כחודש לפני הפיגועים בלב פאריס, קיבל בית הדין הגבוה לצדק של האיחוד האירופי החלטה, שנראית היום כתלושה מהמציאות – ועניינה הגברת הפרטיות של אזרחי אירופה, בכל הנוגע להעברת פרטים אישיים ממאגרי מידע אשר באירופה לארה"ב.
פסק הדין ניתן על רקע חשיפת פרשת סנודן, שבמרכזה השימוש שעושים שירותי המודיעין האמריקאים במידע פרטי של אזרחים. משתמש פייסבוק אוסטרי הגיש תלונה לבית הדין בנושא זה, בין היתר, בשל שרתי פייסבוק המעבדים מידע של משתמשים אירופאים, אשר דרכם יכולים שירותי ביון, וכן גורמים עוינים, לחדור לפרטיותם של אזרחי אירופה, ולעשות בהם שימוש לא מורשה.
בהחלטה בעתירה, פסל בית הדין האירופי הסדר קודם, משנת 2000 שנקרא Safe Harbor, שהינו הסדר שגובש, שלא בחקיקה, ואשר אפשר, עד עתה, העברת מידע אישי באופן אלקטרוני, על אזרחי האיחוד האירופי, לרבות מידע בריאותי, כלכלי ומידע רגיש אחר, מארצות האיחוד האירופי – לארה"ב.
לדברי עו"ד נעמי אסיא, העוסקת בקניין רוחני והגנת הפרטיות – החלטת בית הדין האירופאי מהווה רעידת אדמה, המחזירה חלקים גדולים במסחר ובכלכלה העולמית דורות אחורה. ההחלטה המהפכנית אמורה להיכנס לתוקפה בסוף חודש ינואר 2016 וזאת באם לא יתקבל פתרון או הסדר חלופי.
פסילת ההסדר נוגעת גם לישראל, הפועלת כחברה באיחוד האירופי לעניין הגנה על הפרטיות, ועל כן הרשות למשפט וטכנולוגיה במשרד המשפטים (רמו"ט), הורתה על היערכות לביטול ההסדר גם בין ישראל לארה"ב.
עו"ד אסיא ציינה כי "אם לא יימצא פתרון לביטול ההסדר, ייאלצו גופים מסחריים גדולים, וביניהם חברות אשראי ובנקים, להעביר מאגרי מידע באופן ידני בין היבשות – דבר שיתקע, הלכה למעשה, את הכלכלה העולמית.
"לדוגמא, העניין משליך באופן ישיר על הטיפול בתקיפות סייבר, הן באירופה והן בישראל" אומרת עו"ד אסיא "אחד מכל שלושה ישראלים שפרטיו האישיים דלפו לרשת, יחווה ניסיון של גניבת זהות, ו-כ-40% מהישראלים שפרטי האשראי שלהם דלפו לרשת – יחוו ניסיון לשימוש עוין בכרטיסם."
מה נחשב על פי ההסדר למידע רגיש?
"מידע רגיש הוא כל מידע אישי חסוי לגבי אדם, החל מצב בריאותו, מצבו הכלכלי דתו, נטייתו המינית וכו'" אומרת עו"ד אסיא. "מידע זה כולל למשל מספרי חשבונות בנק, מספרי כרטיסי אשראי וכו' – כך שהמסחר הבין-בנקאי עלול להפוך למסורבל ביותר כתוצאה מביטול הסדר ה-Safe Hrbor".
אם אסור להעביר מידע בצורה אלקטרונית – כיצד ניתן להעביר אותו?
"הדרך היחידה בה ניתן להעביר מידע כזה, הכולל כאמור מאגרי מידע שלמים, ולא מידע פרטני על אדם מסוים – היא בהעברה ידנית. על נציגי הבנק יהיה לקחת את הדיסק עליו צרוב המידע, או הדפים עליהם הם מודפסים, ולהעבירם ידנית לעמיתיהם בארה"ב".
האם ביטול ההסדר הזה תקף גם לישראל?
"חוק הגנת הפרטיות 1981 ותקנות העברת מידע משנת 2001 קובעים כי ישראל יכולה להעביר מידע ולקבל מידע ממדינות אירופיות המקיימות מדיניות שמירה על הפרטיות על פי הדין האירופי. בהחלטה של האיחוד האירופי מלפני מספר שנים, הדין החל בישראל לעניין שמירה על הפרטיות נמצא תואם את הדין האירופי. מתוקף החלטה זו אומץ הסדר ה– Safe Harborועל כן הוא חל על ישראל" אומרת עו"ד אסיא. "ככלל, ישראל היא חלק מהשוק האירופי המשותף, ולכן החלטות של בית הדין הגבוה לצדק האירופי, בהקשר להסדרים מסחריים – חלים עליה ככל חברה אחרת בשוק".
ואכן, בעקבות פסק הדין האירופי – קיבלה הרשות למשפט וטכנולוגיה במשרד המשפטים (רמו"ט) החלטה, על פיה הסדר ה- Safe Harbor יבוטל גם בישראל. הרמו"ט היא הממונה על אכיפת חוק הגנת הפרטיות, לרבות טיפול וניהול של מאגרי המידע הרשומים מכוח החוק.
מתי מבוטל ההסדר הזה בפועל? מעתה, או שיש תקופת הסתגלות?
"תקופת המעבר עד ביטול ההסדר מסתיימת בינואר 2016. אין הדבר אומר שההסדר באמת יבוטל. אני מאמינה שעד אז, בייחוד על רקע אירועי הטרור הקשים בפאריז, ימצא פתרון" אומרת עו"ד אסיא.
באילו דיונים משפטיים והליכים החוקים הללו עלולים להשפיע?
"מבחינת משפטית זו רעידת אדמה" אומרת עו"ד אסיא. "ההשפעה היא על חיי המסחר והחוזים והיא תורגש באופן מיידי. חשוב לציין שבישראל, לפי תקנות הגנת הפרטיות – עדיין יהיה אפשר להעביר פרטי מידע על אזרחים ותושבים – בתנאי שהגוף האמריקאי המקבל יתחייב בחוזה על קיום תנאי אבטחה נאותים".
עוה"ד נעמי אסיא משמשת בתפקיד סגן יו"ר ועידת פתרון סכסוכים בארגון הבינלאומי ITECHLAW.ORG. בכנס אשר נערך לאחרונה בלונדון נדון בהרחבה עניין ביטול הסדר ה-Safe Harbor וכי לביטול ההסדר יהיה השפעה משמעותית על הסכמים משפטיים בין צדדים אירופאים ואמריקאים – כי מדובר על הכבדה רצינית בהליך גילוי מסמכים בין הצדדים הנקראEdiscovery . "במקום להעביר באופן אלקטרוני על הצדדים יהיה לטוס למקום ולקבל את המידע באופן ידני".
מאידך ניתן לטעון כי תהייה גם השפעה חיובית לביטול ההסדר בנושא תקיפות סייבר. "ייתכן וחובת האבטחה תשפיע לטובה על הקטנת תקיפות הסייבר, ודליפת מידע פרטי של אזרחים לידי גורמים פליליים ועוינים".
מדוע בוטל ההסדר, ומדוע דווקא כעת?
"במדינות העולם, קיימים הסדרים שונים ומגוונים ביחס לנושא הפרטיות, כל מדינה על פי גישתה. כך למשל בארה"ב, שבה הגישה נוטה לכיוונם של תאגידי ענק, אשר הכלכלה מתבססת עליהם, אין חקיקה ספציפית לעניין פגיעה בפרטיות. לעומת זאת בחבר מדינות אירופה, שם הגישה נוטה יותר לכיוון זכויות הפרט, ההקפדה על כל נושא הפרטיות היא אדוקה".
פרשת סנודן זעזעה את הקהילה האירופית, כי היא בעצם חשפה את העובדה שמוסדות הביון של ארה"ב מתעדות כל תעבורה אלקטרונית של כל אזרח גם שאינו אמריקאי. "כל מסרון, כל עסקה אלקטרונית, כל מייל, כל סטטוס בפייסבוק, ואפילו התמונות הפרטיות שאנשים מתעדים באמצעות הסמארטפונים, ואשר נשמרות עליהם, ולא מתפרסמות בשום מקום – זוכות לתיעוד במערך הביון האמריקאי – אם נערך להם גיבוי בענן – ומי לא מגבה היום תמונות בענן?".
עו"ד אסיא מציינת כי סנאודן חשף את החדירה האינטנסיבית לפרטיותם של אזרחי אירופה, בתירוץ של צרכי ביטחון – חדירה שבעצם חשיפתה הזמינה למעשה תגובה אירופית חריפה כלפי ארה"ב.
"האירוניה היא שדווקא המעקבים הללו על אזרחי העולם עשויים לסייע לארצות האיחוד האירופי לסכל את גל הטרור הקשה ששוטף את היבשת – כך שתזמון ההחלטה הוא די בעייתי לאירופאים" אומרת עו"ד אסיא.
אם כך, מדובר בהחלטה טרגית?
"אני מאמינה שלבסוף תימצא איזו דרך ביניים, שלא תכביד על הכלכלה בצורה כה חריפה, כפי שמסתמן מביטול הסדר ה-Safe Harbor. לדעתי יתקבלו תקנות שיכבידו על העברה ואחזקה של מאגרי מידע בצורה לא מוגנת, שתכוון בעיקרה נגד דליפה של מידע על אזרחים על ידי תקיפות סייבר – אם היא נעשית ע"י שירותי הביון של מדינות ידידותיות, ואם על ידי גורמים עוינים".
מה המצב כיום בכל הנוגע לתקיפות סייבר בישראל?
לדברי עו"ד אסיא, באירופה ובארה"ב התקבלו חוקים אשר מחייבים חברות לדווח לנפגעים פוטנציאליים, כולל צדדים שלישיים – שנערכה תקיפת סייבר ודלף מידע אישי שלהם. בישראל, נכון להיום, לא קיימת חובה חוקית להודיע לנפגעים או לרשויות האכיפה, במקרים של חדירות או תקיפות סייבר.
"צריך להבין שהזמן הממוצע לגילוי תקיפה של מאגרי מידע באמצעות תוכנות זדוניות, ותיקונה נע בין 80 ל-120 יום.
הסכנה מדליפת מידע היא בעיקר גניבת זהויות. מדובר על נתון מדהים: אחד מכל 3 אנשים שהמידע לגביהם זלג, חווה ניסיון לגניבת זהות – זה מספר עצום והציבור בכלל לא מודע לכך. יתרה מזאת, כמעט 40% מלקוחות חברות האשראי שמידע לגביהם נגנב, מצאו את עצמם נתונים לגניבת זהות".
עו"ד אסיא מציינת כי משרדה פועל עם תאגידים בינלאומיים במתן מענה ותגובה במקרה של תקיפות סייבר. "כולי תקווה שהנושא החשוב הזה יקודם בקרוב, ונראה הסדרה של תחום תקיפות הסייבר גם בישראל".
עו"ד נעמי אסיא היא בעלת משרד עורכי הדין נעמי אסיא ושות', עורכי פטנטים ונוטריון
