בספטמבר האחרון, פרסמה הרשות להגנת הפרטיות גילוי דעת בעניין העברת מידע אישי מישראל לארצות הברית. גילוי הדעת הוצא בעקבות פסק הדין של בית המשפט האירופאי לצדק (CJEU) בפרשת "שרמס 2" שפורסם בחודש יולי האחרון אשר ביטל את הסדר ה- Privacy Shield הנוגע להעברת מידע אישי מאירופה לארצות הברית.
הסדר ה-״Privacy Shield״ הושג בתחילת שנת 2016 בין הנציבות האירופית ובין ארצות הברית. הסדר ה- Privacy Shield החליף הסדר קודם ה-Safe Harbor שבוטל על ידי בית המשפט האירופי לצדק במסגרת פרשת שרמס 1 בשנת 2015. מדובר בהסדר משפטי ופוליטי שקובע מנגנון הלימות מיוחד שגובש בין האיחוד האירופי ובין ארצות הברית, ואשר חל על חברות שהתחייבו לעמוד בדרישותיו בתחום הפרטיות והגנת המידע. ההסדר נועד לאפשר זרימה חופשית של מידע פרטי של אזרחים אירופאים לחברות הפועלות בארצות הברית. ההסדר קבע כללי מסגרת לרבות התחייבות בכתב של ארצות הברית להגביל את הגישה של רשויות הביטחון הלאומי למידע אישי; סמכויות פיקוח במשותף של הנציבות האירופית על אכיפת סטנדרט הגנת הפרטיות בארה״ב ועל התאמתו להסדר; סעדים וזכויות תביעה של אזרחים אירופאים על כל שימוש לרעה במידע האישי שלהם וכו׳.
בפרשת שרמס 2 דן בית המשפט האירופי לצדק, בהוראות סעיף 46 לרגולציית האיחוד האירופאית (תקנות ה-GDPR) האוסר על העברת מידע אישי של אירופאים מחוץ לגבולות האיחוד האירופי. ההסדר בוטל משום שלשיטת בית המשפט הוא אינו עומד ברף ההגנה על מידע אישי הנדרש בדין האירופי, ובמיוחד הוראות ה-GDPR וכן הוראות האמנה האירופית לזכויות אדם. ההסדר בוטל לאחר שנמצא כי הבלמים והאיזונים הנהוגים כיום בארצות הברית אינם מספקים הגנה ראויה כנגד כוחן של רשויות המדינה והביטחון בארצות הברית לנטר ולעבד מידע אישי בתחומי המדינה.
השפעת פסק הדין על ישראל: בישראל קיים מנגנון המסדיר העברת מידע מחוץ לישראל. המנגנון מוסדר בתקנות הגנת הפרטיות (העברת מידע אל מאגרי שמחוץ לגבולות המדינה), התשס״א–2001. תקנה 2(8)(2) היא הרלוונטית לעניינו והיא קובעת, כי ניתן להעביר מידע למדינה המקבלת מידע ממדינות החברות בקהיליה האירופית לפי אותם תנאי קבלה. לאורך השנים, הרשות להגנת הפרטיות בישראל פירשה תקנה זו כחריג המתיר העברת מידע אישי למדינות שהוכרזו על ידי הנציבות האירופית כבעלות הלימות בתחום הפרטיות והכנת המידע (מדינות אשר מחויבות לעקרונות הסדרים אלו). עם ביטולו של הסדר ה-Safe Harbor״ בפרשת שרמס 1, הבהירה הרשות לציבור כי לא ניתן יהיה עוד להסתמך על תקנה 2(8)(2) לתקנות כבסיס להעברת מידע לארצות הברית. כעת עם ביטולו של הסדר ה- ״Privacy Shield״ בפרשת שרמס 2 שבה הרשות להגנת הפרטיות ומבהירה כי לא ניתן להעביר מידע אישי מישראל אל ארצות הברית בהסתמך על תקנה 2(8)(2) לתקנות העברת מידע.
לגילוי הדעת של הרשות להגנת הפרטיות לחצו כאן.
לפסק הדין בעניין שרמס 2 לחצו כאן.