פאנל הרגולטורים האירופאיים לפרטיות (European Data Protection Board- EDPB) פרסם טיוטה להערות הציבור של הנחיות על הצעדים המשלימים שארגונים המעבירים מידע מחוץ לאיחוד האירופאי נדרשים לנקוט בעקבות פסק הדין בעניין שרמס 2 של בית המשפפ האירופי מיולי 2020.
כזכור, ביולי 2020 פסק בית המשפט האירופאי כי הסדר ה-Privacy Shield, המאפשר לחברות אמריקאיות לקבל מידע אישי שמקורו באירופה, אינו חוקי ודינו להפסל. מגן הפרטיות יועד רק לחברות אמריקאיות והתבסס על הסמכה עצמית של החברות, שנדרשות להתחייב לנוהגי פרטיות קפדניים שנועדו להבטיח את פרטיותם של נושאי המידע - ברמה המכשירה את החברות לקבל בביטחה מידע אישי הכפוף לדרישות ה-GDPR.
בית המשפט האירופי קבע כי ה-Privacy Shield לא מעניק הגנה נאותה למידע אישי אירופי מפני שאין בו בלמים ואיזונים לשימוש הגורף וחסר האבחנה של סוכנויות המודיעין ורשויות האכיפה בארה"ב במידע אישי שמקורו באירופה. יחד עם זאת, פסק הדין הכשיר את מנגנון ההוראות החוזיות האחידות (Standard Contractual Clauses) אך ציין כי גם אלה אינן בהכרח מספקות הגנה ראויה על מידע. בית המשפט פסק כי ארגונים המעבירים מידע אישי מחוץ לאיחוד יידרשו לבדוק כל מקרה של העברה לגופו כדי להחליט האם יש צורך באמצעים נוספים להבטחת ההגנה על המידע האישי בהתאם למצב המשפטי במדינת היעד. פסק הדין נמנע מלפרט מה טיב ואופי הבחינה הנדרשת ומהם האמצעים שעל ארגונים להטמיע. את המשימה נטל ה-EDPB, שכעת פרסם טיוטה של המלצותיו לארגונים.
טיוטת ההנחיה של ה- EDPB ממליצה לארגונים לנקוט את הצעדים הבאים:
שלב א'. למפות את כל העברות המידע ולוודא כי המידע המועבר הוא רק המידע הדרוש לצורך המטרה שלשמה הוא מועבר למדינה שמחוץ לאיחוד.
שלב ב'. לבחון איזה מנגנון העברת מידע ראוי שיחול במקרה הספציפי מבין מנגנוני העברת המידע המנויים ב-GDPR.
- אם המדינה אליה מועבר המידע הוכרה על-ידי האירופאים כמדינה בעלת רמת הגנה נאותה (adequacy decisions), ההעברה מותרת ללא צורך באמצעי נוסף כלשהו כל עוד נשמרת ולא נשללת ההכרה האירופית באותה מדינה.
- מנגד, אם המדינה אליה מועבר המידע לא הוכרזה כבעלת הגנה מספקת על מידע אישי, על הארגון להשתמש במנגנון ההוראות החוזיות האחידות. במקרה כזה, הארגון נדרש לפני כן לערוך בחינה משפטית של החוק במדינה אליה מועבר המידע. הבחינה תתמקד בסמכויות רשויות החוק במדינת היעד לקבל גישה למידע בנסיבות מסוימות כגון חקירות, מניעת פשיעה וצורכי ביון. מטרת הבחינה היא לאמוד את מידתיות הגישה שניתנת לרשויות במדינת היעד למידע אישי: האם הגישה מושתתת על הוראות דין ברורות ומדויקות, האם היקף וסוג הגישה הם לגיטמיים, הולמים את המטרה ולא מופרזים, האם האמצעים כפופים לביקורת ופיקוח בלתי תלויים והאם מוקנים לנושאי המידע סעדים ותרופות על הפרות. כל אלה ייבחנו בהתאם למסמך המלצות נוסף שפרסם פאנל הרגולטורים. על הבחינה להיות בחינה אובייקטיבית ולא סובייקטיבית. אין משמעות להסתברות שהרשויות יבקשו לגשת למידע, אלא רק לשאלת היקף הסמכות שלהן לעשות זאת.
שלב ג'. על הארגון לבחון הטמעה של אמצעים משלימים לצורך הגנה על המידע. ה-EDPB מציע מספר אמצעים כאלה, כגון הצפנת המידע בעת ההעברה או האחסון במדינת היעד או קביעת תניה חוזית לפיה הארגון המקבל את המידע יחויב להגן על המידע באמצעות הטמעת אמצעים טכניים מסוימים. טיוטת ההנחיה מציינת כי ייתכן ויהיה צורך לשלב כמה אמצעים על מנת להבטיח את ההגנה הנדרשת. במידה ואף אמצעי לא יכול להבטיח את ההגנה הדרושה על המידע, לא ניתן יהיה להעביר את המידע למדינת היעד. ארגונים עשויים גם להידרש לאישור רשות הגנת הפרטיות הרלוונטית בנוגע לשימוש באמצעים מסוימים, למשל כאשר הארגון מוסיף הוראות חוזיות שעלולות לעמוד בסתירה להוראות החוזיות האחידות.
טיוטת ההנחיה מציינת עוד כי ארגונים צריכים לתעד כראוי את הבחינה שהם מבצעים על מנת שיוכלו לעמוד בדרישת האחריות (accountability) תחת ה-GDPR. כמו כן, על ארגונים יהיה לערוך בחינה מחודשת מעת לעת ובמקרה שחל שינוי בחוקים הרלוונטיים במדינת היעד.