ביולי 2020, ביטל בית הדין לצדק של האיחוד האירופי (CJEU) את 'מגן הפרטיות' (Privacy Shield), פטור מהחלת תקנות אבטחת הפרטיות ה-iGDPR על חברות מארה"ב הפועלות בארצות האיחוד האירופי או שאזרחיה הם לקוחותיהן
2. ה-Privacy Shield אפשר למעשה לחברות אמריקניות להצהיר (בחוזים לצרכן) בסעיפי הצהרה סטנדרטים (SCCs) כי הם מקיימים "מנגנונים יעילים" להבטחת רמת הגנה על הנתונים באופן ה"שווה ערך במהותם" לזה הקיים באיחוד האירופי.
התובע טען כי כיוון שהחקיקה בארה"ב נופלת מה-GDPR, הפטור מהחלת ה-GDPR אינו יכול להבטיח שאזרחי היבשת לא יפגעו. ביה"ד שקיבל את התביעה, סגר למעשה בפני חברות מסחריות אמריקניות את האפשרות להעביר נתונים אישיים של תושבי האיחוד האירופי (כגון, פרטים אישים, אמצעי תשלום וכו') לשרתים מחוץ לאירופה מבלי להחיל עליהם את ה-GDRP.
פסק דין זה יצר בלבול ואי וודאות באשר לאופן תחולת ה-GDRP, שבא אל סופו ב-10 בנובמבר 2020 עם פרסום המלצות על-ידי המועצה האירופית לאבטחת מידע (EDPB), שקבעו כיצד ניתן לעמוד בתקנות הגנת הפרטיות (GDPR) כאשר מעברים מידע מחוץ לאירופה
3.
מפת דרכים להבטחת עמידה בתקנות בעת העברת מידע למדינה שה GDPR לא חל עליה
ההנחיה מציעה מפת דרכים, שלב אחר שלב, כדי להבטיח שמירה על הזכויות הפרטיות של אנשים בכל הנוגע לנתונים האישיים שלהם, בעת העברתם מאירופה, וכן את האמצעים שעל ארגונים הכפופים ל-GDPR לנקוט, כדלקמן:
שלב 1 - ברר לאן אתר האינטרנט שלך שולח את הנתונים (היכן יושבים פיזית השרתים) כדי שתוכל להעריך האם ההעברה נאותה, רלוונטית ונחוצה למטרות שלשמן הם מועברים.
שלב 2 - בדוק דרך אילו מדינות (שלישיות) עוברים הנתונים האישיים לשרתי החברה. עליך להבטיח כי הנתונים האישיים עוברים מהאתר האינטרנט של החברה לשרתים דרך מדינות שיש עמם הסכמים עם האיחוד האירופי (למשל יפן), אם לא יש לוודא שהאתר האינטרנט משתמש באחד מכלי ההעברה המפורטים בסעיף 46 של GDPR.
שלב 3 - ודא כי החוקים או נוהלי פרטיות הנהuגים במדינה השלישית בה הנתונים מועברים ונשמרים יכולים להבטיח אבטחת מידע ברמה הנדרשת ב-GDPR.
שלב 4 - קבע הגנות ואמצעים משלימים נוספים בכדי להעלות את רמת אבטחת המידע לזו הנהוגה באירופה.
ה-EDPB מציע דרכים להבטיח שהעברות הנתונים עומדים בסטנדרטים של האיחוד האירופי, כגון:
· אמצעי הגנה טכניים (כגון פרוטוקולי הצפנה).
· אמצעי הגנה חוזיים (כגון התחייבויות יבואן לשקיפות וביקורות תכופות).
· צעדים ארגוניים (כגון מדיניות להסדרת העברת מידע).
שלב 5 - ציית לצעדים פרוצדורליים פורמליים במסגרת ה-GDPR, כולל התייעצות עם רשויות הפיקוח המוסמכות.
שלב 6 - הערך לפי הצורך את רמת ההגנה המוענקת על-מנת להבטיח רמת ההגנה נאותה על נתונים אישיים. תעד את נוהלי העברת הנתונים והבטח הגנה נאותה למשתמשי הקצה באתר האינטרנט של החברה.
ה-EDPB פרסם הנחיה נוספת המבהירה אילו ערבויות נדרשות לחברות המבקשות להעביר מידע על אזרחי היבשת למדינות מחוץ לאיחוד האירופי.
סיכום
ב-5.2018 נכנסו לתוקף החלק הביצועי בתקנות ה-GDPR שיצרו באבחה אחת מציאות רגולטורית שהטילה על חברות וארגונים חבויות רבות מחד-גיסא, וחשפו אותם לסיכונים משפטים מאידך. המגמה אליה צועדת הסביבה הרגולטורית האירופית, שהשפיעה גם על הנעשה כאן, ברורה, ומביאה לכך שכל הסדרי ה-back door אט אט מוסרים והתקנות הללו, לאור המשקל של השוק האירופי, הופכות יותר ויותר לבעלות תחולה אוניברסלית (לחברות שלקוחותיהן הם אזרחי מדינות האיחוד).
נדמה כי אי-הוודאות שיצר ביה"ד האירופי בפס"ד שרמס 2 התבהרה עתה עם פרסום ההנחיות על-ידי ה-EDPB. ואכן, כעת יש בידי ארגונים, הפונים ללקוחות ממדינות האיחוד האירופי, כלי להערכת התהליכים הנדרשים כדי להבטיח עמידה בתקנות. הכלי מתייחס להעברות של נתונים אישים חוצי גבולות, ומציע לתעד את שיקוליהם והחלטותיהם באמצעות מפת דרכים הכוללת ניתוח משפטי ביחס לסוג הנתונים ולעמידה בחוקי הפרטיות, אבטחת הסייבר והפיקוח החלים במדינה המעבירה ובמדינה השלישית. ללא ספק שינוים רגולטורים אלה ממחישים את הצורך במינוי קצין ציות מחד-גיסא, ובהבטחה כי בעלי תפקיד אלה יהיו בעלי מומחיות וידע מקצועי. בישראל תחום קציני הציות עתיד לחוות בקרוב מהפכה שתוסדר באמצעות הקמתו של גוף ייעודי שיקדם הקמת מערכת להסכמה ולאסדרת המקצוע.