יום הגנת הפרטיות - איפה המידע שלך נמצא ולמה זה בכלל חשוב?

 

 

---

קיצור תולדות העברת המידע לארה"ב – מקס שרמס, מערכה שלישית

חוק הגנת הפרטיות האירופי – GDPR, שהפציע לעולם בשנת 2018, אסר להעביר מידע מחוץ לגבולות אירופה אלא אם כן מתקיים אחד מתוך רשימת תנאים. אחד מהתנאים הללו הינו הכרה במדינות שבהן רמת הגנת הפרטיות הולמת את הסטנדרט האירופי. ישראל נכללת במועדון אקסקלוסיבי זה, אך ארה"ב אינה שותפה בו.

כדי לאפשר בכל זאת העברת מידע בין אירופה לארה"ב, נוסחו מספר הסכמים ספציפיים שהיו אמורים לאפשר זאת. אבל כאן רק מתחיל סיפורנו.

בשנת 2020, בית המשפט האירופאי לצדק (CJEU) ביטל את הסכם "מגן הפרטיות" שאיפשר להעביר מידע פרטי מאירופה לארה"ב. זה היה שלב שני במאבקו העיקש של הסטודנט האוסטרי מקס שרמס לאחר שהביא לביטול ההסכם הקודם "הנמל הבטוח" בשנת 2015. הסיבה הייתה זהה: הממשל האמריקאי יכול לשים את ידו על מידע פרטי מתי שבא לו.

פסק דין זה, הידוע בכינויו 'שרמס 2', הכשיר, תחת תנאים נוקשים, את מנגנון ההוראות החוזיות האחידות (Standard Contractual Clauses) ככלי להעברת מידע למדינות מחוץ לאיחוד האירופי.

ועכשיו, שרמס, שעומד בראש הארגון NOYB (ראשי תיבות "זה לא העסק שלך"), הגיש תלונה לרשות הפרטיות האוסטרית נגד אתר רפואי שעשה שימוש בגוגל אנליטיקס. הרשות קיבלה את התלונה העקרונית.

במקרה זה דובר על כך שתוך שימוש בכלי, האתר העביר נתונים פרטיים כגון IP לאמריקה, ובכך הוא עבר על החוק האירופאי GDPR. שרמס וארגונו לא התעצלו והם הגישו 101 תלונות כאלה נגד אתרים שונים ברחבי אירופה.

בדומה לארגונים גדולים אחרים, גוגל מסתמכת על מנגנון ההוראות החוזיות האחידות כדי להמשיך בהעברת נתונים ולהרגיע את שותפיה העסקיים האירופים.

לדברי שרמס, "במקום להתאים את השירותים ל-GDPR, חברות אמריקאיות ניסו פשוט להוסיף טקסט כלשהו למדיניות הפרטיות שלהן ולהתעלם מפסיקת בית המשפט לצדק".

פסק הדין הזה יכול לגרום לתגובת שרשרת מאוד משמעותית שקשה לתאר את עוצמתה.

רשויות הגנת המידע השונות באירופה עשויות כעת להכריז בהדרגה על כך ששימוש בשירותים מארה"ב אינו חוקי.

 

למי, מתי ולמה ניתן להעביר מידע פרטי מחוץ לגבולות ארצנו הקטנטונת

תקנות הגנת הפרטיות בעניין העברת מידע אישי מחוץ לגבולות המדינה קובעות כי אין להעביר מידע פרטי של אזרחי ישראל אל מחוץ לגבולותיה, אלא אם מתקיימים תנאים מסוימים המפורטים בהן.

התקנות נחקקו על מנת שמדינת ישראל תעמוד בסטנדרטים אותם הציב האיחוד האירופי בדירקטיבה הנוגעת להגנה על המידע, אשר נכנסה לתוקף בחודש אוקטובר 1998. דירקטיבה זו הוחלפה ב-2018 בחוק הגנת המידע האירופאי – GDPR עליו סיפרנו למעלה.

תקנות אלה קובעות כי אין להעביר מידע ממאגר מידע בישראל אל מחוץ לגבולותיה, אלא אם מתקיימים תנאים מסוימים המפורטים בתקנות, ובין היתר:

• ניתן להעביר מידע למדינה שהדין בה מבטיח רמת הגנה על המידע שזהה לרמת ההגנה על מידע הקבועה בדין הישראלי.
• ניתן להעביר מידע בתנאים מסוימים, ובהם: הסכמת נושא המידע להעברה; העברת המידע מחוייבת לפי הדין בישראל; המידע מועבר למאגר מידע במדינה שהיא צד לאמנה האירופית להגנת הפרט כפי שמפורט בדף המידע וכו'.

עם ביטולו של הסכם "מגן הפרטיות" פרסמה הרשות להגנת הפרטיות גילוי דעת בו שבה והבהירה כי לא ניתן להעביר מידע אישי מישראל לארה"ב, אם כי הבהירה כי אין מניעה להמשיך ולהעביר מידע מישראל לארה"ב, בהסתמך על שאר החריגים המנויים בתקנות העברת מידע במקרים בהם הם רלבנטיים.

לאחרונה פרסמה הרשות להגנת הפרטיות הבהרה נוספת. בגילוי דעת זה, הרשות מציינת כי נראה כי האיסור הגורף והמוחלט שמטילה התקנה על גורם במדינה זרה שקיבל מידע מישראל, להעביר את המידע לבעל מאגר אחר הפך לגזירה שאין הציבור יכול לעמוד בה, ואשר אינה תואמת את ההתפתחויות הטכנולוגיות ואת מבנה יחסי הכלכלה והמסחר הבין לאומיים מאז הותקנו התקנות.

הרשות מבהירה כי האיסור על הגורם במדינה הזרה להעביר את המידע לצד שלישי לא יחול אם ניתנה לכך הסכמה בכתב של בעל המאגר שממנו הועבר המידע מישראל. זאת, בכפוף לכך שעצם העברת המידע לצד שלישי נעשתה כדין, כלומר על בסיס הסכמת נושא המידע או הסמכה מכוח חוק, ושאילו היה המידע מועבר ישירות מישראל לצד השלישי, היו מתקיימים בהעברת מידע זו, בפני עצמה, התנאים הנדרשים חכך.

הלכה למעשה, כאשר קיימת הסכמה של מעביר המידע מישראל להעברתו לצד שלישי במדינה זרה, ניתן לראות בכך העברה חדשה של מידע מישראל, ולא כהעברה נוספת במדינה הזרה.

הסיבוב השלישי של פעילותו של שרמס יכול, אולי לשנות בהמשך גם הנחיות אלה.
 

איפה המידע שלנו מוגן? כאן. אצלנו בבית

החוקים והתקנות באירופה ובישראל, כמו גם במדינות אחרות בעולם, יפעילו לחץ רב על חברות האיחוד האירופי וספקים בארה"ב לחפש דרכים חדשות, כמו אירוח מחוץ לארה"ב.

שמירת הנתונים המעובדים על ידי חברות אמריקאיות בישראל, המוכרת כמדינה העומדת בדרישות הגנת המידע האירופאיות, תאפשר לארגונים בישראל ליהנות משירות מקומי, יעיל וזמין, תוך עמידה הן בדרישות הדין הישראלי והן הדין האירפאי.
 

מרכז הנתונים החדש של חברת מיקרוסופט בישראל

לסיכום סקירתנו עד כה בעניין הגנה על הפרטיות, בישראל, כאשר מדובר בארגון השומר מידע פרטי – רגיש על לקוחותיו, ועליו לעמוד בדרישות הפרטיות על מידע זה כפי שמפורט בחוק הגנת הפרטיות ובתקן GDPR, ההסתייעות בשירותי הענן המקומי של חברת מיקרוסופט תפשט את הסוגיות המשפטיות של הארגון.

מיקרוסופט משיקה השנה דאטה סנטר מקומי שיעמוד ברגולציות ותקני האבטחה והפרטיות המחמירים והמובילים בעולם. ארגונים ישראליים יוכלו להנות דרכו משירותי הענן של Azure, כאשר הם מאפשרים לעצמם יכולות אבטחת מידע מתקדמות מקצה לקצה ברמת הזהויות והגישה, הנתונים והתשתית. או בקצרה - על הכל, באמצעות פתרונות המקיפים יותר מ-40 קטגוריות אבטחה שונות, שהוכרו על ידי גופי אנליסטים מובילים בעולם כbest-in-class.

על מנת לעזור לארגונים לפקח, ולבקר את תנאי עמידתן בתקנות ורגולציות בצורה אפקטיבית ויעילה מיקרוסופט מציעה כיסוי תאימות (compliance offering) מקיף יותר מכל ספק שירותי ענן אחר. בין אם הארגון נמצא רק בשלב הראשוני של זיהוי הנתונים האישיים במערכות, בניית תוכנית לאבטחתם על פי הדרישות בתקן או בשלב מתקדם של ניטור זיהוי ודיווח על הפרות הנוגעות לנתונים פרטיים מדינות שהוקם בהן דאטה סנטר של מיקרוסופט הגדילו את ה- GDP של המדינה, בעשרות מיליארדים. זה מהלך שייצור עשרות אלפי משרות כי זה מניע כלכלה דיגיטלית. מאפשר להרבה סקטורים שבגלל תפיסת רגולציה לא נכנסו לענן  להיכנס לענן ולהפוך לדיגיטליים כך שניראה האצה של הרבה סקטורים – פיננסים, רפואה, חינוך. הפרייה של הכלכלה הדיגיטלית.

 

אחד הפתרונות שמיקרוסופט מציעה בתחום,Microsoft Compliance Manager, לדוגמא, מאפשר ניהול עמידה בדרישות התקנים בפשטות על ידי שימוש בממשק אינטואיטיבי וכלים מובנים לצורך הערכת המצב הקיים מבחינת עמידה בדרישות, כך תוכלו לקבל רשימת המלצות מפורטות לשיפור המצב הקיים וציון תאימות כולל המשקף את התקדמות הארגון וממקד אותו בשיפור הדרישות הקריטיות תחילה.

 

צרו קשר עם המומחים שלנו >>