ה-EDPB תומך בהחלטה על תאימות בריטניה, עם הסתייגויות

מועצת הרגולטורים להגנת מידע של מדינות האיחוד האירופי פרסמה בשבוע שעבר את חוות דעתה אודות מעמדה של בריטניה כמדינה תואמת (Adequate) לצורך העברות מידע אישי אליה לפי ה-GDPR, בהמשך ליציאת בריטניה מהאיחוד האירופי ב-1 בינואר השנה ובהמשך לטיוטת ההחלטה של הנציבות האירופאית בעניין. עמדת הרגולטורים האירופאים לפרטיות בכללותה תומכת בהכרת התאימות של בריטניה משום שדיני הפרטיות בממלכה המאוחדת מבוססים במידה רבה מאד על ה-GDPR ככתבו וכלשונו.

עם זה, חוות הדעת של הרגולטורים האירופאים מזהה מספר נקודות בהן מתבקשת תשומת לב מיוחדת של הנציבות לקראת אישור בריטניה כמדינה תואמת:

  1. יש לבחון נסיבות ומצבים בהם דיני בריטניה מאפשרים לרשויות חקירה ומודיעין גישה לאיסוף ועיבוד מידע אישי ללא ביקורת שיפוטית או ביקורת בלתי תלויה אחרת. הנציבות גם מתבקשת להעמיק בבדיקה אודות איסוף מידע מאסיבי ושיטתי ע"י רשויות המודיעין בבריטניה והאופן בו איסוף כזה כפוף לאיזונים והבלמים הנדרשים בדין האירופי.
  2. יש לעקוב באופן תדיר אחר שינויים שעתידים להתרחש במשטר הפרטיות בבריטניה כדי לבחון אם שינויים אלה פוגעים בתאימותה של בריטניה. במידת הצורך, נציבות האיחוד האירופי יכולה להשעות או לשנות את ההכרה בבריטניה. בפרט, ממליצים הרגולטורים האירופאים לנטר את ההגנות על מידע אישי שמיושמות באמנה בין בריטניה לארה"ב על שיתוף מידע משירותי ענן לצורכי חקירות.
  3. יש להעמיק בבחינת ההיתרים הקיימים בדיני בריטניה להעברת מידע אישי למדינה שלישית משום שהיתרים אלה מאפשרים פתח להעברת מידע ממדינות האיחוד האירופי, דרך בריטניה, למדינה שלישית שהאיחוד האירופי עצמו לא מכיר בה (כיום או בעתיד) כבעלת רמה נאותה של הגנה על מידע אישי.
  4. יש לבחון את החריג הנרחב שקיים בדיני הפרטיות של בריטניה אודות עיבוד מידע אישי לצורכי בקרת הגירה למדינה.

law.co.il מעיר כי נציבות האיחוד האירופי לא מחוייבת לפעול לפי חוות הדעת של הרגולטורים האירופאים לפרטיות. היא רשאית לקבל החלטה בדבר תאימות בריטניה אף בהינתן ההסתייגויות של הרגולטורים.