לפני כארבעה חודשים, בית המשפט הגבוה באיחוד האירופי (ה-CJEU) הפתיע את כלכלת המידע העולמית כאשר ביטל את הסדר "מגן הפרטיות" להעברת מידע אישי ממדינות האיחוד האירופי לארצות הברית. לפסיקה היו השלכות רחבות היקף על העברת מידע מאירופה לכל מדינה ברחבי תבל, כולל לישראל.
בה בעת, פסק הדין, הידוע בכינויו 'שרמס 2', הכשיר, תחת תנאים נוקשים, את מנגנון ההוראות החוזיות האחידות (Standard Contractual Clauses) ככלי להעברת מידע למדינות מחוץ לאיחוד האירופי. ה- CJEUהדגיש כי מי שמעוניין להשתמש בהוראות החוזיות האחידות חייב לבחון את החוקים הרלוונטיים במדינת היעד ואת הצורך להוסיף אמצעי הגנה להוראות החוזיות האחידות כדי להבטיח שההגנה על המידע לא נופלת מזו שבחוקי האיחוד האירופי. אולם ה- CJEU לא פירט כיצד יש לבחון את החוקים הללו ומהם האמצעים שיש להוסיף על מנת להבטיח הגנה נאותה על המידע.
פסק הדין יצר אפוא חוסר וודאות ניכרת על-אודות הדרישות הכרוכות בהעברת מידע אישי אל מחוץ לאיחוד האירופי. בעקבות זאת, בימים אלה פרסמה מועצת הרגולטורים האירופאים לפרטיות (ה- EDPB) את טיוטת המלצותיה לארגונים המעוניינים להעביר מידע אישי אל מחוץ לאיחוד האירופי. טיוטת ההמלצות פתוחה להערות הציבור עד ל-30 בנובמבר, 2020. היא קשה למעקב, מעוררת קשיים משמעותיים וניכר שהיא עוד רחוקה מלהוות פתרון מעשי עבור ארגונים.
תוכנית ששת-השלבים של ה-EDPB
בטיוטה שפרסם משרטט ה-EDPB תכנית בת שישה שלבים שארגון נדרש ליישם אם הוא מבקש להעביר מידע אל מחוץ לאירופה.
שלב 1: מיפוי העברות המידע
ארגון שמייצא מידע אישי הכפוף ל-GDPR נדרש למפות את כל העברות המידע שלו ולוודא שהמידע שמועבר למדינות מחוץ לאיחוד האירופי (המכונות "מדינות שלישיות") הוא רק המידע הדרוש בהתחשב במטרת ההעברה. על הארגון לקחת בחשבון גם העברות המשך למעבדי-משנה במדינה שלישית אחרת.
שלב 2: קביעת מנגנון העברת המידע הראוי מבין מנגנוני העברת המידע המנויים ב-GDPR
אם המדינה אליה מועבר המידע הוכרה על-ידי נציבות האיחוד האירופי (ה-EU Commission) כבעלת רמת הגנה נאותה (במה שמכונה Adequacy Decision), העברת המידע לעיבוד במדינה כזו מותרת ללא צורך באמצעי נוסף כלשהו, מלבד הצורך במעקב אחר כך שההכרה האירופית באותה מדינה נשמרת.
נציבות האיחוד האירופי מכירה כיום ב- 12 מדינות נאותות ובהן ישראל, שוויץ, יפן וקנדה. רוב החלטות ההכרה נמצאות כעת בבחינה תקופתית מחודשת, ובהן גם ההכרה בישראל.
בהיעדר הכרה במדינה השלישית כבעלת רמת הגנה נאותה, על הארגון להסתמך על מנגנון אחר להעברת מידע המותר ב-GDPR. המנגנון הבולט הוא ההוראות החוזיות האחידות. לכן, אם תישלל ההכרה מישראל, כל העברת מידע מאירופה – שוק הסחר העיקרי של המדינה – לישראל, תעשה לפי המנגנונים המסורבלים שמתווה ה-EDPB.
זמן קצר לאחר שה-EDPB פרסם את המלצותיו, נציבות האיחוד האירופי פרסמה להערות הציבור את טיוטת השינויים שהיא מציעה לערוך בהוראות החוזיות האחידות הקיימות מזה שנים. כשתאושר הטיוטה בחודשים הבאים, היא תחליף את הגרסה הנוכחית של ההוראות החוזיות האחידות. לארגונים תינתן תקופת מעבר של עד שנה לצורך החלפת ההוראות החוזיות הקיימות בגרסה המעודכנת שלהן.
הטיוטה החדשה של ההוראות החוזיות האחידות נועדה לכסות מגוון תרחישים של העברות מידע. היא מגבירה את אחריות הצדדים במגוון נושאים, בהם טיפול בבקשות גישה למידע מרשויות שלטון, שקיפות כלפי נושאי מידע ושיפוי הדדי בין הצדדים לחוזה.
שלב 3: בחינת החוקים במדינה השלישית העלולים להשפיע על הגנת המידע
הארגון המייצא את המידע מאירופה נדרש לבחון את החוקים במדינה השלישית העשויים להשפיע על ההגנה למידע. מטרת הבחינה היא לברר האם המידע יהנה מהגנה "במידה שווה באופן מהותי" להגנה על מידע אישי לפי חוקי האיחוד האירופי. לשם כך, על הבחינה להתמקד בסמכויות רשויות החוק במדינת היעד לקבל גישה למידע בנסיבות כגון חקירות, מניעת פשיעה וצורכי ביון. בנוסף, הבחינה צריכה להיות מתועדת כראוי.
הדרישה לבחינת חוקיה של מדינה זרה מהווה מכשול משמעותי בפני ארגונים, בין היתר משום שזו משימה עתירת-משאבים. קושי נוסף שמציבות ההנחיות הוא הדרישה לבחינה אובייקטיבית של היקף סמכויות הגישה למידע של הרשויות במדינה השלישית, ללא התחשבות בגורמים סובייקטיביים כגון ההסתברות שהרשויות יפעילו את סמכותן לגשת למידע המסוים שמעביר הארגון המייצא, בהתחשב בסוג המידע ובנסיבות המקרה.
על מנת לסייע לארגונים בבחינה המשפטית, ה-EDPB פרסם מסמך על-אודות "הקריטריונים האירופאיים המהותיים" שהארגון נדרש לוודא את קיומם בחוקי המדינה השלישית.
הקריטריונים האירופאיים המהותיים מהווים מכשול נוסף לארגונים. קיים ספק אם חוקי המדינות שלרוב מקבלות מידע מהאיחוד האירופי אכן עונים על הדרישות המתוארות במסמך. נזכיר לדוגמה שה-CJEU וה-EDPB קבעו זה מכבר כי החוקים בארצות הברית אינם עומדים בדרישות האירופאיות.
שלב 4: גיבוש ואימוץ אמצעים נוספים להגנה על המידע
במידה והבחינה לפי השלב השלישי מעלה כי המדינה השלישית לא מספקת הגנה "במידה שווה באופן מהותי" לזו שבחוקי האיחוד האירופי, הארגון נדרש לבחון הטמעה של אמצעים משלימים שישוו את רמת ההגנה על המידע לזו האירופאית. גם בחינה זו צריכה להיות מתועדת כראוי כדי לעמוד בעקרון האחריות של ה-GDPR.
האמצעים המשלימים עשויים להיות חוזיים, ארגוניים וטכנולוגיים. אפשר שהארגון יידרש לשלב מספר אמצעים על מנת להשיג את רמת ההגנה הנדרשת. עם זאת, ה-EDPB מבהיר כי אמצעים חוזיים וארגוניים לבדם לא יכולים להגן מפני גישה למידע על ידי רשויות המדינה שלישית. במקרה זה, יש להשתמש גם באמצעים טכנולוגיים. אם הארגון המעביר מוצא כי אין אמצעים נוספים היכולים לספק את ההגנה הנדרשת למידע, עליו להימנע מהעברת המידע לעיבוד במדינה השלישית.
ה-EDPB מספק רשימה לא סגורה של אמצעים משלימים, בהם העברה של מידע מוצפן כאמצעי טכנולוגי להגנה עליו. ברור עם זה, שהצפנת מידע אינה מהווה פתרון ישים כאשר המידע המועבר דורש עיבוד כלשהו ולא אחסנה בלבד.
שלב 5: אישור האמצעים הנוספים על-ידי רשויות הגנת המידע המוסמכות באיחוד האירופי
במקרים מסוימים על הארגון המייצא מידע הכפוף ל-GDPR יהיה לקבל את אישור רשויות הגנת המידע המוסמכות באיחוד האירופי לשימוש באמצעים הנוספים שנבחרו. למשל, במקרה בו האמצעים הנוספים עלולים לעמוד בסתירה ישירה או עקיפה להוראות החוזיות האחידות.
שלב 6: הערכה תקופתית ומעקב אחר התפתחויות בחוקי המדינה השלישית
הארגון נדרש לבצע הערכה מחודשת של רמת ההגנה על המידע במדינה השלישית ולעקוב אחר התפתחויות רלוונטיות בחוקי המדינה. בנוסף, על הארגון להטמיע מנגנונים נאותים שיאפשרו לו להשעות את העברת המידע למדינה השלישית או לחדול ממנה כליל במקרה הצורך. למשל, במקרה בו מקבל המידע במדינה השלישית הפר את התחייבויותיו להגן על המידע או כאשר האמצעים הנוספים שהוטמעו לא מועילים דיים בהגנה על המידע המועבר.
הצעדים הבאים
המלצות ה-EDPB ביחד עם מסמך ה"הקריטריונים האירופאיים המהותיים" וטיוטת ההוראות החוזיות האחידות המעודכנות מציבים קושי משמעותי בפני ארגונים שמעבירים מידע אישי הכפוף ל- GDPRמהאיחוד האירופי למדינות מחוץ לאיחוד, במיוחד בהעברת מידע לצורך עיבוד בשירותי ענן בארה"ב. הן מבהירות עד כמה חיוני לישראל לשמור על מעמדה כבעלת רמה נאותה של הגנה על מידע אישי, כדי שהעברת המידע מאירופה תתנהל בפשטות ובמהירות.
אנו ממליצים לארגונים לנצל את הזמן הנותר להגשת הערות לטיוטות של ה-EDPB ונציבות האיחוד האירופי. בנוסף, בהתחשב באפשרות שלא יוכנסו שינויים מהותיים בהנחיות ה-EDPB, אנו ממליצים לארגונים להקדים ולערוך בחינה של העברות המידע שלהם לאור ההנחיות, ולשקול חלופות להעברת מידע למדינות שלישיות במידת הצורך.