מסגרת פרטיות נתונים שהוסכם לאחרונה על ידי האיחוד האירופי-ארה"ב מעלה את הסכמת הפרטיות

מסגרת פרטיות נתונים שהוסכם לאחרונה על ידי האיחוד האירופי-ארה"ב מעלה את הרמה האדומטית של הפרטיות

מאת ג'ון ליידן • 22 אוגוסט 2023

מומחים בירכו על הסכמה של כללים חדשים המתמקדים בפרטיות על האופן שבו ניתן להעביר נתונים אישיים בין חברות בארה"ב ובאיחוד האירופי.

מסגרת פרטיות הנתונים של האיחוד האירופי-ארה"ב פותחה כדי להחליף את מגן הפרטיות, שנפסל באמצעות החלטה של בית המשפט האירופי לצדק ב-2020.

בית המשפט פעל על רקע חששות לגבי היעדר אמצעי הגנה נאותים הן ב-Privacy Shield (והסכם נמל בטוח קודם לכן) שגרם לכך שמידע אישי היוצא מגבולות האיחוד האירופי עלול להיות כפוף למעקב גורף של ממשלת ארה"ב.

נוקה לשידור

מסגרת פרטיות הנתונים של האיחוד האירופי-ארה"ב, שהועלתה על ידי ממשלת ארה"ב בשנה שעברה, אושרה על ידי הנציבות האירופית ביולי 2023 לאחר שהחליטה כי ארה"ב "מבטיחה רמת הגנה נאותה - הדומה לזו של האיחוד האירופי - על נתונים אישיים הועבר מהאיחוד האירופי לחברות בארה"ב במסגרת המסגרת החדשה".

"החלטת הלימות" זו פירושה שהנתונים האישיים יכולים "לזרום בבטחה מהאיחוד האירופי לחברות בארה"ב המשתתפות במסגרת" ללא צורך באמצעי הגנה נוספים להגנה על נתונים הנדרשים על פי צעדי ביניים טרום הסכם.

התחייבויות

אתר האינטרנט של תוכנית DPF מספק מידע על האופן שבו חברות יכולות לעדכן את מדיניות הפרטיות והנהלים שלהן וליישם אמצעי הגנה לפני שיאשרו את עצמן כעמידות בדרישות והצטרפות לתוכנית DPF. ארגונים אירופאים יכולים להשתמש באותו אתר כדי לבדוק את התחייבויות תוכנית DPF של שותף.

המסגרת מעניקה ליחידים באיחוד האירופי שהנתונים שלהם מועברים לחברות המשתתפות בארה"ב מספר זכויות חדשות, כגון הזכות לגשת, לתקן ולמחוק את הנתונים האישיים שלהם.

עסקת זרימת הנתונים הטרנס-אטלנטית מבטיחה להסיר מכשולים ביורוקרטיים קיימים ואי ודאויות.

צמצום אי הוודאות

בקי ווייט, עורכת דין להגנה על מידע ופרטיות במשרד עורכי הדין הבריטי הארפר ג'יימס, אמרה כי המסגרת הבטיחה לפשט את עשיית העסקים בין חברות אירופיות וארה"ב, תוך שהיא מזהירה שכמה מכשולים פוטנציאליים ליישום שלה עדיין לא התגברו.

"למרות שגשר הנתונים המוצע הוא חדשות מבורכות עבור ארגונים הן בארה"ב והן בבריטניה, במיוחד לאור אי הוודאות המתמשכת בנוגע להעברת נתונים בינלאומיים, וצריך לומר שתהליך ההתקשרות עם ספקים או לקוחות בארה"ב הופך להרבה יותר פשוט. פחות זמן לעסקים בבריטניה, לבריטניה יש כמה מכשולים קריטיים שצריך לעבור לפני שהוא ייושם. היבטים של עבודת מדיניות ויישור חקיקה משני צדי האוקיינוס האטלנטי נותרו לא שלמים, הזהיר ווייט

"ראשית, זה יהיה תלוי בהגדרת ארה"ב של בריטניה כמדינה זכאית לפי צו ביצוע 14086 של הנשיא ביידן (שקבע אמצעי הגנה להגנה על נתונים עבור סוכנויות ביון האותות האמריקאיות)", הסביר ווייט.

"בנוסף, הצעת חוק הגנת הנתונים והמידע הדיגיטלי המוצעת של ממשלת בריטניה (DPDI 2) קרובה למדי לחקיקה, ולמרות שהממשלה ממשיכה לטעון שהשינויים המתוכננים במשטר הגנת המידע בבריטניה לא יסכנו את הלימות האיחוד האירופי, אין אישור לכך שנעשה על ידי האיחוד האירופי".

בניית חוסן אבטחת סייבר

איגום מודיעין ושיתוף נתונים חיוני בבניית הגנות אבטחת סייבר חזקות.

Jon France, CISO באגודת הפיתוח וההסמכה המקצועית של תעשיית אבטחת הסייבר (ISC)², אמר ל-ISMS.online כי הסרת המכשולים לשיתוף נתונים חוצה-אטלנטי תשפר את שיתוף הפעולה באבטחת הסייבר.

"החלטת ההלימה על מסגרת פרטיות הנתונים של האיחוד האירופי-ארה"ב מציגה שיפורים משמעותיים עבור חברות משני צדי האוקיינוס האטלנטי", לפי צרפת. "זה מעודד שאנחנו מגיעים למצב שבו זרימת נתונים חוצת גבולות מובטחת, ולחברות המשתתפות במסגרת תהיה החופש להעביר נתונים בבטחה".

צרפת המשיכה: "בעולם האבטחה, גישה לנתונים היא המפתח לזיהוי ותיקון של התקפות. היכולת להעביר נתונים כאלה בין גורמים טרנס-אטלנטיים, הן במגזר הציבורי והן במגזר הפרטי, תשפר את ההגנות בשתי היבשות".

ההבטחה לשיפור האבטחה שמציעה המסגרת תתממש רק אם ארגונים יסדרו את הבית שלהם, הזהירה צרפת.

"שמירה על הפרטיות מסתמכת על ודורשת אבטחת סייבר יעילה; השניים הולכים יד ביד", לפי צרפת. "לארגונים מוטלת אחריות לשמור על רמה נאותה של הגנה על נתונים אישיים, כולל חובות קפדניות בשיתוף עם צדדים שלישיים, ועליהם לעמוד בעקרונות הפרטיות, כגון הגבלות על שמירת נתונים."
צרפת סיכמה: "בבסיסם, עסקים צריכים לאמץ שיטות אבטחת סייבר חזקות כדי להגן על נתונים ולבנות אמון דיגיטלי."

הרמוניזציה של מדיניות

סם פיטרס, של ISMS.online CPO בירכה על ההסכם כעזר מועיל בניווט בין המורכבויות של כללי הגנת מידע.
"הסכם הלימות הנתונים האחרון של האיחוד האירופי-ארה"ב מסמן אבן דרך משמעותית בנוף הפרטיות הבינלאומית של הנתונים", הסביר פיטרס. "זה מתווה מסגרת קריטית שמטרתה לא רק להגן על נתונים אישיים המועברים ברחבי האוקיינוס האטלנטי אלא גם לשפר את הציות, השקיפות והאחריות לחברות אמריקאיות".

פיטרס המשיך: "ההסכם אינו רק עוד מכשול בירוקרטי אלא כלי חיוני לנווט בין המורכבויות של הגנת נתונים בעולם הדיגיטלי המקושר יותר ויותר. הסכם זה מציג מסגרת מוצקה להרמונית מדיניות העברת נתונים ברחבי האוקיינוס האטלנטי, תוך הטלת חובות פרטיות מחמירות על חברות אמריקאיות המשתתפות".

עיקרים

ההסכם מציע מסגרת ליישום שיטות עבודה מומלצות להגנת הפרטיות.

"בלב ההסכם הזה עומדת מסגרת פרטיות הנתונים של האיחוד האירופי-ארה"ב", לדברי פיטרס. "תוכנית זו מאפשרת לחברות אמריקאיות לאמת את מחויבותן למערכת מקיפה של חובות פרטיות. הוא דוגל בהגבלת מטרה, מזעור נתונים ושמירת נתונים ומתאר התחייבויות ספציפיות בנוגע לאבטחת מידע ושיתוף עם צדדים שלישיים."

פיטרס הוסיף: "צעדים כאלה מדגימים את כוונת ההסכם לחזק את הגנת הנתונים. התחייבויות אלו אינן רק עקרונות על הנייר; הם משפיעים ישירות על האסטרטגיות התפעוליות של עסקים".

משרד המסחר האמריקאי יטפל בניהול המסגרת, יפקח על תהליך בקשת ההסמכה ויפקח על הציות השוטף של החברות המשתתפות. נציבות הסחר הפדרלית של ארה"ב אוכפת ציות, מה שמצביע על "מחויבות חזקה למטרות הגנת הנתונים של ההסכם", על פי פיטרס של ISMS.online.

גשר נתונים

כללי הטיפול בנתונים בבריטניה חייבים להתאים לתקנות האיחוד האירופי כדי למנוע הפרת איזון עדין.

הרפר ג'יימס ווייט הזהיר: "אם חקיקת DPDI 2 תבטל את החלטת ההלימה של האיחוד האירופי בבריטניה, הדבר עלול בתורו להשפיע על יישום גשר הנתונים בריטניה-ארה"ב, אשר נתפס באופן נרחב כהרחבה לנתוני האיחוד האירופי-ארה"ב. מסגרת הפרטיות הנבדקת כעת ויישור התפקיד תחת בריטניה GDPR עם ה-GDPR של האיחוד האירופי להעברת נתונים מבריטניה לארגונים בארה"ב שמאשרים את התוכנית.

להתכונן

החלטת ההלימה נכנסה לתוקף ממועד קבלתה ב-10 ביולי. אין ציר זמן מפורש לציות. עם זאת, הנציבות האירופית אמורה לבחון את האפקטיביות של המסגרת המשפטית של ארה"ב מעת לעת, בתחילה שנה אחת לאחר הצגת המסגרת.

Peters של ISMS.online הזהיר: "חיוני לציין שניתן להתאים או לבטל החלטות הלימה אם התפתחויות משפיעות על רמת ההגנה של המדינה השלישית".

חברות לא צריכות לבזבז זמן בבדיקת המדיניות והנהלים שלהן כדי לעמוד בהוראות המסגרת, ייעץ פיטרס.

"כדי להיות מוכנים לנוף פרטיות הנתונים הטרנספורמטיבי הזה, עסקים חייבים להתחיל בבדיקה יסודית של נוהלי הטיפול בנתונים הנוכחיים שלהם", הסביר פיטרס מ-ISMS.online. "הבטחת התאמה עם עקרונות המסגרת תהיה חיונית באימות תאימות והימנעות מעונשים רגולטוריים אפשריים."

פיטרס סיכם: "הסכם הלימות הנתונים של האיחוד האירופי-ארה"ב מוסיף ללא ספק מימד חדש לזירת פרטיות הנתונים הגלובלית. בטווח הקצר, עסקים עשויים לראות בכך נטל רגולטורי נוסף. עם זאת, פרטיות ואבטחת הנתונים חשובים יותר ויותר לצרכנים ולעסקים. מבחינה זו, ההסכם מזרז שינוי חיובי, תוך אכיפת תקן גלובלי להגנה על מידע".

ג'ון ליידן

ג'ון ליידן כתב על רשתות מחשבים ואבטחת סייבר במשך יותר מ-20 שנה. לפני הופעת האינטרנט הוא עבד ככתב פשע בעיתון מקומי במנצ'סטר. ג'ון הוא בעל תואר בהנדסת אלקטרוניקה מסיטי, אוניברסיטת לונדון.