מועצת הרגולטורים האירופאים לפרטיות (ה- EDPB), פרסמה טיוטה ראשונה של ההנחיות (05/2021) בדבר היחס בין תחולת סעיף 3 ל-GDPR לבין העברות המידע הבין-מדינתיות לפי פרק 5 ל-GDPR.
ההנחיות קובעות שהעברת מידע אל מחוץ לאיחוד האירופאי לאירגון שממילא כפוף לתחולת ה-GDPR, מחייבת בעקרון נקיטת אמצעי הגנה פחותים - ועם זה, יש לבחון האם קיימת סתירה בין הדין המקומי במדינה שמקבלת את המידע לבין ה-GDPR ולהחיל אמצעי הגנה מתאימים. ה-EDPB הודיע כי הוא נכון לשקול אם נדרשים אמצעים ייעודיים, כגון תניות חוזיות אחידות שיותאמו במיוחד למצבים כאלה.
סעיף 3 קובע את תחולתו הטריטוריאלית של ה-GDPR. במקביל, פרק 5 ל-GDPR קובע איסור להעביר מידע אל מחוץ לאיחוד האירופאי אלא כאשר המדינה שבה מתקבל המידע – או האירגון הבינלאומי שאליו המידע מועבר - מספקים רמה נאותה של הגנה על המידע אישי. הפרק מורה מה ייחשבו לאמצעים המבטיחים רמה נאותה כזו של הגנה.
אין ב-GDPR הגדרה למונח "העברה". ההנחיות באות להבהיר מונח זה ולסייע לארגונים לזהות מהי העברה בין-מדינתית שמחייבת נקיטת אמצעי הגנה מאושרים לפי ה-GDPR, כגון הסכמת מקבל המידע לתנאים חוזיים אחידים שהנציבות האירופאית מאשרת (Standard Contractual Clauses).
ההנחיות מונות שלושה תנאים מצטברים כדי שפעולה תיחשב להעברה בין-מדינתית: 1. בעל השליטה במידע או מעבדו כפוף לתחולת ה- GDPR ביחס לעיבוד המידע הספציפי; 2. בעל השליטה במידע או מעבדו, מעביר או מאפשר גישה למידע האישי, למעבד או לבעל שליטה במידע; ו- 3. מי שמקבל את המידע נמצא במדינה מחוץ לאיחוד או שהוא ארגון בינלאומי, בין אם הינו כפוף ל-GDPR ביחס לעיבוד הספציפי, ובין אם לאו.
ההנחיות מביאות מספר דוגמאות להמחשה. אחת המעניינות שבהן קובעת שהעברה ישירה של מידע אישי ביוזמתו של נושא מידע לא תיחשב העברה, כי לא מעורבים בה בעל שליטה או מעבד מידע שמעבירים או מאפשרים גישה למידע.
טיוטת ההנחיה מבהירה שעיבוד מידע במדינה שלישית טומן בחובו סיכונים גם אם לא ייחשב כהעברה בינמדינתית. במקרה כזה, על בעל השליטה במידע (ה-Controller) יחולו הוראות ה-GDPR, לרבות חיובו באמצעי הגנה. למשל: עובד בחברה שמקום מושבה באיחוד, נוסע למדינה שלישית ושם ניגש למאגרי המידע של אותה חברה. גישה מרחוק זו לא תיחשב להעברה אך בפעולה יש סיכון למידע ועל החברה לנקוט באמצעי הגנה מתאימים.
טיוטת ההנחיות עומדת להערות הציבור עד סוף ינואר 2022.