אירופה סוגרת את שעריה הדיגיטליים בפני ישראל

לפני מספר חודשים הרעיד בית הדין לצדק של האיחוד האירופי את אירופה וארה"ב, ושלח את ענקיות הטכנולוגיה לחשב מסלול מחדש. כתוצאה מכך, עלולה מדינת ישראל למצוא עצמה מנותקת, דיגיטלית, מאירופה. או לא פחות בעייתי – ישראל עלולה למצוא עצמה "תקועה באמצע" בין אירופה לארה"ב, במיוחד בשים לב לכמות מרכזי המו"פ שיש לחברות רב-לאומיות בארץ.  

דטה היא הסחורה החמה והנצרכת ביותר בעולם הטכנולוגיה. כל פעילותנו הטכנולוגית, כל מה שחיפשנו, כתבנו, צילמנו אחסנו ושמרנו בענן – חשוף, בסופו של יום, לחברה בה אנו שומרים את המידע. היא, בתמורה לשירותי האיחסון והשימוש, שרובם חינמיים, רותמת את אותו שירות "חינמי"  לצרכיה, באמצעות עיבודו וניתוח דפוסי התנהגות ושימוש, מסחר במידע עם צדדים שלישיים, וכיוצא בזאת.

גוגל (Google) הייתה מהראשונות לזהות זאת, ובזכות עיבוד מתקדם ואלגוריתמים מתוחכמים, היא מצליחה בכל פעם מחדש להתאים לנו את התוצאות שחיפשנו, עוד לפני שידענו שזה מה שאנו רוצים. האיחוד האירופי, שהבין את רגישות המידע, שנובעת לא רק מהמידע הגולמי, אלא בעיקר מהתובנות שניתן להפיק ממנו, קבע את כללי ה-GDPR. כללים אלה מתייחסים לכלל הפעילות במידע בכלל, ובמידע אישי בפרט, שנוצר אודותינו ושבין היתר נשמר בענן. התקנות כוללות, בין היתר, את הזכות להישכח; האפשרות לא להיות מאונדקסים בשרתי מנועי החיפוש השונים; ובעיקר- את היכולת לדרוש מהספקיות למחוק מידע ממאגריה לאחר שכבר אונדקס ונאסף על ידה.

תקנות GDPR. אילוסטרציה: BigStock צילום: אילוסטרציה: BigStock

כללי ה-GDPR הם בעצם סט של תקנות וחוקים שנקבעו על ידי האיחוד האירופי, החולשות ו"מרחפות" ומכתיבות את הקווים המנחים והאדומים לכל הסכם, לרבות בין המשתמש, שיצר את המידע, לחברה שמאחסנת אותו ועושה בו שימוש, ולכל גורם שיש לו נגיעה לאותו המידע. בגלל יתרון הגודל של האיחוד האירופי, הוא "דה פקטו" חייב את שאר העולם להתאים את עצמו אליו, וכך גם ישראל הכפיפה עצמה לפרוטוקול ה-GDPR, באמצעות רשת הסכמי גישור והתאמה. ההסכמים התייחסו לשלל נושאי פרטיות, תוך התאמה לשוק הישראלי, ולדרישות הייחודיות לו. אספקט מעניין שעלה בהקשר זה הוא מעקבי השב"כ אחר אזרחים, כדי לאתר נדבקים בקורונה. במקרה זה המידע ככל הנראה נשמר בישראל, על שרתים ישראליים, אך עדיין ישנו סיכוי לא מבוטל כי נעשה שימוש בכלים שחלקם בבעלות זרה.

אך אנחנו רק טיפה בים. הסכמי הגג בין ארה"ב לאירופה – שהעדכני ביניהם נחתם בשנת 2016 – מסדירים את התנהלות, שמירת וניהול המידע אותו אוספות חברות הטכנולוגיה. בחסותם מועבר המידע בין אירופה לארה"ב, והם נקראים בשם הכולל 'מגן פרטיות' (privacy shield).

בהחלטתו מחודש יולי 2020, קבע בית הדין כי 'מגן פרטיות' – אינו תקף. ההחלטה בעצם אסרה על חברות אמריקניות לשמור/לעבד/לעשות שימוש במידע הנוגע לתושבי היבשת, על ובאמצעות שימוש בשרתים מחוץ לאירופה. בכך, שמט בית הדין את הקרקע מתחת לכל העברת המידע בין אירופה לארה"ב, ולא יהיה מוגזם לומר שבעקיפין – את העברת המידע בעולם כולו.

על פניו, נראה כאילו מדובר בעוד סכסוך משפטי שייפתר באמצעות יועצים משפטיים – אך לא כך הדבר. עולם הטכנולוגיה מבוסס על ביזור ושיתוף פעולה בינלאומי. תחשבו על חברה ישראלית, הנמצאת בתל אביב, יש לה משרדים בקליפורניה, מעבדות פיתוח באירופה, ולקוחות באמריקה הלטינית. לא מדובר בדוגמה מופרכת, זה בדיוק תיאור המצב של טבע, למשל. היכן תשמור אותה חברה את מאגר המידע שלה על לקוחותיה? בארה"ב שם נמצא עיקר השוק שלה; בישראל, שם יושב המטה; או באירופה, שם נמצאות מעבדות הפיתוח והמחקר? לכל יבשת יש הסכמי שמירת פרטיות שונים.

גם ווייז (Waze), גאווה ישראלית בינלאומית אשר נרכשה על ידי גוגל האמריקנית, תהיה מוגבלת ביכולת אספקת שירות למשתמשיה באירופה, מכיוון שהמידע שלה נאגר, או לכל הפחות מעובד, גם בשרתים בישראל ובארה"ב. גם אם הוא 'מיוצר' על ידי נהגים אירופים.

מה ההשלכות על ישראל?

מדינת ישראל, שהבינה את השלכות הפסיקה, מיהרה להגיב. אומנם, גם בישראל קיים מנגנון המסדיר את נושא העברת מידע אישי אל מחוץ לגבולות המדינה, אשר נקבע בתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א – 2001. אך תקנות אלה אינן מספקות מבחינת דרישות האיחוד, אשר זכו גם להתייחסות נציבת הפרטיות של אירלנד, הלן דיקסון, שאף תהתה לאחרונה שאינה יודעת כיצד קיבלה ישראל את האישור מלכתחילה.

בגילוי הדעת של הרשות להגנת הפרטיות, הכפופה למשרד המשפטים – בעקבות פסיקת בית הדין האירופי בתיק אשר כונה שרמס 2 (Schrems II case) – הבהירה הרשות כי לא ניתן להעביר מידע אישי מישראל אל ארה"ב בהסתמך על תקנה 2(8)(2) לתקנות העברת מידע.

המשמעות היא שהגופים שיעבירו מידע, יאלצו להסביר, שוב, על בסיס אילו סעיפים המידע עובר. גוף שלא יצליח להוכיח את עמידתו בתנאים – מסתכן בהפרת הדין הישראלי, ואף תקנות ה-GDPR האירופיות, באם יעביר מידע לארה"ב.

הדוגמאות שנתנו עוסקות בעיקר בחברות ענק. מה יעשו סטארט-אפים בתחילת דרכם? היכן ישמרו את המידע אותו הם כורים מהמשתמשים? המחוקק בישראל חייב להבין שמדובר באיום ממשי על הסטארט-אפ ניישן. ללא שיתוף מידע הנוגע לאזרחי/תושבי האיחוד, ו/או שנוצר באירופה, וכמובן יכולת עיבודו גם במקרים רבים במדינות צד ג' (כגון: ארה"ב) – אין תקומה להיי-טק הישראלי. אף חברה בעולם לא תעבוד עם סטארט-אפ במדינה שלא חתומה על הסכמי פרטיות המקובלים על אירופה.

בעצם הפסיקה קבע בית הדין כי ארה"ב לא עושה מספיק כדי לשמור על פרטיות אזרחיה, ולכן, אין לסמוך עליה שתעשה זאת עבור המידע הקשור לתושבי אירופה. גם גילוי הדעת מראה עד כמה החקיקה בישראל מיושנת. דוגמה לכך ניתן לראות בפרשיית 'אלקטור', במסגרתה דלף לפני הבחירות מאגר המידע על כלל הבוחרים. אם נזכור שנכון להיום איש לא הועמד לדין, והפרשייה נסגרה באיום בקנס בלבד – נבין עד כמה ישראל נמצאת מאחור ביחס לעולם ולחוקי הפרטיות האירופים. ואכן, בית הדין האירופי אמר שעד סוף 2020, הוא יתייחס גם למצב חוקי הפרטיות בישראל, ויקבע אם הם עומדים בסטנדרט האירופי הנדרש. כלומר, יש למחוקק, עם המצב הפוליטי הנוכחי, עוד פחות מחודשיים וחצי להתאים את החקיקה הישראלית לסטנדרט האירופי.

מבחינת הצרכן, המידע שקוף לו. הוא נגיש לו בכל מקום עם חיבור לרשת, והוא כלל אינו מודע היכן נשמר המידע, או תחת אילו הגנות הוא נמצא. תפקיד המחוקק הוא לוודא שמציאות זאת נשמרת. כי עבור ההיי-טק בישראל, ניתוק מהענן האירופי משמעו הטלת הגבלות משמעותיות על התפתחותה וגדילתה של הסטארט-אפ ניישן.

הכותב הוא עורך דין ממשרד בן-יעקב, העוסק בייעוץ שוטף לחברות, חברות הזנק, חברות בשלות, וכן בתחומי הנדל"ן, השקעות בארץ ובחו"ל, ניהול הון משפחתי, ועוד