטיות אינה פחותה מהרמה הקבועה בדין הישראלי. ביצוע הערכה של מידת ההגנה המוקנית לפרטיות במדינה אליה מועבר המידע עשוי להיות לא מעשי ברוב המקרים, ולכן תקנה 2 לתקנות העברת מידע לחו”ל ממשיכה ומונה תנאים שבהתקיים אחד מהם ההעברה מוכרת כהעברה מותרת.

חלק ניכר מהעברות המידע ממאגרי מידע בישראל נעשה לשותפים עסקיים במדינות האיחוד האירופאי או בארה”ב. לפיכך, שני התנאים הפופולאריים ביותר הם הללו הנקובים בתקנה 2(8)(1) שמתיר העברה למדינה “שהיא צד לאמנה האירופית להגנת הפרט בקשר לעיבוד אוטומטי של מידע רגיש” ובתקנה 2(8)(2) המתיר העברה למדינה “המקבלת מידע ממדינות החברות בקהיליה האירופית, לפי אותם תנאי קבלה”. בעוד הראשונה אפשרה באופן מעשי העברת מידע למדינות האיחוד האירופאי, הרי שהשנייה אפשרה במשך שנים ארוכות העברת מידע מישראל לארה”ב.

בשנת 2000 ניתנה החלטת הנציבות האירופאית המכירה בהסדר Safe Harbor בין האיחוד האירופאי לממשלת ארה”ב שהסדיר את התנאים שגופים אמריקאיים יידרשו להתחייב בהם על-מנת שתותר העברת מידע אליהם ממדינות האיחוד האירופאי. לפיכך, העברות מידע ממאגרי מידע בישראל לגופים בארה”ב, לפי תנאי הסדר ה-Safe Harbor, היו מותרות לפי תקנה 2(8)(2) לתקנות העברת מידע לחו”ל.

ב- 6 באוקטובר 2015 קבע בית הדין האירופאי לצדק כי הסדר ה- Safe Harbor אינו תקף. ההחלטה ניתנה על רקע פרשת Schrems, שתחילתה בתלונה שהגיש Schrems בשנת 2013 לנציב הגנת הפרטיות בדרישה למנוע מפייסבוק אירלנד להעביר מידע של משתמשיה לארה”ב. Schrems טען כי רשויות המדינה בארה”ב מבצעות (באופן פרקטי ולפי סמכויותיהן לפי דין) פעולות מעקב אחר משתמשים פרטיים ובשל כך יש לקבוע כי ארה”ב אינה מקנה הגנה הולמת למידע אישי. תלונה זו באה לאחר התפוצצות פרשתSnowden  במסגרתה נחשפו פעולות הביון של ממשלת ארה”ב, ובפרט של ה-National Security Agency .

כתוצאה, ב- 15 באוקטובר 2015, הודיעה הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים (הממונה על אכיפת חוק הגנת הפרטיות) (“הרשות“), כי העברת מידע לארה”ב לא תותר יותר מכוח תקנה 2(8)(2) לתקנות העברת מידע לחו”ל.

בהמשך, לנוכח משא ומתן אינטנסיבי שהחל מתנהל בין האיחוד האירופאי לארה”ב בדבר גיבוש הסכמות חדשות שיאפשרו העברת מידע, הודיעה הרשות באופן רשמי על כך שלא תיזום פעולות אכיפה בעניין בשלב זה.

ההתפתחות האחרונה בעניין זה התרחשה ב- 2 בפברואר 2016, עת הודיעה הנציבות האירופאית על כך שהושג הסכם מסגרת ל EU-US Privacy Shield הצפוי להיכנס לתוקף באפריל 2016, לאחר שהצדדים ישלימו את הפרטים החסרים בו, ארה”ב תיערך ליישומו והוא יאושר בידי הנציבות האירופאית. לפיכך, נראה כי העברת מידע לארה”ב בהתאם לתקנה הנ”ל תוסיף ותתאפשר, בכפוף לתנאי הסדר “מגן הפרטיות” החדש שיאושר.

מהודעת הנציבות האירופאית עולה כי במסגרת הסכם המסגרת להסדר “מגן הפרטיות”, יוחמרו התחייבויות ארגונים אמריקאים להגנת מידע אישי של אזרחי האיחוד האירופאי, יוגברו הפיקוח והאכיפה הממשלתיים בארה”ב על קיום התחייבויות אלו, תוגבל האפשרות של ממשלת ארה”ב לגשת למידע אישי שיועבר במסגרת ההסדר למקרים בהם הדבר חיוני ובאופן מידתי, הצדדים יבצעו בדיקה שנתית של קיום הוראות ההסדר (לרבות בידי גורמי הבטחון הלאומי בארה”ב) ויתאפשרו סעדים חדשים לאזרחי האיחוד האירופאי החוששים שזכויותיהם לפי ההסדר קופחו.

יצוין, כי בתקנה 3 לתקנות העברת מידע לחו”ל נקבעה חובת בעל מאגר מידע המעביר מידע לחו”ל, גם מקום שההעברה מותרת לפי התקנות, לקבל התחייבות בכתב ממקבל המידע לנקיטת אמצעי אבטחת מידע מספיקים ולהימנע מהעברת המידע שיתקבל לכל גורם אחר.

 

מזכר זה כולל מידע כללי בלבד והוא אינו מהווה ייעוץ משפטי או תחליף לייעוץ משפטי. מזכר זה מוגש כשירות ללקוחותינו, תוך הבהרה שבכל מקרה ספציפי יש לקיים דיון נפרד לגופו של עניין.