אנגליה: הסכמי העברת מידע סטנדרטיים חדשים

אולי יעניין אותך גם

הסכמי העברת מידע סטנדרטיים חדשים: International Data Transfer Agreement- IDTA ו- UK Addendum נכנסו לתוקף בשבוע שעבר באנגליה. ההסכמים חלים על העברות מידע אישי מאנגליה למדינות שאינן מקיימות רמת הגנת פרטיות נאותה. ההסכמים החדשים מחליפים את הסכמי העברת המידע האירופאיים הישנים ה- Standard Contractual Clauses - SCC, שהמשיכו להיות בתוקף באנגליה לאחר הפרידה מהאיחוד.

בדומה ל-SCC האירופאיים החדשים אשר נכנסו לתוקף ביוני 2021 עקב פסק דין שרמס II, ה-IDTA דורש החלת אמצעי הגנה נאותים על העברות מידע מאנגליה למדינות שאינן מוכורת כנאותות. בהתאם לפסק דין שרמס II, הצדדים נדרשים לבצע הערכת סיכונים להעברות וכן להשתמש באמצעים נוספים בכדי להגן על מידע אישי במדינת היעד. 

בשונה מה-SCC האירופאי המודולרי, שבו כל מודול מתייחס לסוג שונה של העברות מידע, ה-IDTA הינו הסכם אחד לכל תרחיש, בכך שהוא מאפשר לצדדים להתאימו לתרחיש הרלוונטי, על ידי השלמת טבלאות וסימון אופציות רלוונטיות. ה-IDTA מהווה הסכם העברת מידע נפרד, בעוד שה-UK Addendum אינו כך.

רשות הגנת הפרטיות באנגליה (ICO) מכירה בכך שארגונים יכולים להעביר, בו בזמן, מידע שמקורו באנגליה וגם באיחוד, משכך אישרה בנוסף ל-IDTA טופס קצר, ה- "UK Addendum", שאפשר לצרפו כנספח ל-SCC, וכך ה-SCC ישמש להעברה מהאיחוד האירופאי והנספח ישמש להעברה מאנגליה. 

ההסכמים החדשים נכנסו לתוקף ב-21.3.2022, אך ארגונים המעבירים מידע מאנגליה יוכלו להמשיך להישען על ה-SCC האירופאיים הישנים (שהיו בתוקף עד לפס"ד שרמס II), להשתמש ב- IDTA החדשים או לחילופין בנספח ל-SCC החדשים (שנכנסו לתוקף לאחר פס"ד שרמס II).

ה-SCC הישנים החתומים יישארו בתוקף עד ליום 21.3.2024, אך במידה ויחול שינוי בהעברת המידע הנשענת על ה-SCC הישנים, הצדדים יהיו חייבים לעבור לIDTA או הנספח, עם השינוי בהעברה. חשוב לציין כי גם בהישענות על ה-SCC הישנים, הדבר ייתאפשר רק אם הם מבטיחים שההעברה כפופה לאמצעי הגנה נאותים. משמע, כי הצדדים ייצטרכו לבצע סקירה לסיכונים ולאמצעי ההגנה, וייתכן וייצטרכו להחיל אמצעי הגנה נוספים בהתאם.

מ-21.9.2022, ארגונים שירצו לבצע העברות מידע חדשות מאנגליה למדינות שאינן מוכרות כמספקות הגנת פרטיות נאותה, יהיו חייבים לחתום על ה-IDTA או UK Addendum אשר יצורף ל-SCC האירופאי.

מקור: ICO, IAPP, LewisRise, ConsumerPrivacyWorld