אירופה: המלצות סופיות למעבירים מידע אישי אל מחוץ לאיחוד האירופי

ניתוח הסכנות הטמונות בהעברת מידע אישי מהאיחוד האירופי ליעדים מחוץ לאיחוד מאפשר להביא בחשבון את הניסיון המעשי אודות הסיכוי והסיכון דה-פקטו שעולה מבקשות לקבלת גישה מטעם רשויות חקירה ומודיעין במדינת היעד, ולא רק את הסמכויות דה-יורה של הרשויות לדרוש את המידע. אלה הם החידושים וההקלות העיקריים בהמלצות הסופיות על העברות מידע בינמדינתיות של מועצת הרגולטורים להגנת מידע של מדינות האיחוד האירופי (European Data Protection Board - EDPB) שפורסמו לפני מספר ימים.

ההמלצות מתפרסמות לאחר שבסוף 2020 פורסמה טיוטה שלהן להערות הציבור בעקבות פסק הדין בעניין 'שרמס 2' של בית המשפט הגבוה באירופה לפני כשנה. פסק הדין הכשיר תחת תנאים נוקשים את מנגנון ההוראות החוזיות האחידות (Standard Contractual Clauses) ככלי להעברת מידע למדינות מחוץ לאיחוד האירופי. law.co.il מזכיר כי מוקדם יותר החודש פרסמה הנציבות האירופאית הוראות חוזיות אחידות חדשות להעברת מידע אישי ממדינות האיחוד האירופי ליעדים מחוץ לאיחוד והן נכנסות לתוקף היום (27 ביוני).

פסק הדין בעניין שרמס 2 הדגיש כי מי שמעוניין להשתמש בהוראות החוזיות האחידות חייב לבחון את החוקים הרלוונטיים במדינת היעד ואת הצורך להוסיף אמצעי הגנה להוראות החוזיות האחידות כדי להבטיח שההגנה על המידע לא נופלת מזו שבחוקי האיחוד האירופי. אולם בית המשפט לא פירט כיצד יש לבחון את החוקים הללו ומהם האמצעים שיש להוסיף על מנת להבטיח הגנה נאותה על המידע. ההמלצות שפרסמו הרגולטורים באיחוד האירופי נועדו להשלים את החסר.

ההמלצות הסופיות חוזרות על המבנה של תוכנית ששת השלבים של הטיוטה המקורית: מיפוי העברות המידע; קביעת מנגנון העברת המידע הראוי מבין אלה המנויים ב-GDPR; בחינת החוקים במדינת היעד העלולים להשפיע על הגנת המידע; גיבוש ואימוץ אמצעים נוספים להגנת המידע; אישור האמצעים הנוספים להגנת המידע אצל הרגולטורים, במקרים מסוימים; הערכה תקופתית ומעקב אחר התפתחויות במדינת היעד.

עיקר השוני בין טיוטת ההמלצות לבין ההמלצות הסופיות טמון בשלב שלוש: בחינת החוקים במדינת היעד העלולים להשפיע על הגנת המידע. ההמלצות מציינות כי אפשר שהמסקנה תהיה כי הדינים הרלוונטיים במדינת היעד מעוררים בעיות מבחינת הגנת המידע הנדרשת לפי הסטנדרטים האירופאים וכי מקבל המידע במדינת היעד עלול להיות חשוף לדינים הבעייתיים הללו.

במצב זה, אין הכרח דווקא לעצור את העברת המידע או ליישם אמצעים משלימים שיתגברו על הבעיות. יש אפשרות שלישית וחדשה - להמשיך בהעברת המידע ללא אמצעי הגנה מלאים אם "אין סיבה להניח שהדינים הבעייתיים יופעלו מבחינה מעשית על המידע המועבר". לשם כך, יש לערוך ניתוח מדוקדק ומקיף בכתב, המבוסס על מקורות מגוונים, המנמק ומבסס את המסקנה הזו בהתחשב, בין היתר, בניסיון המעשי שנצבר אצל גורמים אחרים. ההמלצות קובעות גם כי הניתוח צריך להיות מגובה ע"י יועצים משפטיים.