אירופה: הסכמים אחידים חדשים להעברת מידע בינמדינתית ולהתקשרות עם מעבדי מידע

נציבות האיחוד האירופי פרסמה לפני ימים אחדים שני חוזים אחידים חדשים המכסים היבטים שונים ב-GDPR. הראשון הוא הוראות חוזיות אחידות שנועדו להכשיר העברת מידע אישי ממדינות האיחוד האירופי ליעדים מחוץ לאיחוד. השני הוא חוזה שנועד להתקשרויות בין בעלי שליטה במידע לבין מעבדי מידע.

חוזה העברת המידע (Standard Contractual Clauses) מסדיר את האפשרות של גורם חוץ-אירופאי לקבל מידע אישי שמקורו באירופה וכפוף ל-GDPR, כאשר אותו מקבל מידע לא נמצא באחת מכתריסר המדינות שהאיחוד האירופי הכיר בהן כמקיימות רמה נאותה של דיני הגנת מידע. חוזה העברת המידע יחליף את הנוסחים הישנים שהאיחוד פרסם בשנים 2004 ו-2010 וסבלו ממספר ליקויים. הנוסח החדש תואם לדרישות ה-GDPR ונועד לכסות מגוון מצבים של העברת מידע בינמדינתית: מבעל שליטה במידע (Controller) אחד לאחר, מבעל שליטה במידע למעבד מידע (Processor) ולהיפך, וממעבד מידע למעבד-משנה (Sub-processor) - וזאת ללא קשר למיקומם הגיאוגרפי של הצדדים.

בין יתר הנושאים המוסדרים בחוזה האחיד להעברת מידע בינמדינתית: אפשרות לבעלי שליטה במידע, מעבדי מידע, או מעבדי-משנה נוספים להצטרף לחוזה כתלות בצורך בהרחבת מעגל המטפלים במידע האישי; התחייבות הצדדים לחוזה כי הם בחנו (תוך תיעוד בכתב) את דיני מדינת היעד ולא מצאו טעם מדוע לא יוכלו לעמוד בהתחייבויותיהם להגן על המידע, לאור פסק הדין שרמס 2. במערכת יחסים עם מעבד או מעבד-משנה כוללות ההוראות החוזיות גם את התכנים הנדרשים לפי סעיף 28 ל-GDPR (התכנים שבדרך כלל מכוסים במסגרת Data Processing Agreement - DPA).

עם הפרסום הרשמי של ההוראות החוזיות, יעמדו כ-18 חודשים לרשות חברות המבצעות העברות מידע בינמדינתיות כדי להחליף את הנוסחים החוזיים הישנים ששימשו אותן להעברות מידע.

הכיסוי החוזי האחר ניתן להתקשרויות בין בעלי שליטה במידע (Controller) לבין מעבדי מידע (Processors) המחויבים לפי סעיף 28 ל-GDPR לכרות חוזה בכתב הכולל נושאים מסוימים המפורטים באותו סעיף ב-GDPR. צדדים המעוניינים בכך יוכלו לנצל את הנוסח שמפרסמת הנציבות האירופאית כדי לכרות הסכם שנהנה מהחזקה כי הוא תואם את דרישות סעיף 28 ל-GDPR.

מקור: הודעת נציבות האיחוד האירופי.