נציבות האיחוד האירופי פרסמה להערות הציבור טיוטת החלטה על הוראות חוזיות אחידות מעודכנות (Standard Contractual Clauses). הן נועדו להכשיר העברת מידע אישי הכפוף ל-GDPR לעיבוד אצל גורמים הפועלים במדינות שלא הוכרו על-ידי האיחוד האירופי כבעלות רמה הגנה נאותה על מידע אישי. הפרסום מגיע בסמיכות לטיוטת ההמלצות של הרגולטורים האירופאים לפרטיות על העברות מידע בעקבות פסק הדין שרמס 2.
ההוראות החוזיות האחידות הושמשו לראשונה בשנת 2001, עוד בעידן הדירקטיבה האירופית להגנת מידע שקדמה ל-GDPR. גרסאותיהן המקוריות נועדו לחתימה בין גורם אירופי המעביר מידע אישי לבין הגורם החוץ-אירופי שמקבל ממנו את המידע. בחתימתו על ההוראות החוזיות, מתחייב מקבל המידע בשורה של הוראות שנועדו להעניק למידע רמת הגנה התואמת לדיני האיחוד האירופי.
הטיוטה הטריה של ההוראות החוזיות האחידות מעדכנת ומחדשת את ההוראות הקודמות במספר נושאים בולטים, בהם:
- כיסוי למכלול הנסיבות האפשריות להעברת מידע בין-מדינתית: מבעל שליטה במידע (Controller) אחד לאחר, מבעל שליטה במידע למעבד מידע (Processor) ולהיפך, וממעבד מידע למעבד-משנה (Sub-processor) - וזאת ללא קשר למיקומם הגיאוגרפי של הצדדים.
- מבנה מודולרי המאפשר לבעלי שליטה, מעבדים, או מעבדי-משנה נוספים להצטרף לחוזה כתלות בצורך בהרחבת מעגל המטפלים במידע האישי.
- התחייבות הצדדים כי הם בחנו את דיני מדינת היעד ולא מצאו טעם מדוע לא יוכלו לעמוד בהתחייבויותיהם להגן על המידע. בחינה זו צריכה להיות מתועדת בכתב. כל זאת לאור פסק הדין שרמס 2.
- חובות החלות על מקבל המידע במקרים בהם רשויות ממשלתיות מבקשות גישה למידע האישי. חובות אלה כוללות הודעה למוסר המידע ובמקרים מתאימים גם לנושאי המידע, תקיפה משפטית של בקשת הגישה ומזעור המידע שנמסר.
- דרישות שקיפות כלפי נושאי המידע והוראות שיפוי בין הצדדים.
- במערכת יחסים עם מעבד או מעבד-משנה ההוראות החוזיות כוללות כבר את התכנים הנדרשים לפי סעיף 28 ל-GDPR (התכנים שבדרך כלל מכוסים במסגרת Data Processing Agreement - DPA).
- הצדדים לחוזה נדרשים לבחור את הדין ומקום השיפוט שיחולו על ההוראות, מבין מדינות האיחוד האירופי שדיניהן מתירים זכויות צדדים שלישיים לחוזה (לצורך הענקת זכויות לנושאי המידע שאינם צד לחוזה).
- התחייבויות מפורשות להגבלת משך עיבוד המידע.
- הצדדים רשאים לעבות ולהוסיף להוראות החוזיות האחידות ובלבד שתוספות כזו לא תסתור באופן ישיר או עקיף את תכולת ההוראות ולא תפגע בזכויות נושאי המידע.
טיוטת ההחלטה תבטל את ההוראות החוזיות הישנות אך תיצור תקופת מעבר בת שנה, במהלכה הוראות חוזיות אחידות שכבר נחתמו בגרסתן הישנה יוכלו להמשיך להתקיים עד חלוף השנה או עד המועד בו הצדדים עורכים שינויים חוזיים במערכת היחסים שלהם - המוקדם מהשניים. הטיוטה פתוחה להערות הציבור עד ל-10 בדצמבר.