ביולי 2020 קבע בית המשפט האירופאי לצדק כי הסדר ה-privacy shield, המאפשר לחברות אמריקאיות לקבל מידע אישי שמקורו באירופה, אינו חוקי ודינו להיפסל. משכך, נציבות האיחוד האירופי פרסמה לאחרונה (12.11.2020) טיוטה להערות הציבור בדבר ההחלטה על הוראות חוזיות אחידות מעודכנות (Standard Contractual Clauses). יישום ההוראות הינו כלי משפטי זמין שעיקרו להכשיר העברת מידע אישי הכפוף ל– GDPR, לעיבוד אצל גורמים הפועלים במדינות שלא הוכרו על-ידי האיחוד האירופי כבעלות רמה הגנה נאותה על מידע אישי.
כתוצאה מכך, היה צורך דחוף בנציבות האירופית לנסח הוראות חוזיות אחידות מתוקנות כדי לאפשר שימוש בהם בנסיבות נוספות. נעשה שימוש בהוראות החוזיות האחידות לראשונה בשנת 2001, כאשר גרסאותיהן המקוריות נועדו לחתימה בין גורם אירופי המעביר מידע אישי לבין הגורם החוץ-אירופי שמקבל ממנו את המידע. בחתימתו על ההוראות החוזיות, מתחייב מקבל המידע בשורה של הוראות שנועדו להעניק למידע רמת הגנה התואמת לדיני האיחוד האירופי. הגרסה החדשה מגיעה בשני מסמכים, טיוטה ונספח, הכוללים את ההוראות הקודמות במספר נושאים בולטים, בהם:
- הצורך במודרניזציה של ההוראות החוזיות האחידות בכדי לשקף את המציאות של שימוש נרחב בפעולות עיבוד מידע חדשות ומורכבות וקשרי עסקים מתפתחים. במערכת יחסים עם מעבד (Processor) או מעבד-משנה (Sub-processor) ההוראות החוזיות כוללות כבר את התכנים הנדרשים לפי ה- GDPR.
- כיסוי למכלול הנסיבות האפשריות להעברת מידע בין-מדינתית: מבעל שליטה במידע (Controller) אחד לאחר, מבעל שליטה במידע למעבד מידע ולהיפך, וממעבד מידע למעבד-משנה – וזאת ללא קשר למיקומם הגיאוגרפי של הצדדים.
- מספר הצדדים המסוגלים להצטרף לחוזה- מבנה מודולרי המאפשר לבעלי שליטה, מעבדים, או מעבדי-משנה נוספים להצטרף לחוזה כתלות בצורך בהרחבת מעגל המטפלים במידע האישי. עליהם לבחור את המודל הרלוונטי למצבם, מה שמאפשר להתאים את חובותיהם על-פי ההוראות החוזיות האחידות לתפקידם המקביל ביחס לעיבוד המידע הנדון.
- סמכות שיפוט – הצדדים לחוזה נדרשים לבחור את הדין ומקום השיפוט שיחולו על ההוראות, מבין מדינות האיחוד האירופי שדיניהן מתירים זכויות צדדים שלישיים לחוזה. הצדדים מתחייבים כי הם בחנו את דיני מדינת היעד ולא מצאו טעם מדוע לא יוכלו לעמוד בהתחייבויותיהם להגן על המידע. בחינה זו צריכה להיות מתועדת בכתב.
- חובות החלות על מקבל המידע במקרים בהם רשויות ממשלתיות מבקשות גישה למידע האישי. לרבות, הודעה למוסר המידע ובמקרים מתאימים גם לנושאי המידע, תקיפה משפטית של בקשת הגישה ומזעור המידע שנמסר. ברמה הכללית, על-פי ההוראות מקבל המידע צריך להעמיד לרשותו את המידע הדרוש בדבר ההוכחה בעמידה בהוראות ולאפשר ביקורת על פעולות העיבוד שלו על-ידי מוסר המידע.
- אחריות ופיצוי- דרישות שקיפות כלפי נושאי המידע בדבר העובדה כי הנתונים האישיים שלהם מועברים למדינה שלישית והוראות שיפוי בין הצדדים. כאשר נגרם נזק כתוצאה מהפרה כלשהיא של הצד השלישי על נושא המידע להיות זכאי לפיצוי.
- דרישת ההסכמה – יש לאפשר העברת נתונים נמשכות לנמען במדינה השלישית רק אם המקבל נעתר להוראות החוזיות האחידות ואם מובטחת המשכיות הגנת הנתונים ו/או הסכמה מפורשת ומודעת של נושא המידע.
- זכויות נושאי המידע- הצדדים רשאים לעבות ולהוסיף להוראות החוזיות האחידות ובלבד שתוספות אלו לא סותרות את תכולת ההוראות ולא תפגע בזכויות נושאי המידע. כמו כן, נושאי המידע צריכים לדעת לאכוף, במידת הצורך, את ההוראות ולהיות מסוגלים להגיש תלונה לרשויות הפיקוח או להפנות סכסוך לבתי המשפט.
על פי טיוטת ההחלטה, כשתתקבל ההחלטה היא תבטל את ההוראות החוזיות הישנות אך תיצור תקופת מעבר בת שנה, במהלכה הוראות חוזיות אחידות שכבר נחתמו בגרסתן הישנה יוכלו להמשיך להתקיים, עד חלוף השנה או עד המועד בו הצדדים עורכים שינויים חוזיים במערכת היחסים שלהם – המוקדם מהשניים. הטיוטה פתוחה להערות הציבור עד ל-10 בדצמבר.
