ה-EDPB מפרסם הנחיות חדשות לצורך העברת מידע למדינות שלישיות

ה-EDPB מפרסם הנחיות חדשות לצורך העברת מידע למדינות שלישיות

 

בעקבות פסק דין schrems   השני (C311/18) שניתן ב16 ליולי 2020 אשר קבע שהסכם ה- Privacy Shield בין ארה”ב לאיחוד האירופי, אינו עומד ברמת הניאותות המספקת לצורך הגנה על פרטיותם של אזרחי האיחוד האירופי. פרסמה המועצה האירופית להגנת נתונים, בנובמבר 2020 המלצות חדשות לצורך עמידה קפדנית ומקיפה יותר בעת העברת מידע בין האיחוד האירופי לבין מדינות שלישיות לרבות המלצות ל- Standard Contractual Clauses (SCC) שיכלול סעיפים נוקשים יותר בעת העברת מידע למדינות שלישיות.

 

ה- SCC החדשים יהיו מקיפים בהרבה מאלו הנוכחיים, והם מביאים עמם בהירות, דרישות ברורות והתאמה טובה יותר ל-GDPR. יחד עם זאת, המלצות ה-EDPB, מגבירות את ההכבדה לעניין הלימות ועמידת מדינות שלישיות ברמת ניאותות דבר שיצריך נקיטה בקפדנות יתרה מצד אנשי הרגולציה.

 

על פי הרגולציה האירופית, מנהלים ומעבדים שמקום מושבם באיחוד האירופי אחראים להבטיח את רמת הניאותות הנדרשת לצורך העברת נתונים אישיים בכל מקום בו נתונים אישיים עוברים מחוץ לאיחוד האירופי.  עבור מדינות מסוימות הוועדה קיבלה החלטות נאותות, אך זוהי רשימה מוגבלת של מדינות וישראל אינה מצויה כיום ביניהן בזיקה ל-GDPR.   כזכור ב- Schrems II, בית הדין האירופי לצדק  אמנם ביטל את תוקפו של הסכם ה-Privacy Shield   וקבע שלארה”ב לא תינתן הכרת ניאותות, אך באותו פסק דין אישרר בית הדין, את תוקפו של חוזה ה-SCC כאמצעי הגנה ראוי במסגרת ה- GDPR כדי להבטיח באופן חוזי רמת הגנה מספקת לצורף העברת נתונים של אזרחים למדינה שלישית לגביה אין החלטת ניאותות, זאת כאשר חוקי המדינה השלישית אינם מספקים הגנה מקבילה.

 

חידושים בכללי ה- SCC החדש

ה SCC החדשים בנויים בהתאמה רבה יותר לרגולציה ה GDPR, ומספקים 4 פלטפורמות חוזיות שונות אשר מבקשות לתת מענה למספר סוגי התקשרות שונים:

(1)    הסכם בין מנהל למנהל המצוי מחוץ לגבולות ה-EEA

(2)    הסכם בין מנהל למעבד המצוי מחוץ לגבולות ה-EEA

(3)    הסכם בין מעבד למעבד המצוי מחוץ לגבולות ה-EEA

(4)    הסכם בין מעבד למנהל המצוי מחוץ לגבולות ה-EEA.

 

הכללים שמציע ה-EDPB הוא שלד מסמך המכיל זכויות וחובות על כל ארבע הקטגוריות וחלקים נפרדים החלים על כל אחת מארבע הקטגוריות השונות. פירוש הדבר כי חלק מסעיפי ה- GDPR הארוכים יותר הנכללים באופן קבוע בהסכמי מתן שירות לא יידרשו עוד מכיוון שהצדדים יכולים להסתמך על התחייבויותיהם החוזיות במסגרת ה- SCC החדשים.

באופן לא מפתיע, טיוטות ה-SCC החדשות המוצעות עוסקות בנושא פישוט הגישה של רשויות אכיפה לנתונים, כדי לנטר ולעקוב אחר  השפעת חוקי מדינה שלישית על ההתחייבויות החוזיות של המנהל או המעבד כאשר הנתונים האישיים מקורם בנתונים השייכים לאזרחי האיחוד האירופי. דגש מיוחד ניתן לצעדים הטכניים והארגוניים אשר ינקטו כדי להגן על אבטחת הנתונים האישיים במעבר למדינה השלישית וממנה. חלק מהדרישות החוזיות החדשות כוללות הטמעה בתוך החוזה של אמצעי הגנה טכנולוגיים כגון דרישות להסמכה, ניהול IT פנימי וחיצוני, הצפנת נתונים ויישום פסאודונימיזציה, דרישות לביטחון פיסי, דרישות בדיקה, מזעור נתונים ועוד.  

 

אלו פעולות ידרשו על ידי מנהל ומעבד בהתאם להמלצות החדשות?

  צעדים מוצעים על ידי ה-EDPB

יש לזכור כי בשלב זה מדובר בהמלצות וכניסתן לתוקף עוד טרם נקבע, משכך עד לחקיקה בעניין יש לפעול בהתאם לכללי ה-SCC הקיימים (ה-EDPB הקציב שנה ליישום ה-SCC החדשים), אולם צדדים בתוך האיחוד האירופי ובמדינות שלישיות צריכים להיערך בקפידה לעניין.

 

ה-EDPB סבור שכדי שמנהל או מעבד המצוי בשטח האיחוד האירופי, יבטיח מידת ניאותות מרבית בעת העברת העברת נתונים אישיים או קבלת נתונים אישיים ממדינות שלישיות, עליהם לנקוט בשישה צעדים:

 

צעד ראשון – מיפוי והכרה לעומק של כל ההעברות  המידע – פעולה זו דורשת מאמץ רב אך היא תאפשר למנהלים ומעבדים להיות בשליטה מרבית על מידע המועבר מחוץ לשטחי האיחוד האירופי כמו גם הכרת סוג המידע המועבר.

צעד שני לוודא את טיב כלי העברת הנתונים על בסיסם המידע מועבר בהתאם לס’ 46 ל-GDPR.

צעד שלישי – לבצע הערכה אם יש בדיני המדינה השלישית או בפרקטיקה הנהוגה בהן, מה שעשוי לפגוע ביעילות האבטחה המתאימה.

צעד רביעי –  לזהות ולאמץ אמצעים משלימים הדרושים להבאת רמת ניאותות לצורך הגנה על נתונים אישיים המועברים מחוץ לגבולות האיחוד האירופי או אליה.

צעד חמישי – לנקוט בצעדים פרוצדורליים רשמיים ודרושים.

צעד שישי להעריך מחדש אחת לכמה זמן את מידת ההגנה של הנתונים המועברים למדינות שלישיות ולפקח אם היו או יהיו התפתחויות שעשויות להשפיע עליהן. “עקרון האחריות דורש ערנות מתמדת ברמת ההגנה על נתונים אישיים”.

הצעדים המוצעים מגבירים באופן משמעותי את האחריות על מנהלים ומעבדים המצויים בתוך שטחי ה-EEA ומכאן של מנהלים ומעבדים מחוץ לשטח האירופי, משימה לא פשוטה של עמידה בסטנדרטים נוקשים שהרגולציה האירופית מציבה. מנגד, היתרון בהמלצות אלו, שחוזים מסוג SCC יקנו שקט לצדדים בעת העברת המידע אך יחייבו אותם מנגד להיערך באופן הדוק.

 

 

דילוג לתוכן