אומת הסטארט-אפ והסדר החדש בין אירופה לארצות-הברית

הסדר חדש להעברת מידע מאירופה לארצות-הברית ישפיע במישרין על כלכלת המידע הישראלית: לאחר שבית המשפט האירופי הגבוה ביטל את ההסדר שאפשר העברת מידע אישי מהיבשת הישנה לחדשה, גיבשו ארצות-הברית ואירופה במשא ומתן קדחתני הסדר חדש הקרוי "מגן הפרטיות" (Privacy Shield). לאחר אישורו הפורמלי באירופה, הוא יאפשר לחברות סטארט-אפ הנשענות על שירותי ענן של אמזון (Amazon), גוגל (Google), מיקרוסופט (Microsoft) ודומותיהן, להמשיך בבטחון בהעברת מידע אישי מאירופה אל מעבר לאוקיינוס האטלנטי.

כשסטארט-אפ ישראלי מציע אפליקציה לסמארטפון האוספת מידע אישי ממשתמשים ברחבי תבל, כולל אירופאים, הדינים האירופים העוסקים בהגנת מידע אישי מחילים עצמם עליו אפילו מבלי שיהיה ער לכך. כמו מאות סטארט-אפים במצבו, הוא מאחסן ומעבד את המידע בשירותי ענן של אחת מהספקיות האמריקניות. מנקודת המבט של הדין באירופה, מידע שנאסף ממשתמשים אירופאים רשאי לעבור לעיבוד ואחסון במחשבים הנמצאים מחוץ לאיחוד האירופי רק בכפוף להסדרים מיוחדים שיבטיחו הגנה על פרטיות המידע.

דרך המלך היא להעביר את המידע למדינה שהאיחוד האירופי הכיר בה רשמית כמעניקה הגנה נאותה על פרטיות המידע. האיחוד האירופי הכיר ב-12 מדינות כאלה, בהן קנדה, שוויץ, ניו-זילנד וגם ישראל.

נמל מבטחים

העברת מידע אישי מאירופה לארצות-הברית הוסדרה בצורה שונה לגמרי, בעיקר בגלל ההבדלים בדיני הפרטיות בין היבשות. כדי לגשר על פערים אלה, האמריקנים והאירופאים גיבשו מתווה שנקרא "נמל מבטחים" (Safe Harbor). ההסדר אפשר לחברות אמריקניות להתחייב באופן וולונטרי לנוהגי פרטיות מחמירים יותר מאלו הנדרשים לפי הדין בארצות-הברית ולקבל בכך את ההיתר האירופי לעיבוד ואחסון מידע אישי בארצות-הברית. אלפי חברות אמריקניות פעלו על-פי ההסדר עד שנפסל לפני כחצי שנה על-ידי בית המשפט האירופי שקבע שהוא אינו מספק הגנה נאותה על פרטיות המידע.

פסילת נמל המבטחים האיצה את המו"מ שממילא התנהל בין אירופה לארצות-הברית והוא הושלם לפני כמה שבועות בהכרזה על הסדר חדש, "מגן הפרטיות".

כמו קודמו, גם מגן הפרטיות מיועד רק לחברות אמריקניות ומתבסס על הסמכה עצמית שלהן. עליהן לקבל על עצמן נוהגי פרטיות מוגברים ההולמים את הדין המחמיר באירופה. שלא כקודמו, ההסדר החדש מלווה במנגנונים נרחבים יותר של אכיפה ופיקוח כלפי חברות ושל בירור תלונות וישוב סכסוכים בין החברות למי שעליהם נאסף מידע אישי.

התקנות בישראל העוסקות בהעברת מידע בין-מדינתי אימצו אל החוק בישראל את המנגנונים האירופים להעברת מידע אישי מחוץ ליבשת. התקנות קובעות כי אחד המקרים שבהם מותרת העברת מידע אישי אל מחוץ לישראל הוא כשהמידע מועבר למדינה המקבלת אותו לפי התנאים הקבועים בדין האירופי. הרגולטור הישראלי, הרשות למשפט, טכנולוגיה ומידע (רמו"ט), פירש את התקנה הזו כמתירה העברת מידע לחברות אמריקניות המוסמכות לנמל המבטחים. אפשר לצפות שפרשנות זו תתחדש עם כינון מגן הפרטיות.

מגן הפרטיות

ומה באשר לסטארט-אפ הישראלי האוסף מידע אישי ומעביר אותו לעיבוד ואחסון בשירותי ענן מחוץ לאירופה?

ביחס להעברת מידע אישי מאירופה לישראל, הסטארט-אפ יכול להסתמך על ההכרה של האיחוד האירופי בישראל כמדינה המספקת רמה נאותה של הגנת פרטיות במידע, כל עוד ההכרה נמשכת.

ביחס להעברת המידע לארצות-הברית, יש להניח שספקי שירותי ענן כמו אמזון, גוגל ומיקרוסופט, יסמיכו עצמם למגן הפרטיות כפי שעשו עם קודמו שבוטל. הסמכה כזו תסייע להעביר בבטחון את המידע לעיבוד ואחסון בשרתים האמריקנים של החברות.

אגב, כמה מספקי שירותי הענן מאפשרים ללקוחותיהם לבחור באילו מחוות השרתים שלהם הפזורות ברחבי תבל יעובד ויאוחסן המידע. ניתן אפוא לבחור בשרתים האירופים של החברות (במידה והדבר אפשרי מהפן התפעולי והעסקי של הסטארט-אפ) ובדרך זו למנוע במידה רבה את הבעיה מלכתחילה.

הכותב הינו עורך דין בקבוצת האינטרנט, ה-IT וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ.