בשנת 1858, כאשר מהנדסים הניחו את כבל התקשורת הראשון בין בריטניה לארה"ב, האתגר הגדול היה לסחוט את אותות הטלגרף של המדינות על חוט אחד. מאז, המגזר הציבורי והפרטי העביר אלפי קילומטרים של כבל סיבים אופטיים מתחת לאוקיינוס האטלנטי שמעביר טרה-ביט של נתונים בשנייה. כיום, המכשולים לחילופי נתונים טרנס-אטלנטיים אינם טכנולוגיים - הם חוקיים.
האיחוד האירופי קבע פעמיים כללי פרטיות המסדירים את חילופי הנתונים על אזרחיו עם ארה"ב, אשר שלטו גם בבריטניה כחברה באיחוד האירופי. לאחר שנפסקו שני אלה כבלתי חוקיים, עבר הגוש ליצור גוש שלישי. שלוש שנים לאחר שעזבה את אירופה, בריטניה מנהלת משא ומתן על הסכם הלימה משלה עם ארה"ב. איך זה הולך?
איך הגענו לכאן?
האיחוד האירופי וארה"ב קבעו את הסכם הלימות הנתונים שלהם ב-Privacy Shield ב-2016 לאחר אתגר משפטי מוצלח נגד הסכם Safe Harbor המקורי שלהם. Privacy Shield אפשרה לחברות אמריקאיות לקבל אישור עצמי מול משרד המסחר האמריקאי כדי לקבל נתונים מחברות אירופאיות.
לאחר שערער על Safe Harbour, עורך הדין האוסטרי מקס שרמס שוב ערער על Privacy Shield בבית המשפט, ובית המשפט לצדק של האיחוד האירופי (CJEU) פסל אותו ביולי 2020. מאז, עסקים בבריטניה שרצו להחליף נתונים עם ארה"ב נאלצו להסתמך על סעיפים חוזיים סטנדרטיים (SCCs). הסכמים אלו בין חברות מאפשרים חילופי נתונים, אך הם דורשים יותר עבודה ליישום. לבריטניה יש החליף SCCs עם הסכם העברת הנתונים הבינלאומי (ITDA), למרות שהוא עדיין מאפשר לאנשים להשתמש ב-SCCs של האיחוד האירופי על ידי החלת נספח מיוחד בבריטניה.
SCCs ו-ITDAs יכולים לתמוך בחילופי נתונים דו-צדדיים אד-הוק בין ארגונים, אבל הסכם גג בין-ממשלתי סטנדרטי יקל על עסקים. אז, המירוץ נמשך להקים אלטרנטיבה ל-Privacy Shield.
יצירת הסכם בריטניה-ארה"ב
בריטניה עבדה על הסדר הלימות נתונים משלה עם ארה"ב במקביל לאיחוד האירופי. זה הוציא א הצהרה משותפת בתוכנית זו עם ארה"ב באוגוסט האחרון, אגד זרימות נתונים חוצות גבולות יחד עם יוזמות טכנולוגיות רבות, החל ממגוון טלקום ועד מחשוב קוונטי.
המחלקה הבריטית לדיגיטל, תרבות, מדיה וספורט (DCMS) עוברת ארבעה שלבים בהערכות הלימות הנתונים שלה עם מדינות אחרות: שמירת סף, הערכה, המלצה ונוהל. שמירת סף היא כאשר המשרד מחליט אם להתחיל בכלל הערכת הלימות של אומה. במהלך הערכה, הוא אוסף ומפרש נתונים על המדינה המדוברת בהתבסס על תבנית סטנדרטית לפני המלצה למזכיר המדינה. לאחר מכן המזכיר מתייעץ עם לשכת נציב המידע (ICO) האם לקבוע הלימה. לאחר שעבר את השלב הזה, המשרד מייצר חקיקה בפרלמנט.
ה-DCMS אינו מציע תאריך ספציפי להשלמת תהליך זה עבור הסכם ההתאמה בין בריטניה לארצות הברית, אך הוא התקדם כברת דרך. באוקטובר האחרון, גם האיחוד האירופי וגם המשא ומתן על הלימה עם ארה"ב לקחו צעד קדימה כאשר הבית הלבן הוציא צו ביצוע על שיפור אמצעי ההגנה למודיעין האותות של ארצות הברית. היא נשבעה להקים בית משפט לביקורת הגנת מידע שייתן ליחידים בבריטניה ובאיחוד האירופי דרך לערער על כל שימוש של הרשויות בארה"ב בנתונים שלהם.
זה שימח את ה-DCMS, שפרסם הצהרה המשבחת את המהלך האמריקאי ומבטיח להכין תקנות הלימה לפרלמנט בתחילת השנה. בינואר, מזכירת המדינה של בריטניה עבור DCMS מישל דונלן ופקידי מדינת ארה"ב פתחו כראוי באירוע פגישת פתיחה של הדיאלוג המקיף בין ארה"ב לבריטניה על טכנולוגיה ונתונים. שתי המדינות הסכימו להשלים ולהטמיע גשר נתונים עבור זרימות נתונים ארה"ב-בריטניה "בשנת 2023".
מה יקרה עכשיו?
הסכם ההלימה האמריקאי אינו היוזמה היחידה של בריטניה. זרימות נתונים בינלאומיות הן חלק מאסטרטגיית הנתונים הלאומית שלה. הממשלה גם רודפת אחר הסכמי הלימה עם אוסטרליה, הרפובליקה של קוריאה, סינגפור, המרכז הפיננסי הבינלאומי של דובאי וקולומביה. עסקאות עם הודו, ברזיל, קניה ואינדונזיה נמצאות ברשימת המטלות שלה.
פוליטיקו דיווח כי מסגרת פרטיות הנתונים הטרנס-אטלנטית של האיחוד האירופי-ארה"ב שהוסכם באוקטובר ייקח לאיחוד האירופי כשישה חודשים ליישם. זה אומר שאנחנו מצפים לזה מתישהו בסביבות החודש הבא. בריטניה עשויה ליישר את הברווזים המשפטיים שלה לפני שתבטל את חקיקת ההלימה האמריקאית בפרלמנט. ובכל זאת, אני מקווה שזה לא ייקח הרבה יותר זמן כדי שזה יוכל ליישר קו עם הכרזת האיחוד האירופי.
עד שהם רואים את הפרטים האלה, עורכי דין מסתכלים על ההוראה המבצעת לקבלת הדרכה. Noyb.eu, קבוצת הפרטיות ללא מטרות רווח ששרמס הקימה, כבר עשתה זאת הביעו דאגות על היעדר הגנת הפרטיות של אזרחי האיחוד האירופי במסמך זה. הארגון מתח ביקורת על כך שהוא חלש יותר GDPR ומשאיר מקום לסוכנויות הביון האמריקאיות להמשיך במעקבים בתפזורת. ביקורת זו מעידה על כך שצרות משפטיות להסכם עשויות להיות לפניו עוד לפני שהוא יעבור.
ממשלת בריטניה, שהיא כבר תכנון יציאתה מ-GDPR עם כללי הגנה חלשים יותר על מידע, אולי לא מודאגת מהנושאים האלה, אבל יתכן שמתנגדיה. בעוד שלנתונים נדרשות אלפיות שנייה לחצות את האוקיינוס, מזימות משפטיות ופוליטיות לוקחות קצת יותר זמן.
