ניתוק ישראל מהענן האירופי מאיים על הסטארט-אפ ניישן
לפני כחודש הרעיד בית הדין לצדק של האיחוד האירופי את אירופה וארה"ב, ושלח את ענקיות הטכנולוגיה לחשב מסלול מחדש – מאמרו של עו"ד עידן בן-יעקב שפורסם במוסף חדשנות בעיתון 'הארץ' >>>
זהות המשתמשים, אופן צריכת השירות, העדפות, תחומי עניין וכד', שמכונים כולם בפשטות "דאטה", זו הסחורה החמה והנצרכת ביותר בעולם הטכנולוגיה. כל פעילותנו הטכנולוגית, כל המידע המופיע אודותינו (גם אם נוצר על ידנו או ע"י אחרים), מה שחיפשנו, כתבנו, צילמנו אחסנו ו/או שמרנו בענן – חשוף, בסופו של יום, לחברה בה אנו משתמשים/מחפשים וכד' או שומרים בה את המידע.
היא, וכחלק מתנאי השימוש והמודלי העסקי בתמורה לשירותי האחסון והשימוש, "חינמיים" למשתמש הקצה, עושה בו שימוש לצרכיה לרבות ע"י עיבודו, הנפקת נתוני ודפוסי צריכה ואף ע"י מכירתו לצדדים שלישיים. ב- ICQז"ל, אשר משרדנו עוד זכה לתת לאחד ממייסדיה ייעוץ כבר בסוף שנות ה-90, ולאחריה כמובן גם גוגל, היו בין הראשונות לזהות זאת. בזכות עיבוד מתקדם ואלגוריתמים מתוחכמים היא מצליחה בכל פעם מחדש להתאים לנו את התוצאות שחיפשנו, עוד לפני שידענו שזה מה שאנו רוצים.
האיחוד האירופי, שהבין את רגישות המידע, שנובעת לא רק מהמידע הגולמי, אלא בעיקר מהתובנות והמידע הרגיש שניתן להפיק ממנו, קבע את כללי ה-GDPR. כללים אלה חלים על כל גוף הפועל או מספק שירות או מוצר במדינה אירופית החברה באיחוד (אף אם רק כנקודת מעבר של מידע) או לתושב/אזרח אירופאי, וחלים על כל יישות ו/או אדם המעבד/ת מידע של תושב או אזרח האיחוד האירופאי.
כלומר, בפועל חלים הכללים הללו על מרבית העולם (אשר חייב את המדינות השונות להתאים את חוקיהם לכלליו (באופן כזה או אחר) אם ברצונם לפעול במרחב הקיברנטי האירופי.
הוראות וכללי ה- GDPRמתייחסים לכלל הפעילות במידע הפרטי שאנו יוצרים ונשמר בענן, וכוללות, בין היתר, את הזכות להישכח(The right to be forgotten), היינו האפשרות לא להיות מאונדקסים בשרתי מנועי החיפוש השונים ולחייבם למחוק את כלל המידע אודותיכם בהתאם לדרישת המשתמש (במגבלות מסוימות).
ה-GDPR הוא בעצם מטריית חוקים וכללים החלים בין החברה האוספת את המידע, חברה המעבדת אותה, חברת אחסון המידע, המשתמש עצמו אשר סיפק את המידע או שהמידע נאסף אודותיו וכיוצ"ב.
ישראל, כשותפת סחר משמעותית של האיחוד האירופאי וכחלק מאזור ה-EMEA התאימה והכפיפה עצמה דה פקטו לקווים המנחים בפרוטוקול ה-GDPR באמצעות התקנת והתאמת חוקי המדינה ויצירת רשת הסכמי גישור והתאמה. ההסכמים התייחסו לשלל נושאי פרטיות, תוך התאמה לשוק הישראלי, ולדרישות הייחודיות לו.
אספקט מעניין שעלה בהקשר זה הוא מעקבי השב"כ אחר אזרחים, כדי לאתר נדבקים בקורונה. אך אנחנו רק טיפה בים. ההסכמים בין ארה"ב לאירופה, המסדירים את התנהלות, שמירת וניהול המידע אותו אוספות חברות הטכנולוגיה, ובאמצעותו מעבירות את המידע בין אירופה לארה"ב, נקראים בשם הכולל 'מגן פרטיות'.
בהחלטתו האחרונה מחודש יולי 2020 של בית הדין האירופאי לצדק, נקבע שבעקבות אי הלימתם של חוקי ארה"ב והמדינות השונות לכללי ה-GDPR, לרבות בעקבות יכולת הממשל לדרוש ולקבל מידע פרטי ואישי על משתמשים שונים, אזי הסדרי 'מגן פרטיות' שעד כה אפשרו (בין היתר) העברת מידע שנאסף באירופה ו/או על אזרחים אירופאים לצורך עיבודו בפועל על אדמת ארה"ב – אינו תקף.
היינו, ההחלטה בעצם אסרה על חברות אמריקאיות לשמור על שרתים מחוץ לאירופה, מידע הנאסף בתחומי היבשת או הנוגע לתושביה ואזרחיה. בכך, זעזע בית הדין את הקרקע ואת המודלים העסקיים של חברות גלובליות (כגון: גוגל ופייסבוק) באשר לכל העברת המידע בין אירופה לארה"ב. לא יהיה מוגזם לומר שבעקיפין – את העברת המידע בעולם כולו.
על פניו, נראה כאילו מדובר בעוד סכסוך משפטי שייפתר באמצעות יועצים משפטיים – אך לא כך הדבר. עולם הטכנולוגיה מבוסס על ביזור ושיתוף פעולה בינלאומי. תחשבו על WAZE: גאווה ישראלית בינלאומית, העלולה למצוא עצמה מוגבלת ביכולת אספקת שירותיה למשתמשיה באירופה, מכיוון שהמידע שלה נאגר ומעובד (בין השאר) בשרתים בישראל. גם אם הוא 'מיוצר' על ידי נהגים אירופים.
בעצם, הפסיקה קבע בית הדין שארה"ב לא עושה מספיק כדי לשמור על פרטיות אזרחיה, ולכן, אין לסמוך עליה שתעשה זאת עבור המידע הקשור לתושבי אירופה. ואם ארה"ב אינה מתקדמת מספיק, היכן נמצאת ישראל? נכון להיום, ישראל עדיין נחשבת למדינה "בטוחה" אך לא בטוח שלעוד הרבה זמן.
המחשה עדכנית עד כמה ישראל "דורכת במקומה" בחוקי הפרטיות ביחס לעולם ניתן לראות במקרה של "זליגת מידע" בפרשיית 'אלקטור', במסגרתה דלף לפני הבחירות מאגר המידע הרגיש על כלל הבוחרים. אם נזכור שאיש לא הועמד לדין והפרשייה נסגרה באיום בקנס בלבד – נבין עד כמה ישראל נמצאת מאחור ביחס לעולם ולחוקי הפרטיות האירופים ובעיקר- ביכולת ההרתעה של מפירי הכללים וההנחיות. ואכן, בית הדין האירופי צפוי עד סוף 2020, להתייחס גם למצב חוקי הפרטיות בישראל, ויקבע אם הם עומדים בסטנדרט האירופי הנדרש.
אך הדוגמאות שנתנו עוסקות, בעיקר, בחברות ענק. מה יעשו סטארט-אפים בתחילת דרכם? היכן ישמרו את המידע אותו הם כורים מהמשתמשים? המחוקק בישראל חייב להבין שמדובר באיום ממשי על הסטארט אפ ניישן.
ללא שיתוף מידע שנוצר באירופה או עיבוד מידע – אין תקומה להייטק הישראלי. אף חברה בעולם לא תעבוד עם סטארט אפ במדינה שלא חתומה על הסכמי פרטיות המקובלים על אירופה ושמגבילה את יכולת עיבוד המידע שהינו היום המשאב היקר ביותר של כל חברה. המחוקק הישראלי חייב להתעשת, ולמצוא את הקשב והיכולת הפרלמנטרית לעדכן את חוקי הפרטיות הישראליים, כדי שיעמדו בקו אחד עם המדינות המתקדמות בנושא בשאר העולם.
מבחינת הצרכן, המידע שקוף לו. הוא נגיש לו בכל מקום המחובר לרשת, והוא כלל אינו מודע היכן נשמר המידע, או תחת אילו הגנות הוא נמצא. תפקיד המחוקק הוא לוודא עמידת ישראל בשורה הראשונה של שמירה על פרטיות המשתמשים והמידע. כי עבור ההייטק בישראל, ניתוק מהענן האירופי משמעו סגירת הסטארט אפ ניישן.
עו"ד עידן בן-יעקב, ממשרד בן-יעקב עורכי דין, עוסק בתחום הנדל"ן, השקעות בארץ ובחו"ל, הגנת הפרטיות, ניהול הון משפחתי, ייעוץ שוטף לחברות, חברות הזנק, חברות בשלות ועוד