בית הדין האירופי לצדק הכריע (5.10.15) ופסל את הסדר Safe Harbor שאיפשר העברה של מידע בין אירופה לארצות הברית (
להחלטה,
לחוות הדעת של היועץ המשפטי); כדי להבין את ההחלטה עצמה ואת המשמעות שלה לכל אחד מאיתנו, צריך קודם כל להבין מהו ההסדר, מדוע הוא נוצר, ואיך הוא הוביל להשמדה עצמית.
לכל מדינה יש חוקים משלה ותפישה שונה של זכויות שונות; לדוגמה, בעוד שבארצות הברית התפישה של אחזקת נשק היא זכות יסוד (
התיקון השני לחוקה האמריקנית) וכמעט שלא ניתן להגבילו, הרי שבישראל
חוק כלי הירייה מגדיר את הזכות של אדם להחזיק כלי ירי במקרים מסוימים, ומתלה אותו ברישיון. כך, בתרבויות שונות
גילאי הנישואין שונים,
גיל שתיית האלכוהול שונה, וגם
גיל ההסכמה ליחסי מין שונה בין מדינה למדינה.
אבל לא רק דברים טכניים כמו הגיל הם שונים, אלא גם המהות של זכות מסוימת. לדוגמה שלנו קוראים "הזכות לפרטיות". את הזכות לפרטיות בישראל הגדרנו בצורה לא הכי טובה,
סעיף 2 לחוק הגנת הפרטיות מחזיק רשימה של איסורים שכל אחד מהם פוגע בזכות לפרטיות. באירופה,
הדירקטיבה להגנה על מידע אישי מגדירה את המידע שאסור לעבד ללא הסכמה, ואת הדרכים לעיבוד המידע, ובארצות הברית
התיקון הרביעי (
והארבעה-עשר, במקצת) מגדירים את הזכות לפרטיות.
הזכות האמריקנית לפרטיות היא שונה במקצת: היא הזכות שהמדינה לא תתערב בעניינך. אכן, מספר דברי חוק אמריקניים מכירים בזכות לפרטיות מול תאגידים (לדוגמה,
הסעיף שאוסר על פגיעה בפרטיותם של שוכרי קלטות וידאו) אולם הכלל הוא שהזכות היא מדינתית. יתר על כן, הזכות האמריקנית חלה על אזרחים בלבד.
הסדר Safe Harbor הבדלי התפישה האלו הביאו לכך שבתחילת המילניום, כאשר החלו תאגידי האינטרנט לפעול, הגיעו המחוקקים האירופיים והאמריקניים להסדר, שנובע מהרצון של המחוקק האירופי להגן על אזרחיו: ההסדר אמר כי האירופים מכירים בכך שהחקיקה האמריקנית אינה טובה מספיק כדי להגן על האזרחים האירופיים, אולם אם חברות אמריקניות יתחייבו כלפי האזרחים, מרצונן החופשי, כי הן יחילו על עצמן עקרונות דומים לאלו הקיימים באירופה, הרי שהאירופים יואילו בטובם לאפשר את העברת המידע. להסדר הזה קראו
'Safe Harbor' והוא קיבל חסות של משרד הכלכלה האמריקני.
ההסדר עצמו כלל לא מעט תנאים להסמכת חברות אמריקניות, והשתנה לאורך השנים כך שיכלול
רשימת תנאים להסמכה עצמית שבגדול כל עורך דין שעובד בתחום היה צריך להכיר וללמוד בעל-פה, כיוון שהם הבסיס למדיניות הפרטיות שהוא ניסח.
אחד העקרונות החשובים בהסדר הוא שקיפות: ב
מסמך העקרונות ניתן היה להבין כי על כל מעבד מידע להחיל עקרונות של שקיפות, ליידע את האזרח מיהם האנשים שמקבלים מידע על אודותיו, ולאפשר לו למנוע העברה של המידע הלאה, וכדברי המשורר: "An organization must inform individuals about the purposes for which it collects and uses information about them, how to contact the organization with any inquiries or complaints, the types of third parties to which it discloses the information, and the choices and means the organization offers individuals for limiting its use and disclosure".
הבעיה החלה בשנת 2013, עם חשיפת
מסמכי סנודן. הגילוי המרעיש כי ארצות הברית, באמצעות סוכנות הביון שלה, אוספת מידע על כל מי שאינו אזרח ארצות הברית בצורה ממשית ומוחשית, מתמדת, ללא כל ביקורת או פיקוח, עם יד חופשית על השרת, היה משהו חדש, שונה, שלא ממש הולם את עקרונות ה-Safe Harbor. מדוע? כיוון שלאזרחים האירופים לא הייתה אפשרות למנוע את קבלת המידע על-ידי סוכנות הביון.
לכן, אזרח אוסטרי בשם מקסימיליאן שרמס פנה לבית הדין וטען כי פייסבוק, אשר מחזיקה תאגיד אירי, כופה עליו להעביר את המידע לפייסבוק בארצות הברית, ובכך לחשוף את המידע שלו ל-NSA. בעוד שהתביעה עצמה נשמעת קיצונית: לעצור את העברת המידע בין אירופה לארצות הברית, היא עומדת בדרישות של האמנה האירופית שמחייבת כי העברת מידע תבוצע רק למדינות בהן יש הגנה מספקת על החוק; בהערת אגב, גם בישראל יש הגבלה דומה ב
תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), רק שכאן לאיש לא אכפת מכך.
משמעות ביטול ההסדר בית הדין האירופי ביטל את הסדר ה-Safe Harbor לבינתיים, בלי תקופת הכנה, בלי צינון, בלי הערכות, פשוט קבע כי ההסדר בטל, שכן ההגנה אינה נאותה עוד.
מה המשמעות של זה עכשיו?
בפועל, תאגידי ענק יאלצו להעביר את שרתיהם לאירופה אם הם ירצו להמשיך לעבוד עם אזרחי האיחוד האירופי; האפשרות השנייה היא שהם יצפצפו על החוק וימשיכו לפעול כרגיל. אנחנו, כישראלים, אולם, נהיה בבעיה. עד היום אנחנו
היינו בין המדינות הראשונות שזכו להגדרה כמדינה שמגנה בצורה נאותה על הפרטיות, ובכך השתרשרנו אל אירופה ושמרנו על הפרטיות (שהייתה משורשרת ומותאמת לארצות הברית). כעת, עסקים ישראלים עוד עשויים להיות נדרשים גם להתאים את מדיניות הפרטיות שלהם לארצות הברית וגם לאירופה, וכל זאת למרות הסתירות הרבות.
עוד סוגיה שעשויה להתגלות היא שבישראל אנו נאבד את ההגנה הנאותה אם תתגלה תוכנית מעקב דומה ל-PRISM האמריקנית (
ויש). הסכנה הממשית היא שהסגירה של הסדר Safe Harbor לא תזיז לפייסבוק ולגוגל: הן גדולות כבר כמו מדינה ולא זקוקות להגנה המדינתית. מנגד, עסקים קטנים שכן מפחדים מהרגולטור לא יצאו לפועל, רק בגלל הסיבה הזו.