ביטול מנגנון ה-Privacy Shield – עם הפנים קדימה
בהמשך לעדכון הלקוחות שנשלח ב-16 ביולי 2020, בעניין החלטת בית הדין הגבוה לצדק של האיחוד האירופי לבטל את מנגנון ה-Privacy Shield, אשר אפשר העברה של מידע אישי ממדינות האיחוד האירופי לגופים בארצות הברית אשר צייתו למנגנון זה, נבקש לעדכן את קהל לקוחותינו בדבר התפתחויות נוספות בעניין זה וביחס לצעדים שאנו ממליצים לחברות ישראליות לנקוט לאור פסק הדין.
נכון למועד זה, ועד שתתקבל החלטה אחרת על ידי הנציבות האירופית (ככל שתתקבל החלטה כזו), חברות ישראליות נהנות מן ההכרה שהוענקה לישראל על ידי הנציבות האירופית, לפיה ישראל היא מדינה המעניקה הגנה מספקת על מידע אישי. משכך, העברות מידע אישי מהאיחוד האירופי לישראל אינן מושפעות מהחלטת בית הדין. בנוסף, העברות מידע אישי מישראל למדינות האיחוד האירופי היתה ונותרה מותרת לפי הדין הישראלי ומשכך גם ביחס להעברות מידע כאמור לא השתנה המצב המשפטי. עוד יודגש, כי גם כשמנגנון ה-Privacy Shield היה בתוקף הוא לא שימש כמנגנון קביל לפי הדין הישראלי להעברת מידע אישי מישראל לארה"ב, ועל כן החלטת בית הדין לא שינתה את המנגנונים אשר חברות ישראליות היו נדרשות ונדרשות אף היום ליישם על מנת להעביר מידע אישי מישראל לארה"ב בהתאם לדין בישראל.
עם זאת, חברה ישראלית הכפופה ל-GDPR (בין אם באופן ישיר מכוח הדין ובין אם מכוח התחייבות חוזית) ונסמכה על מנגנון ה – Privacy Shield לצורך העברת מידע אישי שמעובד תחת תנאי ה-GDPR לחברה בארה"ב (למשל למעבד מידע, כגון ספק שירותי אחסון המחזיק שרתים בארה"ב או לחברה קשורה) נדרשת כעת, לאור ביטול מנגנון זה, ליישם מנגנון משפטי חלופי להעברה כאמור אשר יעמוד בדרישות ה-GDPR או לחדול ממנה באופן מיידי. כמו כן, חברה ישראלית הכפופה ל-GDPR אשר מעבדת מידע אישי במדינות אחרות שלא הוכרו על-ידי הנציבות האירופאית כמדינות המעניקות הגנה מספקת על מידע אישי, נדרשת גם היא לערוך כעת, ללא דיחוי, בחינה קפדנית של המנגנונים שיושמו על ידה לשם העברת המידע האישי למדינות אלו, על מנת לוודא שמנגנונים אלו עומדים בדרישות ה-GDPR לאור החלטת בית הדין. יובהר כי חברות כאמור נדרשות ליישם באופן מיידי מנגנונים מתאימים להעברת המידע, זאת לאור כך שבהחלטת בית הדין לא נקבעה כל תקופת חסד להמשך הסתמכות על ה- Privacy Shield כמנגנון להעברת מידע אישי לארה"ב.
לאור האמור לעיל, מוצע כי חברות ישראליות הכפופות להוראות ה-GDPR יפעלו כדלקמן:
- יערכו מיפוי מקיף של העברות המידע האישי שהן מעבדות, הכולל פירוט של: (א) כל תהליכי ההעברה של מידע אישי רלוונטי מהחברה ואליה, (ב) הגורמים אליהם המידע מועבר (כגון חברות בנות או ספקי משנה), (ג) המדינות בהן גורמים אלו מאחסנים את המידע, ו-(ד) סוגי המידע שהחברה מעבדת בכל מדינה;
- יפעלו להעברת כלל פעילויות עיבוד המידע הרלוונטיות לשטחי האיחוד האירופי ו/או לישראל בלבד (או למדינות אחרות אשר הוכרו על ידי הנציבות האירופית ככאלו המעניקות הגנה מספקת על מידע אישי), לרבות באמצעות פניה לספקי המשנה הרלוונטיים. יודגש, כי בהיעדר הנחיות מפורטות מהרשויות הרלוונטיות באירופה, נראה שזהו הפתרון היעיל, הבטוח והטוב ביותר לעת עתה על מנת לוודא עמידה בדרישות ה-GDPR, ומסתמן אף שבעתיד הקרוב זוהי תהיה דרישה מקדימה להתקשרות מצד לקוחות אירופאיים;
- במידה ואין אפשרות להעביר את פעולות עיבוד המידע האישי לשטחי האיחוד האירופי או למדינות אשר הוכרו על ידי הנציבות האירופית כמעניקות הגנה מספקת על מידע אישי, יש ליישם את אחד מן המנגנונים הקבועים ב-GDPR על מנת לאפשר את העברת המידע למדינת היעד באופן חוקי (עם זאת, חשוב לציין שחלק מהמנגנונים הללו מוגבלים באופיים למשל להעברות מידע נקודתיות ולא שיטתיות.( מנגנונים אלו כוללים, בין היתר, קבלת הסכמת נושא המידע להעברה, העברת המידע לצורך מילוי הסכם עם נושא המידע, יישום כללים פנים ארגוניים להבטחת העברות בינלאומיות (Binding Corporate Rules) וכן, בתנאים מסוימים, כמפוט להלן, חתימה על ההוראות החוזיות האחידות שאושרו על-ידי נציבות האיחוד האירופי, אשר ידועים כ-Standard Contractual Clauses ("SCCs"); ו-
- יתקנו, במידת הצורך, את הסכמי עיבוד המידע שנחתמו בעבר עם צדדים שלישיים אליהם מועבר מידע אישי, על מנת להסדיר כשורה את ההעברות הבינלאומיות המותרות ביחס למידע האישי המעובד על ידם.
באשר לשימוש ב-SCCs, יובהר כי עד היום הללו שימשו כמנגנון נפוץ להעברות מידע אישי המעובד תחת תנאי ה-GDPR בין מדינות. אמנם, החלטת בית הדין מותירה את מנגנון ה- SCCs בתוקף, אולם היא גם מדגישה כי באחריות הגורם המעביר לבצע בחינה, על בסיס כל העברה לגופה, כי חוקיה של המדינה אליה מועבר המידע מאפשרים להבטיח רמה נאותה של הגנת מידע המקבילה לזו שבאירופה. כמו-כן, ההחלטה מדגישה כי באחריות הגורם המעביר לבחון יישום של הסדרים משלימים שיגבירו את ההגנה למידע לאור האיום שנשקף מהדינים המקומיים של הגורם אשר מקבל את המידע. יובהר כי נכון למועד זה הרשויות האירופאיות טרם פרסמו רשימה ברורה של הסדרים משלימים כאמור, אולם נראה כי אלו עשויים לכלול הצפנת המידע וקבלת התחייבות חוזית מצד מקבל המידע כי לרשויות הביון במדינה אליה מועבר המידע אין סמכות גישה למידע המועבר.
יובהר כי רק אם לאחר בדיקה כאמור יקבע כי ההעברה בטוחה ויושמו אמצעים מתאימים, בהתחשב בנסיבות העברת המידע ובאמצעים המשלימים האפשריים, יהיה ל- SCCsתוקף, ובכל מקרה אחר יש להשהות או להפסיק את העברת המידע האישי תחת מנגנון זה. כמו-כן, יובהר כי דרישה זו שעולה מהחלטת בית הדין חלה באופן רטרואקטיבי, כלומר חברות נדרשות לבחון גם את התקשרויותיהן הקיימות תחת ה-SCCs, בהתאם לאמור לעיל.
לבסוף, יובהר כי בעקבות החלטת בית הדין, קיימת אי בהירות באשר לאפשרות ההיסמכות על ה- SCCs כמנגנון העברת מידע אישי המעובד תחת תנאי ה-GDPR לארה"ב, ורגולטורים במדינות אירופאיות מסוימות אף קבעו באופן פוזיטיבי כי שימוש במנגנון של ה-SCCs בכל מקרה אינו מספק על מנת להבטיח הגנה על העברות של מידע אישי מאירופה לארצות הברית. על כן, אנו סבורים כי נכון להיום ועד אשר ייקבע מנגנון אלטרנטיבי ל- Privacy Shieldאו עד אשר יתקבלו הוראות חד משמעיות מהרשויות האירופאיות, קיים סיכון אינהרנטי בכל העברת מידע אישי המעובד תחת תנאי ה-GDPR לארה"ב. אנו צופים כי בחודשים הקרובים יפורסמו הוראות רבות בעניין זה ואנו נמשיך לעדכן בדבר התפתחויות משמעותיות.
לפרטים נוספים בעניין זה ובנושאי הגנה על פרטיות וניהול מאגרי מידע, הנכם מוזמנים לפנות לעו"ד אלה טבת, שותפה, ראש מחלקת קניין רוחני ופרטיות, בטלפון 03-6074588 או בדוא”ל –ellat@gkh.law.com.
אנו לרשותכם בתקופה ייחודית זו, ממשיכים בעבודתנו וזמינים במייל, בטלפון, ואף בפגישות פנים אל פנים ככל שהדבר נדרש ומתאפשר.
בברכת בריאות איתנה
משרד גרוס, קלינהנדלר, חודק, הלוי, גרינברג, שנהב ושות' (GKH), הנו אחד ממשרדי עורכי הדין הגדולים בישראל, המונה למעלה מ-170 עורכי דין. למשרד התמחות ופעילות ענפה בתחומי המשפט המסחרי, ובין היתר בתחום מיזוגים ורכישות, שוק ההון, הייטק וטכנולוגיה, בנקאות, מימון, נדל"ן, ליטיגציה, הגבלים עסקיים, אנרגיה ותשתיות, איכות הסביבה, קניין רוחני, דיני עבודה ומיסים.
מידע בחוזר זה מיועד ללקוחות משרד גרוס, קלינהנדלר, חודק, הלוי, גרינברג, שנהב ושות' וידידיו. כל המידע הנכלל בחוזר זה הינו בבחינת מידע כללי ותמציתי בלבד, ואינו מהווה חוות דעת או ייעוץ משפטי. על המשתמש לקבל עצה מקצועית נפרדת לכל פעולה משפטית או אחרת בקשר לנושאים שנדונו בחוזר.
