בית המשפט האירופי פסל את הסדר ה-Safe Harbor

הסדר ה-Safe Harbor להעברת מידע אישי לעיבוד מאירופה לארצות-הברית אינו חוקי - כך פסק הבוקר בית המשפט האירופי (ה-ECJ) בהחלטה החשובה ביותר שניתנה השנה בתחום הפרטיות, בעלת השלכות מרחיקות-לכת לספקי שירותים מקוונים אמריקאים, בהם הענקיות פייסבוק וגוגל.

הסדר ה-Safe Harbor אפשר לחברות אמריקאיות שמעוניינות להעביר מידע אישי ממשתמשים באירופה לשרתי עיבוד ואחסון בארצות-הברית, להתחייב באופן וולונטרי לנוהגי פרטיות מחמירים יותר מאלו הנדרשים לפי הדין האמריקאי. בדרך זו, יכלו החברות לקבל את ההיתר הנדרש לפי דיני הגנת הפרטיות האירופים לצורך עיבוד המידע בארצות-הברית. ההסדר מבוסס על החלטת נציבות האיחוד האירופי משנת 2000, שקבעה כי חברות אמריקאיות שיתחייבו לנהוג לפי הקריטריונים של ההסדר ייחשבו כמי שמעניקות הגנה נאותה לפרטיות המידע, כנדרש לפי דיני האיחוד האירופי. מאז השקת הסדר ה-Safe Harbor לפני כ-15 שנים, אלפי חברות אמריקאיות פועלות תחת כנפיו, בהן ענקיות האינטרנט מייקרוסופט, אמזון, גוגל ופייסבוק.

החלטת בית המשפט האירופי מהבוקר ניתנה במסגרת הליך שיזם סטודנט למשפטים אוסטרי נגד פייסבוק ורגולטור הפרטיות האירי. על רקע הגילויים של אדוארד סנואדן מהם התברר שענקיות שירותי אינטרנט מאפשרות לסוכנויות הביון האמריקאיות גישה נרחבת לאיסוף וניטור מידע אישי על משתמשים, ביקש הסטודנט האוסטרי שהרגולטור האירי יחקור את חוקיות הנוהג של פייסבוק להעביר מידע אישי לסוכנויות המודיעין האמריקאיות. הרגולטור האירי סירב לפתוח בחקירה, בין היתר משום שפייסבוק נוהגת לפי הסדר ה-Safe Harbor, המוכר על-ידי נציבות האיחוד האירופי כמנגנון שהולם את דיני הגנת הפרטיות באירופה. הסטודנט עתר לבית המשפט באירלנד נגד החלטת הרגולטור, ובית המשפט באירלנד הורה על הפניית העניין לבית המשפט האירופי.

פסק הדין של בית המשפט האירופי קובע כי -
  • העובדה שחברה מסוימת מוסמכת לפי הסדר ה-Safe Harbor לא גורעת כהוא-זה מסמכויות החקירה והאכיפה של הרגולטורים האירופאים לפרטיות. על כן, כאשר נשוא-מידע, כמו הסטודנט האוסטרי, מגיש לרגולטור תלונה, הרגולטור מוסמך לחקור את התלונה ולבחון האם העברת המידע ועיבודו, כפי שאלה מתבצעים בפועל על-ידי ספק השירות, עומדים בדיני הגנת הפרטיות האירופאים.
  • בית המשפט האירופי הוא הגורם היחיד המוסמך להכריז על אי-חוקיות ובטלות של דברי חקיקה והחלטות של מוסדות האיחוד האירופי. בכלל זה מוסמך בית המשפט להכריז על אי-חוקיות ובטלות החלטות של נציבות האיחוד האירופי, כמו ההחלטה משנת 2000 המכריזה על הסדר ה-Safe Harbor.
  • בהחלטתה על הסדר ה-Safe Harbor, הנציבות לא פעלה לפי דרישות הדירקטיבה האירופית על הגנת מידע - במקום לבחון האם הדין האמריקאי מעניק רמה נאותה של הגנה על פרטיות מידע, הנציבות בחנה את טיבו ומהותו של הסדר ה-Safe Harbor עצמו.
  • על פי מהותו, הסדר ה-Safe Harbor לא מחייב את הרשויות האמריקאיות, אלא רק את החברות שבחרו באופן וולונטרי לפעול במסגרת ההסדר. כתוצאה מכך, רשויות המודיעין, הביטחון והחקירה בארצות-הברית משוחררות מהוראות ה-Safe Harbor שנועדו להגן על פרטיותם של נשואי מידע.
  • החקיקה האמריקאית המאפשרת לסוכנויות הביטחון האמריקאיות לאסוף ולנטר באופן גורף ונרחב מידע אישי על משתמשים ברשת, ויישומה בפועל כפי שעולה מדו"חות של נציבות האיחוד האירופי שפורסמו לאחר גילויי סנואדן - פוגעים פגיעה בלתי מידתית בפרטיות נשואי המידע וחורגים מהמותר לפי הדינים האירופאים. החקיקה האמריקאית גם לא מאפשרת לנשואי המידע לעתור לקבלת סעדים משפטיים בקשר לפגיעה בפרטיותם: היא אינה מאפשרת לנשואי המידע לבקש גישה למידע שנאסף עליהם על-ידי הרשויות האמריקאיות, ולא מאפשרת לנשואי המידע לדרוש את תיקון המידע או מחיקתו.
על רקע זה, הכריז בית המשפט האירופי על פסילת הסדר ה-Safe Harbor. הוא גם הורה לרגולטור הפרטיות האירי לבחון האם, על רקע הליקויים בארה"ב בהגנת הפרטיות במידע, ראוי לצוות על השעיית ההרשאה שניתנה לפייסבוק להעביר מידע אישי של משתמשים אירופאים לעיבוד בשרתי פייסבוק בארה"ב. מקור: הודעה לעיתונות של בית המשפט האירופי.