18 באפריל 2024 1:12

אירופה: הצעה להסדר חדש להעברת נתונים אישיים מחוץ ליבשת

ביולי 2020 קבע בית המשפט האירופאי לצדק כי הסדר ה-privacy shield, המאפשר לחברות אמריקאיות לקבל מידע אישי שמקורו באירופה, אינו חוקי ודינו להיפסל. משכך, נציבות האיחוד האירופי פרסמה לאחרונה (12.11.2020) טיוטה להערות הציבור בדבר ההחלטה על הוראות חוזיות אחידות מעודכנות (Standard Contractual Clauses). יישום ההוראות הינו כלי משפטי זמין שעיקרו להכשיר העברת מידע אישי הכפוף ל– GDPR, לעיבוד אצל גורמים הפועלים במדינות שלא הוכרו על-ידי האיחוד האירופי כבעלות רמה הגנה נאותה על מידע אישי.

כתוצאה מכך, היה צורך דחוף בנציבות האירופית לנסח הוראות חוזיות אחידות מתוקנות כדי לאפשר שימוש בהם בנסיבות נוספות. נעשה שימוש בהוראות החוזיות האחידות לראשונה בשנת 2001, כאשר גרסאותיהן המקוריות נועדו לחתימה בין גורם אירופי המעביר מידע אישי לבין הגורם החוץ-אירופי שמקבל ממנו את המידע. בחתימתו על ההוראות החוזיות, מתחייב מקבל המידע בשורה של הוראות שנועדו להעניק למידע רמת הגנה התואמת לדיני האיחוד האירופי. הגרסה החדשה מגיעה בשני מסמכים, טיוטה ונספח, הכוללים את ההוראות הקודמות במספר נושאים בולטים, בהם:

  • הצורך במודרניזציה של ההוראות החוזיות האחידות בכדי לשקף את המציאות של שימוש נרחב בפעולות עיבוד מידע חדשות ומורכבות וקשרי עסקים מתפתחים. במערכת יחסים עם מעבד (Processor)  או מעבד-משנה (Sub-processor) ההוראות החוזיות כוללות כבר את התכנים הנדרשים לפי ה- GDPR.
  • כיסוי למכלול הנסיבות האפשריות להעברת מידע בין-מדינתית: מבעל שליטה במידע (Controller)  אחד לאחר, מבעל שליטה במידע למעבד מידע  ולהיפך, וממעבד מידע למעבד-משנה  – וזאת ללא קשר למיקומם הגיאוגרפי של הצדדים.
  • מספר הצדדים המסוגלים להצטרף לחוזה- מבנה מודולרי המאפשר לבעלי שליטה, מעבדים, או מעבדי-משנה נוספים להצטרף לחוזה כתלות בצורך בהרחבת מעגל המטפלים במידע האישי. עליהם לבחור את המודל הרלוונטי למצבם, מה שמאפשר להתאים את חובותיהם על-פי ההוראות החוזיות האחידות לתפקידם המקביל ביחס לעיבוד המידע הנדון.
  • סמכות שיפוט – הצדדים לחוזה נדרשים לבחור את הדין ומקום השיפוט שיחולו על ההוראות, מבין מדינות האיחוד האירופי שדיניהן מתירים זכויות צדדים שלישיים לחוזה. הצדדים מתחייבים כי הם בחנו את דיני מדינת היעד ולא מצאו טעם מדוע לא יוכלו לעמוד בהתחייבויותיהם להגן על המידע. בחינה זו צריכה להיות מתועדת בכתב.
  • חובות החלות על מקבל המידע במקרים בהם רשויות ממשלתיות מבקשות גישה למידע האישי. לרבות, הודעה למוסר המידע ובמקרים מתאימים גם לנושאי המידע, תקיפה משפטית של בקשת הגישה ומזעור המידע שנמסר. ברמה הכללית, על-פי ההוראות מקבל המידע צריך להעמיד לרשותו את המידע הדרוש בדבר ההוכחה בעמידה בהוראות ולאפשר ביקורת על פעולות העיבוד שלו על-ידי מוסר המידע.
  • אחריות ופיצוי- דרישות שקיפות כלפי נושאי המידע בדבר העובדה כי הנתונים האישיים שלהם מועברים למדינה שלישית והוראות שיפוי בין הצדדים. כאשר נגרם נזק כתוצאה מהפרה כלשהיא של הצד השלישי על נושא המידע להיות זכאי לפיצוי.
  • דרישת ההסכמה – יש לאפשר העברת נתונים נמשכות לנמען במדינה השלישית רק אם המקבל נעתר להוראות החוזיות האחידות ואם מובטחת המשכיות הגנת הנתונים ו/או הסכמה מפורשת ומודעת של נושא המידע.
  • זכויות נושאי המידע- הצדדים רשאים לעבות ולהוסיף להוראות החוזיות האחידות ובלבד שתוספות אלו לא סותרות את תכולת ההוראות ולא תפגע בזכויות נושאי המידע. כמו כן, נושאי המידע צריכים לדעת לאכוף, במידת הצורך, את ההוראות ולהיות מסוגלים להגיש תלונה לרשויות הפיקוח או להפנות סכסוך לבתי המשפט.

על פי טיוטת ההחלטה, כשתתקבל  ההחלטה היא תבטל את ההוראות החוזיות הישנות אך תיצור תקופת מעבר בת שנה, במהלכה הוראות חוזיות אחידות שכבר נחתמו בגרסתן הישנה יוכלו להמשיך להתקיים, עד חלוף השנה או עד המועד בו הצדדים עורכים שינויים חוזיים במערכת היחסים שלהם – המוקדם מהשניים. הטיוטה פתוחה להערות הציבור עד ל-10 בדצמבר.

שתפו את הפוסט:

Facebook
Twitter
LinkedIn

דירוג האיכות של Dun's 100 לשנת 2024: משרד דן חי ושות' דורג שוב בקבוצת האיכות הראשונה בתחום הסייבר

דירוג האיכות של מדריך dun’s 100 פרסם את דירוג משרדי עורכי הדין לשנת 2024. בתחום הסייבר המדריך דירג, את משרד דן חי ושות', שוב, תחת ...

הרשות להגנת הפרטיות פרסמה גילוי דעת בנושא איסוף מספרי תעודות זהות וצילום תעודות זהות

בעת האחרונה ישנה מגמה גוברת של בתי עסק הדורשים מהלקוח למסור מספר תעודת זהות לצורך מתן שירות, ולעיתים אף דורשים למסור צילום של תעודת הזהות ...

טיוטת מסמך מדיניות חדשה בנושא איסוף ושימוש במידע ביומטרי במקום העבודה

על רקע המגמה הגוברת בשימוש טכנולוגיות לזיהוי ביומטרי אשר נעשה על ידי ארגונים לצרכי בקרת נוכחות עובדיהם, הרשות להגנת הפרטיות פרסמה לאחרונה (15.02.2024) מסמך מדיניות ...

באירופה עובדים. ה-AI ACT אושר.

מאת : צוות דן חי הפרלמנט האירופי אישר (13.03.2024) את תקנות הבינה המלאכותית (AI ACT). המדובר בחקיקה הראשונה מסוגה בעולם ובאה להסדיר את הפיתוח ההפעלה ...
דילוג לתוכן