דו"ח טכנולוגי
גלי ההדף של החלטת בית הדין של האיחוד יכולים להפיל גם את ההייטק בישראל
הפסיקה הדרמטית של בית הדין לצדק באיחוד האירופי, בה נקבע כי יש לבטל את הסכם מגן הפרטיות עם ארה"ב שאפשר לחברות אמריקאיות לעבד מידע של אזרחי האיחוד, עלולה להוביל לבריחה של חברות מישראל ואובדן הכנסות קריטיות
אבל למרות שישראל אינה צד בהחלטה, להשלכות שלה צפויות להיות משמעויות אדירות, וחמורות במיוחד, על הכלכלה הישראלית, ובמיוחד על תעשיית ההייטק המקומית "זו רעידת אדמה, כי ההשלכות עלולות להטיל נטל כבד על הרבה חברות", אמרה לדו"ח טכנולוגי ד"ר תהילה שוורץ אלטשולר מהמכון הישראלי לדמוקרטיה. "אם ישראל לא תעשה חבילה של תיקונים הכרחיים בחוק הגנת הפרטיות, זה יהיה חבל מאוד. השימוש בשב"כ במסגרת המאבק בקורונה ישים את ישראל במקום מאוד בעייתי, בייחוד לפי פסק הדין שניתן. המסר של פסק הדין הרבה יותר רחב מאשר רק ארה"ב, והשאלה היא איך ההדף שלו ישפיע. זה בטוח מאוד ישפיע על ישראל".
שוורץ אלטשולר מכירה את הנושא היטב. זה קרוב לשנתיים שהיא שקועה עמוק בהסדרי הפרטיות בין ישראל לאיחוד האירופי, ובשאלת התאימות (Adequacy) של החוק בישראל לדיני הפרטיות החדשים של האיחוד, GDPR. התאימות, שניתנה ב-2011, מאפשרת לחברות ישראליות להשתמש במידע של תושבי היבשת ולמכור להם מוצרים מבוססי מידע. ואולם, התאימות ניתנה על בסיס חוקי הפרטיות הישנים שהיו בתוקף לפני כניסתם לתוקף חוקי GDPR המחמירים יותר.
בימים אלו מנהלת המחלקה הבינלאומית בפרקליטות המדינה מו"מ עם מוסדות האיחוד על חידוש התאימות, והעקרונות שקובע פסק הדין מצביעים על סכנה אמיתית שישראל לא תקבל אותה.
התאימות שכל כך חשובה לישראל וההחלטה של בית הדין בנוגע להסכם עם ארה"ב (או ליתר דיוק, ביטול אותו הסכם) קשורים זה בזה כי הם עוסקים באותם נושאים. "בית הדין ביטל את הסכם מגן הפרטיות מ-2015, שמאפשר לחברות אמריקאיות לשמור בשרתים מחוץ לאיחוד מידע של אזרחי היבשת ולעבד אותו", הסבירה שוורץ אלטשולר. "לארה"ב אין תאימות עם האיחוד וההסכם מאפשר לתת הסמכה פרטנית לשימוש במידע של אזרח האיחוד לכל חברה שתעמוד בתנאי הגנת פרטיות, ניהול מאגר מידע ואבטחת מידע. הכוונת לחברות שעושות שימוש במידע פרטי על אזרחי האיחוד. הן חייבות לקבל הסמכה שהפעילות שלהן מספיק טובה בעבור אירופה".
ואולם , פסק הדין קבע שההסמכה שקיבלו חברות אמריקאיות אינה מספקת, "כי הן ידועות בכך שהן מוסרות לרשויות הרבה מידע, ויש פעולות מעקב מאוד חזקות של רשויות אכיפות חוק ומודיעין על תעבורת הרשת בארה"ב, על המידע שהן מחזיקות בשרתים שלהן".
לדברי שוורץ אלטשולר מדובר בלא פחות מרעידת אדמה, והשלכות ההחלטה צפויות להטיל נטל כבד על הרבה חברות. "השלכה אפשרית אחת היא שחברות בכל העולם יצטרכו לפתוח מחדש את מדיניות עיבוד המידע שלהן, ולחתום מחדש על הסכמי פרטיות עם משתמשים", הסבירה. "יכול להיות שהן יצטרכו לחתום מחדש על חוזים עם ספקים ולתקן את כל ההסכמים האלו. הן צריכות לעמוד באופן מלא בתנאי GDPR אם ירצו להשתמש במידע שקשור לאירופה. יכול להיות שיהיה צורך להעביר שרתים, להפסיק להשתמש בשירותי ענן של חברות אמריקאיות.
"החברות הגדולות יעמדו בזה, אבל לחברות קטנות זה עול משמעותי. יש כאלו שסבורים שזה יפגע בנכונות של חבורת אירופאיות או מוסדות מחקר באיחוד להעביר מידע לארה"ב. יש להם מידע רפואי ששווה הרבה כסף. עם גוגל או חברת תרופות תרצה גישה למידע הזה, זה עשוי להיות בעייתי. לגוגל, לפייסבוק ולחברות דומות יש משתמשים שהם אזרחי האיחוד, והשאלה היא מה מותר להן לעשות עכשיו עם המידע שהן אוספות עליהם. אחרי ש-GDPR נכנסו לתוקף הן העבירו חלק מהשרתים לארה"ב, כי שם הגבלות על ניהול מידע פחות מחמירות. יש שסבורים שזו לא רעידת אדמה. האינטרסים העסקיים והכסף יגברו על הכל, הם יעשו רק שינויים במיקום השרתים והמנגנון".
מה חשוב בהחלטה?
"בית הדין של האיחוד אומר שזה לא שלא מספיקות הגנות הפרטיות בארה"ב, שמאפשרות לפגוע בפרטיות, מה שמפריע זה המעבר של מידע פרטי לרשויוות אכיפת החוק, שהמודיעין מנטר תעבורת רשת. זה מה שמסכן את אזרחי האיחוד. זו הסיבה לביטול ההסכם הזה".
למה זה חשוב?
"כי כשמדינה מבקשת תאימות מול האיחוד, הוא בודק כל מיני דברים: הזכויות של האזרחים במידע, עד כמה רשות הגנת הפרטיות עצמאית וחזקה. בין השאר, הוא בודק מה הסמכות שניתנת לארגוני ביטחון לפגוע בפרטיות באותה מדינה. קנדה, יפן, אוסטרלה, ניו זילנד, מדינות שחשובה להן התאימות מול אירופה, נאלצו לשנות את ההסדרים לגבי מה מותר לרשויות איכפות חוק וביטחון לעשות ברמה של פגיעה בפרטיות, כדי שתהיה תאימות לסטנדרט באיחוד.
"בהצעת חוק הפרטיות שגיבשתי התייחסנו לעניין הזה, ודיברנו על תיקונים הכרחיים בחוק כדי לשמר את התאימות מול אירופה. התייחסנו בדיוק לזה, ואמרנו שצריך לצמצם את הפטור הגורף שהחוק הישראלי נותן למוסד, למשטרה, לשב"כ ולצבא מאחריות לפגיעה בפרטיות. כיום, אם המשטרה רוצה להשתמש במידע פרטי כדי לייצר מערכת חיזוי פשיעה, מותר לה לעשות את זה כי אין לה שום חובה לשמור על פרטיות. אי אפשר להסתמך על זה שהחוק ייתן פטור גורף לרשויות הביטחון, כי זה זה הדבר המרכזי שיוביל לאבדן התאימות.
"ישראל קיבלה תאימות ב-2011. סיפרנו כל מיני סיפורים על פיקוח בג"ץ ושזה עדיף על רשות עצמאית, התחייבנו לתיקוני חקיקה. לא עשינו שום דבר מהדברים האלו. אנחנו לא יודעים מה מצב המו"מ שמנהלת המחלקה הבינלאומית בפרקליטות המדינה מול האירופאים. לא יודעים איזו תמונת מצב הוצגה, כי הם לא מוכנים לפרסם את המסמך וגם בבקשת חופש מידע נדחתה בטענה שזה קשור ליחסי החוץ. לא יודעים מה התחייבה המדינה בבקשה לקבל תאימות, ולא יודעים מה סיפרה שקורה והאם מה שסיפרה נכון. במשך 10 שנים כמעט לא עבר שום תיקון לחוק הגנת הפרטית, לא חוזקו סמכויות הרשות".
הסכנה לאבדן התאימות מוחשית במיוחד לאור השימוש בכלי המעקב של השב"כ במסגרת מאמצי המלחמה בקורונה. "החליטו להפעיל את השב"כ כדי לבצע מעקב הרבה יותר רחב ממה שקיים בכל מדינה. נציבות האיחוד פרסמה חוות דעת לגבי הקורונה שאסרה לאסוף מידע פרטי באמצעים כאלו, וישראל מכניסה לה אצבע לעין במובן הזה. כל הזמן הזהרנו שזה יוביל לאיבוד התאימות. ההחלטה של בית הדין מחזקת את הטענה שלנו, היא היא אומרת שבית הדין שם לב לכמה מעקב יש מצד גופי מודיעין במדינה מסוימת".
מה בעצם הסכנה באובדן התאימות?
"יפגע בארגונים, בחברות במחקר. כל תעשיית ההייטק מבוססת על מידע פרטי, וכל דבר כזה – חברה שעוסקת בניתוח מידע רפואי, או מקסום יכולות שכנוע מבדיה חברתית, חברות שעוקבות אחרי פעילות גלושים באתר שלהן, חוקרים באוניברסיטה שרוצים לחוקר על בסיס מידע פרטי מאירופה – כל זה יכול להיפגע".
אותה אזהרה משמיעים מומחי הפרטיות המובילים בישראל, בחוות דעת ששלחה אתמול למשרד המשפטים עמותת פרטיות ישראל, שנמצאת עדיין בשלבי הקמה, ושבין מייסדיה נמנים שוורץ אלטשולר ושמות בולטים אחרים בתחום כמו עו"ד חיים רביה, פרופ' מיכאל בירנהק, פרופ' קרין נהון וד"ר ערן טוך. "ההסתייעות בשירות הביטחון הכללי לצורך מעקב ועיבוד מידע אישי לצורך איתור מגעים, מנוגדת לעקרונות דיני הגנת המידע האירופי", הם מזהירים. "פרקטיקה זו של העברת מידע אישי לגופי ביטחון היא שהביאה לבטלות הסדר העברת המידע בין האיחוד האירופי לארה"ב, פעמיים. על כן, ברור כי חקיקת התיקון לחוק השב"כ היא כשלעצמה עלולה לבטל את ההכרה בישראל כמקיימת רמה נאותה של הגנה על מידע אישי".
וגם הם מתריעים מפגיעה קשה בכלכלה הישראלית במקרה של אבדן התאימות: "אם תישלל ההכרה האירופית, יצטרכו אלפי גופים ישראלים לבצע שינויים מפליגים ויקרים במערך העסקי, הטכנולוגי והמשפטי שלהן. עסקים קטנים ובינוניים - יתקשו מאוד לעמוד בכך. לשלילת ההכרה יהיה נזק כלכלי עצום. יש אף חשש לבריחה של חברות מישראל, ואובדן הכנסות קריטיות מתעשיית ההייטק הישראלית וענפים נוספים. כלכלת ישראל, ופעולתם התקינה של ארגונים, מוסדות שלטון ומחקר, תלויים בתנועה חופשית של מידע אישי. פגיעה בפעילותם עלולה להביא עימה תוצאות קשות ובלתי צפויות".
ישראל נמצאת רק בראשיתו של משבר כלכלי שעלול להתגלות כאחד החמורים בתולדותיה, אם לא החמור שבהם. אירופה היא יעד הייצוא השני בחשיבותו של המדינה, סקטור ההייטק מנוע הצמיחה המרכזי שלה. קחו לחברות טכנולוגיה את השוק האירופי, והנחתתם מכה אדירה על מאות סטארט-אפים וחברות, בתקופה שגם ככה סובלת מחוסר ודאות ואי-יציבות אדירים. הנתונים כבר מצביעים על כך שכלי האיכון של השב"כ הוא לא האמצעי הכי יעיל במלחמה בקורונה. עכשיו, יש חשש שהוא לא רק שאינו מועיל לחברה הישראלית, הוא עלול גם לגרום לנזק משמעותי לכלכלתה.