הנציבות האירופית אימצה לאחרונה (04.06.2021) מערך חדש של סעיפי חוזה סטנדרטיים (Standard Contractual Clauses) ואמצעים משלימים עבור העברת מידע אישי מתוך ה-EEA ל”מדינות שלישיות” שאינן בעלות החלטת הלימות מנציבות האיחוד. מדובר במערך שהינו קוגנטי ומחייב כל עוד מסתמכים עליו כאחד משלושת האלטרנטיבות של ה-GDPR להעברת מידע אישי אל מחוץ ל- EEA(מדינות האיחוד).

מבחינה רגולטורית ה-GDPR מאפשר העברת נתונים אישיים מחוץ ל-EEA רק בעת קיומו של אחד משלוש המנגנונים הבאים:

החלטת הלימות (Adequacy decision) – נציבות האיחוד האירופי מצאה מספר “מדינות שלישיות” כמתאימות להעברת מידע אישי (לרבות ישראל). העברת מידע אישי למדינה עם החלטת הלימות לא דורש בדיקה ייחודית או פעילות מעבר לנדרש להעברת מידע בתוך ה-EEA (זה כמובן אינו פוסל חובות מכוח הסכמים מסחריים או הסכמי עיבוד נתונים.

BCR’S(Binding Corporate Rules) – סטים של כללים פנימיים (דוגמת קוד התנהגות) שמסדירים ומאפשרים לחברות רב לאומיות להעביר מידע אישי בין מדינות, שאינן מספקות את רמת ההגנה הנאותה הנדרשת, כל עוד ההעברה מתבצעת באופן תוך תאגידי. חשוב להבהיר כי לכללים האמורים אין מבנה רשמי, הם ניתנים לגריעה, נכתבים ע”י החברות עצמן ודורשים אישור מרשות הפיקוח של ה-EEA.

SCCs – סעיפי חוזה סטנדרטיים (Standard Contractual Clauses) ואמצעים משלימים – מדובר בסעיפים חוזיים שמאושרים ע”י נציבות האיחוד האירופי כמנגנון להעברת נתונים אישיים מה-EEA למדינות שלישיות שאינן בעלות החלטת הלימות. הסעיפים הינם קוגנטיים, היינו בלתי ניתנים להתניה ו/או שינוי והם גוברים על הסכמות חוזיות. ניתן להוסיף ל-SCCs סעיפים חוזיים ואמצעי הגנה נוספים, אך זאת כל עוד הם לא סותרים את הSCCs ולא פוגעים בזכויות יסוד של מושאי המידע.

בעת שמשתמשים בSCCs ככלי להעברת מידע, חובה להעריך האם יש בחוקי המדינה אליה מועבר המידע כדי לפגוע ביעילות הוראות הSCCs שנועדו להגן על המידע המועבר. אילו יש הערכה לבעייתיות מסוג זה, יש להציג אמצעים משלימים לסעיפי הSCCs הקוגנטיים כדי להגן עליהם (דוגמת: הפרדת מפתח ההצפנה מיבואן הנתונים, התחייבויות חוזיות של יבואן המידע לדרישות טכניות מסוימות, פסאודו-אנונימיזציה (pseudonymized) לפי ההעברה וכו’).

שיתוף
משרד עו"ד דן חי הוקם בשנת 1991 על ידי עו"ד דן חי ושוכן היום ברמת-גן. המשרד מתמחה בתחומי מיקוד יחודיים כדיני תקשורת, דיני הגנת הפרטיות לרבות מאגרי המידע, דיני לשון הרע, קניין רוחני ודיני ספורט. זאת לצד עיסוקו של המשרד בתחום דיני המקרקעין, דיני חוזים בדגש על חוזים מסחריים, דיני תאגידים (חברות, שותפויות ועמותות), דיני נזיקין וביטוח ודיני עבודה. בכל התחומים פועל המשרד הן בתחום המסחרי והן בהליכים משפטים (לטיגציה). על לקוחות המשרד נמנים חברות קבלניות ויזמיות, רשויות אזוריות ומקומיות, עמותות, משקיעים פרטיים ישראלים וזרים, יזמים, אנשי עסקים, אנשי ציבור וספורטאים מהמוכשרים והמובילים בארץ.