ביום 16.07.20 פסק בית המשפט האירופאי לצדק פסק בפרשה הידועה בשם שרמס 2, פסיקה אשר הטילה צל כבד על אפשרות העברת מידע אישי מהאיחוד האירופי לארה"ב. עיקר השלכות פסק הדין, הינן ביטול הסדר "Privacy Shield" אשר היווה מנגנון קל יחסית להעברת מידע בין היבשות, וכן ביחס לאופן ההתייחסות של בתי המשפט לזכויות הנגזרות מ רגולציית ה-GDPR והאמנה האירופאית לזכויות אדם, כמו גם הסתכלותם על יחסי מסחר בין האיחוד האירופאי לבין ארה"ב ושווקים אחרים בעולם. התוצאה המשמעותית ביתר של פסק הדין היא ביטול. בהמשך לכך, הרשות להגנת הפרטיות פרסמה לאחרונה (29.09.20) גילוי דעת באשר להשלכות פסק דין שרמס 2 על העברת מידע אישי מישראל לארה"ב.
גם ישראל מחזיקה במנגנון המגביל העברת מידע אישי אל מחוץ לגבולות המדינה, אשר מוסדר בתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה, תשס"א-2001). בתקנות אלו, תקנה 2 מונה רשימת חריגים המאפשרים העברת מידע מישראל למדינות אחרות. אחד החריגים קובע כי ניתן להעביר מידע למדינה המקבלת מידע ממדינות החברות בקהילה האירופית לפי אותם תנאי קבלה. סעיף זה פורש על-ידי הרשות כחריג המתיר העברת מידע מישראל למדינות שהוכרזו על-ידי הנציבות האירופית כ-"נאותות" (Adequate) וכן לחברות שנכללו בהסדרSafe Harbor (ההסדר שקדם ל-"Privacy Shield" ובוטל בעקבות פס"ד שרמס 1). עם ביטול הסדר ה-Safe Harbor הובהר כי אין להסתמך עוד על החריג המנוי בתקנה 2(8)(2), ועתה שבה ומדגישה הרשות כי עם ביטול ה-Privacy Shield, שוב אין להסתמך על חריג זה.
יוער, כי לאחר פסיקת בית הדין האירופי, רשות הסחר הפדרלית האמריקאית הפצירה בחברות המנויות בהסדר להמשיך ולקיים אותו בכל מקרה, וכי תמשיך לאכוף את קיומו. עניין זה אמנם לא מסייע באופן ישיר להעברת המידע אל חופי ארה"ב, אך ייתכן ובשלב מסוים יהיה בעל משמעות עבור החברות שימשיכו לקיים את חובותיהן בהתאם להסדר, על אף שבשלב זה רוקן מתוכן ביבשת האירופית.
במדינתנו, תקנות העברת המידע מחוץ למדינה עדיין מתירות העברה תחת חריגים ומנגנונים אחרים, כגון הסכמת נושאי המידע. בגילוי הדעת הדגישה הרשות כי ניתן להסתמך על אלו, אולם לא נתנה דעתה לאופן בו ראוי לשיטתה לעשות כן.
