הנציבות האירופאית מצביעה על מגבלה חמורה ב-SCCs החדשים

אולי יעניין אותך גם

ההסכמים האחידים החדשים להעברות מידע בינמדינתיות שפרסמה הנציבות האירופאית ביוני 2021 (SCCs) לא יכולים לשמש בתרחישים בהם מקבל המידע (data importer) מראש כפוף ל-GDPR לפי הוראות סעיף 3 ל-GDPR המסדיר את התחולה הטריטוריאלית שלו. כך מבהיר מסמך שאלות ותשובות שפרסמה הנציבות שנה לאחר פרסום ההסכמים האחידים. המסמך שפרסמה הנציבות מבהיר כי כאשר מקבל המידע כפוף ממילא ל-GDPR, הוראות ה-SCCs יביאו לכפילות בהתחייבויותיו ובמקרים מסוימים לסתירה בין הדרישות החוזיות של ה-SCCs לדרישות הסטטוטוריות של ה-GDPR.

מסמך הנציבות לא מסביר מדוע הכפילות עלולה לעורר בעיה או מהן הסתירות האפשריות, אך מציין כי הנציבות פועלת להכין גרסאות נוספות של ה-SCCs שנועדו לכסות את המצבים האלה. מסמך הנציבות לא נוקב במועד צפוי לפרסום הגרסאות הנוספות של החוזים האחידים.

law.co.il מבהיר כי אף שחלפה כמעט שנה מאז שפורסמו ה-SCCs החדשים והם משמשים בשגרה לצורך העברות מידע, מקבלי מידע רבים מגלים כעת כי הם מצויים ללא פתרון המאפשר להם להסדיר את העברות המידע שלהם. בין מקבלי מידע כאלה נמצאים גם מעבדי מידע (processors) רבים שכפופים במישרין ל-GDPR לאור ההנחיה על תחולת ה-GDPR שפרסם פאנל הרגולטורים האירופאים לפרטיות (European Data Protection Board - EDPB).

לפי ההנחיה, כאשר פעילות בעל שליטה במידע (Controller) מכוונת לקהל יעד אירופי, ומעבד המידע משרת את בעל השליטה בביצוע אותה הפעילות - המעבד יהיה כפוף בעצמו ל-GDPR בתחולה ישירה. לדוגמה, כאשר בעל השליטה במידע (Controller) עוסק בניטור התנהגותם של יחידים באירופה או מציע מוצר או שירות ליחידים באירופה, ומעבד המידע מסייע לו בביצוע הניטור או בהצעת השירות - המעבד כפוף במישרין לתחולת ה-GDPR. לפי ההבהרות האחרונות של הנציבות, מעבד מידע כזה ובעל השליטה במידע ששוכר את שירותיו לא רשאים לחתום ביניהם על ה-SCCs החדשים.