סקירת Safe Harbor פירושה עסקים כרגיל - לעת עתה

ספטמבר היה חודש מכונן עבור חברות באירופה שרצו לשתף נתונים עם ארה"ב. בית המשפט הכללי של האיחוד האירופי דחה ערעור על מסגרת הפרטיות בין שתי המדינות. משמעות הדבר היא שארגונים אמריקאים יכולים להמשיך לייבא נתונים אישיים מהאיחוד האירופי.

הערעור על מסגרת פרטיות הנתונים (DPF) בין האיחוד האירופי לארה"ב הגיע מחבר הפרלמנט הצרפתי פיליפ לטומב. הוא לא היה מרוצה מפרטי המסגרת, המאפשרת דרך חוקית לאלפי חברות אמריקאיות להעביר מידע אישי מהאיחוד האירופי. הוא ערער על החלטת האיחוד האירופי לאפשר ל-DPF לפעול, משני נימוקים.

ראשית, הוא טען כי בית המשפט לביקורת פרטיות המידע של ארה"ב (DPRC) אינו עצמאי או אובייקטיבי. בית משפט זה, הממונה על המסגרת, הוא גוף המופעל על ידי ארה"ב ובוחן כל תלונה של תושבי האיחוד האירופי בנוגע לטיפול בנתונים שלהם. הוא גם התלונן כי איסוף נתונים בכמויות גדולות על ידי סוכנויות המודיעין האמריקאיות ללא אישור מראש של בית המשפט הפר את מגילת זכויות היסוד של האיחוד האירופי.

זו לא הייתה הפעם הראשונה שהאיחוד האירופי התמודד עם אתגרים במסגרות הפרטיות. עורך הדין מקס שרמס כבר ערער על שני ניסיונות למסגרות שקילות בין האיחוד האירופי לארה"ב בעבר.

שרמס הגיש את תלונתו הראשונה בשנת 2013, ובו ערער על העברות הנתונים של פייסבוק בארה"ב במסגרת חוק Safe Harbor, על רקע גילויי המעקב של אדוארד סנודן על ידי ה-NSA. פסיקת שרמס הראשונה מאוקטובר 2015 ביטלה לחלוטין את חוק Safe Harbor, וקבעה כי חוקי המעקב האמריקאים מאפשרים התערבות מעבר למה שהיה "הכרחי לחלוטין".

האיחוד האירופי וארצות הברית ניסו שוב עם מגן הפרטיות, שהחליף את תוכנית Safe Harbor בשנת 2016, אך שרמס מיד ערער על המסגרת החדשה ועל סעיפי החוזים הסטנדרטיים, בטענה שסמכויות המעקב של ארה"ב הבסיסיות נותרו ללא שינוי. החלטת שרמס II מיולי 2020 ביטלה את מגן הפרטיות תוך שהיא מאשרת את סעיפי החוזים הסטנדרטיים (SCCs), שהם הסכמים של האיחוד האירופי שבהם ארגונים יכולים להשתמש כדי לאשר העברות נתונים. אלה דורשים הערכת השפעה על העברות נתונים (TIAs) המחייבת חברות לבצע בדיקת נאותות משלהן כדי לקבוע האם נתוני האיחוד האירופי יהיו מוגנים במדינת היעד.

כישלון לשכנע את בית המשפט

אילו לטומבה היה מצליח באתגר הראשוני שלו, הדבר היה מחזיר את החברות לעולם המסורבל של גביית חובות בסכום כולל. עם זאת, בית המשפט חלק עליו. שופטים יכולים להתמנות לבית המשפט רק על ידי היועץ המשפטי לממשלה, טען בית המשפט, וקבע כי זה תואם את הגדרת העצמאות. כמו כן, הוסיף כי בתי משפט בכמויות גדולות אינם דורשים אישור מראש לגביית חובות בכמויות גדולות במסגרת שרמס II. במקום זאת, נאמר, בדיעבד אישור (לאחר מעשה) מספיק. משרד הפנים של דנמרק כבר מספק זאת.

כל זה מצביע על כך שההגנות תחת החוק האמריקאי "שוות ערך במהותן" לאלו תחת החוק האירופי, על פי הפסיקה, לפי הודעת בית המשפט העליון של האיחוד האירופי.

זה לא נגמר עד שזה נגמר

אז מה המשמעות של זה לגבי הסטטוס קוו? על פני השטח, זה מרמז שעסקים אמריקאים יכולים להמשיך להעביר לשם את נתוני אזרחי האיחוד האירופי ללא עונש. אבל אל תזניחו את ספרי החוקים כרגע; כבר יש אתגרים משפטיים נוספים בתהליך שמרמזים שזה לא נגמר.

NOYB (ארגון Schrems, ראשי תיבות של "None Of Your Business") טוען כי ה-DPF פשוט מארז מחדש את אותן סמכויות מעקב שדחה בית המשפט העליון של האיחוד האירופי פעמיים. "ההגנות במסגרת העסקה החדשה הן כמעט ביחס של העתקה והדבקה של העסקאות הקודמות שבית המשפט העליון של האיחוד האירופי קבע כבלתי חוקיות ב-Schrems I ו-Schrems II", נכתב. "בחלק מהאלמנטים ההגנות אף גרועות יותר מאשר בצו הנשיאותי הישן שלא הספיק עבור בית המשפט העליון של האיחוד האירופי. לכן מפתיע שבית המשפט הכללי יוציא החלטה שונה בגרסה השלישית של העסקה בין האיחוד האירופי לארה"ב בהשוואה לשתי הגרסאות הקודמות."

כעת לטומבה יכול לערער, ​​כאשר המועד האחרון להגשת הבקשה הוא אמצע נובמבר השנה. לאור ביקורתם של פעילי פרטיות על הפסיקה, סביר להניח ש-DPF יעמוד בפני מתקפה נוספת.

בהתחשב בכך, ארגונים יעשו טוב אם יאמצו גישה מרובדת להעברת נתונים כאסטרטגיה העמידה ביותר מבחינה משפטית, אומרים עורכי דין. גם כללי תאגידים מחייבים (BCRs) ממלאים תפקיד כאן. אלו הם הסכמים שחברות משיגות עם רגולטורים להעברת נתונים בתוך משרדיהן מעבר לגבולות לאומיים.

"בינתיים, ה-DPF נותר מסלול תקף ויעיל להעברות מידע אישי מהאיחוד האירופי לארה"ב." מסביר משרד עורכי הדין קליפורד צ'אנס. "בנו סביב זה, שמרו על ספרי ההוראות של SCC/BCR מוכנים, רעננו את הערכות ההשפעה של העברה (תוך התייחסות ל-EO 14086 ול-DPRC במידת הצורך), ועקוב אחר נוף הערעור והפיקוח האמריקאי", ייעצה החברה.

בשנת 2021, גם המועצה האירופית להגנת מידע (EDPB) הנחיות שפורסמו על מה יצואני נתונים יכולים לעשות כדי לסייע בשמירה על הגנות הנתונים של האיחוד האירופי בעת ייצוא נתונים למדינות אחרות. מסמך זה מייעץ ליצואנים לתעד באופן מלא את העברות הנתונים שלהם, ולאמת את כלי ההעברה בו הם משתמשים במסגרת סעיף 46 של ה-GDPR. לצד תקנות ביטחון וסדרי קשר ציבוריים (SSCs) ותקנות הסכם התנהגות (BCRs), כלים אחרים כאלה כוללים קודי התנהגות, מנגנוני הסמכה וסעיפי חוזים אד-הוק. עליהם גם להעריך את החוק של מדינת היעד אם אין הסכם הולם. הוא גם מייעץ לגבי אמצעים משלימים, כגון הצפנת הנתונים, כאשר המפתחות נשמרים באיחוד האירופי.

אז העסקים כרגיל לעת עתה, אבל אחריות ניהול הסיכונים מחייבת תוכנית גיבוי. עם ממשלה כאוטית במערב וסכנה של אתגרים משפטיים נוספים באירופה, חברות לא צריכות להסתמך לחלוטין על ה-DPF.