האיחוד האירופאי: מרעננים את כללי העברת המידע מחוץ לאיחוד

הנציבות האירופית אימצה לאחרונה (04.06.2021) מערך חדש של סעיפי חוזה סטנדרטיים (Standard Contractual Clauses) ואמצעים משלימים עבור העברת מידע אישי מתוך ה-EEA ל"מדינות שלישיות" שאינן בעלות החלטת הלימות מנציבות האיחוד. מדובר במערך שהינו קוגנטי ומחייב כל עוד מסתמכים עליו כאחד משלושת האלטרנטיבות של ה-GDPR להעברת מידע אישי אל מחוץ ל- EEA(מדינות האיחוד).

מבחינה רגולטורית ה-GDPR מאפשר העברת נתונים אישיים מחוץ ל-EEA רק בעת קיומו של אחד משלוש המנגנונים הבאים:

החלטת הלימות (Adequacy decision) – נציבות האיחוד האירופי מצאה מספר "מדינות שלישיות" כמתאימות להעברת מידע אישי (לרבות ישראל). העברת מידע אישי למדינה עם החלטת הלימות לא דורש בדיקה ייחודית או פעילות מעבר לנדרש להעברת מידע בתוך ה-EEA (זה כמובן אינו פוסל חובות מכוח הסכמים מסחריים או הסכמי עיבוד נתונים.

BCR'S(Binding Corporate Rules) – סטים של כללים פנימיים (דוגמת קוד התנהגות) שמסדירים ומאפשרים לחברות רב לאומיות להעביר מידע אישי בין מדינות, שאינן מספקות את רמת ההגנה הנאותה הנדרשת, כל עוד ההעברה מתבצעת באופן תוך תאגידי. חשוב להבהיר כי לכללים האמורים אין מבנה רשמי, הם ניתנים לגריעה, נכתבים ע"י החברות עצמן ודורשים אישור מרשות הפיקוח של ה-EEA.

SCCs – סעיפי חוזה סטנדרטיים (Standard Contractual Clauses) ואמצעים משלימים – מדובר בסעיפים חוזיים שמאושרים ע"י נציבות האיחוד האירופי כמנגנון להעברת נתונים אישיים מה-EEA למדינות שלישיות שאינן בעלות החלטת הלימות. הסעיפים הינם קוגנטיים, היינו בלתי ניתנים להתניה ו/או שינוי והם גוברים על הסכמות חוזיות. ניתן להוסיף ל-SCCs סעיפים חוזיים ואמצעי הגנה נוספים, אך זאת כל עוד הם לא סותרים את הSCCs ולא פוגעים בזכויות יסוד של מושאי המידע.

בעת שמשתמשים בSCCs ככלי להעברת מידע, חובה להעריך האם יש בחוקי המדינה אליה מועבר המידע כדי לפגוע ביעילות הוראות הSCCs שנועדו להגן על המידע המועבר. אילו יש הערכה לבעייתיות מסוג זה, יש להציג אמצעים משלימים לסעיפי הSCCs הקוגנטיים כדי להגן עליהם (דוגמת: הפרדת מפתח ההצפנה מיבואן הנתונים, התחייבויות חוזיות של יבואן המידע לדרישות טכניות מסוימות, פסאודו-אנונימיזציה (pseudonymized) לפי ההעברה וכו').

שתפו את הפוסט:

Facebook
Twitter
LinkedIn

הרשות להגנת הפרטיות חושפת: ליקויים חמורים בקרב מגזר בתי החולים

הרשות להגנת הפרטיות פרסמה לאחרונה (15.9.24) דוח פיקוח רוחב שערכה ב-28 בתי חולים בישראל, הכוללים גם מרכזים לטיפול יום ובתי חולים פרטיים. בשנים האחרונות, חלה ...

אתגרי אבטחת מידע במעבר מאגרי מידע לענן: הרשות להגנת הפרטיות מנחה        

מעבר מאגרי המידע לענן. מסמך חדש שפרסמה לאחרונה (05.09.2024) הרשות להגנת הפרטיות סוקר את האתגרים המרכזיים בתהליך זה ומציע דרכים להתמודדות עימם. בעידן הדיגיטלי המתפתח, ...

הפרטיות בחרום. הרשות מתווה דרכי פעולה

על מה יש להקפיד בשעת חרום בתחום הפרטיות?  הרשות להגנת הפרטיות מפרסמת מדריך, במסגרתו מוצעים כללים מרכזיים להגנה על פרטיות בעת חירום באופן המבקש ליצור ...

אחריות דירקטוריון להגנת הסייבר: הרשות להגנת הפרטיות מנחה

הרשות להגנת הפרטיות פרסמה לאחרונה (12.09.2024) הנחייה (מס' 1/2024) המגדירה את תפקיד הדירקטוריון בפיקוח ובאחריות על אירועי סייבר וכחלק מכך פיקוח על אופן השימוש במידע ...
דילוג לתוכן