דיני הגנת הפרטיות בבריטניה לקראת ברקזיט חד-צדדי

פרטיות וסייבר רגולציה וממשל
מאת‏ עו"ד דותן המר

שותף בקבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

אולי יעניין אותך גם

זמן קריאה: דקה אחת
שמור ב"תכנים שלי"

גובר הסיכוי שבריטניה תתנתק מהאיחוד האירופי ב-29 במארס 2019 באופן חד-צדדי ללא הסדר מוסכם, וכעת מפרסמת ממשלת הוד מלכותה את הצעדים הצפויים במישור דיני הגנת הפרטיות. לקראת מועד היציאה, הפרלמנט הבריטי יחוקק את חוק היציאה מהאיחוד האירופי, שייכנס לתוקפו ביום היציאה.

כיום - בעת שבריטניה היא חלק מהאיחוד האירופי - דיני הגנת הפרטיות במדינה מורכבים משני רבדים: רובד אירופאי של ה-GDPR שחוקקו מוסדות האיחוד וחל בבריטניה מתוקף היותה חברה באיחוד האירופי, ורובד מקומי שחוקק הפרלמנט בלונדון ומיישם הסדרים ספציפיים המשלימים את ה-GDPR. ביום הפרישה, תפקע באופן אוטומטי תחולתו של ה-GDPR האירופי בבריטניה, ואז ייכנס לתוקפו חוק היציאה שיסדיר בין היתר את הנושאים הבאים:

  • שימור ה-GDPR האירופי כחוק לאומי בבריטניה
  • הכרה בריטית במדינות האיחוד האירופי ככאלה המקיימות רמה נאותה של הגנת פרטיות באופן המתיר להעביר לשטחן מידע אישי שמקורו בבריטניה לצורכי עיבוד. להבדיל, בריטניה אינה יכולה לקבוע בעצמה כי העברת מידע אישי מאירופה אליה תהיה מותרת באופן אוטומטי וגורף, היות שלשם כך נדרש הליך פורמלי להכרה בבריטניה מצד המוסדות האירופאים.
  • הכרה בריטית במדינות חוץ-אירופאיות השקולה להכרה האירופאית ב-13 המדינות המקיימות רמה נאותה של הגנת מידע (בהן ישראל, ארגנטינה, קנדה וניו-זילנד). בכך יאפשר הדין הבריטי העברת מידע אישי שמקורו בבריטניה לעיבוד באותן מדינות זרות, כשם שהעברה ליעדים אלה מתאפשרת ביחס למידע אישי שמקורו באיחוד האירופי.
  • הכרה בריטית במנגנון החוזים האחידים (Standard Contract Clauses) האירופי כאמצעי המקיים רמה נאותה של הגנת מידע. בכך יאפשר הדין הבריטי העברת מידע אישי שמקורו בבריטניה לעיבוד על-ידי גורמים זרים החתומים על חוזים אלה, כשם שהעברה אליהם מתאפשרת ביחס למידע אישי שמקורו באיחוד האירופי על אותו בסיס חוזי.
  • הכרה בריטית בהסדרים תאגידיים מחייבים (Binding Corporate Rules) שאושרו לפני מועד הברקזיט. זאת, כדי להעניק להם המשכיות ותוקף שקול כאמצעי כשר להעברת מידע בין זרועותיהן השונות של התאגידים הרב-לאומיים שקיבלו אישורים להסדרים אלה.
  • חיוב גורמים זרים הכפופים לדיני הגנת המידע בבריטניה למנות נציג מקומי בבריטניה האמון על הקשר עם נושאי המידע ועם הרגולטור - כשם שה-GDPR מחייב זאת כלפי גורמים חוץ-אירופאיים הכפופים ל-GDPR.

אחת מתוצאות הלוואי של הברקזיט היא שארגונים חוץ-אירופאים שעד כה מינו בבריטניה את נציגם האירופי לצורך ה-GDPR, יאלצו למנות נציג אירופי אחר באחת מ-27 מדינות האיחוד האירופי הנותרות, מאחר ונציגות בבריטניה כבר לא תחשב לנציגות באיחוד האירופי.