מנגנון חדש להעברת מידע בין האיחוד האירופאי לארצות הברית
. זאתבשבוע שעבר פרסמה הנציבות האירופאית החלטה משמעותית, אשר צפויה להקל על העברת מידע מאירופה לארה"ב. ההחלטה התקבלה במסגרת הכרה רשמית של הנציבות בהסדר מחודש (EU-U.S. Data Privacy Framework), המעניק הגנה על מידע אישי ברמה התואמת לדרישות ה-GDPR.
לפי ההחלטה, חברות אמריקאיות שיירשמו תחת ההסדר, יוכלו להעביר מידע פרטי מאירופה לארה"ב ללא המגבלות שהיו קיימות עד כה. אפשרות זו תעמוד להן רק אם תקבלנה על עצמן התחייבויות מוגברות – מעבר לרמה שקבועה בחקיקה הנוכחית של ארצות הברית.
מנגנוני SCC וההסדר החדש
חוקיות העברת המידע מהאיחוד האירופאי לארה"ב תחת ה-GDPR נבחנה מספר פעמים. בין היתר, היא נבחנה על ידי בית המשפט לצדק של האיחוד האירופי (CJEU). לאחר בחינה זו, קבע בית המשפט בשנת 2020, כי מנגנון ה-Privacy Shieled, שאפשר עד אז העברת מידע אישי בין האיחוד האירופי לארה"ב, אינו בתוקף. קביעה זו התקבלה מאחר ובית המשפט הביע חשש לרמת ההגנה על מידע פרטי בארה"ב, בפרט לגישה למידע זה על ידי סוכנויות ביון אמריקאיות.
החלטה זו ידועה כ-Schrems II. ההחלטה הדגישה את הצורך של חברות לבצע בדיקות ביחס למצב המשפטי במדינת היעד של העברת המידע. כמו כן, היא הדגישה את אמצעי ההגנה הנדרשים ביחס להעברת המידע, וקבעה כי התבססות על מנגנון ה-SCC כשלעצמו לא עומדת בהוראות הרגולציה. פסיקה זו לא חמקה מעיני הרגולטורים האירופאים. רק בחודש מאי האחרון הטילה הרשות להגנת הפרטיות באירלנד קנס עצום בגובה 1.2 מיליארד יורו על חברת Meta כיוון שהחברה העבירה מידע מאירופה לארצות הברית ללא הסדר חוקי מספק. בנוסף, החברה לא ביצעה פעולות מספקות אשר יבטיחו רמת הגנה נאותה על המידע שהעובר ואוחסן בארצות הברית.
ההסדר החדש מהווה שיפור של ההסדר הקודם – "Privacy Shield" – וכולל התייחסות לחששות שהוצגו על ידי ה-CJEU בסיבוב הקודם. בין היתר, ההסדר החדש מגביל משמעותית את היכולת של מנגנוני ביון אמריקאים לקבל גישה למידע אישי של אזרחי האיחוד האירופי, יוצר תשתית להקמת מנגנון לפתרון סכסוכים עבור אזרחי האיחוד ומתן זכות גישה לטריבונל חדש ועצמאי אליו זכאים אזרחי האיחוד לפנות בנושא זכויותיהם לפרטיות (Data Protection Review Court – DPRC).
הרישום להסדר כולל התחייבויות רבות. בין היתר, חברות ותאגידים המצטרפים להסדר מתחייבים לסטנדרטים הבאים:
- שקיפות בעיבוד המידע הפרטי.
- אבטחת מידע.
- מתן זכויות למשתמשים ביחס למידע – לרבות מתן זכות גישה.
- אמינות ודיוק המידע.
- אחריותיות של הארגון (בין היתר ביחס לפרוצדורות ותוכניות אכיפה); ועוד.
אין וודאות האם ההסדר החדש אכן יחזיק מעמד לאורך זמן, או שהוא יזכה לאותה קבורת חמור שלה זכו שני ההסדרים הקודמים, אבל אין ספק כי מדובר בבשורה חשובה שמעניקה הקלה לטווח הקרוב ביחס לסוגייה משפטית אשר הטרידה והשפיעה על חברות גלובאליות רבות.
מה הלאה?
חברות אשר מעוניינות להירשם להסדר החדש, תוך התחייבות לסטנדרטים מחמירים של פרטיות ואבטחת מידע, צריכות להירשם בעמוד הייעודי (קישור). חברות אמריקאיות אשר היו רשומות תחת ההסדר הקודם שבוטל (ה- Privacy Shield) צפויות להיות רשומות באופן אוטומטי להסדר החדש. חשוב לשים לב כי מדובר במנגנון חדש אשר נתון לביקורת שנתית ומאפשר את העברת המידע החופשית רק לחברות אמריקאיות אשר נרשמות להסדר.
כמו כן, יש לדעת שרישום חברה להסדר ללא עמידה בסטנדרטים הנדרשים עלול להעמיד את החברה תחת הליכי אכיפה וקנסות. זאת שכן נציבות הסחר הפדראלית (ה-FTC) אמונה על אכיפת ההסדר.
חברות שבשלב זה מעדיפות לא להירשם להסדר החדש, יוכלו להעביר מידע מאירופה לארצות הברית תחת התנאים הקיימים ב-GDPR, לרבות באמצעות מנגנון ה-SCC בתוספת הערכות סיכון (DTIA) ואימוץ אמצעי אבטחה משלימים, ככל שנדרש.
חברות ישראליות (או אירופאיות), אשר משתמשות בספקים בארה"ב לעיבוד המידע או לאחסנתו, יוכלו להסתמך על הרישום של הספקים במסגרת ההסדר החדש. זאת ללא כל צורך בהסדר חוזי כדוגמת ה-SCC וללא צורך בביצוע בדיקות סיכונים להעברת המידע.
המלצות עבודה
חשוב שחברות יסקרו את פרטי ההסדר ויבחנו, באופן פרטני, האם בשלב זה ולאור פרקטיקות הפרטיות של החברה, כדאי להסתמך על ההסדר החדש ולהירשם אליו, או לחלופין, להמשיך להסתמך על ההסדרים הקיימים להעברת מידע טרנס-אטלנטי. בהתאם לכך, חברות ותאגידים אשר ירשמו להסדר החדש יצטרכו לעדכן את הסכמי הפרטיות (DPAs) ולבחון את נוהל העברות המידע. חשוב לבצע את הבחינה בין אם ההעברה נעשית באופן פנימי בין החברות באותה קבוצה או לחברות וספקים חיצוניים.
בנוסף, חברות שלהן יש ספקים בארצות הברית צריכות לבחון ולתקן את הסכמי העברת המידע עם הספקים ולתעדף, ככל האפשר, שימוש בספקים בארצות הברית אשר נרשמו להסדר החדש, תוך ייתור של הדרישה לחתום על SCC ולבצע הערכות סיכון פרטניות ביחס להעברת המידע.
***
מחלקת הפרטיות במשרדנו זמינה לכל שאלה בנושא העברת מידע מאירופה לארה"ב.
דר' אבישי קליין הוא ראש מחלקת הפרטיות והסייבר בברנע ג'פה לנדה.
בן נורמן הוא עו"ד במחלקה.