עו"ד נעמי אסיא מסבירה מדוע בוטל הסדר Safe Harbor באיחוד האירופי, שאפשר העברת מידע אישי באופן אלקטרוני מארופה לארה"ב, ומהן הסכנות בכך: "אם לא יימצא פתרון לביטול ההסדר, ייאלצו גופים מסחריים גדולים, בהם חברות אשראי ובנקים, להעביר מאגרי מידע באופן ידני בין היבשות – דבר שיתקע, הלכה למעשה, את הכלכלה העולמית"
"כחודש לפני הפיגועים בלב פריז, קיבל בית הדין הגבוה לצדק של האיחוד האירופי החלטה, שנראית היום כתלושה מהמציאות, ועניינה הגברת הפרטיות של אזרחי אירופה בכל הנוגע להעברת פרטים אישיים ממאגרי מידע אשר באירופה לארה"ב. פסק הדין ניתן על רקע חשיפת פרשת סנודן, שבמרכזה השימוש שעושים שירותי המודיעין האמריקאים במידע פרטי של אזרחים. משתמש פייסבוק אוסטרי הגיש תלונה לבית הדין בנושא זה, בין היתר, בשל שרתי פייסבוק המעבדים מידע של משתמשים אירופאים, אשר דרכם יכולים שירותי ביון, וכן גורמים עוינים, לחדור לפרטיותם של אזרחי אירופה, ולעשות בהם שימוש לא מורשה. בהחלטה בעתירה, פסל בית הדין האירופי הסדר קודם משנת 2000 שנקרא Safe Harbor, שהינו הסדר שגובש שלא בחקיקה, ואשר אפשר, עד עתה, העברת מידע אישי באופן אלקטרוני על אזרחי האיחוד האירופי, לרבות מידע בריאותי, כלכלי ומידע רגיש אחר, מארצות האיחוד האירופי לארה"ב. החלטה זו, האמורה להיכנס לתוקפה בסוף ינואר 2016, אם לא יתקבל פתרון או הסדר חלופי, מהווה רעידת אדמה המחזירה חלקים גדולים במסחר ובכלכלה העולמית דורות אחורה". כך אומרת עו"ד נעמי אסיא, העוסקת בקניין רוחני והגנת הפרטיות.
לקבלת עדכוני חדשות, פסיקה וחקיקה ישירות למייל, לחץ כאן
עו"ד אסיא מסבירה כי פסילת ההסדר נוגעת גם לישראל, הפועלת כחברה באיחוד האירופי לעניין ההגנה על הפרטיות, ועל כן הרשות למשפט וטכנולוגיה במשרד המשפטים (רמו"ט), הורתה על היערכות לביטול ההסדר גם בין ישראל לארה"ב.
"אם לא יימצא פתרון לביטול ההסדר, ייאלצו גופים מסחריים גדולים, בהם חברות אשראי ובנקים, להעביר מאגרי מידע באופן ידני בין היבשות – דבר שיתקע, הלכה למעשה, את הכלכלה העולמית", מדגישה עו"ד אסיא. "לדוגמא, העניין משליך באופן ישיר על הטיפול בתקיפות סייבר, הן באירופה והן בישראל. אחד מכל שלושה ישראלים שפרטיו האישיים דלפו לרשת יחווה ניסיון של גניבת זהות, ו-כ-40% מהישראלים שפרטי האשראי שלהם דלפו לרשת יחוו ניסיון לשימוש עוין בכרטיסם".
רעידת אדמה משפטית
מה נחשב על פי ההסדר למידע רגיש?
"מידע רגיש הוא כל מידע אישי חסוי לגבי אדם, החל מצב בריאותו, מצבו הכלכלי דתו, נטייתו המינית וכו'. מידע זה כולל למשל מספרי חשבונות בנק ומספרי כרטיסי אשראי – כך שהמסחר הבין-בנקאי עלול להפוך למסורבל ביותר כתוצאה מביטול הסדר ה-Safe Harbor".
אם אסור להעביר מידע בצורה אלקטרונית – כיצד ניתן להעביר אותו?
"הדרך היחידה בה ניתן להעביר מידע כזה, הכולל כאמור מאגרי מידע שלמים, ולא מידע פרטני על אדם מסוים – היא בהעברה ידנית. על נציגי הבנק יהיה לקחת את הדיסק עליו צרוב המידע, או הדפים עליהם הם מודפסים, ולהעבירם ידנית לעמיתיהם בארה"ב".
האם ביטול ההסדר הזה תקף גם לישראל?
"חוק הגנת הפרטיות 1981 ותקנות העברת מידע משנת 2001 קובעים כי ישראל יכולה להעביר מידע ולקבל מידע ממדינות אירופיות המקיימות מדיניות שמירה על הפרטיות על פי הדין האירופי. בהחלטה של האיחוד האירופי מלפני מספר שנים, הדין החל בישראל לעניין שמירה על הפרטיות נמצא תואם את הדין האירופי. מתוקף החלטה זו אומץ הסדר ה-- Safe Harbor ועל כן הוא חל על ישראל. ככלל, ישראל היא חלק מהשוק האירופי המשותף, ולכן החלטות של בית הדין הגבוה לצדק האירופי בהקשר להסדרים מסחריים חלים עליה ככל חברה אחרת בשוק".
מתי מבוטל ההסדר הזה בפועל? האם יש תקופת הסתגלות?
"תקופת המעבר עד ביטול ההסדר מסתיימת בינואר 2016. אין הדבר אומר שההסדר באמת יבוטל. אני מאמינה שעד אז, בייחוד על רקע אירועי הטרור הקשים בפריז, ימצא פתרון".
באילו דיונים משפטיים והליכים החוקים הללו עלולים להשפיע?
"מבחינת משפטית זו רעידת אדמה. ההשפעה היא על חיי המסחר והחוזים והיא תורגש באופן מיידי. חשוב לציין שבישראל, לפי תקנות הגנת הפרטיות, עדיין יהיה אפשר להעביר פרטי מידע על אזרחים ותושבים – בתנאי שהגוף האמריקאי המקבל יתחייב בחוזה על קיום תנאי אבטחה נאותים".
אחד מתוך שלושה יחווה גניבת זהות
עו"ד נעמי אסיא משמשת בתפקיד סגן יו"ר ועידת פתרון סכסוכים בארגון הבינלאומי itechlaw.org. בכנס אשר נערך לאחרונה בלונדון נדון בהרחבה עניין ביטול הסדר ה-Safe Harbor וההשפעה המשמעותית הצפויה מביטול ההסדר על הסכמים משפטיים בין צדדים אירופאים ואמריקאים, לרבות הכבדה רצינית בהליך גילוי מסמכים בין הצדדים הנקראEdiscovery . "במקום להעביר באופן אלקטרוני על הצדדים יהיה לטוס למקום ולקבל את המידע באופן ידני".
מאידך ניתן לטעון כי תהייה גם השפעה חיובית לביטול ההסדר בנושא תקיפות סייבר. "ייתכן שחובת האבטחה תשפיע לטובה על הקטנת תקיפות הסייבר ודליפת מידע פרטי של אזרחים לידי גורמים פליליים ועוינים".
מדוע בוטל ההסדר, ומדוע דווקא כעת?
"במדינות העולם, קיימים הסדרים שונים ומגוונים ביחס לנושא הפרטיות, כל מדינה על פי גישתה. כך למשל בארה"ב, שבה הגישה נוטה לכיוונם של תאגידי ענק, אשר הכלכלה מתבססת עליהם, אין חקיקה ספציפית לעניין פגיעה בפרטיות. לעומת זאת בחבר מדינות אירופה, שם הגישה נוטה יותר לכיוון זכויות הפרט, ההקפדה על כל נושא הפרטיות היא אדוקה. פרשת סנודן זעזעה את הקהילה האירופית, כי היא בעצם חשפה את העובדה שמוסדות הביון של ארה"ב מתעדות כל תעבורה אלקטרונית של כל אזרח גם שאינו אמריקאי. כל מסרון, כל עסקה אלקטרונית, כל מייל, כל סטטוס בפייסבוק, ואפילו התמונות הפרטיות שאנשים מתעדים באמצעות הסמארטפונים, ואשר נשמרות עליהם, ולא מתפרסמות בשום מקום – זוכות לתיעוד במערך הביון האמריקאי – אם נערך להם גיבוי בענן – ומי לא מגבה היום תמונות בענן? סנודן חשף את את החדירה האינטנסיבית לפרטיותם של אזרחי אירופה, בתירוץ של צרכי ביטחון – חדירה שבעצם חשיפתה הזמינה למעשה תגובה אירופית חריפה כלפי ארה"ב. האירוניה היא שדווקא המעקבים הללו על אזרחי העולם עשויים לסייע לארצות האיחוד האירופי לסכל את גל הטרור הקשה ששוטף את היבשת – כך שתזמון ההחלטה הוא די בעייתי לאירופאים".
למרות זאת, עו"ד אסיה מאמינה שתימצא בסוף דרך ביניים שלא תכביד את הכלכלה כפי שמסתמך מביטול ההסדר. "לדעתי יתקבלו תקנות שיכבידו על העברה ואחזקה של מאגרי מידע בצורה לא מוגנת, שתכוון בעיקרה נגד דליפה של מידע על אזרחים על ידי תקיפות סייבר – אם היא נעשית על ידי שירותי הביון של מדינות ידידותיות, ואם על ידי גורמים עוינים".
מה המצב כיום בכל הנוגע לתקיפות סייבר בישראל?
"באירופה ובארה"ב התקבלו חוקים אשר מחייבים חברות לדווח לנפגעים פוטנציאליים, כולל צדדים שלישיים, שנערכה תקיפת סייבר ודלף מידע אישי שלהם. בישראל, נכון להיום, לא קיימת חובה חוקית להודיע לנפגעים או לרשויות האכיפה, במקרים של חדירות או תקיפות סייבר. צריך להבין שהזמן הממוצע לגילוי תקיפה של מאגרי מידע באמצעות תוכנות זדוניות, ותיקונה נע בין 80 ל-120 יום. הסכנה מדליפת מידע היא בעיקר גניבת זהויות. מדובר על נתון מדהים: אחד מכל שלושה אנשים שהמידע לגביהם זלג חווה ניסיון לגניבת זהות – זה מספר עצום והציבור בכלל לא מודע לכך. יתרה מזאת, כמעט 40% מלקוחות חברות האשראי שמידע לגביהם נגנב, מצאו את עצמם נתונים לגניבת זהות. כולי תקווה שהנושא החשוב הזה יקודם בקרוב, ונראה הסדרה של תחום תקיפות הסייבר גם בישראל".
לקריאה נוספת, ראו:
עו"ד נעמי אסיא: שינוי תנאי השימוש של אינסטגרם - התרסקות משפטית ידועה
