18 במאי 2024 22:22

האיחוד האירופאי: מרעננים את כללי העברת המידע מחוץ לאיחוד

הנציבות האירופית אימצה לאחרונה (04.06.2021) מערך חדש של סעיפי חוזה סטנדרטיים (Standard Contractual Clauses) ואמצעים משלימים עבור העברת מידע אישי מתוך ה-EEA ל"מדינות שלישיות" שאינן בעלות החלטת הלימות מנציבות האיחוד. מדובר במערך שהינו קוגנטי ומחייב כל עוד מסתמכים עליו כאחד משלושת האלטרנטיבות של ה-GDPR להעברת מידע אישי אל מחוץ ל- EEA(מדינות האיחוד).

מבחינה רגולטורית ה-GDPR מאפשר העברת נתונים אישיים מחוץ ל-EEA רק בעת קיומו של אחד משלוש המנגנונים הבאים:

החלטת הלימות (Adequacy decision) – נציבות האיחוד האירופי מצאה מספר "מדינות שלישיות" כמתאימות להעברת מידע אישי (לרבות ישראל). העברת מידע אישי למדינה עם החלטת הלימות לא דורש בדיקה ייחודית או פעילות מעבר לנדרש להעברת מידע בתוך ה-EEA (זה כמובן אינו פוסל חובות מכוח הסכמים מסחריים או הסכמי עיבוד נתונים.

BCR'S(Binding Corporate Rules) – סטים של כללים פנימיים (דוגמת קוד התנהגות) שמסדירים ומאפשרים לחברות רב לאומיות להעביר מידע אישי בין מדינות, שאינן מספקות את רמת ההגנה הנאותה הנדרשת, כל עוד ההעברה מתבצעת באופן תוך תאגידי. חשוב להבהיר כי לכללים האמורים אין מבנה רשמי, הם ניתנים לגריעה, נכתבים ע"י החברות עצמן ודורשים אישור מרשות הפיקוח של ה-EEA.

SCCs – סעיפי חוזה סטנדרטיים (Standard Contractual Clauses) ואמצעים משלימים – מדובר בסעיפים חוזיים שמאושרים ע"י נציבות האיחוד האירופי כמנגנון להעברת נתונים אישיים מה-EEA למדינות שלישיות שאינן בעלות החלטת הלימות. הסעיפים הינם קוגנטיים, היינו בלתי ניתנים להתניה ו/או שינוי והם גוברים על הסכמות חוזיות. ניתן להוסיף ל-SCCs סעיפים חוזיים ואמצעי הגנה נוספים, אך זאת כל עוד הם לא סותרים את הSCCs ולא פוגעים בזכויות יסוד של מושאי המידע.

בעת שמשתמשים בSCCs ככלי להעברת מידע, חובה להעריך האם יש בחוקי המדינה אליה מועבר המידע כדי לפגוע ביעילות הוראות הSCCs שנועדו להגן על המידע המועבר. אילו יש הערכה לבעייתיות מסוג זה, יש להציג אמצעים משלימים לסעיפי הSCCs הקוגנטיים כדי להגן עליהם (דוגמת: הפרדת מפתח ההצפנה מיבואן הנתונים, התחייבויות חוזיות של יבואן המידע לדרישות טכניות מסוימות, פסאודו-אנונימיזציה (pseudonymized) לפי ההעברה וכו').

שתפו את הפוסט:

Facebook
Twitter
LinkedIn

דירוג האיכות של Dun's 100 לשנת 2024: משרד דן חי ושות' דורג שוב בקבוצת האיכות הראשונה בתחום הסייבר

דירוג האיכות של מדריך dun’s 100 פרסם את דירוג משרדי עורכי הדין לשנת 2024. בתחום הסייבר המדריך דירג, את משרד דן חי ושות', שוב, תחת ...

הרשות להגנת הפרטיות פרסמה גילוי דעת בנושא איסוף מספרי תעודות זהות וצילום תעודות זהות

בעת האחרונה ישנה מגמה גוברת של בתי עסק הדורשים מהלקוח למסור מספר תעודת זהות לצורך מתן שירות, ולעיתים אף דורשים למסור צילום של תעודת הזהות ...

טיוטת מסמך מדיניות חדשה בנושא איסוף ושימוש במידע ביומטרי במקום העבודה

על רקע המגמה הגוברת בשימוש טכנולוגיות לזיהוי ביומטרי אשר נעשה על ידי ארגונים לצרכי בקרת נוכחות עובדיהם, הרשות להגנת הפרטיות פרסמה לאחרונה (15.02.2024) מסמך מדיניות ...

באירופה עובדים. ה-AI ACT אושר.

מאת : צוות דן חי הפרלמנט האירופי אישר (13.03.2024) את תקנות הבינה המלאכותית (AI ACT). המדובר בחקיקה הראשונה מסוגה בעולם ובאה להסדיר את הפיתוח ההפעלה ...
דילוג לתוכן