למה לשים לב לקראת התקשרות בהסכם שימוש בענן? חלק א'
חברות ישראליות מספקות שירותי ענן בתצורות וגוונים שונים, אולם רבות מהחברות הפועלות בארץ מצויות דווקא מעברו השני של המתרס, כצרכניות של שירותים אלה ● הצצה לעולם המשפטי שמאחורי הענן
בשנים הספורות מאז שהוא בא לעולם, מחשוב הענן הספיק להשתרבב למרכזו של משבר פוליטי-מדיני בין ארצות הברית לאיחוד האירופי; להיות הכוח המניע להמצאה הטכנולוגית שמאתגרת את מערכת הפיננסים העולמית (ע"ע ביטקוין); ולהיות יעד אטרקטיבי לפריצות האקרים, שעלו שוב לכותרות בעקבות הפריצה לפני כמה חודשים למאגרי תמונות פרטיות ורגישות של ידוענים.
חברות ישראליות מספקות שירותי ענן בתצורות וגוונים שונים, אולם רבות מהחברות הפועלות בארץ מצויות דווקא מעברו השני של המתרס, כצרכניות של שירותים אלה. השימוש בשירותי ענן לא מאפיין רק חברות היי-טק, אלא גם מספר הולך וגובר בקרב חברות מסורתיות, בהן בנקים ומוסדות פיננסיים, מוסדות חינוך, מוסדות רפואיים ועוד.
שירותי ענן בעיני המשפט
כמו במרבית תחומי החיים, יש למשפט מה לומר גם על שירותי הענן. וכפי שהמשפט תמיד משתרך אחרי התפתחויות טכנולוגיות, כך גם עם שירותים אלה. ארגונים שצורכים שירותי ענן נדרשים אפוא להתמודד עם אתגרים משפטיים משמעותיים שהחקיקה והרגולציה הקיימת מציבים בפני שימוש בהם.
בדין הישראלי יש תשתית המאפשרת שימוש בשירותי-מחשוב בענן, בכפוף להוראות חוק שונות שבראשן חוק הגנת הפרטיות והתקנות שנקבעו מכוחו ובכפוף לשורה של הנחיות רגולטוריות. לדוגמה, בחודשים האחרונים פרסם המפקח על הבנקים בבנק ישראל טיוטת מכתב הנחיה בעניין שימוש בשירותי מחשוב ענן בבנקים ובחברות אשראי. הטיוטה מזכירה ששימוש של תאגיד בנקאי בשירותי ענן עלול לחשוף אותו "לסיכונים תפעוליים מהותיים הקשורים לאבטחת מידע, המשכיות עסקית, שליטה ובקרה על נכסי ה-IT וכדומה.
עוד קודם לכן, הרשות למשפט, טכנולוגיה ומידע (רמו"ט) במשרד המשפטים, המאגדת בין היתר את רשם מאגרי המידע (רגולטור הפרטיות בישראל), פרסמה הנחיה בדבר השימוש של ארגונים בשירותי מיקור-חוץ לצורך עיבוד מידע אישי שבידיהם. שירותי ענן נחשבים, בדרך כלל, לסוג של מיקור-חוץ הכפוף להנחיה זו, ככל שהמידע שמיועד לטיפול בענן כרוך במידע אישי. במאמר מוסגר נציין שרמו"ט הודיעה כבר לפני מספר שנים על כוונתה לפרסם הנחיה שתעסוק בנושא השימוש בשירותי ענן, אולם מאז לא פרסמה דבר, וחבל.
הסוגיות המשפטיות הכלליות שיש לתת עליהן את הדעת בעת התקשרות בהסכם לקבלת שירותי ענן נחלקות לשלושה תחומים עיקריים: דיני העברת מידע בין מדינתית, חובות אבטחת מידע על פי דין ומנגנוני הגנה חוזיים.
העברה בין מדינתית של מידע
אחד המאפיינים המרכזיים במחשוב ענן הוא האדישות למיקום הפיזי של חוות השרתים המשמשות לעיבוד המידע ואחסנתו. העמימות עשויה להיות מוחלטת, כך שצרכן שירותי הענן אינו יודע היכן ברחבי תבל נמצאת התשתית הפיזית התומכת בעיבוד ואחסון המידע בכל רגע נתון. כיוצא בזה, עיבוד מידע בענן כרוך לעתים קרובות בהעברת מידע אל מחוץ לגבולות ישראל.
בעניין זה, תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה) קובעות כי לא יעביר אדם מידע אישי מישראל אל מחוץ לגבולותיה, אלא בכפוף למספר תנאים שהכרחי לתת עליהם את הדעת בעת התקשרות בהסכם לקבלת שירותי ענן.
ככלל, התקנות אוסרות להעביר מידע אישי לתחומיה של מדינה זרה, אלא אם כן ניתנה על העברה זו הסכמתם מדעת של האנשים שעליהם המידע, או שנתקבלו התחייבויות הולמות של ספק שירותי הענן שמטפל במידע. לחילופין, הן מאפשרות להעביר מידע למדינות באיחוד האירופי או למדינות שהוכרו על-ידי האיחוד האירופי ככאלה שדיניהן מספקים רמה נאותה של הגנה על מידע אישי. בכל החלופות הללו טמון אתגר משמעותי משום ששירותי ענן מערבים תהליכים סמויים של העברת מידע אישי בין חוות שרתים שונות שמיקומן המדויק ברחבי תבל לא בהכרח ידוע. יוצא אפוא שההגבלות הטריטוריאליות שהתקנות מטילות על התנועה החופשית של מידע אישי סותרות את מהותם ועקרונם הבסיסי של שירותי ענן.
אם לא די באתגרים אלה, הרי שהתקנות מתנות כל העברת מידע אישי, תהא מדינת היעד אשר תהא, בקבלת התחייבות בכתב מספק שירותי הענן על כך שלא יעביר את המידע לכל אדם אחר, בין באותה מדינה ובין במדינה אחרת. כדאי גם לזכור שבעת רישום מאגר מידע בפנקס מאגרי המידע, או עדכון הרישום (שניהם חובה על פי חוק), בעל המאגר נדרש לספק פרטים על העברת מידע מחוץ לגבולות המדינה. הקשיים הללו מעידים שהגיע הזמן לתקן את התקנות. הן אינן עונות עוד על צרכי הזמן. בכך אינן שונות מדיני הגנת הפרטיות של ישראל בכלל. אבל משרד המשפטים אינו עושה דבר לתיקון הדין והבהרתו.
הוראות חוק אחרות שעוסקות בהעברת מידע מחוץ למדינה עשויות להיות רלבנטיות לעיבוד מידע בענן, כתלות באופיו של המידע או החברה המבקשת להשתמש בשירותי הענן. לדוגמה, חומר ממוחשב שנועד לאחסון בענן עשוי לערב "ידע ביטחוני" כמשמעותו בחוק הפיקוח על יצוא ביטחוני – למשל אם הוא בגדר מידע שנוגע לציוד ביטחוני או מידע שמתייחס לכוחות הביטחון, מדיניות ביטחון או שיטות אבטחה. על אחסון ועיבוד של מידע כזה בענן עשויות לחול הוראות דיני היצוא הביטחוני, שמגבילות את העברת המידע אל מחוץ לישראל.
בחלק הבא של המאמר נדון בחובות אבטחת מידע אישי על-פי דין ובמנגנוניי הגנה חוזיים.
מאמר זה נועד לצרכים אינפורמטיביים כלליים בלבד ואינו מתיימר למצות את כל הוראות הדין וההמלצות המשפטיות בעניין. אין להסתמך על האמור בו כעצה משפטית ואין לראותו כחוות-דעת משפטית.
עו"ד חיים רביה הוא שותף בכיר וראש קבוצת האינטרנט, IT וזכויות יוצרים בפרל כהן צדק לצר ברץ.
עו"ד דותן המר מפרל כהן צדק לצר ברץ הוא חבר בקבוצה ומטפל באופן שוטף בחוזי ענן.
תגובות
(0)