ביטול מנגנון ה-Privacy Shield: העברת מידע מהאיחוד האירופי לארצות הברית דורשת חשיבה מחודשת

ביטול מנגנון ה-Privacy Shield: העברת מידע מהאיחוד האירופי לארצות הברית דורשת חשיבה מחודשת

ככלל, תקנות הגנת המידע של האיחוד האירופי (GDPR) מאפשרות העברות של מידע אישי מחוץ לגבולות האיחוד האירופי, בתנאי שבהעברות המידע כאמור הוטמעו אמצעי הגנת מידע הולמים, המבטיחים את ההגנה על זכויותיהם של האנשים שמידע לגביהם מועבר בין מדינות. ביום חמישי האחרון, בית המשפט האירופי לצדק, פרסם את החלטתו לבטל את מנגנון ה-­Shield Privacy (להלן: "ההחלטה"), אשר הוכר כמנגנון המבטיח את רמת ההגנה הנדרשת, להעברה של מידע אישי מהאיחוד האירופי לחברות המוסמכות על פי המנגנון הנמצאות בארצות הברית.

ההחלטה התקבלה עקב תלונה שהוגשה על ידי אקטיביסט אוסטרי בשם מקס שרמס (Max Schrems) והארגון אותו הוא מוביל NOYB (None of Your Business). לטענת שרמס ו-NOYB, הדרישות הספציפיות המנויות במנגנון ה-Privacy Shield אינן מספקות רמת הגנה הולמת למידע האישי. זאת, היות והחקיקה בארצות הברית מספקת סמכויות רחבות לרשויות ומאפשרת גישה למידע אישי, ועל כן מתירה את הפגיעה בזכויותיהם של אנשים שמידע לגביהם מועבר בין מדינות.

 יחד עם זאת, בית המשפט נמנע מלבטל את מנגנון ה-Standard Contractual Clauses (SCC) שנקבע על ידי ה-European Commission כמנגנון חוזי המבטיח רמת הגנה הולמת למידע שמועבר מחוץ לגבולות האיחוד האירופי. לצד זאת, בית המשפט קבע כי גם מנגנון זה אינו מספק כאשר לרשויות המדינה שאליה מועבר המידע, סמכות נרחבת לגישה ושימוש במידע, ועל כן על כל מייצא מידע (Data Exporter) לשקול את יישומו של מנגנון זה תוך בחינת הוראות החקיקה המקומית בנושא.

 כעת, חברות אמריקאיות אשר עד כה הסתמכו על מנגנון ה-Privacy Shield, ביניהן אמזון, פייסבוק וגוגל, ידרשו לשקול וליישם מנגנונים חלופיים בהתקשרויות הכרוכות בהעברת מידע מהאיחוד האירופי לארצות הברית.

החלטת בית המשפט האירופי לצדק, רלוונטית גם לחברות ישראליות אשר עד כה הסתמכו על מנגנון ה-Privacy Shield להעברת מידע אישי מהאיחוד האירופי לארצות הברית, בין אם בקשר לפעילותן השוטפת ובין אם בקשר לשימוש בקבלני משנה הממוקמים בארצות הברית ואשר הוסמכו על פי המנגנון. חברות אלו, יאלצו לשקול מחדש את נחיצות העברת המידע לארצות הברית, ובמידת הצורך להטמיע מנגנוני העברת מידע חלופיים בהתאם לדרישות ה-GDPR וכן בהתאם להנחיות שצפויות להתגבש בנושא.

ראוי לציין כי בשלב זה, ההחלטה אינה משפיעה על העברות מידע מהאיחוד האירופי לישראל, שכן העברות כאמור מוסדרות באמצעות מנגנון שנכון לעכשיו – אינו מושפע מההחלטה.

 במסגרת ההחלטה נלקחו בחשבון שיקולים של קושי בהטמעה המידית של השלכותיה, ועל כן אנו צופים כי הנחיות נוספות יתקבלו ליישום הדרישות, שלגביהן נעדכן בהמשך.

נשמח לעמוד לרשותכם בכל שאלה או התלבטות בנושא.

 לקריאת ההחלטה המלאה.

חדשות נלוות