חוף המבטחים שאבד: על סגירת הסדר Safe Harbor

בית הדין האירופי לצדק הכריע אמש ופסל את הסדר Safe Harbor שאיפשר העברה של מידע בין אירופה לארצות הברית (להחלטה, לחוות הדעת של היועץ המשפטי); כדי להבין את ההחלטה עצמה ואת המשמעות שלה לכל אחד מאיתנו, צריך קודם כל להבין מהו ההסדר, מדוע הוא נוצר, ואיך הוא הוביל להשמדה עצמית.

לכל מדינה יש חוקים משלה ותפישה שונה של זכויות שונות; לדוגמא, בעוד שבארצות הברית התפישה של אחזקת נשק היא זכות יסוד (התיקון השני לחוקה האמריקאית) וכמעט ולא ניתן להגבילו, הרי שבישראל חוק כלי היריה מגדיר את הזכות של אדם להחזיק כלי ירי במקרים מסוימים, ומתלה אותו ברשיון. כך, בתרבויות שונות גילאי הנישואין שונים, גיל שתיית האלכוהול שונה, וגם גיל ההסכמה ליחסי מין שונה בין מדינה למדינה.

אבל לא רק דברים טכניים כמו הגיל הם שונים, אלא גם המהות של זכות מסוימת. לדוגמא שלנו קוראים "הזכות לפרטיות". את הזכות לפרטיות בישראל הגדרנו בצורה לא הכי טובה, סעיף 2 לחוק הגנת הפרטיות מחזיק רשימה של איסורים שכל אחד מהם פוגע בזכות לפרטיות. באירופה, הדירקטיבה להגנה על מידע אישי מגדירה את המידע שאסור לעבד ללא הסכמה, ואת הדרכים לעיבוד המידע, ובארצות הברית התיקון הרביעי (והארבע עשר, במקצת) מגדירים את הזכות לפרטיות.

הזכות האמריקאית לפרטיות היא שונה במקצת: היא הזכות שהמדינה לא תתערב בעניינך. אכן, מספר דברי חוק אמריקאיים מכירים בזכות לפרטיות מול תאגידים (לדוגמא, הסעיף שאוסר על פגיעה בפרטיותם של שוכרי קלטות וידאו) אולם הכלל הוא שהזכות היא מדינתית. יתר על כן, הזכות האמריקאית חלה על אזרחים בלבד.

הבדלי התפישה האלו הביאו לכך שבתחילת המילניה, כאשר החלו תאגידי האינטרנט לפעול, הגיעו המחוקקים האירופיים והאמריקאים להסדר, שנובע מהרצון של המחוקק האירופי להגן על אזרחיו: ההסדר אמר כי האירופים מכירים בכך שהחקיקה האמריקאית אינה טובה מספיק כדי להגן על האזרחים האירופיים, אולם אם חברות אמריקאיות יתחייבו כלפי האזרחים, מרצונן החופשי, כי הן יחילו על עצמן עקרונות דומים לאלו הקיימים באירופה, הרי שהאירופים יואילו בטובם לאפשר את העברת המידע. להסדר הזה קראו Safe Harbor והוא קיבל חסות של משרד הכלכלה האמריקאי.

ההסדר עצמו כלל לא מעט תנאים להסמכת חברות אמריקאיות, והשתנה לאורך השנים כך שיכלול רשימת תנאים להסמכה עצמית שבגדול כל עורך דין שעובד בתחום היה צריך להכיר וללמוד בעל-פה, כיוון שהם הבסיס למדיניות הפרטיות שהוא ניסח.

אחד העקרונות החשובים בהסדר הוא שקיפות: במסמך העקרונות ניתן היה להבין כי על כל מעבד מידע להחיל עקרונות של שקיפות, ליידע את האזרח מיהם האנשים שמקבלים מידע על אודותיו, ולאפשר לו למנוע העברה של המידע הלאה, וכדברי המשורר: "An organization must inform individuals about the purposes for which it collects and uses information about them, how to contact the organization with any inquiries or complaints, the types of third parties to which it discloses the information, and the choices and means the organization offers individuals for limiting its use and disclosure".

הבעיה החלה בשנת 2013, עם חשיפת מסמכי סנודן. הגילוי המרעיש כי ארצות הברית, באמצעות סוכנות הביון שלה, אוספת מידע על כל מי שאינו אזרח ארצות הברית בצורה ממשית ומוחשית, מתמדת, ללא כל ביקורת או פיקוח, עם יד חופשית על השרת, היה משהו חדש, שונה, שלא ממש הולם את עקרונות הSafe Harbor. מדוע? כיוון שלאזרחים האירופים לא היתה אפשרות למנוע את קבלת המידע על ידי סוכנות הביון.

לכן, אזרח אוסטרי בשם מקסימיליאן שרמס פנה לבית הדין וטען כי פייסבוק, אשר מחזיקה תאגיד אירי, כופה עליו להעביר את המידע לפייסבוק בארצות הברית, ובכך לחשוף את המידע שלו לNSA. בעוד שהתביעה עצמה נשמעת קיצונית: לעצור את העברת המידע בין אירופה לארצות הברית, היא עומדת בדרישות של האמנה האירופית שמחייבת כי העברת מידע תבוצע רק למדינות בהן יש הגנה מספקת על החוק; בהערת אגב, גם בישראל יש הגבלה דומה בתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), רק שכאן לאף אחד לא איכפת מכך.

בית הדין האירופי ביטל את הסדר הSafe Harbor לבינתיים, בלי תקופת הכנה, בלי צינון, בלי הערכות, פשוט קבע כי ההסדר בטל שכן ההגנה אינה נאותה עוד.

מה המשמעות של זה עכשיו? בפועל, תאגידי ענק יאלצו להעביר את שרתיהם לאירופה אם הם ירצו להמשיך לעבוד עם אזרחי האיחוד האירופי; האפשרות השניה היא שהם יצפצפו על החוק וימשיכו לפעול כרגיל. אנחנו, כישראלים, אולם, נהיה בבעיה. עד היום אנחנו היינו בין המדינות הראשונות המדינה הראשונה שזכו להגדרה כמדינה שמגנה בצורה נאותה על הפרטיות, ובכך השתרשרנו אל אירופה ושמרנו על הפרטיות (שהיתה משורשרת ומותאמת לארצות הברית). כעת, עסקים ישראלים עוד עשויים להיות נדרשים גם להתאים את מדיניות הפרטיות שלהם לארצות הברית וגם לאירופה, וכל זאת למרות הסתירות הרבות.

עוד סוגיה שעשויה להתגלות היא שבישראל אנו נאבד את ההגנה הנאותה אם תתגלה תכנית מעקב דומה לPRISM האמריקאית (ויש). הסכנה הממשית היא שהסגירה של הסדר Safe Harbor לא יזיז לפייסבוק וגוגל: הן גדולות כבר כמו מדינה ולא זקוקות להגנה המדינתית. מנגד, עסקים קטנים שכן מפחדים מהרגולטור לא יצאו לפועל, רק בגלל הסיבה הזו.

3 תגובות ל-“חוף המבטחים שאבד: על סגירת הסדר Safe Harbor

  1. תודה על הפוסט הבהיר והמאורגן יונתן ( היית זריז מאוד ) . רק ראוי לציין :

    הפרטיות היא גם בתי משפט ( פסיקה ) או תכל"ס בתי משפט . ולפעמים , ההבדל הוא של מזרח / מערב , יום ולילה .

    כמו כן , התיקון הרביעי לחוקת ארה"ב , לא ממש עוסק בפרטיות במובן הרחב והפילוסופי , אלא : בביטחון , או תחושת הביטחון של האזרחים , מפני אקטים שרירותיים של הרשות המבצעת , הנה כהאי לישנא :

    " לא תופר זכותם של בני אדם לביטחון בגופם, ביתם, תעודותיהם וחפציהם מפני חיפושים ותפיסות בלתי סבירים, ולא יוצאו צו חיפוש וצו תפישה אלא על יסוד עילה סבירה, מחוזקת בשבועה או בהן-צדק, ועם תיאור מפורט של המקום שיש לערוך בו חיפוש, ושל האנשים או החפצים שיש לתופסם. "

    עד כאן הציטוט :

    בין זה ( התיקון הרביעי ) לבין : הזכות להיעזב לנפשך , לבין הזכות להישכח , לבין הזכות לא להפוך לפיגורה דיגיטלית ( ועד כמה ) , בין זה לבין היחס או הצורך לאזן בין פרטיות ברשות היחיד והרבים , ועוד כהנה וכהנה מרעין בשין …… הוא ממש רחוק ביותר !!

    תודה

  2. הפרטיות בימינו היא רק למראית עין,
    עד שמישהו ירים את הכפפה וימציא דרך אמיתית להחזיר לפרטיות את הפרטיות.

  3. …והנה ההשלכה על הדין הישראלי:
    רמו"ט הכריזה כי החריג שבתקנה 2(8)(2) לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001, אשר אימץ למעשה את ההסדר האירופי לתוך הדין הישראלי – בטל (לפי פרשנותה של רמו"ט).

    ההודעה המלאה:
    http://index.justice.gov.il/Units/ilita/news/Documents/SafeHarbor.pdf

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *