נציבות האיחוד האירופי פרסמה היום את ההכרזה על מתווה ה-EU-US Data Privacy Framework כאמצעי המעניק הגנה על מידע אישי ברמה התואמת לדרישות דיני הגנת המידע באיחוד האירופה, ה-GDPR. ההכרזה מסיימת מהלך טרנס-אטנלטי שהחל בחודש יולי 2020, כשבית המשפט הגבוה באיחוד האירופי פסל את מנגנון ה-Privacy Shield שהיה קיים מאז 2016 כאמצעי המעניק רמה נאותה של הגנת מידע. ה-Privacy Shield בעצמו נוסד לאחר שהמנגנון שקדם לו, ה-Safe Harbor, נפסל בבית המשפט לאחר 15 שנות פעילות.

בדומה ל-Safe Harbor ול-Privacy Shield, גם המתווה החדש (המכונה בקיצור DPF), מיועד רק לחברות אמריקאיות. הוא מתבסס על הסמכה עצמית של החברות שיידרשו להתחייב לנוהגי פרטיות קפדניים שנועדו להבטיח את פרטיותם של נושאי המידע. הסיבה העיקרית לפסילת ה-Privacy Shield ב-2020 נעוצה במסקנת בית המשפט הגבוה באירופה כי אין בו בלמים ואיזונים נאותים לשימוש הגורף וחסר האבחנה של סוכנויות המודיעין ורשויות האכיפה בארה"ב במידע אישי שמקורו באירופה. לאור זאת, החידוש העיקרי ב-DPF הוא בפעילות סוכנויות הממשל האמריקאי באיסוף מידע אישי ברשתות אלקטרוניות לצורכי מודיעין.

נשיא ארה"ב, ג'ו ביידן, חתם בשנה שעברה על צו נשיאותי המקים שורה של בלמים ואיזונים לאיסוף מודיעין אותות על-ידי סוכנויות הביון האמריקניות, בהם איסור על איסוף ושימוש לא מידתיים במידע. הצו גם הקים מנגנון דו-שכבתי לסעדים ותרופות לנושאי מידע שמלינים על פגיעה בפרטיות בשל אמצעי איסוף המידע של סוכנויות הביון האמריקאיות. לפני ימים אחדים, הממשל השלים את הצעדים האחרונים שנדרשו לקראת ההכרזה האירופית, בהם הכרזה של שר המשפטים האמריקני כי נושאי מידע מהאיחוד האירופי רשאים לקבל סעדים בשל הפרת הכללים שנקבעו בצו הנשיאותי.

השכבה הראשונה של סעדים לנושאי מידע מבוססת על בדיקה בלתי תלויה ומחייבת של הקצין האמון על חירויות אזרחיות במשרד ראש המודיעין הלאומי בממשל הפדרלי בארצות-הברית. השכבה השניה תהיה בית דין ייעודי להגנת מידע שכבר הוקם במשרד המשפטים. הוא יהיה אמון על ביקורת שיפוטית בלתי תלויה על החלטות קצין החירויות האזרחיות במשרד ראש המודיעין הלאומי. החלטות בית הדין הייעודי יהיו מחייבות ושופטי בית הדין יתמנו מקרב מועמדים מחוץ למסגרת הממשל תוך הבטחת אי-תלותם. נציג עצמאי ייצג את האינטרסים של המתלונן ויטען בפני בית הדין.

הכרזת הנאותות קובעת כי הנציבות תערוך בחינה מחודשת של ה-DPF ושל ההתחייבויות האמריקניות כבר בשנה הבאה. בכל שלב במהלך חיי הכרזת הנאותות, אם יצטברו בידי הנציבות אינדיקציות המעידות כי ארצות-הברית לא מקיימת את התחייבויותיה, הנציבות רשאית לדרוש מארה"ב לתקן את הליקויים תוך זמן קצוב. אם ארה"ב לא תבצע את הנדרש, רשאית הנציבות לבטל או להשעות את הכרזת הנאותות.

גם עבור חברות אמריקאיות, הסדר ה-DPF דומה מאד ל-Privacy Shield שקדם לו. כמו קודמו, גם ה-DPF ינוהל על-ידי משרד המסחר האמריקני. חברות אמריקניות המעוניינות בכך יוכלו להתחייב באופן וולונטרי לנוהגי פרטיות מחמירים יותר מאלו הנדרשים לפי הדין בארצות-הברית ולקבל בכך את ההיתר האירופי לעיבוד ואחסון מידע אישי בארצות-הברית. נוהגי הפרטיות שביסוד ה-DPF דומים, אך לא חופפים, לדרישות ה-GDPR.

הסדר ה-DPF מחייב חברות לציית לעקרונות בדבר הודעות פרטיות (Notices) לנושאי מידע, אבטחת מידע, צמידות מטרה, הענקת זכויות לנושאי מידע, מגבלות בעיבוד מידע אישי רגיש, ועוד. הפערים בין ה-DPF לדרישות ה-GDPR כוללים בין היתר את החובה לפעול על פי בסיסים חוקיים לעיבוד מידע (אלה לא כלולים ב-DPF), ואת הדרישות המיוחדות החלות על ארגונים הפועלים כ-Processor (ה-DPF לא עורך אבחנה חדה בין החובות המיוחדות החלות על ארגונים כאלה לבין ארגונים שהם בעלי שליטה במידע).

היום, יום ההכרזה האירופאית על ה-DPF, משרד המסחר האמריקני השיק את אתר ה-DPF. בשלב זה, עדיין לא ידוע מתי יתאפשר לארגונים אמריקניים לבצע את ההסמכה-העצמית, במה יהיו כרוך התהליך וכמה יעלה.

הכרזת נציבות האיחוד האירופי על נאותות ה-DPF לצורך העברת מידע אישי לארצות-הברית נעשתה בניגוד לעמדת הפרלמנט האירופי שקרא לנציבות שלא לאשר את המתווה. עמותת הפרטיות שייסד מקס שרמס, מי שעמד מאחורי העתירה האחרונה שפסלה את הסדר ה-Privacy Shield, כבר הכריזה כי היא תקדם עתירה לפסילת ההסדר החדש, עוד בהמשך השנה או בתחילת השנה הבאה.

מקס שמרס הגיב בביקורת נוקבת לחדשות על ההכרזה האירופית. לדבריו, "אומרים שההגדרה של אי שפיות היא לעשות את אותו הדבר שוב ושוב ולצפות לתוצאות שונות. בדיוק כמו 'מגן הפרטיות', ההסדר החדש לא מתבסס על שינויים מהותיים אלא על אינטרסים פוליטיים. פעם נוספת, נציבות האיחוד האירופי סבורה שהבלאגן שיווצר כבר יהיה הבעיה של הנציבות הבאה (שתבחר)".

law.co.il מזכיר כי לאחרונה מטא (פייסבוק לשעבר) נדרשה על-ידי נציבות הגנת המידע באירלנד לחדול מהעברת מידע אישי לארצות-הברית תוך חודשים אחדים, לאחר שהנציבות מצאה כי העברת מידע אישי מאירופה לארצות-הברית בהתבסס על החוזים האחידים להעברת מידע (ה-SCCs) אינה חוקית. הכרזת הנציבות האירופית כעת על ההכרה ב-DPF לצורך העברת מידע אישי לארצות-הברית תאפשר למטא להחלץ מהאיסור על העברת מידע לארצות-הברית.