בג"ץ 69668-02-26 AIDA – The Association of International Development Agencies ואח' נ' הצוות הבין משרדי האחראי לרישום הארגונים ההומניטריים הבינלאומיים ואח'

פרטיות וסייבר רגולציה וממשל
מאת‏ עו"ד טל קפלן

שותף וחבר בקבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

אולי יעניין אותך גם

זמן קריאה: 4 דקות
שמור ב"תכנים שלי"
עיון במסמך

רגולציית ה-GDPR אינה חלק מהמשפט הפנימי של ישראל (פסק-דין, ביהמ"ש העליון, השופטים עמית, סולברג וכנפי-שטייניץ, 19.5.2026):

העובדות: שתי עתירות הנוגעות להחלטת ממשלה 2542 ול"נוהל רישום ארגונים ומתן המלצות לעובדיהם הזרים" שהותקן מכוחה, המתייחסים לרישום ארגונים הומניטריים בין-לאומיים, ולמתן המלצות לעובדיהם הזרים של הארגונים. העותרים, ארגוני סיוע בין-לאומיים, ביקשו להורות למשיבים לתת טעם מדוע לא יבוטל הסירוב לרשום אותם בישראל לפי הנוהל; מדוע לא תבוטל דרישת המידע בסעיף 5.1(8) לנוהל [המחייבת מסירת פרטיהם האישיים של עובדי הארגונים], ויתוקן הנוהל בהתאמה; ומדוע לא תבוטל הדרישה להפסקת פעילות העותרים באזור יהודה ושומרון וברצועת עזה. העותרים טענו, בין היתר, כי הם כפופים לרגולציית הגנת המידע האירופית (ה-GDPR), שמונעת מהם לעמוד בדרישת המידע, שכן מסירת פרטי עובדיהם למדינת ישראל היא "העברה בין-לאומית" של נתונים אישיים למדינה שלישית, באופן העלול להפר את ה‑GDPR ולהעמידם בפני סנקציות משמעותיות. כן העלו העותרים טענות במישור הסמכות ובמישור המשפט הבינלאומי.

נפסק: העתירות נדחו, אך ניתנה לעותרים ארכה להגשת בקשה מלאה לפי הנוהל. העתירות אינן מכוונות נגד נוהל הרישום בכללותו, אלא מתמקדות בדרישת המידע בסעיף 5.1(8) לנוהל, וההשלכות הנובעות מאי-עמידה בה. הוראה זו מורה לארגון המבקש להירשם בישראל כארגון סיוע הומניטרי בין‑לאומי, למסור את רשימת עובדיו המעורבים בניהול וביישום תכנית העבודה, לרבות: "שמות מלאים, מספרי דרכון (לזרים) מספר ת"ז (עבור עובדים פלסטינים) ודרכי קשר". העותרים מציינים כי פעלו בהתאם לנוהל החדש והגישו בקשות לרישום כארגון סיוע, בו סיפקו את מכלול הפרטים והמסמכים הנדרשים, למעט דרישת המידע. המחלוקת היא על סמכותה הריבונית של ממשלת ישראל להסדיר את הכניסה למדינה, בין היתר על בסיס שיקולים ביטחוניים ומדיניים.

הנוהל מעגן הליך מינהלי דו-שלבי. בשלב הראשון נבחנת הבקשה לרישום הארגון עצמו וכי לא מתקיימים שיקולים ביטחוניים ואחרים המונעים את רישומו. השלב השני מתייחס פרטנית למתן אשרות לעובדיו הזרים של הארגון. דרישת המידע היא חלק מהשלב הראשון בהליך, בו מבקש הצוות הבין-משרדי לערוך היכרות בסיסית עם עובדי הארגון המבקש, כדי לאפשר "בדיקת נאותות" ולגבש עמדה מקצועית וביטחונית על הארגון בכללותו. קבלת המידע בשלב הראשון מניחה את התשתית העובדתית שעל בסיסה מופעלת סמכותו של השר בשלב השני – עת נבחנות בקשותיהם הפרטניות של עובדיהם הזרים של הארגונים למתן אשרות. סמכות הצוות הבין-משרדי לדרוש את המידע נגזרת מסמכותו של שר הפנים לקבוע מי יוכל להיכנס בשערי המדינה. סמכות זו מעוגנת בחוק הכניסה לישראל, התשי"ב-1952, והיא נובעת מאופייה הריבוני של המדינה. הצוות הבין-משרדי פועל בתוך גבולות הגזרה של הדין הקיים, כגורם מקצועי המגבש תשתית מינהלית וממליץ המלצות לגורם המוסמך בחוק. דין הטענה כי דרישת המידע מהווה פגיעה בזכויות יסוד ללא הסמכה מפורשת בחקיקה ראשית – להידחות. בהינתן כי העותרים עצמם פעלו לאורך שנים במסגרת מנגנון רישום כאמור, קשה לקבל כיום את הטענה כי עצם דרישת המידע לפי הנוהל החדש נטולת בסיס נורמטיבי. 

הזכות לפרטיות וה-GDPR - ישראל היא מדינה ריבונית וסמכויותיה נגזרות מהדין הישראלי ולא מדיני האיחוד האירופי. רגולציית ה-GDPR, עם כל חשיבותה ויוקרתה במישור הבין-לאומי, אינה חלק מהמשפט הפנימי של ישראל, אינה מחייבת אותה במישור המשפט הבין-לאומי, וממילא אינה יכולה לכבול את ידי הממשלה בהפעלת סמכויות בסוגיות של ביטחון לאומי. טענת המלכוד הנורמטיבי אין בה כדי להקים עילה להתערבות שיפוטית בחוקיות נוהל העומד בדרישות הדין הישראלי. יש לתת את הדעת להיבט עובדתי המטיל ספק בטענת "המלכוד". לפחות 41 ארגוני סיוע, מהם 14 ממדינות האיחוד האירופי, העבירו זה מכבר למשיבים, באורח מלא או חלקי, את המידע הנדרש בסעיף 5.1(8) לנוהל לצורך בחינת בקשותיהם. עובדה זו שומטת את הקרקע תחת טענת המלכוד הנורמטיבי שהעלו העותרים, ולמצער מאתגרת באופן ממשי את טיעונם בדבר חוסר אפשרותם להיענות לדרישת המידע.

במישור החוקתי, מעוגנת הזכות לפרטיות בסעיף 7 לחוק-יסוד: כבוד האדם וחירותו, כזכות מן המעלה הראשונה. הזכות לפרטיות מבטאת את זכותו של הפרט לשלוט במידע האישי הנוגע אליו, והיא מהווה נדבך חיוני בשמירה על האוטונומיה האישית אל מול כוחו של השלטון. עם זאת, הזכות לפרטיות אינה זכות מוחלטת אלא זכות יחסית, אשר היקף ההגנה עליה נגזר מאיזון מול אינטרסים ציבוריים נוגדים. אין לבחון את הפגיעה הנטענת בפרטיות בחלל ריק, אלא בהקשר הקונקרטי והייחודי בו היא מתרחשת – הסדרת פעילותם של ארגוני סיוע באזורים מתוחים ביטחונית. במרחב זה, זכותו של הפרט לפרטיות עשויה לסגת, במידה הראויה ולא מעבר לכך, אל מול הצורך הציבורי החיוני בהגנה על שלום הציבור וביטחון המדינה.

העותרים טענו כי דרישת המידע מציבה אותם בין הפטיש הישראלי לסדן האירופי, כאשר ציות לסעיף 5.1(8) לנוהל יביא לשיטתם להפרת ה-GDPR. בחינה של משטר זרימת הנתונים הבין-לאומי מעלה כי מלכוד זה הוא מדומה. נקודת המוצא לפתרונו מצויה בסטטוס הייחודי של ישראל, שזכתה ל"החלטת תאימות" (Adequacy Decision) מאת הנציבות האירופית, המכירה בכך שהדין הישראלי מספק רמת הגנה נאותה ושקולה על מידע אישי. המידע נמסר במישרין למערכות המחשוב של משרדי הממשלה בתחומי ישראל, הנתונים לפיקוחה של הרשות להגנת הפרטיות ואשר עליהם חלים דיני הגנת הפרטיות הישראליים; החלטת התאימות חלה מפורשות על העברת מידע המיועד לעיבוד אוטומטי מהסוג המבוקש בסעיף 5.1(8) לנוהל. משהמידע המבוקש מועבר לרשויות המדינה המוכרת על-ידי האיחוד האירופי כמספקת הגנה נאותה על מידע המועבר באמצעים אלקטרוניים, ומשזה נשמר במערכות מחשוב ממשלתיות מוסדרות, הרי שהוא חוסה תחת הגדרותיה המהותיות של החלטת התאימות.

מארג האיזונים המובנה ב-GDPR עצמו מאפשר העברת מידע בנסיבות דומות, ופורם את טענת המלכוד הנטען. הדין הישראלי דומה למדי. החלטת התאימות, המהווה גשר נורמטיבי המעביר את כובד המשקל אל הדין הישראלי, ניתנה בדיוק על יסוד דמיון זה ועל יסוד האמון ביכולתו של הדין המקומי להגן על הזכות לפרטיות ולאזן נכונה בין פרטיות לביטחון. תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023, החלות על העברת מידע ממדינות האיחוד האירופי למאגר מידע בישראל, הותקנו כחלק בלתי נפרד מתהליך אשרור מעמד התאימות מול האיחוד האירופי. תכליתן הייתה לגשר על הפערים בין הדין הישראלי לאירופי. אלה קובעות בתקנה 2(ב)(2) חריג מפורש, לפיו החובות הקבועות בהן לא יחולו על "שימוש במידע הנדרש למטרת הגנה על ביטחון המדינה או אכיפת חוק, וזאת בהיקף הנחוץ והמידתי להבטחת מטרות אלה". הוראה זו מהווה למעשה את הבבואה הנורמטיבית הישראלית למארג האיזונים והחרגות הביטחון המעוגנים ב-GDPR; היא מעניקה למשיבים את התשתית החוקית הנדרשת לעיבוד המידע לצרכי ביטחון, תוך הבטחה כי פעולת הרשות נותרת נטועה היטב בסטנדרט האירופי להגנת המידע ובדרישות הדין הישראלי. 

דרישת המידע כפי שהיא מופיעה בסעיף 5.1(8) לנוהל עומדת במבחני התכלית, הנחיצות והמידתיות, אין עוד מקום לטענה כי הסעיף כופה על הארגונים הפרה של הדין הזר. דרישת המידע בסעיף 5.1(8) היא צעד מתוחם ומידתי, הנגזר מחובתה הבסיסית של המדינה להגן על ביטחונה וביטחון תושביה, תוך מתן אפשרות להמשך פעילות הומניטרית של ארגוני סיוע בין-לאומיים.