← Cuadernos Lacre

ניתוח · 18 במאי 2026

Schrems II, חמש שנים אחרי

פסק הדין ששינה את דיני העברות הנתונים האישיים הבינלאומיות. חמש שנים לאחר מכן, חלק ניכר מהפעילות המשרדית האירופית היומיומית ממשיך לפעול כאילו דבר לא קרה.

פסק הדין שלקח לו שלוש שעות לשנות את הכללים

ב-16 ביולי 2020, בסביבות השעה עשר ורבע בבוקר לפי שעון לוקסמבורג, פרסם בית הדין לצדק של האיחוד האירופי (TJUE) את פסק הדין בתיק C-311/18. בשלוש השעות הבאות, המשטר המשפטי שתמך בהעברה היומיומית של נתונים אישיים מאירופה לארצות הברית — מה שכיונה "מגן הפרטיות" (Privacy Shield בשמו הרשמי) — חדל מלהתקיים. כאשר הממונים על הגנת הפרטיות באירופה סיימו את ארוחת הצהריים באותו יום, המסגרת שתחתיה פעלו החברות והמנהלות שלהם כבר לא הייתה תקפה.

פסק הדין מוכר כיום כ-Schrems II, על שם מקסימיליאן שרמס, האקטיביסט האוסטרי שתלונתו נגד פייסבוק אירלנד הניעה אותו. התלונה, באופן ספציפי, עסקה בהעברות בין פייסבוק אירלנד לפייסבוק ארצות הברית. פסק הדין, באופן כללי, הולך הרבה מעבר לכך: הוא מכתיב כיצד ובאילו תנאים יכול לעבור לארצות הברית כל נתון אישי שנאסף בטריטוריה אירופית.

כמעט שש שנים מאוחר יותר, מסגרת ההחלפה קיימת — ה-EU-US Data Privacy Framework, שאומצה ביולי 2023 — וגם היא נמצאת תחת לחץ משפטי. סבב Schrems חדש מתהווה. בינתיים, עסקים קטנים ובינוניים באירופה ממשיכים להשתמש בשירותי ענן אמריקאיים למטלות יומיומיות, רובם מבלי לדעת שהשאלה המשפטית עליה נשענים שירותים אלו נותרה פתוחה.

מה בדיוק קבע פסק הדין Schrems II

פסק הדין נשען על שלושה נדבכים. הראשון הוא אמנת הזכויות היסודיות של האיחוד האירופי, במיוחד ה-artículos 7 (פרטיות וחיי משפחה), 8 (הגנה על נתונים אישיים) ו-47 (הזכות לסעד אפקטיבי). השני הוא הרגולציה הכללית להגנת נתונים — ה-RGPD שאירופים רבים זוכרים רק בגלל הודעות הקוקיז — ובמיוחד פרק V שלו, artículos 44 עד 50, העוסקים בהעברות בינלאומיות. השלישי הוא חקיקת המודיעין האמריקאית: סעיף 702 של חוק המעקב אחר מודיעין חוץ, FISA 702 בז'רגון המשפטי, והצו הנשיאותי 12333.

בית הדין פעל בדרך של השוואה. אמנת הזכויות היסודיות דורשת שנתונים אישיים של אזרחי אירופה ייהנו, בצאתם מהאיחוד, מרמת הגנה שוות ערך במהותה לזו המובטחת על ידי ה-RGPD. השאלה הייתה, כתוצאה מכך, האם ארצות הברית מציעה רמת הגנה שוות ערך במהותה זו.

התשובה הייתה שלילית, ולא בגלל ניואנסים. FISA 702 מאפשר לממשלת ארצות הברית לאסוף תקשורת של מי שאינם אמריקאים הנמצאים מחוץ לטריטוריה הלאומית ללא אישור משפטי אינדיבידואלי מראש, ללא הודעה לנפגע, וללא סעד אפקטיבי בר השוואה לאירופי. הצו הנשיאותי 12333 מרחיב יכולת זו באופן אנלוגי מחוץ לטריטוריה הלאומית. בית הדין קבע כי לאזרח האירופי, אל מול המערכת המשפטית האמריקאית, אין את ההגנה שוות הערך במהותה שהאמנה דורשת. לפיכך, השקילות אינה קיימת.

מכאן נובעת התוצאה הישירה: החלטה 2016/1250 של הנציבות האירופית, שאישרה את ה-Privacy Shield כמסגרת נאותה להעברות, הוכרזה כבטלה. כל העברה שנשענה אך ורק על מסגרת זו נותרה ללא בסיס משפטי מאותו רגע ממש.

מה ששרד (ובאילו תנאים)

Schrems II לא ביטל את כל הכלים. הסעיפים החוזיים הסטנדרטיים — ה-SCC בז'רגון הבינלאומי — שרדו. מדובר בחוזי מודל שאושרו על ידי הנציבות האירופית: יצואן אירופי ויבואן ממדינת היעד חותמים עליהם תוך התחייבות לטפל בנתונים לפי הסטנדרט האירופי. החברה שחשבה שפתרה את הבעיה ב-17 ביולי 2020 חתמה על SCC עם הספק שלה והייתה מרוצה.

אי הנוחות הגיעה כשקראו את פסק הדין לאט. בית הדין הבהיר כי ה-SCC נותרים בתוקף, אך תוקפם תלוי בתנאי שראוי להדגיש: שיבואן הנתונים יוכל לעמוד בהם בפועל. אם החקיקה הלאומית של מדינת היעד מונעת ממנו לעמוד בסעיפים — כי למשל, צו תחת FISA 702 מחייב אותו למסור את הנתונים מבלי להודיע לצד האירופי — הסעיפים אינם מגנים באמת. ואז, אומר בית הדין, על היצואן האירופי להשעות את ההעברה.

זה הציג אובייקט חדש בפרקטיקה האירופית של הגנת נתונים: ה-Transfer Impact Assessment, או הערכת השפעת ההעברה, המוכרת בראשי התיבות TIA. בכל פעם שחברה אירופית רוצה להעביר נתונים לארצות הברית בחסות SCC, עליה להעריך באופן רשמי אם המקבל יכול לעמוד בסעיפים לאור החקיקה החלה עליו. הוועדה האירופית להגנת נתונים (EDPB) פרסמה הנחיות מפורטות כיצד לבצע את ה-TIA. הפרקטיקה הכנה מביאה לרוב לאותה תוצאה: אם היבואן הוא שלוחה אמריקאית של ענקית ענן, התשובה הכנה ל-TIA היא שלא ניתן לעמוד בסעיפים כפי שהם כתובים.

ה-Privacy Framework וה-Schrems III הממתין

ב-10 ביולי 2023, הנציבות האירופית אימצה החלטת הלימות חדשה: 2023/1795. היא מחליפה את ה-Privacy Shield המנוח ופועלת תחת השם EU-US Data Privacy Framework. ארצות הברית שינתה בעבר את המשטר הפנימי שלה באמצעות הצו הנשיאותי (Executive Order) 14086, המגביל את היקף איסוף המודיעין (signals intelligence) למה ש"נחוץ ומידתי" — טרמינולוגיה המוכרת לקורא האירופי, אך פחות לפרקטיקה המנהלית האמריקאית — ומקימה גוף ביקורת הנקרא Data Protection Review Court (DPRC). הנציבות סברה ששינויים אלו מספיקים כדי להחזיר את רמת ההגנה לדרגה שוות ערך במהותה.

ארגון noyb, שהוקם על ידי Schrems, הגיש תלונה ב-7 בספטמבר 2023 נגד ההחלטה החדשה. הטיעונים הם הצפויים: ה-DPRC אינו בית משפט עצמאי במובן של artículo 47 של האמנה; המושגים "נחוץ ומידתי" אינם מתרגמים באופן מכני את הסטנדרטים האירופיים; ולבסוף, הגנה הנשענת על צו נשיאותי יכולה להתבטל על ידי הצו הנשיאותי הבא. פסק דין של ה-TJUE בנוגע להחלטה החדשה — מה שרבים כבר מכנים, בהשלמה מסוימת, Schrems III — צפוי בשנים הקרובות. לא ניתן לחזות את התוצאה. מבנה הטיעון, בכל מקרה, מזכיר מאוד את זה של 2020.

מה שה-PYME האירופי לא שומע

בעוד המותב המורחב של ה-TJUE דן, משרד עורכי דין בינוני ממשיך להחליף תכתובות עם לקוחותיו דרך Microsoft 365 המאוחסן באזורים אירופיים אך נמצא בבעלות חברה אמריקאית הכפופה ל-FISA 702. המרפאה הפרטית מסנכרנת יומנים דרך Google Workspace. יועץ המס שולח הצהרות חתומות באמצעות DocuSign. הפסיכולוג מפיק חשבוניות מגיליון אלקטרוני ב-Notion. משרד עורכי הדין לדיני עבודה מארכב תיקים ב-Dropbox. וכמעט כולם, בנוסף, מעניקים שירות ללקוחותיהם דרך WhatsApp. כל זה יכול לפעול בחסות החלטת ההלימות 2023/1795, לפי הספקים. ביום שבו החלטה זו תיפול ב-Schrems III, כל אותן מערכות יחסים יישארו חשופות באותה שנייה.

השאלה אינה רטורית. בין השנים 2022 ל-2024, רשויות אירופיות שונות הכריעו בתיקים נגד בעלי שליטה בנתונים על שימוש ב-Google Analytics ללא כלי העברה מתאים, תוך יישום מילולי של נימוקי ה-TJUE עוד לפני שה-Privacy Framework נכנס לתוקף. הרשות הצרפתית, ה-CNIL, הייתה הראשונה למסד את הקריטריון בשנת 2022; הרשויות האוסטרית, האיטלקית ואחרות הלכו בעקבותיה זמן קצר לאחר מכן. אי-הציות, תחת העיצוב התפעולי הנוכחי של ה-PYME האירופי, מתועד בזמן אמת למי שיודע לאן להסתכל.

ה-TIA ככלי, לא כטקס

חלק ניכר מה-TIA המסתובבים במשרדים אירופיים הם, בקריאה זהירה, תרגילים פורמליים. הם מפרטים את הכלים החוזיים, מונים את הסמכות הספק, מצטטים את הערבויות הטכניות ומסמנים וי בתיבה. מעטים שואלים ברצינות אם צו FISA 702 יחייב את הספק למסור את הנתונים. עוד פחות שואלים מה יקרה להעברה זו תחת בחינה מחודשת היפותטית של ה-Privacy Framework. ה-artículo 5 של ה-RGPD דורש מבעל השליטה להיות מסוגל להוכיח ציות. TIA שלא נעשה ברצינות לא מוכיח דבר; מה שהוא מוכיח זו את הרצון לציית על הנייר תוך כדי עשיית ההפך בפועל.

הגרסה הכנה של ה-TIA מתחילה בשאלה פשוטה: מה היה קורה אילו מחר היה מגיע לספק זה צו FISA 702 לגבי נתונים ספציפיים אלו? אם התשובה הכנה היא "הוא היה חייב למסור אותם מבלי להודיע לנו", הסעיפים החוזיים אינם פותרים את הבעיה. מה שכן פותר אותה, במקרים בהם השאלה באמת משנה, הוא אי-הנחת הנתונים בידי אותו ספק.

השינוי הפוליטי כסיכון מבני

קיימת שכבה נוספת, פוליטית, שראוי לציין ללא דרמה. החלטת ההלימות 2023/1795 נשענת, בסופו של דבר, על הצו הנשיאותי 14086, שנחתם על ידי הנשיא ביידן באוקטובר 2022. צו נשיאותי נחתם על ידי נשיא אחד ויכול להתבטל, להשתנות או להתרוקן מתוכן על ידי הבא אחריו. הגנת הנתונים האירופיים בארצות הברית תלויה, אם כן, בהחלטה מנהלית שאינה מובטחת על ידי הקונגרס האמריקאי ואינה מוגנת על ידי המערכת המשפטית האמריקאית באותה עוצמה שבה היא מגנה על נושאים פנימיים אחרים. מינואר 2025 מנהל חדש שולט בארצות הברית, והשאלה לגבי ההמשכיות המעשית של ה-EO 14086 חדלה מלהיות היפותטית והפכה לעכשווית. כל תרחיש שבו הממשל יחליט לסגת מהצו או לרכך אותו ישאיר את ההחלטה האירופית ללא הנדבך עליו היא נבנתה.

אין זה טיעון קונספירטיבי. זוהי קריאה מפוכחת של העיצוב המשפטי. מסגרות הגנת הנתונים הטרנס-אטלנטיות כבר קרסו פעמיים: ה-Safe Harbor ב-2015 (פסק דין Schrems I), וה-Privacy Shield ב-2020 (Schrems II). השלישי נשען על נדבך שביר יותר משני קודמיו. חברה אירופית המהמרת היום על עיבוד הנתונים שלה על בסיס נדבך זה מקבלת החלטה של ניהול סיכונים, ולא רק של ציות לרגולציה.

לקורא המקצועי

השאלות התפעוליות שכדאי לשאול לפני בחירת שירות ענן לנתונים מקצועיים — באותה קפדנות שבה מפקח הגנת נתונים היה מעלה אותן — הן הבאות:

  1. היכן מאוחסנים הנתונים פיזית? אזור אירופי אינו תשובה מספקת אם המפעיל הוא אמריקאי.
  2. מי מפעיל את השירות, באיזו סמכות שיפוט הוא מאוגד, ולאילו צווים משפטיים הוא עשוי להיות כפוף?
  3. איזה כלי העברה מופעל: החלטת הלימות 2023/1795, SCC עם TIA, החרגה לפי artículo 49 של ה-RGPD? האם בחירה זו ניתנת להגנה בפני ביקורת?
  4. אם החלטת הלימות תיפול מחר, איזו תוכנית תפעולית קיימת להמשך הפעילות?
  5. האם קיימת חלופה אירופית או באירוח עצמי (self-hosted) לפונקציה זו, ומה תהיה העלות הממשית של הגירה?

לא כל פונקציות המשרד היומיומיות דורשות את אותה תשובה. גיליון אלקטרוני לחשבונאות פנימית כנראה לא מעלה את השאלה לרמה זו. תיק פלילי של לקוח, היסטוריה רפואית, תלוש שכר של עובדים — כן. המידתיות היא לגיטימית; האינרציה הקולקטיבית שבה ה-PYME האירופי נשאר עם ספקים אמריקאיים לכל דבר — אפילו עבור הדברים הרגישים ביותר — אינה כזו.

Schrems II מציין שש שנים ביולי הקרוב. פסק הדין לא שינה את ההרגלים היומיומיים של רוב החברות האירופיות. עם זאת, הוא שינה את מפת הסיכונים שאליהן חשופות חברות אלו. כאשר החלטה מנהלית אמריקאית חוצצת בין הרגולציה האירופית לבין הפעילות הממשית של חברה קטנה או בינונית (PYME), כדאי לפחות לדעת שההחלטה קיימת ושהיא שברירית. אלו מאיתנו שבחרו בארכיטקטורה ללא מפעיל מתווך — החוט השזור ב-Cuadernos Lacre — היו מעדיפים שלא להיאלץ לכתוב ניתוחים מסוג זה בכל פעם ש-Schrems מתיישב להגיש ערעור. אך נמשיך לעשות זאת.

מקורות וקריאה נוספת

  • בית הדין לצדק של האיחוד האירופי — פסק דין מ-16 ביולי 2020, תיק C-311/18, Data Protection Commissioner נגד Facebook Ireland Ltd. ו-Maximillian Schrems.
  • רגולציה (UE) 2016/679, פרק V, artículos 44 עד 50 — העברות בינלאומיות של נתונים אישיים.
  • החלטת ביצוע (UE) 2023/1795 של הנציבות, מ-10 ביולי 2023, לגבי רמת ההגנה הנאותה של נתונים אישיים במסגרת ה-EU-US Data Privacy Framework.
  • הוועדה האירופית להגנת נתונים — המלצות 01/2020 לגבי האמצעים המשלימים את כלי ההעברה כדי להבטיח עמידה ברמת ההגנה על נתונים אישיים של האיחוד האירופי, שאומצו ב-18 ביוני 2021.
  • noyb.eu — תלונה שהוגשה ב-7 בספטמבר 2023 נגד החלטה (UE) 2023/1795 בפני רשויות הגנת הנתונים האירופיות.
  • Foreign Intelligence Surveillance Act, סעיף 702 (מקודד ב-50 U.S.C. § 1881a), וצו נשיאותי 12333 לגבי פעילויות מודיעין אמריקאיות מחוץ לטריטוריה הלאומית.

קריאות אחרונות