מה יעלה בגורל הסדרי הגנת הפרטיות בבריטניה לאחר הברקזיט?

ממשלת בריטניה פרסמה לפני ימים אחדים הודעה המפרטת את ההשלכות הצפויות של הברקזיט על הסדרי הגנת הפרטיות במדינה, במקרה בו בריטניה והאיחוד האירופי לא יגיעו להסדר פרישה מוסכם עד ליום הברקזיט שיחול בעוד כחצי שנה - 29 במארס 2019. ההודעה מסבירה כי פרישה ללא הסדר מוסכם אינה תרחיש סביר, אלא שמוטלת על ממשלת הוד מלכותה אחריות להיערך גם לתרחיש כזה.

ראשית, במסגרת חוק ההסדרים המיוחד שיחוקק לצורכי הברקזיט, ישולב גם חוק המייבא את מלוא הוראות ה-GDPR האירופאי לתוך הדין הפנימי בבריטניה. כיום, בעת שבריטניה היא חלק מהאיחוד האירופי, דיני הגנת הפרטיות במדינה מורכבים משני רבדים: רובד אירופי של ה-GDPR שחוקקו מוסדות האיחוד וחל בבריטניה מתוקף היותה חברה באיחוד האירופי, ורובד מקומי שחוקק הפרלמנט בלונדון ומיישם הסדרים ספציפיים המשלימים את ה-GDPR. ביום הפרישה, תפקע באופן אוטומטי תחולתו של ה-GDPR האירופי בבריטניה. כדי להיערך לכך, בריטניה תחוקק מחדש את ה-GDPR ככתבו וכלשונו בתור חקיקה לאומית-בריטית.

העברת מידע אישי מבריטניה אל מדינות באיחוד האירופי תתאפשר באופן חופשי וללא הגבלות. עם זה, העברת מידע אישי שמקורו באיחוד האירופי אל בריטניה תהיה מאתגרת הרבה יותר. באופן עקרוני, דיני הגנת הפרטיות באיחוד האירופי מאפשרים העברת מידע אישי למדינה חוץ-אירופית אם אותה מדינה הוכרה על ידי מוסדות האיחוד האירופי כמדינה "נאותה" שדיני הגנת המידע שלה תואמים לרמה האירופית. במרוצת השנים הכירה אירופה בכתריסר מדינות כאלה, בהן ישראל, קנדה, ניו-זילנד, חברות אמריקאיות המוסמכות להסדר Privacy Shield, ובקרוב גם יפן.

האיחוד האירופי הבהיר לבריטניה כי במידה והיא תחוקק את ה-GDPR כחקיקה לאומית-בריטית, הרי שתסלל הדרך להכרה של בריטניה כמדינה נאותה שדיני הגנת הפרטיות בה תואמים לאלו שבאיחוד האירופי. אולם תהליך ההכרה צפוי לארוך זמן, ולפי עמדת האיחוד האירופי ניתן יהיה להתניע אותו רק לאחר שבריטניה תתנתק מהאיחוד האירופי. הדבר יגרור אפוא תקופת-ביניים בה בריטניה כבר אינה חלק מהאיחוד האירופי מחד, אך עדיין אינה מוכרת כנאותה לצורכי דיני הגנת הפרטיות מאידך.

ארגונים שיעבירו מידע אישי מאירופה לבריטניה בתקופת-ביניים זו יצטרכו אפוא להכשיר את העברת המידע בדרכים אחרות המצייתות ל-GDPR. הבולטת שבהן הן הוראות חוזיות אחידות (Standard Contract Clauses) - חוזים מיוחדים בנוסח שמוכתב על-ידי האיחוד האירופי. החוזים מיועדים לחתימת הגורם האירופי שמייצא מידע אישי והגורם החוץ-אירופי שמקבל לידיו את המידע. חתימה על חוזים אלה מכשירה את העברת המידע לאותו גורם חוץ-אירופי.

הודעת הממשלה הבריטית מבהירה כי רגולטור הפרטיות בבריטניה - Information Commissioner's Office - יפרסם בעתיד הנחיות ממוקדות הנוגעות להשלכות הברקזיט על הסדרי הגנת המידע בממלכה.