אירופה מפרסמת הנחיות GDPR על תבניות אפלות והעברות מידע בין-מדינתיות

פרטיות וסייבר רגולציה וממשל
מאת‏ עו"ד דותן המר

שותף בקבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

אולי יעניין אותך גם

זמן קריאה: דקה אחת
שמור ב"תכנים שלי"

מועצת הרגולטורים האירופאים להגנת מידע (European Data Protection Board - EDPB) פרסמה השבוע שלוש הנחיות סופיות בעקבות הערות הציבור על תבניות אפלות ברשתות חברתיות, על היחס בין התחולה הטריטוריאלית של ה-GDPR לבין העברות מידע אל מחוץ לאירופה, ועל מנגנוני הסמכה ככלי להכשרת העברת מידע אל מחוץ לאירופה.

ההנחיה על תבניות אפלות עוסקת בממשקי משתמש שמתמרנים את נושא המידע לקבל החלטות שלא התכוון להן ועלולות לכרסם בהגנת המידע. ההנחיה הסופית חוזרת על תרחישים ומקרים שייחשבו לתבניות אפלות שתוארו בטיוטת ההנחיה, בהם העמסת יתר בבקשות, מידע ואפשרויות; עידוד נושא המידע לדלג על הגדרות הפרטיות בממשק המשתמש; תמרון רגשי של נושא המידע באופן שמשפיע על קבלת ההחלטות; חוסר בהירות בממשק המשתמש; והותרת נושא המידע באפלה בנוגע לאפשרות לנהל את המידע הנאסף. ההנחיה כוללת המלצות קונקרטיות על עיצוב נכון ללא תבניות אפלות ומציעה רשימת תיוג (צ'ק ליסט) לשימוש גורמים המעצבים ממשקי משתמש ומפתחים כלים ברשתות חברתיות.

ההנחיה על מנגנוני הסמכה ככלי להכשרת העברת מידע מחוץ לאירופה מניחה את היסודות לאפשר לגורמים מסמיכים באירופה לגבש מנגנון הסמכה וולונטרי שחברות חוץ-אירופאיות יוכלו להבחן לפיו כדי לקבל אישור (סרטיפיקציה) כי הן מיישמות את הכללים הנדרשים להתיר להן לקבל מידע אישי מאירופה לעיבוד אצלן. מנגנון ההסמכה צריך לכלול גם ניתוח של הדין הלאומי במדינת היעד והאמצעים הדרושים ליישום כדי להבטיח רמה מקילה של הגנה על מידע אישי לזו שבדין האירופי.

ההנחיה על היחס בין התחולה הטריטוריאלית של ה-GDPR להעברות מידע אל מחוץ לאירופה דמוה במהותה לטיוטת ההנחיה מ-2021. ההנחיה מונה שלושה תנאים מצטברים כדי שפעולה תיחשב להעברה בין-מדינתית שכפופה להוראות פרק 5 ל-GDPR. ראשית, בעל השליטה במידע או מעבדו כפוף לתחולת ה- GDPR ביחס לעיבוד המידע הספציפי; שנית, בעל השליטה במידע או מעבדו, מעביר או מאפשר גישה למידע האישי לגורם אחר; ושלישית, מי שמקבל את המידע נמצא במדינה מחוץ לאיחוד או שהוא ארגון בינלאומי, בין אם הינו כפוף ל-GDPR לגבי העיבוד הספציפי, ובין אם לאו. לאור הגדרה זו, העברה ישירה של מידע אישי מנושא המידע לגורם המקבל ממנו את המידע לא תיחשב העברה בין-מדיתית הכפופה להוראות פרק 5 של ה-GDPR. פרק 5 ל-GDPR מאפשר העברת מידע בין-מדינתית רק בהינתן הגנות נוספות, כדוגמת העברה למדינה שהוכרה כתואמת לרמת ההגנה הקיימת באירופה, העברה למקבל מידע שחתום על ההוראות החוזיות האחידות להעברות מידע, ועוד.