top of page
  • תמונת הסופר/תעמוס איתן

על מקס שרמס שמעתם כבר?



גם אם מעולם לא שמעתם על מקס שרמס, הוא השפיע על חייכם. על חלקכם, לפחות אלה מכם שעובדים קרוב למחלקה המשפטית, הוא השפיע הרבה. על חלקכם האחר, השפיע קצת פחות. אבל כנראה שאין אדם בתעשיית ההייטק שמקס שרמס לא השפיע עליו כך או אחרת.


אז מי זה מקס שרמס ומה הוא רוצה? שרמס הוא בחור אוסטרי צעיר, יליד 1987, שלמד משפטים באוניברסיטת וינה. מה לנו ולעו"ד וינאי? שרמס נחשב כמי שמניף את דגל אקטיביזם הפרטיות באירופה כבר כמה שנים. תיקים שבהם הוא עתר נגד פרקטיקות של פייסבוק (היום - מטא) הגיעו פעמיים לבית הדין האירופי לצדק, ופעמיים הוא ניצח. אז בואו נצא לטיול קצר ונבין למה המחלקה המשפטית לחוצה מהשם "מקס שרמס"...


הכל התחיל ב-1995. האיחוד האירופי חוקק אז את מה שמכונה ה-E-privacy directive. החקיקה הזאת הייתה הרגולציה המרכזית הראשונה שהנחתה חברות איך צריך לאחסן ולטפל במידע אישי של אירופאים. אחד מהסעיפים בדירקטיבה הזאת קבע שהעברה של מידע אישי של אירופאים למדינה שהיא מחוץ לאיחוד האירופי היא ככלל אסורה, אלא אם יש בסיס משפטי להעברה הזאת. מה יכול להיות בסיס משפטי רלוונטי? נניח אם הוחלט שהחקיקה במדינה הזרה מעניקה רמה נאותה של הגנה על מידע אישי. צריך לזכור, האינטרנט של 1995 והאינטרנט של 2022 הם שני יצורים שונים מאוד. ב-1995 אף אחד לא השתמש ב"שירותי ענן", ורוב המידע אוחסן בשרתים מקומיים. העברה של מידע מחוץ לגבולות המדינה הייתה הרבה יותר "ביג דיל" ב-1995 לעומת היום.


בינואר 2012 הודיעו סוף סוף מוסדות האיחוד האירופי שהם מתחילים בעבודת מטה כדי להחליף את ה-E-privacy directive בחקיקה חדשה ומודרנית יותר. בדיונים שהתקיימו במוסדות האיחוד האירופי באותן השנים נראה היה שהסעיף שמדבר על המיקום הפיזי של המידע הפך למיותר ויימחק מהחקיקה החדשה. ההתפתחויות הטכנולוגיות האדירות שקרו בין 1995 ל-2012 הביאו את מוסדות האיחוד למסקנה שאפשר לבטל את ההוראה הזאת. ואז הגיע סנואדן. אדוארד סנואדן.


הפרסומים של אדוארד סנואדן חשפו פעילות מעקב ארוכה ומתמשכת של רשויות הביטחון הלאומי האמריקניות. בין היתר, עלה מהחשיפות שהמעקב של הרשויות האמריקניות לא מוגבל רק לאזרחים אמריקנים, וגם לא מתבסס תמיד על צווים שיפוטיים ספציפיים. האיחוד האירופי המשיך בעבודה שלו להחליף את ה-E-privacy directive, אבל כבר היה ברור בשלב הזה שהאירופאים לא יוותרו על הכלל של שמירת המידע בתוך גבולות אירופה. כן שירותי ענן, לא שירותי ענן - מידע על אירופאים יישמר בגבולות אירופה.


ה-GDPR הוא החקיקה שהחליפה את ה-E-privacy directive וגם ה-GDPR כולל סעיף דומה שמחייב שמירה של המידע בתוך גבולות אירופה. אבל גם ה-GDPR קובע שאפשר לפעמים לחרוג מהכלל הזה, כשיש בסיס משפטי מתאים. אחד הבסיסים המשפטיים, בדומה ל-E-privacy directive, הוא שהמדינה שמחוץ לאירופה יכולה לספק הגנה נאותה למידע של אירופאים. אז מה דינה של ארצות-הברית?


זה הזמן לפתוח סוגריים חשובים. עד עכשיו דיברתי על "האירופאים", אבל הם לא מקשה אחת. בטח ובטח שלא במשטר הרגולטורי המורכב של האיחוד האירופי. הנציבות האירופית (The European Commission) היא הרשות המבצעת של האיחוד האירופי. הנציבות נחשבת כארגון פרגמטי יחסית. בבואה ליישם את הוראות ה-GDPR היה לנציבות ברור שהעברת מידע אל מחוץ לאירופה, ובמיוחד לארצות-הברית, היא אבן יסוד בכלכלה הגלובלית. לכן, קבעה הנציבות האירופית שרמת ההגנה על המידע האישי בארצות-הברית היא נאותה, ואפשר להעביר את המידע לארצות-הברית (המנגנון המשפטי שבאמצעותו הוחלט על כך הוא מורכב, אבל אפשר לקרוא על זה עוד כאן). גוף נוסף שפועל באיחוד האירופי הוא בית הדין האירופי לצדק, שהזכרנו כבר מקודם (תראו איזה לוגו יפה יש להם). בית הדין האירופי לצדק הוא הערכאה הגבוהה ביותר במערכת בתי-המשפט האירופית, והוא מופקד על מתן פרשנות לחקיקה האירופית. מן הסתם, כמו בכל מערכת פוליטית, הרשות המבצעת והרשות השופטת לא תמיד רואות עין בעין…


אתם כבר רואים לאן זה הולך? הנציבות האירופית קבעה שהעברת מידע של אירופאים לארצות-הברית היא מותרת בהתאם למנגנון שנקבע ב-GDPR. מקס שרמס חשב שזה שגוי, עתר לבית הדין האירופי לצדק, וניצח. כמה שנים אחר כך ניהלו הנציבות האירופית וממשלת ארצות-הברית משא ומתן כדי להתגבר על הקשיים שעליהם הצביע בית הדין האירופי לצדק. בסופו של המשא ומתן נחתם הסכם נוסף אשר אפשר העברה של מידע מאירופה לארצות-הברית. מנחשים מה קרה אחר כך? מקס שרמס חשב שזה שגוי, עתר לבית הדין האירופי לצדק, וניצח פעם נוספת.


אז מה המצב המשפטי הנוכחי? נכון להיום, העברת מידע של אזרחים אירופאים לארצות-הברית היא ככלל אסורה, וכבר אי אפשר לומר שרמת ההגנה על הפרטיות שמוענק בארצות-הברית היא "נאותה". אז מה כן? העברת מידע לארצות-הברית מותרת רק על-בסיס מנגנון משפטי שנקרא Standard Contractual Clauses. הפרטים לא חשובים, אבל מה שחשוב להבין זה שה-SCC הללו הם תנאים חוזיים שנוסחו בידי הנציבות האירופית. כל ארגון שרוצה להעביר מידע של אירופאים מידע לארצות-הברית חייב לכלול את התנאים החוזיים הללו בהסכם שבינו לבין הארגון האחר שנמצא בארצות-הברית, והארגונים לא יכולים לנהל משא ומתן על התנאים האלה.


אז, האם מדובר רק בממבו ג'מבו של עורכי דין, שמכניסים המון הסכמים ותנאים חוזיים למקומות פשוטים (יחסית) טכנולוגית? ייתכן, אבל יש לממבו ג'מבו הזה גם משמעות פרקטית. כאשר אתם רוצים להשתמש בכלי, תוכנה או שירות, אשר כוללים העברה של מידע אישי של אירופים לארצות-הברית, זה כבר לא כל-כך פשוט, וזה מצריך חוזה שהוא לעיתים מורכב בין הצדדים. אבל, כך אפשר לומר - "אני לא מבין מה אתה אומר לי, אתה מתכוון שאני לא יכול להשתמש ב-API של החברה האמריקנית הזאת בלי לחתום איתה על הסכם? אבל יש תנאי שימוש ל-API ואני רוצה ללחוץ שאני מסכים, למה אני לא יכול?". אז הסיבה שאי אפשר (בקלות) להסכים להעביר מידע לארצות-הברית היא שהמחלקה המשפטית צריכה לוודא שבהסכם בינה לבין חברה אמריקנית ייכללו ה-Standard Contractual Clauses, וזה דבר שעשוי לקחת קצת זמן. והכל בגלל (או "בזכות") עו"ד וינאי צעיר...


בהזדמנות אחרת נספר על משמעויות פרקטיות נוספות של ההחלטות השיפוטיות הללו, ובעיקר - מה יש לאירופאים נגד google analytics?

Comentários


bottom of page