הרשות להגנת הפרטיות: "יש לעדכן את תקנות העברת המידע האישי לארה"ב"

בעקבות פסק דין של בית המשפט האירופי לצדק, פרסמה הרשות להגנת הפרטיות גילוי דעת ולפיו ארגונים ישראליים יידרשו למצוא בסיס משפטי חלופי להעברת מידע אישי לארה"ב

דנה לווינסקי | 29/09/20, 14:48

הרשות להגנת הפרטיות פרסמה גילוי דעת בעניין העברת מידע אישי מישראל לארה"ב, זאת בעקבות פסק הדין של בית המשפט האירופי לצדק בפרשת שרמס 2. על פי גילוי הדעת, השלכתו המרכזית של פסק הדין על ארגונים ישראליים היא כי אלה יידרשו למצוא בסיס משפטי חלופי להעברת מידע אישי לארצות הברית.

לפני כחודשיים, פרסם בית הדין האירופי לצדק (ECJ) פסק דין בפרשה הידועה בשם שרמס 2, בו נקבע כי החקיקה האמריקאית אינה עומדת ברף ההגנה על מידע אישי הנדרש בדין האירופי, ובמיוחד בהוראות רגולציית האיחוד האירופי (GDPR) והאמנה האירופית לזכויות האדם.

משמעותו המרכזית של פסק הדין היא ביטול הסדר ה -"Privacy Shield" – מנגנון הלימות (adequacy) מיוחד שגובש בין האיחוד האירופי לבין ארצות הברית, ואשר חל על חברות שהתחייבו לעמוד בדרישותיו אשר אפשר העברת מידע מאירופה לחברות אלה.

פסק הדין מפרש את הדין האירופי ואין לו רלבנטיות ישירה לחוק הישראלי ולפרשנותו. עם זאת, השלכות פסק הדין מגלמות שינוי עובדתי המשפיע גם על אופן היישום של הדין בישראל. סעיף 46 לרגולציית האיחוד האירופי (GDPR) אוסר על העברת מידע אישי של אירופאים מחוץ לגבולות האיחוד, אלא אם מתקיים אחד מהחריגים הנקובים בו.

פסק הדין דן באופן ישיר בשניים מהחריגים העיקריים: העברת מידע למדינה שהוכרה בידי האיחוד כמספקת רמה נאותה של הגנה (Adequate level of protection) למידע אישי של אירופאים; והסדרת העברת המידע אל מחוץ לשטחי האיחוד בהסתמך על חוזים לדוגמא (Standard Contractual Clauses – SCC) בנוסח שאושר בידי נציבות האיחוד האירופי.

גם בישראל קיים מנגנון המסדיר את נושא העברת מידע אישי אל מחוץ לגבולות המדינה אשר נקבע בתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א – 2001 . סעיף 2 לתקנות העברת מידע כולל רשימה של חריגים המתירים העברת מידע אישי אל מחוץ לישראל, וביניהם תקנה 2(8)(2) לפיה "המידע מועבר למאגר מידע במדינה – המקבלת מידע ממדינות החברות בקהילייה האירופית לפי אותם תנאי קבלה".

לאורך השנים הפרשנות שהעניקה הרשות להגנת הפרטיות לסעיף זה היא כחריג המתיר העברת מידע למדינות שהוכרזו בידי האיחוד האירופי כבעלות הלימות (adequacy) בתחום הפרטיות והגנת המידע. בין השאר, שימש הסעיף במשך השנים כעוגן המשפטי עליו התבססו חברות ישראליות רבות לשם העברת מידע מישראל אל חברות אמריקניות שהיו כלולות בהסדר Safe Harbor, שנחתם בין האיחוד האירופי לבין ממשלת ארה"ב.

כבר עם ביטולו של הסדר Safe Harbour בשנת 2015, בפסק דינו של בית המשפט האירופי בעניין שרמס 1, הבהירה הרשות לציבור כי לא ניתן יהיה עוד להסתמך על תקנה 2(8)(2) לתקנות העברת מידע, כבסיס להעברת מידע לארה"ב. בתחילת שנת 2016 הסכימו האיחוד האירופי וארה"ב על הסדר Privacy Shield – הסדר משפטי ופוליטי חדש שנועד להחליף את Safe Harbor.

עתה, עם ביטולו גם של הסדר ה-Privacy Shield בידי הערכאה המשפטית העליונה של האיחוד האירופי, שבה הרשות ומבהירה כי לא ניתן להעביר מידע אישי מישראל אל ארה"ב בהסתמך על תקנה 2(8)(2) לתקנות העברת מידע. עם זאת, הרשות מבהירה כי אין מניעה להמשיך ולהעביר מידע מישראל לארה"ב, בהסתמך על שאר החריגים המנויים בסעיפי המשנה של תקנה 2 לתקנות העברת מידע במקרים בהם הם רלבנטיים.

שתף את הכתבה ב:

חזור לכתבות בנושאי: חדשות, ללא קטגוריה

רוצים להשאר מעודכנים בכל מה שחם בעולם המשפט?
הורידו את אפליקציית אוביטר:

אפליקציית אוביטר לאנדרואיד https://bit.ly/31H6hrk

אפליקצית אוביטר לאייפון https://apple.co/31GhGHV

לדף הפייסבוק שלנו https://bit.ly/32LKr5E

להצטרפות לאחת מקבוצות הוואטסאפ שלנו https://obiter.co.il/ask-lawyer

אתר החדשות המשפטיות obiter.co.il עושה כל מאמץ לאתר זכויות על תמונות וסרטונים המתפרסמים בו. אולם לעיתים התמונות והסרטונים מופצים ברחבי הרשת ולא מתאפשרת הגעה למקור החומר הויזאולי, לכן בהתאם לסעיף 27א' לחוק זכויות היוצרים כל אדם הרואה עצמו נפגע עקב בעלות על זכויות היוצרים של תמונה או סרטון מוזמן לפנות להנהלת האתר office@obiter.co.il