העברת מידע מהאיחוד האירופי אל מחוצה מותרת רק למדינה שרמת ההגנה על מידע אישי שהיא מספקת תואם את רמת ההגנה באירופה. הקביעה שמדינה תואמת את רמת ההגנה הנדרשת קרויה בז'רגון המקצועי Adequacy Decision. ב-2011 הכירה אירופה בישראל כמספקת רמת הגנה תואמת ומאז העברת המידע משם לכאן מותרת בלא קושי.

אלא שאז בא לעולם ה-GDPR, מקור פרנסה ונחת לאינספור עורכי דין בשנתיים ומשהו האחרונות, והורה שיש לבחון מחדש את כל החלטות ה-Adequcy. ישראל, אבוי, לא חמקה מהבדיקה הזו, והיא מתרחשת זה זמן מה. כמונו נבחנות עוד 12 ארצות שהוכרו כתואמות ובהן אימפריות כאי גרנסי (מצד אחד) וקנדה (מצד שני). כעת יש יעד להחלטה, המותירה את קהילת מקצועני הפרטיות על קצות אצבעותיהם מרוב מתח - מאי 2020. או אז תדווח הנציבות האירופית את ממצאיה והמלצותיה לפרלמנט ולמועצה האירופאית. כך אמר Bruno Gencarelli, שהוא ראש יחידת העברות מידע בינלאומיות בנציבות האירופית. הוא דיבר אתמול ב- Privacy Laws & Business 32nd Annual International Conference.

הנציבות ביקשה מהמדינות הנבחנות לעדכן אילו שינויי חקיקה ביצעו ומהם מאמצי האכיפה בתחומן. בנוסף ביקשה לקבל מידע אודות גישה למידע אישי של רשויות אכיפת חוק.

גרנצ'לי אמר שנציבות מחפשת 'שווה ערך מהותי' לדינים באירופה ולא זהות מוחלטת. ההבטים החשובים לה כוללים זכויות של גישה למידע אישי ותיקונו (בישראל מעוגנות זכויות כאלה בסעיף 13 לחוק הגנת הפרטיות) וכיצד נאכף החוק. אין סדר מיוחד שבו ייבחנו החלטות התאימות הקיימות או תבדקנה בקשות חדשות להכרה בתאימות (ברזיל וצ'ילה הן מועמדות כאלה להכרה עתידית). לפי גרנצ'לי הוא אינו יכול לשלול שהחלטות קיימות יושעו בגלל תוצאות הבחינה אבל הוא הדגיש שהנציבות מכוונת להמשכיות (הרשות להגנת פרטיות בישראל – זמן לאנחת רווחה קטנה... לא, לא בקול רם כל כך!). 

מקור: Privacy Laws & Business (דורש הרשמה לניוזלטר)