ה-Start-up Nation והסדר הפרטיות החדש בין אירופה לארצות-הברית

ההסדר חדש להעברת מידע מאירופה לארצות-הברית ישפיע במישרין על כלכלת המידע הישראלית: לאחר שבית המשפט האירופי הגבוה ביטל את ההסדר שאפשר העברת מידע אישי מהיבשת הישנה לחדשה, גיבשו ארצות-הברית ואירופה במשא ומתן קדחתני הסדר חדש הקרוי 'מגן הפרטיות' (Privacy Shield). ההסדר מחזיק מאות עמודים ופרטיו פורסמו לאחרונה. אם יצלח את הליכי האישור הפורמליים באירופה, הוא יאפשר לחברות-הזנק הנשענות על שירותי ענן של אמזון, גוגל, מייקרוסופט ודומותיהן, להמשיך בבטחון בהעברת מידע אישי מאירופה אל מעבר לאוקיינוס האטלנטי.

סטארט-אפ ישראלי מציע אפליקציה לסמארטפון האוספת מידע אישי ממשתמשים ברחבי תבל, גם אירופאים. הדינים האירופאים העוסקים בהגנת מידע אישי מחילים עצמם עליו אפילו מבלי שיהיה ער לכך. כמו מאות סטארטאפים במצבו, הוא מאחסן ומעבד את המידע בשירותי ענן של אחת מהספקיות האמריקאיות. מנקודת המבט של הדין באירופה, מידע שנאסף ממשתמשים אירופאים רשאי לעבור לעיבוד ואחסון במחשבים הנמצאים מחוץ לאיחוד האירופי רק בכפוף להסדרים מיוחדים שמטרתם להבטיח הגנה על פרטיות המידע. 
 
דרך המלך היא להעביר את המידע למדינה שהאיחוד האירופי הכיר בה רשמית כמעניקה רמה נאותה של הגנה על פרטיות. האיחוד האירופי הכיר ב-12 מדינות כאלה, בהן ארגנטינה, קנדה, שוויץ, ניו-זילנד ומאז 2011 גם ישראל.
 

פערים בהגנת מידע

העברת מידע אישי מאירופה לארצות-הברית הוסדרה בצורה שונה לגמרי, בעיקר בגלל ההבדלים בדיני הגנת הפרטיות בין היבשות. בכלכלה גלובלית, יצרו פערים אלה מכשלה כמעט בלתי אפשרית, במיוחד לאור התפקיד המרכזי שיש לתנועת המידע הבין-יבשתית.
כדי להתגבר על כך גובש מתווה שנקרא 'נמל מבטחים' (Safe Harbor). ההסדר אפשר לחברות אמריקאיות להתחייב באופן וולונטרי לנוהגי פרטיות מחמירים יותר מאלו הנדרשים לפי הדין בארצות-הברית ולקבל בכך את ההיתר האירופי לעיבוד ואחסון מידע אישי בארצות-הברית. אלפי חברות אמריקאיות פעלו על-פי ההסדר עד שנפסל לפני כחצי שנה על-ידי בית המשפט האירופי שמצא שההסדר אינו מספק הגנה נאותה על פרטיות המידע.
פסילת ה-Safe Harbor האיצה את המו"מ שממילא התנהל בין אירופה לארצות-הברית על הסדר חדש להעברת מידע אישי. המו"מ הושלם לפני כמה שבועות בהכרזה על הסדר חדש, ה-Privacy Shield. ההסדר החדש עדיין טעון אישור פורמלי שנציבות האיחוד האירופי ככל הנראה תנסה לקדם בהמשך שנה זו.

אכיפה ופיקוח רחבים

כמו קודמו, גם ה-Privacy Shield מיועד רק לחברות אמריקאיות ומתבסס על הסמכה עצמית של החברות. עליהן לקבל על עצמן נוהגי פרטיות מוגברים ההולמים את הדין המחמיר באירופה. שלא כקודמו, ההסדר החדש מלווה במנגנונים נרחבים יותר של אכיפה ופיקוח כלפי החברות ומנגנונים רבים יותר לבירור תלונות וישוב סכסוכים בין החברות למי שנאסף עליהם מידע אישי.
תקנות הגנת הפרטיות בישראל העוסקות בהעברת מידע בינמדינתי אימצו אל החוק בישראל את המנגנונים האירופים להעברת מידע אישי מחוץ ליבשת. התקנות קובעות כי אחד המקרים שבהם מותרת העברת מידע אל מחוץ לישראל הוא כאשר המידע מועבר למדינה המקבלת אותו לפי אותם תנאים הקבועים בדין האירופי. הרגולטור הישראלי, הרשות למשפט, טכנולוגיה ומידע (רמו"ט), פירש את התקנה הזו כמתירה העברת מידע מישראל לחברות אמריקאיות המוסמכות ל-Safe Harbor. אפשר לצפות שפרשנות זו תתחדש עם כינון ה-Privacy Shield.
ומה באשר לסטארט-אפ הישראלי האוסף מידע אישי ומעביר אותו לעיבוד, טיפול ואחסון בשירותי ענן מחוץ לאירופה?
 

חוות שרתים באירופה

ביחס להעברת מידע אישי מאירופה לישראל, הסטארט-אפ יכול להסתמך על ההכרה של האיחוד האירופי בישראל כמדינה המספקת רמה נאותה של הגנת פרטיות במידע, כל עוד הכרה זו נמשכת.
ביחס להעברת המידע מאירופה לארצות-הברית או מישראל לארצות הברית, יש להניח שספקי שירותי ענן כמו אמזון, גוגל ומייקרוסופט יסמיכו עצמם ל-Privacy Shield כפי שעשו עם קודמו שבוטל. הסמכה כזו תסייע להעביר בבטחון את המידע לעיבוד ואחסון בחוות השרתים האמריקאיות של החברות.

אגב, כמה מספקי שירותי הענן הגדולים מאפשרים ללקוחותיהם לבחור באילו מחוות השרתים שלהם הפזורות ברחבי תבל יעובד ויאוחסן המידע. ניתן אפוא לבחור בחוות השרתים האירופיות של החברות (במידה והדבר אפשרי מהפן התפעולי והעסקי של הסטארט-אפ) ובדרך זו למנוע במידה רבה את הבעיה מלכתחילה.

האמור כאן לא מתיימר למצות את ההמלצות האמורות או את כל הוראות הדין בעניין זה. מטרתו היא עדכון כללי בלבד. אין להסתמך עליו כעצה משפטית.