ארגון שלצורך העברת מידע אישי מאירופה לארה"ב נסמך על "מגן הפרטיות" שנפסל לפני כשבוע נדרש למצוא בסיס משפטי חלופי להעברה או לחדול ממנה לאלתר. ארגון שנשען על ההוראות החוזיות האחידות (Standard Contractual Clauses) לצורך העברת מידע לכל מדינה שהיא, נדרש לערוך בחינה של כל מקרה של העברת מידע ולהעריך האם דיני מדינת היעד מאפשרים להבטיח רמה נאותה של הגנת מידע המקבילה לזו שבאירופה. כך מבהיר פאנל הרגולטורים לפרטיות של מדינות האיחוד האירופי במסמך שאלות ותשובות שפורסם אתמול.
ההבהרות מבשרות על הנטל הכבד שנוחת לפתחו של כל ארגון שנסמך על ההוראות החוזיות האחידות (Standard Contractual Clauses) לצורך העברת מידע מחוץ לאירופה, בין אם לארה"ב ובין אם למדינה אחרת, לרבות ישראל - שההכרה האירופאית בה עלולה להישלל. מעביר המידע נדרש להסתייע במקבל המידע כדי לנתח ולהסיק האם הדינים המקומיים אצל מקבל המידע מאפשרים לו לעמוד בהתחייבויות שהוא נוטל על עצמו בהוראות החוזיות האחידות בלא שרשויות המדינה אצלו יעבדו את המידע לצורכיהם באופן שחורג מרמת ההגנה שהדין האירופי מעניק. במידת הצורך, על הצדדים לעבות את ההוראות החוזיות האחידות בהסדרים משלימים שיגבירו את ההגנה למידע לאור האיום שנשקף מהדינים המקומיים של מקבל המידע.
law.co.il מעיר כי המתווה שיצר פסק הדין וההבהרות הטריות יצרות תהליך מייגע מאד, בירוקרטי וההפך מיזמי. מדוע פאנל הרגולטורים לפרטיות באירופה מאמין שכל חברה פרטית שחפצה להעביר מידע לארה"ב תוכל לעסוק בניתוחים הדרושים ממנה מבלי להעסיק עורכי דין, לחיות בחוסר ודאות, ולגלם את כל זה במחיר המוצר או השירות שלה? הרי הנציבות האירופאית, על כל משאביה, גיבשה את 'מגן הפרטיות' עם ממשלת ארה"ב במשך חודשים ארוכים, רק כדי להיווכח בפסק הדין הטרי כי המנגנון אינו תואם לדיני הגנת הפרטיות באירופה. האם כעת הרגולטורים מצפים שחברות פרטיות דלות אמצעים יצליחו היכן שהנציבות בעלת העוצמה והמשאבים כשלה?
ההבהרות של פאנל הרגולטורים האירופאים לפרטיות לא מפרטות כיצד עשויות להיראות אותן הוראות עיבוי משלימות. הפאנל מציין שהוא עודנו בוחן את ההוראות המשלימות הנדרשות ויפרסם הנחיות על כך בהמשך.
ככל שצדדים להעברת מידע המבוססת על ההוראות החוזיות האחידות מסיקים שדיני מדינת היעד לא מאפשרים להבטיח את רמת ההגנה המתחייבת מההוראות החוזיות, גם אם יעובו, עליהם לחדול מהעברת המידע. אם הם בוחרים שלא לחדול מההעברה בנסיבות אלה, על מעביר המידע האירופי להודיע על כך לרשות הגנת הפרטיות המקומית שלו.
אפשרות נוספת בה עוסקות ההבהרות היא ההסתמכות על סעיף ה-GDPR שעניינו ההחרגות לאיסורים על העברת מידע איש מחוץ לאיחוד האירופי. עם זה, החרגות אלה מוגבלות באופיין וחלקן אף מוגבלות להעברות מידע נקודתיות ולא שיטתיות.