אי-אפשר להעביר מידע מישראל לארה"ב בהסתמך על 'מגן הפרטיות' שביטלה אירופה

הרשות להגנת הפרטיות פרסמה היום גילוי דעת באשר להשלכות פסק דין שרמס 2 על העברת מידע אישי מישראל לארה"ב. הרשות מבהירה כי לאור החלטת בית המשפט האירופי על ביטולו של מנגנון "מגן הפרטיות", לא ניתן עוד להעביר מידע מישראל לארה"ב בהסתמך על המנגנון שבוטל.

אמנם מנגנון "מגן הפרטיות" התייחס להעברת מידע מאירופה לארה"ב ולא להעברת מידע שמקורו ממדינות מחוץ לאירופה, ואולם הוא היווה באופן עקיף בסיס להעברת מידע גם מישראל.

העברת מידע מחוץ לישראל מוסדרת בתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה )(תשס"א-2001). סעיף 2 לתקנות מונה רשימה של חריגים המאפשרים העברת מידע מישראל למדינות אחרות. אחד החריגים בתקנה 2(8)(2) קובע כי ניתן להעביר מידע למדינה המקבלת מידע ממדינות החברות בקהיליה האירופית לפי אותם תנאי קבלה. סעיף זה פורש על ידי הרשות כחריג המתיר העברת מידע מישראל למדינות שהוכרזו על ידי הנציבות האירופית כ"נאותות" וכן לחברות שנכללו בהסדר ה-Safe Harbor (ההסדר שקדם ל"מגן הפרטיות" ובוטל בעקבות פס"ד שרמס 1). 

law.co.il מעירה כי לאחר ביטול הסדר ה- Safe Harbor, הרשות (רמו"ט בשמה אז) קבעה כי לא ניתן עוד להסתמך על ההסדר שבוטל, והיא מעולם לא אישרה מפורשות כי ניתן להסתמך באופן דומה על "מגן הפרטיות" (שהחליף אותו) לצורך קיום החריג המופיע בתקנה 2(8)(2). גילוי הדעת הנוכחי מרמז לפחות כי עמדת הרשות בעניין זה לא היתה ברורה וכי בפועל ניתן היה להסתמך עליו עד שנפסל.

לאור ביטול " מגן הפרטיות" לא ניתן עוד להסתמך על חריג זה ביחס להעברת מידע מישראל לארה"ב. עם זאת, אין מניעה להמשיך להעביר מידע לארה"ב בהסתמך על שאר החריגים המנויים בתקנה 2. 

יש לציין כי גילוי הדעת של הרשות מתייחס לפרשנות הדין הישראלי בלבד. בפועל, חברות ישראליות רבות כפופות אף ל-GDPR, ולכן ההשלכות של החלטת בית המשפט בעניין שרמס 2 באשר להעברת מידע מישראל לארה"ב, בעיקר לאור הסייגים שקבע בית המשפט לשימוש במנגנון ההוראות החוזיות האחידות, עדיין לא התבררו במלואן.