בעקבות הדחתה של רוסיה ממועצת אירופה (Council of Europe) לפני כמה חודשים, יש לבחון העברות מידע אישי מהאיחוד האירופי לרוסיה לפי ההנחיות שפרסמה מועצת הרגולטורים להגנת מידע של מדינות האיחוד האירופי (ה-EDPB) לאחר פסק הדין שרמס II, בו כזכור הוגבלה משמעותית היכולת להעביר מידע אישי למדינות מחוץ לאיחוד האירופי שלא הוכרו כבעלות רמה תואמת של דיני הגנת מידע. כך לפי הצהרה שפרסם ה-EDPB בסוף השבוע.

הדחתה של רוסיה ממועצת אירופה במרץ האחרון בעקבות פלישתה לאוקראינה גם הדיחה אותה מחוזים ואמנות של המועצה, דוגמת האמנה להגנה על יחידים בקשר עם עיבוד המידע האישי שלהם. ה-EDPB מזהיר כי להדחה עלולות להיות השלכות משמעותית על רמת ההגנה על נושאי מידע ברוסיה.

רוסיה כמובן לא הוכרזה כמדינה שרמת ההגנה על מידע אישי בה תואמת את זו של ה-GDPR. במצב זה, ה-GDPR דורש שכל העברה של מידע אישי לרוסיה תיעשה תוך ישטם אחד מאמצעי ההגנה האחרים המפורטים בפרק החמישי של החוק, דוגמת ה-Standard Contractual Clauses. ה-EDPB הדגיש כי בכל מקרה של העברה כזו, על יצואני המידע לזהות את הבסיס החוקי להעברה ואת אמצעי ההגנה שישולבו במסגרתה. בנוסף, יצואני המידע נדרשים להעריך, לפי הנסיבות של כל מקרה, אם יש הוראות חקיקה ברוסיה שעלולות לפגוע ביעילות אמצעי ההגנה, כדוגמת פרקטיקות של גישה למידע אישי על-ידי הרשויות ברוסיה.

אם התשובה לשאלה זו חיובית, על יצאוני המידע לאמץ אמצעים משלימים הנחוצים כדי להבטיח שהמידע האישי מוגן כנדרש ב-GDPR. אם ההערכה שביצע יצואן המידע מובילה למסקנה כי לא ניתן להעניק רמת הגנה מספקת למידע האישי - גם לא ביישום אמצעי הגנה משלימים - יש להשהות באופן מידי את העברת המידע לרוסיה.

ה-EDPB גם ציין כי מספר רשויות להגנת מידע במדינות האיחוד האירופי פועלות כבר בימים אלה לבחינת החוקיות של העברת מידע אישי לרוסיה. הרשויות ימשיכו לעקוב אחר התפתחויות ובמידת הצורך יפעלו בתיאום עם הנציבות האירופאית.