הנציבות האירופית אימצה לאחרונה (04.06.2021) מערך חדש של סעיפי חוזה סטנדרטיים (Standard Contractual Clauses) ואמצעים משלימים עבור העברת מידע אישי מתוך ה-EEA ל"מדינות שלישיות" שאינן בעלות החלטת הלימות מנציבות האיחוד. מדובר במערך שהינו קוגנטי ומחייב כל עוד מסתמכים עליו כאחד משלושת האלטרנטיבות של ה-GDPR להעברת מידע אישי אל מחוץ ל- EEA(מדינות האיחוד).
מבחינה רגולטורית ה-GDPR מאפשר העברת נתונים אישיים מחוץ ל-EEA רק בעת קיומו של אחד משלוש המנגנונים הבאים:
החלטת הלימות (Adequacy decision) – נציבות האיחוד האירופי מצאה מספר "מדינות שלישיות" כמתאימות להעברת מידע אישי (לרבות ישראל). העברת מידע אישי למדינה עם החלטת הלימות לא דורש בדיקה ייחודית או פעילות מעבר לנדרש להעברת מידע בתוך ה-EEA (זה כמובן אינו פוסל חובות מכוח הסכמים מסחריים או הסכמי עיבוד נתונים.
BCR'S – (Binding Corporate Rules) – סטים של כללים פנימיים (דוגמת קוד התנהגות) שמסדירים ומאפשרים לחברות רב לאומיות להעביר מידע אישי בין מדינות, שאינן מספקות את רמת ההגנה הנאותה הנדרשת, כל עוד ההעברה מתבצעת באופן תוך תאגידי. חשוב להבהיר כי לכללים האמורים אין מבנה רשמי, הם ניתנים לגריעה, נכתבים ע"י החברות עצמן ודורשים אישור מרשות הפיקוח של ה-EEA.
SCCs – סעיפי חוזה סטנדרטיים (Standard Contractual Clauses) ואמצעים משלימים – מדובר בסעיפים חוזיים שמאושרים ע"י נציבות האיחוד האירופי כמנגנון להעברת נתונים אישיים מה-EEA למדינות שלישיות שאינן בעלות החלטת הלימות. הסעיפים הינם קוגנטיים, היינו בלתי ניתנים להתניה ו/או שינוי והם גוברים על הסכמות חוזיות. ניתן להוסיף ל-SCCs סעיפים חוזיים ואמצעי הגנה נוספים, אך זאת כל עוד הם לא סותרים את הSCCs ולא פוגעים בזכויות יסוד של מושאי המידע.
בעת שמשתמשים בSCCs ככלי להעברת מידע, חובה להעריך האם יש בחוקי המדינה אליה מועבר המידע כדי לפגוע ביעילות הוראות הSCCs שנועדו להגן על המידע המועבר. אילו יש הערכה לבעייתיות מסוג זה, יש להציג אמצעים משלימים לסעיפי הSCCs הקוגנטיים כדי להגן עליהם (דוגמת: הפרדת מפתח ההצפנה מיבואן הנתונים, התחייבויות חוזיות של יבואן המידע לדרישות טכניות מסוימות, פסאודו-אנונימיזציה (pseudonymized) לפי ההעברה וכו').
